La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Jesús Díaz Barrero jdiaz@paloaltonetworks.com Palo Alto Networks Automatización de la seguridad con los firewalls de nueva generación Jesús Díaz Barrero.

Publicada porCande Agosto Modificado hace 11 años

Presentaciones similares

Presentación del tema: "Jesús Díaz Barrero jdiaz@paloaltonetworks.com Palo Alto Networks Automatización de la seguridad con los firewalls de nueva generación Jesús Díaz Barrero."— Transcripción de la presentación:

1 Jesús Díaz Barrero jdiaz@paloaltonetworks.com
Palo Alto Networks Automatización de la seguridad con los firewalls de nueva generación Jesús Díaz Barrero

2 Introducción

3 Análisis de un ciberataque moderno
1 2 3 4 5 Engañar al usuario Exploit Descarga del Backdoor Conectar con el Centro de control Examinar y Robar El atacante remoto tiene control de una de las piezas internas de la red y dispone de mucha más capacidad El terminal es el punto más débil de la cadena y su usuario fácilmente engañable Infectar algún componente del terminal sin conocimiento del usuario (navegador, java, PDF reader ...) Descarga secundaria del Malware que será el responsable de cometer el ataque El Malware establece una conexión con el centro de control para recibir modificaciones y órdenes

4 Los ciberataques son algo más que payloads
Los ciberataques dependen de la coordinación automatizada de aplicaciones maliciosas, websites y payloads Aplicaciones Payloads Dominios Vector de infección Web, , transferencias de archivos Mando y Control P2P, IM, DNS, otros Persistencia y evasión RDP, SSL, anonymizers, proxies y túneles Malware Botnets Backdoors Keyloggers Exploits SQL Injection XSS Scripting Buffer Overflows Infección Sitios comprometidos Kits de exploits (blackhole) Dynamic DNS Dominios fast flux Domain Generation Algorithms (DGAs)

5 Los atacantes personalizan todas las fases
Aplicaciones propietarias Payloads personalizados Nuevos Dominios UDP y TCP personalizados Los protocolos C2 están altamente personalizados Modifican P2P, IM y las aplicaciones de transferencia de archivos Puertos no estándar Evitan firmas Utilizados para descargar nuevos payloads Malware personalizado Reto al mercado para detectar nuevo malware Malware polimórfico Malware modificado para variar el nombre o su hash Nuevos dominios Nuevos dominios sin reputación utilizados para entregar y controlar el malware Unknown UDP = 2% del tráfico de red, pero 51% de los logs de malware Entre el 50%-70% del malware capturado por WildFire no tiene cobertura de AV Las botnets cambian constantemente de dominio para evitar ser detectadas

6

7 Automatizando la protección

8 Automatización en el descubrimiento de Zero-days
Firmas Anti-malware Inteligencia DNS Base de datos de URL Malware Firmas Anti-C2 Inteligencia global y protección ofrecida a todos los usuarios Visibilidad y prevención multigabit en todo el tráfico y todos los puertos (web, , SMB, ...) El malware se ejecuta en la nube con acceso a Internet para descubrir protocolos C2, dominios, URLs y descargas de malware planificadas Se crean automáticamente firmas de malware, DNS, URL y C2 que se entregan a todos los clientes Motor en línea de tipo streaming que realiza el análisis y bloqueo Posibilidad de utilizar una nube local para garantizar la privacidad WildFire TM Sitios de prueba, sinkholes, Fuentes de 3as partes Mando y control Appliance WildFire (opcional) Usuarios WildFire

9 Automatización de las contramedidas contra Zero-days
Todas las contramedidas son compartidas por todos los firewalls de nueva generación Firmas AV Firmas DNS Filtrado URL Malware Firmas C&C WildFire

10 Automatización de las firmas contra peticiones DNS a botnets
Bloqueo de la petición DNS que un host infectado hace para conectarse al servidor de C&C Servidor DNS interno Servidor DNS Auth ??? Petición DNS para badwebserver.com? ¿Infectado? Respuesta DNS para badwebserver.com Host infectado Phone home al servidor C2 badwebserver.com

11 Yendo un paso más allá: DNS “Sinkholing”
Monitorización pasiva de las peticiones DNS para identificar peticiones a sistios web maliciosos o actividad de mando y control El DNS sinkhole ayuda a identificar las máquinas potencialmente infectadas Servidor DNS interno Servidor DNS Auth Petición DNS para badwebserver.com? ??? Infectado Respuesta DNS falsa para badwebserver.com a Host infectado Phone home al servidor C2 Sinkhole IP

12 Conexión a servidores de C&C en base a DGAs
Los atacantes utilizan algoritmos para generar listas de dominios de los servidores C&C Cuando el zombie pierde la conexión ejecuta el algoritmo y reintenta conectarse a la nueva lista (Conficker fue el primero en usar esta estrategia) 1 Servidor C&C 2 Ejecutar DGA: 3 Zombie

13 Rizando el rizo: detección y desactivación de DGAs
Ingeniería inversa sobre el algoritmo que utiliza el DGA Base de datos con las variantes del DGA Registro periódico de los dominios antes de que lo hagan los atacantes Honeynet para recibir a los zombies Servidor DNS interno Servidor DNS Auth Petición DNS para xyza.xyza.com? ??? Infectado Respuesta DNS a dominio registrado Host infectado Phone home al servidor honeypot Honeypot benigna C&C malicioso

14 Automatizando la gestión

15 Automatizando la gestión: detección de hosts infectados por comportamiento
Informe automático diario sobre la actividad sospechosa de máquinas potencialmente infectadas

16 Automatizando la gestión: integración con API XML
Cualquier sistema externo puede conectarse a través de una conexión SSL Usado para: Leer/escribir la configuración del equipo Extraer informes en formato XML Ejecutar comandos operativos Grandes posibilidades para explotar altos volúmenes de datos e integrarse con la inteligencia de terceras herramientas Config dispositivo /Report datos REST API sobre SSL Sistema externo

17 Automatizando la gestión: ejemplo de SDK via API

18 Automatización del datacenter en entornos virtuales
La solución VM protege el tráfico “Este-Oeste” Se reduce la superfice de ataque al mantener políticas por aplicación y no por puerto Los objetos dinámicos permiten automatizar políticas cuando se instancia, modifica o mueve una máquina virtual Nuevo Web Server We b SQL Dynamic Address Object = ‘Web’ App-ID = Permitir solo las aplicaciones web Content-ID = Escanear todas las amenazas web Bloquear el resto de aplicaciones Política de seguridad para VMs webserver

19 Conclusión: necesidad de usar automatización
Los ciberataques son cada vez más sofisticados, frecuentes y automatizados Han proliferado las herramientas que intentan resolver solo parte del problema Las aproximaciones basadas en intervenciones manuales fallan o llegan tarde El volumen de datos que hay que manejar requiere automatización en la defensa, tanto en el perímetro como en el datacenter Un NGFW es capaz de coordinar, integrar y automatizar las diferentes contramedidas que se necesitan

20 NGFW: Visión y control integrales
Cebo al usuario Exploit Descargar Backdoor Establecimiento del canal trasero Explorar & Robar App-ID URL IPS Lic. Spyware AV Files WildFire Bloquear las apps de alto riesgo Bloquear C&C en puertos no estándar Bloquear los sitios con malware Bloquear malware, dominios fast-flux Bloquear el exploit Inteligencia coordinada para detectar y bloquear los ataques activos en base a firmas, orígenes y comportamientos Bloquear el spyware, el tráfico C&C Bloquear el malware Prevenir drive-by-downloads Detectar malware desconocido Bloquear nuevo tráfico de C&C

21

Descargar ppt "Jesús Díaz Barrero jdiaz@paloaltonetworks.com Palo Alto Networks Automatización de la seguridad con los firewalls de nueva generación Jesús Díaz Barrero."

Presentaciones similares

Estudio de seguridad TI en Escuelas de Primaria

Estudio de seguridad TI en Escuelas de Primaria
Intranets P. Reyes / Octubre 2004.

Intranets P. Reyes / Octubre 2004.
Nau Gran dHivern Intr. a la creación y gestión de páginas web Introducción a la web.

Nau Gran dHivern Intr. a la creación y gestión de páginas web Introducción a la web.
Storage Networking y el almacenamiento sobre internet: iSCSI

Storage Networking y el almacenamiento sobre internet: iSCSI
IDS SISTEMAS DE DETECCIÓN DE INTRUSOS

IDS SISTEMAS DE DETECCIÓN DE INTRUSOS
CFGM Redes Locales Documentos: Elementos de configuración de una suite de antivirus. Panda Internet Security 2011.

CFGM Redes Locales Documentos: Elementos de configuración de una suite de antivirus. Panda Internet Security 2011.
Sistemas Peer-To-Peer La plataforma JXTA

Sistemas Peer-To-Peer La plataforma JXTA
Declaración de derechos y Responsabilidades de Facebook 1.Privacidad 2. Compartir el contenido y la información 3. Seguridad.

Declaración de derechos y Responsabilidades de Facebook 1.Privacidad 2. Compartir el contenido y la información 3. Seguridad.
Introducción a servidores

Introducción a servidores
Programa para el Impulso a la Implementación del Protocolo IPv6 en Instituciones Vinculadas a RENATA 2012 Servicio FTP.

Programa para el Impulso a la Implementación del Protocolo IPv6 en Instituciones Vinculadas a RENATA 2012 Servicio FTP.
ESET Endpoint Security y ESET Endpoint Antivirus

ESET Endpoint Security y ESET Endpoint Antivirus
DIRECT ACCESS.

DIRECT ACCESS.
Índice Introducción: - Fraud Modus Operandi Detección:

Índice Introducción: - Fraud Modus Operandi Detección:
SERVICIOS DE TCP/IP.

SERVICIOS DE TCP/IP.
Ing. Horacio Carlos Sagredo Tejerina

Ing. Horacio Carlos Sagredo Tejerina
Trabajar en una pequeña o mediana empresa o ISP. Capítulo 7

Trabajar en una pequeña o mediana empresa o ISP. Capítulo 7
Tecnológico de Estudios Superiores de Coacalco ING. SISTEMAS COMPUTACIONALES Por: Marlenne Pérez Garibay.

Tecnológico de Estudios Superiores de Coacalco ING. SISTEMAS COMPUTACIONALES Por: Marlenne Pérez Garibay.
DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812

DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812
Seguridad de redes empresariales

Seguridad de redes empresariales
Pablo Suau/Ramón Rizo - Seguridad en Entornos Web 1 Navegación segura Cookies Internet Explorer Outlook Express Virus.

Pablo Suau/Ramón Rizo - Seguridad en Entornos Web 1 Navegación segura Cookies Internet Explorer Outlook Express Virus.

Presentaciones similares

Anuncios Google