Sebastian Brenner - UNAM · • Saber rápidamente qué estamos buscando • Asegurar que cada...
Transcript of Sebastian Brenner - UNAM · • Saber rápidamente qué estamos buscando • Asegurar que cada...
![Page 1: Sebastian Brenner - UNAM · • Saber rápidamente qué estamos buscando • Asegurar que cada instancia haya sido encontrada. Encontrar malware “vivo” y pasivo. • Rapidamente](https://reader033.fdocuments.co/reader033/viewer/2022042805/5f618e4f46f0124d4317a8e7/html5/thumbnails/1.jpg)
Sebastian Brenner
Detección y Respuesta Contra Amenazas
Persistentes Avanzadas
![Page 2: Sebastian Brenner - UNAM · • Saber rápidamente qué estamos buscando • Asegurar que cada instancia haya sido encontrada. Encontrar malware “vivo” y pasivo. • Rapidamente](https://reader033.fdocuments.co/reader033/viewer/2022042805/5f618e4f46f0124d4317a8e7/html5/thumbnails/2.jpg)
![Page 3: Sebastian Brenner - UNAM · • Saber rápidamente qué estamos buscando • Asegurar que cada instancia haya sido encontrada. Encontrar malware “vivo” y pasivo. • Rapidamente](https://reader033.fdocuments.co/reader033/viewer/2022042805/5f618e4f46f0124d4317a8e7/html5/thumbnails/3.jpg)
NUEVAS REGLAS PARA
PROTEGERNOS DE AMENAZAS
El panorama actual de las amenazas requiere un
cambio de una estrategia defensiva a una posición
más ofensiva.
![Page 4: Sebastian Brenner - UNAM · • Saber rápidamente qué estamos buscando • Asegurar que cada instancia haya sido encontrada. Encontrar malware “vivo” y pasivo. • Rapidamente](https://reader033.fdocuments.co/reader033/viewer/2022042805/5f618e4f46f0124d4317a8e7/html5/thumbnails/4.jpg)
¿A QUÉ NOS
ENFRENTAMOS?
![Page 5: Sebastian Brenner - UNAM · • Saber rápidamente qué estamos buscando • Asegurar que cada instancia haya sido encontrada. Encontrar malware “vivo” y pasivo. • Rapidamente](https://reader033.fdocuments.co/reader033/viewer/2022042805/5f618e4f46f0124d4317a8e7/html5/thumbnails/5.jpg)
QUE ES UN AMENAZA AVANZADA
¿Qué es?
Conjunto de procesos informáticos sigilosos y continuos, a
menudo orquestados por humanos, dirigidos a penetrar la
seguridad informática de una entidad específica.
Características
Dirigidas y Sigilosas
Actúan por largo periodo de tiempo
Técnicas de ataque avanzadas
Monitoreo y control externo
Se mueven por la red y sobrepasan barreras de seguridad
¿Qué busca?
• Propiedad Intelectual
• Código de aplicaciones
• Planes de negocio
• …
![Page 6: Sebastian Brenner - UNAM · • Saber rápidamente qué estamos buscando • Asegurar que cada instancia haya sido encontrada. Encontrar malware “vivo” y pasivo. • Rapidamente](https://reader033.fdocuments.co/reader033/viewer/2022042805/5f618e4f46f0124d4317a8e7/html5/thumbnails/6.jpg)
UN EJEMPLO: REGIN (2014)
Resumen de la amenaza
PERSISTENCE & STEALTH
BULK OF CODE IS HIDDEN
COMPLEX ENCRYPTION
MULTI-STAGED& MODULAR
MANY COMPONENTS
CUSTOMIZABLE
DIFFICULT TO ANALYZE
SPECIALIZED
CUSTOMIZED FOREACH JOB
REQUIRES SPECIALIST SKILLS
ROBUST C&C
MULTIPLE CHANNELS
HEAVILY ENCRYPTED
P2P
![Page 7: Sebastian Brenner - UNAM · • Saber rápidamente qué estamos buscando • Asegurar que cada instancia haya sido encontrada. Encontrar malware “vivo” y pasivo. • Rapidamente](https://reader033.fdocuments.co/reader033/viewer/2022042805/5f618e4f46f0124d4317a8e7/html5/thumbnails/7.jpg)
UN POCO DE ESTADÍSTICAS
98 DÍAS PARA DETECTARUNA BRECHA EN EL
SECTOR FINANCIERO*…
28% del malware detecta ambientes
virtuales
En el 2014Solamente
317 Millones de Nuevas Amenazas
312 Brechas de Datos Difundidos
*http://www.zdnet.com/article/businesses-take-over-six-months-to-detect-data-breaches/
197 DÍAS PARA DETECTARUNA BRECHA EN EL
SECTOR FINANCIERO*…
MUCHAS VECES ALERTADOS POR UN TERCERO
![Page 8: Sebastian Brenner - UNAM · • Saber rápidamente qué estamos buscando • Asegurar que cada instancia haya sido encontrada. Encontrar malware “vivo” y pasivo. • Rapidamente](https://reader033.fdocuments.co/reader033/viewer/2022042805/5f618e4f46f0124d4317a8e7/html5/thumbnails/8.jpg)
LÍNEA DE TIEMPO DE UN ATAQUE
Reconocimiento
Incursión
Descubrimiento
Captura
Exfiltración
![Page 9: Sebastian Brenner - UNAM · • Saber rápidamente qué estamos buscando • Asegurar que cada instancia haya sido encontrada. Encontrar malware “vivo” y pasivo. • Rapidamente](https://reader033.fdocuments.co/reader033/viewer/2022042805/5f618e4f46f0124d4317a8e7/html5/thumbnails/9.jpg)
CÓMO USAR EL TIEMPO A NUESTRO
FAVORTiempo
RECONOCIMIENTO
INCURSIÓN
DESCUBRIMIENTO
CAPTURA
EX FILTRACIÓN
Prevención
Fuga de Datos
Ventana para detectar y remediar minimizando el
impacto
“Lento y sigiloso”
DESCUBRIMIENTO
![Page 10: Sebastian Brenner - UNAM · • Saber rápidamente qué estamos buscando • Asegurar que cada instancia haya sido encontrada. Encontrar malware “vivo” y pasivo. • Rapidamente](https://reader033.fdocuments.co/reader033/viewer/2022042805/5f618e4f46f0124d4317a8e7/html5/thumbnails/10.jpg)
IR MAS ALLÁ DE UNA ESTRATEGIA
REACTIVA A UNA PROACTIVA
PREVENIRIDENTIFICAR DETECTAR RECUPERARRESPONDER
Entendiendo dondeestán los
datos importantes
Detener Ataquesentrantes
Descubrir Incursiones Contener & solucionarProblemas
RestaurarOperaciones
![Page 11: Sebastian Brenner - UNAM · • Saber rápidamente qué estamos buscando • Asegurar que cada instancia haya sido encontrada. Encontrar malware “vivo” y pasivo. • Rapidamente](https://reader033.fdocuments.co/reader033/viewer/2022042805/5f618e4f46f0124d4317a8e7/html5/thumbnails/11.jpg)
Y AHORA… ¡¿QUIÉN PODRÁ
DEFENDERME?!
![Page 12: Sebastian Brenner - UNAM · • Saber rápidamente qué estamos buscando • Asegurar que cada instancia haya sido encontrada. Encontrar malware “vivo” y pasivo. • Rapidamente](https://reader033.fdocuments.co/reader033/viewer/2022042805/5f618e4f46f0124d4317a8e7/html5/thumbnails/12.jpg)
CONSIDERACIONES IMPORTANTES
Prioridad a lo que más importa
Remediar rápido
Descubrir amenazas avanzadas en el endpoint, la red y el email
![Page 13: Sebastian Brenner - UNAM · • Saber rápidamente qué estamos buscando • Asegurar que cada instancia haya sido encontrada. Encontrar malware “vivo” y pasivo. • Rapidamente](https://reader033.fdocuments.co/reader033/viewer/2022042805/5f618e4f46f0124d4317a8e7/html5/thumbnails/13.jpg)
DESCUBRIR USANDO SANDBOXING
Ejecución y detonación de archivos y análisis de comportamiento en plataforma de sandbox
Tradicionalmente plataforma on-premise. Mas utilización de plataforma en la nube para flexibilidad, actualizaciones rápidas para atacar el malware que evoluciona y quiere prevenir su detección.
Imitar la interacción humana para un ambientes realistas. No solo es detonar, es imitar como un punto final actúa para mejorar la precisión
Detectar amenazas diseñadas para evadir las VMs mediante el uso de máquinas virtuales y físicas. Múltiples versiones de sistemas operativos y aplicaciones
Amplia cobertura: documentos de Office, PDF, HTML, Java, contenedores, ejecutables para un Análisis rápido y preciso de casi todos los tipos de contenido potencialmente malicioso
![Page 14: Sebastian Brenner - UNAM · • Saber rápidamente qué estamos buscando • Asegurar que cada instancia haya sido encontrada. Encontrar malware “vivo” y pasivo. • Rapidamente](https://reader033.fdocuments.co/reader033/viewer/2022042805/5f618e4f46f0124d4317a8e7/html5/thumbnails/14.jpg)
UN EJEMPLO DE DETONACIÓN
![Page 15: Sebastian Brenner - UNAM · • Saber rápidamente qué estamos buscando • Asegurar que cada instancia haya sido encontrada. Encontrar malware “vivo” y pasivo. • Rapidamente](https://reader033.fdocuments.co/reader033/viewer/2022042805/5f618e4f46f0124d4317a8e7/html5/thumbnails/15.jpg)
DESCUBRIR IOC RÁPIDAMENTE
Buscar cualquier indicador del ataque, por hash
de archivo, llave de registro, o la dirección IP de
origen y el URL, con un solo clic de un botón.
Objetivo: hacer fácil el descubrimiento reducir
el tiempo de búsqueda a pocas horas
Buscar Indicadores de compromisos en todos
los puntos de control
![Page 16: Sebastian Brenner - UNAM · • Saber rápidamente qué estamos buscando • Asegurar que cada instancia haya sido encontrada. Encontrar malware “vivo” y pasivo. • Rapidamente](https://reader033.fdocuments.co/reader033/viewer/2022042805/5f618e4f46f0124d4317a8e7/html5/thumbnails/16.jpg)
PRIORIDAD A LO QUE MAS IMPORTA
• Agregar y correlacionar toda la actividad sospechosa a través de los endpoints, redes y el email
• Reducir el número de incidentes que los analistas de seguridad necesitan examinar
EFECTIVIDAD
• Tener una vista única de la actividad de ataques a través de todos los puntos de control
• Visualizar y remediar todos los artefactos del ataque relacionados
UNIFICAR INVESTIGACION
![Page 17: Sebastian Brenner - UNAM · • Saber rápidamente qué estamos buscando • Asegurar que cada instancia haya sido encontrada. Encontrar malware “vivo” y pasivo. • Rapidamente](https://reader033.fdocuments.co/reader033/viewer/2022042805/5f618e4f46f0124d4317a8e7/html5/thumbnails/17.jpg)
EJEMPLO DE PRIORIDAD
![Page 18: Sebastian Brenner - UNAM · • Saber rápidamente qué estamos buscando • Asegurar que cada instancia haya sido encontrada. Encontrar malware “vivo” y pasivo. • Rapidamente](https://reader033.fdocuments.co/reader033/viewer/2022042805/5f618e4f46f0124d4317a8e7/html5/thumbnails/18.jpg)
REMEDIAR RAPIDAMENTE
Contener y remediar la amenaza en minutos
Buscar la manera de reducir las tareas de búsqueda y contención
Encuentra y remedia los ataques antes de que hagan daño irrecuperable
Ver todos los datos de ataque en un solo lugar , sin ningún tipo de búsqueda manual o de recuperación de datos
![Page 19: Sebastian Brenner - UNAM · • Saber rápidamente qué estamos buscando • Asegurar que cada instancia haya sido encontrada. Encontrar malware “vivo” y pasivo. • Rapidamente](https://reader033.fdocuments.co/reader033/viewer/2022042805/5f618e4f46f0124d4317a8e7/html5/thumbnails/19.jpg)
REMEDIAR RAPIDAMENTE
Objetivo: Tener sistemas seguros, ie detener mas infecciones
Como?
• Saber rápidamente qué estamos buscando
• Asegurar que cada instancia haya sido encontrada. Encontrar malware “vivo” y pasivo.
• Rapidamente cuarentena cada archvo
• Tener controles en puntos finales, correo , y red para permitir acciones rápidas.
![Page 20: Sebastian Brenner - UNAM · • Saber rápidamente qué estamos buscando • Asegurar que cada instancia haya sido encontrada. Encontrar malware “vivo” y pasivo. • Rapidamente](https://reader033.fdocuments.co/reader033/viewer/2022042805/5f618e4f46f0124d4317a8e7/html5/thumbnails/20.jpg)
VISBILIDAD E INTELIGENCIA = CONTEXTO
Conexión de red bloqueada
Virus detectado
Email Malicioso bloqueado
INTELIGENCIATRADICIONAL
Todas las conexión de red desde cada maquina
Hash del archivo, fuente de la infección de endpoints
Categoría de Malware método de detección, datos del URL
INTELIGENCIA Y CONTEXTO
![Page 21: Sebastian Brenner - UNAM · • Saber rápidamente qué estamos buscando • Asegurar que cada instancia haya sido encontrada. Encontrar malware “vivo” y pasivo. • Rapidamente](https://reader033.fdocuments.co/reader033/viewer/2022042805/5f618e4f46f0124d4317a8e7/html5/thumbnails/21.jpg)
EJEMPLOS DE CONTEXTO
![Page 22: Sebastian Brenner - UNAM · • Saber rápidamente qué estamos buscando • Asegurar que cada instancia haya sido encontrada. Encontrar malware “vivo” y pasivo. • Rapidamente](https://reader033.fdocuments.co/reader033/viewer/2022042805/5f618e4f46f0124d4317a8e7/html5/thumbnails/22.jpg)
EN RESUMEN
PREVENIR| Bloquear ataques a través de los puntos de control en tiempo-real
DETECTAR |Descubrir actividades maliciosas y amenazas avanzadas usando un sandbox y análisis de comportamiento.
RESPONDER| Correlación y Priorización inteligente de incidentes. Realizar Análisis Forense para investigar, y Remediar
Proteger, Detectar y Responder a través de los Puntos de Control
PREVENIRDETECTAR
RESPONDER