Malware Moderno

Malware Moderno Jesús Díaz [email protected] CESCA: 21 de Sep,embre de 2011 Mitología en las brechas de seguridad Inver@mos en proteger nuestros datacenters En raras ocasiones el datacenter es atacado directamente Ya no hay tanto escaneo de vulnerabilidades El nuevo atacante El nuevo atacante no es un “friki” aburrido Se trata de naciones y crimen organizado, con obje@vos económicos en muchos casos Cómo funcionan las brechas de seguridad en 2011 Primer paso: crear un cebo atrac@vo para el usuario final Primer paso: cebo para el usuario final Lanzamiento del phishing Primer paso: cebo para el usuario final Segundo paso: se explota una vulnerabilidad Tercer paso: se descarga una backdoor Cuarto paso: se establece un canal trasero Quinto paso: explorar y robar El  estado de protección frente al malware La protección es necesaria en todas las fases Cebo Exploit Backdoor Canal Trasero Robo  protección frente al cebo  Protección frente al exploit Los exploits llegan a través de múl@ples aplicaciones  Protección frente al exploit Transcurren muchos meses desde el descubrimiento de los black-­‐hat, hasta el descubrimiento de los white-­‐hat, y que la protección esté disponible  Protección frente a la descarga Los ataques @enen un obje@vo muy definido, lo que significa que hay muy pocas instancias y esto dificulta el trabajo de los fabricantes de an@-­‐malware  Protección frente a la descarga Los vendedores de an@-­‐malware tardan varios días hasta que disponen de una firma  Protección frente al canal trasero +
+
No solamente los ataques @enen un obje@vo concreto y las firmas tardan @empo en ser desarrolladas, sino que los canales traseros suelen ir cifrados  Protección frente a la Exploración-­‐y-­‐robo La seguridad interna suele ser mínima, lo que significa que, una vez dentro, el atacante puede explorar la red libremente Proyecto para detener el malware moderno Es necesario proteger todas las aplicaciones El @empo de respuesta es clave La automa@zación es obligatoria Uso de una sandbox en el núcleo Realizar el análisis para todos los equipos de modo centralizado Generar automá@camente múl@ples firmas •  Firmas frente a la descarga de malware •  Firmas de IPS frente a los canales-­‐traseros •  Detección de URLs de malware •  Firmas de IPS para las nuevas vulnerabilidades Ofrecer las firmas rápidamente (≤ 1 hora) Deteniendo el malware moderno en prác@ca La protección es necesaria en todas las fases Cebo Exploit Backdoor Canal Trasero Robo Protección del cebo  •  Bloqueo de las aplicaciones no necesarias •  Control de las transferencias de fichero por usuario, aplicación y @po de fichero •  Bloquear el acceso a las URLs conocidas de malware Protección frente al exploit  •  Descubrir las vulnerabilidades antes que los atacantes •  Firmas de IPS para las nuevas vulnerabilidades Descubrimiento de vulnerabilidades de Microsod Palo Alto Networks McAfee Tipping Point Check Point So9ware Sourcefire Juniper & Cisco 20 7 7 3 1 0 Número de vulnerabilidades descubiertas, acreditadas a cada fabricante, durante los úl@mos 4 años Fuente: OSVDB; a 15 de Junio de 2011 Descubrimiento de vulnerabilidades de Adobe Palo Alto Networks McAfee Tipping Point Check Point So9ware Sourcefire Juniper & Cisco 12 1 1 0 0 0 Número de vulnerabilidades descubiertas, acreditadas a cada fabricante, durante los úl@mos 4 años Fuente: OSVDB; a 15 de Junio de 2011 Protección frente a la descarga  •  Disponibilidad de firmas An@-­‐Malware en una hora desde el primer descubrimiento •  Protección genérica drive-­‐by-­‐download para las descargas HTTP/S Protección frente al canal trasero  •  Bloquear el tráfico de aplicación desconocido •  U@lizar heurís@ca para detectar la comunicación por canales traseros •  Firmas de detección de tráfico C&C disponibles, para el nuevo malware iden@ficado Protección frente a explorar-­‐y-­‐robar  •  Segmentación de la red •  Control de acceso a los datos por usuario y aplicación El rol de un NGFW para detener el malware moderno La solución ha de ser para toda la empresa, incluyendo usuarios remotos La protección ha de ser en @empo real, en línea Es necesario el control basado en usuario Requiere IPS y AV de alta velocidad Necesita ejecutarse sobre TODAS las aplicaciones Necesita conocer, analizar y bloquear lo desconocido Conclusión: la protección frente a malware avanzado es tarea de un next genera,on firewall ¡Gracias por su atención! Jesús Díaz [email protected] CESCA: 21 de Sep,embre de 2011