Upload
others
View
10
Download
0
Embed Size (px)
Citation preview
1
Ciberseguridad y Amenazas Avanzadas Advanced Persistent Threat Intelligence
Julio 2019
Luis Javier Pérez
Colegio de Ingenieros Civiles de México
2 2
Amenazas Avanzadas
Ciberseguridad
Conclusiones
Retos en Ciberdefensa
? Agenda
3
Ciberseguridad
4
CONCEPTOS GENERALES
La seguridad se basa en 3 objetivos fundamentales (CIA): •Confidencialidad
•Integridad
•Disponibilidad (Availability)
Es un proceso evolutivo que trabaja en tres planos: •Gente
•Procesos
•Tecnología
5 5
OBJETIVOS DE LA SEGURIDAD
Confidencialidad : •Los recursos sólo podrán ser utilizados por las entidades autorizadas.
Integridad : •Sólo las entidades autorizadas podrán modificar los recursos del
sistema. •La información deberá reflejar la realidad
Disponibilidad : •Los recursos deberán estar listos para utilizarse por las entidades
autorizadas
6 6
LA CIBERSEGURIDAD
La ciberseguridad es el conjunto de herramientas, políticas, conceptos de seguridad, salvaguardas de
seguridad, directrices, métodos de gestión de riesgos, acciones, formación, prácticas idóneas, seguros y
tecnologías que pueden utilizarse para proteger los activos de la organización y los usuarios en el
ciberentorno
https://www.itu.int/net/itunews/issues/2010/09/pdf/201009_20-es.pdf
7
Retos en Ciberseguridad Pensando como el Atacante
8 8
Motivaciones del Atacante
Cuánto dinero están dispuestos a invertir?
Con qué nivel de riesgo se sienten confortables?
Tienen una agenda?
Los hemos visto antes?
Que tan focalizado es el ataque?
Utilizan inteligencia?
Qué tan sofisticados son?
Qué tipo de activos tienen?
Qué tan disciplinados son?
Qué tipo de ataque utilizan?
Que tipo de objetivos seleccionan?
Se anuncian o prefieren estar encubiertos?
Diferentes hackers, diferentes motivaciones, diferente visión del mundo
WHITE HAT SCRIPT KIDDIES HACKTIVISTS STATE SPONSORED
SPY HACKERS CYBER TERRORISTS
BLACK HAT
Altamente experimentados
Van más allá de la experiencia del white-hat
Se agrupan en algunos casos
Mantienen infraestructura de ataque
Continuamente buscan debilidades
No hay límites en sus métodos
9
Motivación del Atacante
Obtener dinero
Encontrar y desarrollar herramientas
Utilizar el camino de la minima resistencia
Cibercrimen
Hackers en renta
Alterar la ley y el orden
Asegurar fondos monetarios
OBJETIVOS
NOTAS
Hackers que no se detendrán hasta ejecutar su agenda
QUIÉNES SON?
NIVEL
HERRAMIENTAS Exploits 0-day & genericos
Encriptores
Rootkits
Malware
Botnets | DDoS
10
Tipos de Atacantes
Interés Nacional
Ganancia Personal
Reconocimiento
Curiosidad
Principiante Amateur Profesional Experto
Motivación
Vándalos
Criminal
Espias
Programador
Ladrón
Armada y Agencias
de Inteligencia
Gobiernos Hacktivistas
Crimen Organizado Terroristas
Habilidad
Detrás de un Atacante hay Personas
¿Aleatorio o un objetivo?
¿Qué nivel de preparación se require?
¿Dónde buscar la siguiente pista?
OBJETIVO
La Tecnología Utilizada es un Reflejo
¿Es un 0-day?
¿Cuentan con inteligencia sobre el objetivo?
¿Tipo de actividad forense a realizar?
FONDOS
¿Qué tan cuidadosos son?
¿Cómo funciona su operación?
¿Existe información sobre ellos?
DISCIPLINA
¿Se anuncian y toman responsabilidad?
¿Realizan comunicados revelando información?
GRUPO SOCIAL
¿Hemos visto operación similar?
¿A qué tipo de actividades se relaciona su infraestructura?
¿Cómo limitamos sus actividades?
INFRAESTRUCTURA
¿Qué Utilizan Los Atacantes?
1 2 3 4 5 6 SPEAR-PHISHING
SITIOS DE INFECCIÓN
MALWARES | EXPLOITS
RED DE COMANDO Y CONTROL
SITIOS DE EXFILTRACIÓN
Reconocimiento, Explotación, Ejecución, Repetición ¿Cómo entrar en la red objetivo?, ¿Cómo encontrar lo que estoy buscando una vez dentro?, ¿Cómo extraer la información fuera del
objetivo?, ¿Cómo evitar ser descubierto?, ¿Cómo evitar perder la inversión?, ¿Cómo mantener la persistencia de un ataque?
BOTNET / DDOS
Ataque con el objetivo de controlar el entretenimiento y voz pública
Ataque de una nación a un corporativo
Rehen digital
De ciber ataque a ciber terrorismo [del daño a la reputación a amenazas de bomba]
1
13
¿Por qué es importante el caso de SONY?
2
3
4
Ataques en el Aeropuerto de Vietnam
MOTIVACIÓN: Hacktivismo
PAÍS: China
GRUPO RESPONSABLE: 1937cn
(uno de los más grandes en China)
MOTIVO DEL ATAQUE: critícas sobre disputas en el mar
del sur de China
RESULTADOS DEL ATAQUE: (1) defacement con slogans
criticando la situación (2) control sobre el Sistema de sonido del aeropurto(3) fuga de información personal de miembros del programa de lealtad de Vietnam Airlines
¿Qué pensaban los atacantes?
15
¿Se require acceso físico a las pantallas?
¿Cuáles son las vulnerabilidades del sitio de Vietnam Airlines?
¿Podemos utilizer ingeniería social?
¿Qué tipo de controles existen?
¿CÓMO ENTRAR?
¿Cómo oculto el plan de ataque?
¿Cómo me oculto?
¿CÓMO EVITO LA DETECCIÓN?
Tipo de Sistema de sonido?
¿Qué Sistema se conecta con las pantallas de vuelos?
¿Cómo exporter la información a un formato de excel?
¿CUÁLES SON MIS OBJETIVOS?
Visto por muchos, crea confusion, disrupción,
público
¿CUÁL ES EL MEJOR OBJETIVO PARA EL MAYOR
IMPACTO?
Encontrar los exploits apropiados, desarrollar marlware, crear un plan para un efecto en grande
¿QUÉ HERRAMIENTAS REQUIERO?
¿CÓMO LO MANTENGO EL
MAYOR TIEMPO POSIBLE?
Hacer el ataque persistente, crear un
ataque para el cual no se tengan herramientas para
detector, bloquear o remediar
15
¿Qué pensaban los atacantes?
?
16
¿Cómo ver Ataques al Gobierno?
MOTIVATION: most likely hacktivism
COUNTRY: Peru, Mexico
RESPONSIBLE GROUP: Anonymous
REASON FOR ATTACK: criticism over new laws
ATTACK RESULTS: (1) defacements on government sites
What were the attackers thinking?
17
Ataques en Nicaragua
MOTIVATION: most likely hacktivism
COUNTRY: Nicaragua
RESPONSIBLE GROUP: Anonymous
REASON FOR ATTACK: criticism
ATTACK RESULTS: defacements only?
What were the attackers thinking?
Campañas a Largo Plazo en Diversas Organizaciones Centro de Operaciones del Atacante Red Global Trabajo de tiempo completo
Servidores de C2
Sitios de Infección
Búsqueda de
Inteligencia
BANCA Y ORGANIZACIONES GOBIERNO INDUSTRIA
Sitios de Exfiltración
Correos de Spear-Phishing
Manipulaciones Tendencias y
Anomalias Nacionales
OBJETIVOS NACIONALES
Ejecuta Objetivos Basado en la Motivación
REDES NACIONALES
Recursos para Atacar| Valor Monetario
20
APT´s Visión y Operación del Security Intelligence Center
21
Los Atacantes SIEMPRE Evadirán Cualquier Mecanismo de Prevención
22
Evolución de las Amenazas
Molestia básica y demostrar “que se puede”
ERA DE LOS VIRUS SIMPLES
Afecta continuidad del negocio, STUXNET, grupos y ataques organizados, MIRAI
ERA DE ATAQUES PARA PERJUDICAR
Multi fase, complejos, basados en una agenda, cibercrimen, Incremento de inversión
ERA DE LAS AMENAZAS AVANZADAS
Vida Conectada, Encripción, Inteligencia Artificial, Sociedad Digital, Nueva Generación del comercio Electrónico
ERA DE…………..
22
23 23
Las Organizaciones Requieren Visibilidad
a Través del Kill Chain
Los Atacantes Tienen Múltiples Rutas Para Llegar Al Objetivo
24
• Una nueva clase de amenazas, apodada apropiadamente como "Amenaza Persistente Avanzada" (APT, por sus siglas en inglés), representa adversarios bien capacitados y con recursos que llevan a cabo campañas de intrusión de varios años dirigidas a información económica altamente confidencial, privada o de seguridad nacional.
• Estos adversarios logran sus objetivos utilizando herramientas y técnicas avanzadas diseñadas para derrotar a la mayoría de los mecanismos de defensa de redes informáticas convencionales.
Fuente: Hutchins, Cloppert, Amin; Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains
Definición de Amenaza Persistente Avanzada
25
Las Organizaciones Deben Moverse a la Detección y Respuesta
La Detección debe Cubrir todo el Kill-Chain para Hacer la Diferencia
La Cobertura es Crítica
Complejidad, Ruido, Habilidades, Barreras, Costos
Las Herramientas de Nicho Crean Nuevos Problemas
Pero hay que Considerar…
26
¿Dónde Deja Esto a Las Organizaciones?
? ? ?
El Tiempo de la Detección a la Respuesta debe Acortarse
26
82 Días 101 Días
Momento de la Infección
Tiempo de Detección
Tiempo de Investigación Tiempo de Respuesta
Carencia de Habilidades y Personal
La investigación es un cuello de botella La detección toma mucho tiempo
Fuente: Mandiant 2018 m-trends report
27
Seguridad y Costos: OPTIMIZADOS
Seguridad Costos
Balance entre los requerimientos de Seguridad y el Retorno de Inversión
28
Detección Investigación Respuesta
Una Solución Unificada Construida Para Ciberdefensa
Forense
¿QUÉ SE REQUIERE? Ciber Inteligencia Automatizada y Orquestada
32
Investigación
33
TIEMPO
Visibilidad de Amenzas, detección de “desconocidos”
Cumplimiento; Capa de Visibilidad
Evolución De Ciberseguridad a Ciberdefensa De ser Cazados a ser Cazadores
Integración, Analítica y
Automatización
Reforzar Políticas
Defensa de Amenazas Avanzadas
Perímetro Basado en firmas
Sólo “conocidos”
Conectar bitácoras con la red,
estaciones de trabajo
SIEM 2.0
No hay analítica automatizada
Limitado a un vector de ataque
Detección de Amenazas Avanzadas y Respuesta SIM
SEM
Agrega bitácoras; no hay análisis
NECESIDAD
34 © 2016 VERINT SYSTEMS INC. ALL RIGHTS RESERVED WORLDWIDE
Actividades de Investigación
Nivel 1 - Monitoreo
Nivel 2 – Investigación proactiva
SOC Manager Escalación, Remediación
Analistas Forenses Ingeniería Inversa
Analistas de Inteligencia Web – Panorama de Anemazas
Nivel 3 – Investigación avanzada Threat Hunting
Inteligencia
Investigación
35
Los Pilares de la Inteligencia R
ecol
ecci
ón Bitácoras
Tráfico Alertas Artefactos Conocimiento An
ális
is Correlación Fusión Enriquecimiento
Reportes de Inteligencia
Ope
raci
ón Recolección Táctica
Contención del ataque
Analítica Acciones
Elementos de Inteligencia - Tareas
Colaboración y Distribución
36
Preguntas a Responder
¿Quién es el atacante? ¿Quién es el objetivo? ¿Qué compromete la amenaza? ¿Cuáles son las armas? ¿Estamos familiarizados con el comportamiento de la amenaza? ¿Cuál es el objetivo del atacante? ¿Cuál es la dimension de tiempo del ataque?
41
Cómo Identificar al Atacante
41
Recolectar Comunicaciones e IOC’s Diversas Fuentes de inteligencia
Creación de Perfiles Para todos los actores y amenazas
53
Resumen
• Los atacantes son inteligentes
• La clave para entenderlos es la motivación
• Hay que obtener inteligencia
• Siempre se está vulnerable
• Siempre existe una forma de entrar y de salir
• La clave para identificarlos es ver el panorama completo
54
Gracias POR ESCUCHAR