Ataques - Defensas - CIO Summits by CDM Media
Transcripción
Ataques - Defensas - CIO Summits by CDM Media
¿Cómo son Los nuevos métodos de Ataques Hackers? ¿Porque las organizaciones siguen siendo vulnerables? Fernando Oliveira | Tel: +1 (954) 232 6562 | Skype: Fernando.OliveiraFO [email protected] © 2014 by Lieberman Software Corporation. Next Generation Technology Approaches to Manage Privileged Identities, Users and Applications 1 En los últimos 18 meses Next Generation Technology Approaches to Manage Privileged Identities, Users and Applications 2 Factos después del la invasión 100% Victimas tenían anti-virus actualizado 67% Invasiones fueran reportados por terceros (clientes, proveedores) 100% Invasiones con credencial comprometidas 229 El numero de días que un hacker permaneció en la red Source: Mandiant M-Trends 2014 report Next Generation Technology Approaches to Manage Privileged Identities, Users and Applications 3 • Maltego • Metagoofil • exiftool • NMAP • Nessus • Shodan Reconocimi ento Escaneo • THC Hydra • Immunity • John the Ripper • Metasploit Acceso & Escalada • Corkscrew • Linux identities • OpenPuff • Windows identities • Sabznameh • Michaeldaw.org Exfiltración Sustentación • Flashro Asalto • Bitblinder • Tor Ofuscación Next Generation Technology Approaches to Manage Privileged Identities, Users and Applications 4 El Reconocimiento – Metagoofil, Exiftool, Strings, Maltego http://www.youtube.com/watch?v=nhnqScoyo_s http://www.youtube.com/watch?v=e33NSUkyEg0 http://maltego-community-edition.software.informer.com/3.1/ http://download.cnet.com/ExifTool/3000-2193_4-10791213.html Next Generation Technology Approaches to Manage Privileged Identities, Users and Applications 5 Ataques - Defensas Ataque Reconocimiento Defensa Controlar la Información Confidencial en el Dominio Público Next Generation Technology Approaches to Manage Privileged Identities, Users and Applications 6 Scanning (Escaneo) ► NMAP ► Nessus http://nmap.org/ http://www.tenable.com/products/nessus Next Generation Technology Approaches to Manage Privileged Identities, Users and Applications 7 Ataques - Defensas Ataque Defensa Reconocimiento • Controlar la Información Confidencial en el Dominio Público Scanning (Escaneo) • Evitar la fuga de información a scanners Next Generation Technology Approaches to Manage Privileged Identities, Users and Applications 8 Acceso y Escalada http://www.shodanhq.com/ Next Generation Technology Approaches to Manage Privileged Identities, Users and Applications 9 Acceso y Escalada ► Metasploit • Servidores de destino, dispositivos de red, bases de datos, aplicaciones web, sistemas de punto final (endpoint) y máquinas virtuales. • Explotar las máquinas, eligiendo de la más grande colección pública en el mundo de exploits de calidad probada. • Ataques de fuerza bruta de Contraseñas sobre más de una docena de servicios, incluidas las bases de datos, servidores web y SSH. • Lanzar una campaña de ingeniería social para comprometer equipos de los usuarios con correos electrónicos de phishing y sitios web y archivos adjuntos maliciosos. • Saltar de una maquina afectada, a la siguiente a través de “VPN pivoting” hasta que tenga apropiado toda la red. https://www.freerainbowtables.com/ http://www.youtube.com/watch?v=Vxui5ypbo3I Next Generation Technology Approaches to Manage Privileged Identities, Users and Applications 10 Ataques - Defensas Ataque Defensa Reconocimiento • Controlar la Información Confidencial en el Dominio Público Scanning (Escaneo) • Evitar la fuga de información a scanners Acceso y Escalada • Controlar Todas las Credenciales Privilegiadas que Permiten la Escalada o el Acceso Privilegiado Next Generation Technology Approaches to Manage Privileged Identities, Users and Applications 11 Exfiltración | Remoción ► Truecrypt • crear volúmenes cifrados en medios de almacenamiento que parecen ser ruidos aleatorios en los medios de comunicación y que no sean ni detectables ni recuperables sin las llaves o contraseñas apropiadas ► Puff/OutGuess • Ocultar datos en imágenes o archivos de audio ► Corkscrew/OzymanDNS • Túnel SSH en HTTP http://camouflage.unfiction.com/ Next Generation Technology Approaches to Manage Privileged Identities, Users and Applications 12 Ataques - Defensas Ataque Defensa Reconocimiento • Controlar la Información Confidencial en el Dominio Público Scanning (Escaneo) • Evitar la fuga de información a scanners Acceso y Escalada • Controlar Todas las Credenciales Privilegiadas que Permiten la Escalada o el Acceso Privilegiado Exfiltración • Restringir el Acceso y Monitorear las Credenciales Privilegiadas y la Gestión de Sesión Next Generation Technology Approaches to Manage Privileged Identities, Users and Applications 13 Sustentación ► Acceso del sistema y alcanzar el nivel de acceso deseado ► Añadir Acceso “Autorizado” • Añadir a nosotros a la lista de usuarios que tienen acceso legítimamente permitido • User add en sistemas Unix- semejantes • comando netuser en sistemas Windows • crear un acceso adicional a las aplicaciones, redes y cualquier otro sistema en el ambiente ► Backdoors (Puertas traseras) • Explotar las vulnerabilidades de aplicaciones conocidas Next Generation Technology Approaches to Manage Privileged Identities, Users and Applications 14 Ataques - Defensas Ataque Defensa Reconocimiento • Controlar la Información Confidencial en el Dominio Público Scanning (Escaneo) • Evitar la fuga de información a scanners Acceso y Escalada • Controlar Todas las Credenciales Privilegiadas que Permiten la Escalada o el Acceso Privilegiado Exfiltración • Restringir el Acceso y Monitorear las Credenciales Privilegiadas y la Gestión de Sesión Sustentación • Endurecer Sistemas y Aplicaciones Restringir las salidas y entradas tanto como sea posible y seguir funcionando correctamente. Bloquear el acceso administrativo a los sistemas Auditar Cuentas, acceso a sistemas, puertas abiertas y otros ítems que puedan ser utilizados para crear una puerta trasera. • • Next Generation Technology Approaches to Manage Privileged Identities, Users and Applications 15 Asalto - Hardware ► Requiere acceso administrativo ► Flash ROM • alterar la funcionalidad del hardware, o desactivar el hardware totalmente. • Eliminar los controladores Next Generation Technology Approaches to Manage Privileged Identities, Users and Applications 16 Ataques - Defensas Ataque Defensa Reconocimiento • Controlar la Información Confidencial en el Dominio Público Scanning (Escaneo) • Evitar la fuga de información a scanners Acceso y Escalada • Controlar Todas las Credenciales Privilegiadas que Permiten la Escalada o el Acceso Privilegiado Exfiltración • Restringir el Acceso y Monitorear las Credenciales Privilegiadas y la Gestión de Sesión Sustentación • Endurecer Sistemas y Aplicaciones Restringir las salidas y entradas tanto como sea posible y seguir funcionando correctamente. Bloquear el acceso administrativo a los sistemas Auditar Cuentas, acceso a sistemas, puertas abiertas y otros ítems que puedan ser utilizados para crear una puerta trasera. • • Asalto • • Controlar los derechos administrativos en una máquina Impedir que atacantes obtengan derechos administrativos en el sistema Next Generation Technology Approaches to Manage Privileged Identities, Users and Applications 17 Ofuscación | Ocultación – Cortina de Humo ► Oscurecimiento de Ubicación ► Manipulación de Log ► Manipulación de Archivos Tor, Bitblinder, Perfect Dark, I2P http://www.youtube.com/watch?v=TexNr_5J5AU Next Generation Technology Approaches to Manage Privileged Identities, Users and Applications 18 Ataques - Defensas Ataque Defensa Reconocimiento • Controlar la Información Confidencial en el Dominio Público Scanning (Escaneo) • Evitar la fuga de información a scanners Acceso y Escalada • Controlar Todas las Credenciales Privilegiadas que Permiten la Escalada o el Acceso Privilegiado Exfiltración • Restringir el Acceso y Monitorear las Credenciales Privilegiadas y la Gestión de Sesión Sustentación • Endurecer Sistemas y Aplicaciones Restringir las salidas y entradas tanto como sea posible y seguir funcionando correctamente. Bloquear el acceso administrativo a los sistemas Auditar Cuentas, acceso a sistemas, puertas abiertas y otros ítems que puedan ser utilizados para crear una puerta trasera. • • Asalto • • Controlar los derechos administrativos en una máquina Impedir que atacantes obtengan derechos administrativos en el sistema Ofuscación • • • Controlar los derechos administrativos en una máquina Crear logs de archivos de tiempo real y logs de manipulaciones Exportar logs a sistemas seguros Next Generation Technology Approaches to Manage Privileged Identities, Users and Applications 19 • Maltego • Metagoofil • exiftool • NMAP • Nessus • Shodan Reconocimi ento Escaneo • THC Hydra • Immunity • John the Ripper • Metasploit Acceso & Escalada • Corkscrew • Linux identities • OpenPuff • Windows identities • Sabznameh • Michaeldaw.org Exfiltración Sustentación • Flashro Asalto • Bitblinder • Tor Ofuscación Cada uno de estos pasos requiere una CREDENCIAL PRIVILEGIADA Next Generation Technology Approaches to Manage Privileged Identities, Users and Applications 20 Están por todas partes Keyholders • • • • • System Administrators Contractors Integrators Security Administrators IT Managers Assets What Accounts? Windows, Linux/ UNIX, Mainframe Computers Administrator Root Super User Service Directories Admin Root Administrator Application Tiers Service Config Files ASP.Net Run As DB Connection Databases SA Root SYS SYSDBA • Network Administrators • Security Administrators Network and Security Appliances Root Enable Admin • • • • Backup and Service Infrastructure Administrator Root Super User Service • Security Administrators • IT Managers • • • • App Administrators App Developers Webmasters Contract Developers • • • • • DB Administrators App Developers App Administrators Contract Developers Integrators System Administrators Backup Operators Network Administrators Contractors What Actions? Read, copy and alter data Change security settings Create and delete accounts Enable and remove file shares Run programs Read, copy, and alter user data Add and delete users Change user privileges Enable remote access Modify back-end applications Alter public-facing websites Read and change DB records Access transaction data Read and change DB records Access transaction data Alter configuration and DB schema Add and modify stored procedures Alter configuration settings Alter security and QoS policies Grant and deny network access Access data feeds Enable and disable monitoring Browse and save archives Access transaction data Delete saved data Change configuration settings Next Generation Technology Approaches to Manage Privileged Identities, Users and Applications 21 Es posible controlar y Auditar los accesos privilegiados? ► ► ► ► ► ► ► ► ► Local Admins Domain Admins Windows Service Accounts Windows Scheduler Task RunAs Identities Windows Scheduler At Service Accounts COM+ Application Identities DCOM Object RunAs Identities IIS6 Metabase Account Info IIS7 Account Info ► ► ► ► ► ► ► ► ► ► SCOM RunAs Accounts Accounts in .NET Config Credentials in SQL Server String Replacements SharePoint Logon Cache Auto Logon Account Local Cache JAVA Client SQL Reporting Services IBM, Oracle, SAP, others… … y esto es solamente en Windows Next Generation Technology Approaches to Manage Privileged Identities, Users and Applications 22 Gestión de Identidad Privilegiada Proceso Automático de Controle y Auditoria Automático Next Generation Technology Approaches to Manage Privileged Identities, Users and Applications 23 Acceso Controlado a las Cuentas Privilegiadas • Aparatos de red • Sistemas Cuentas Privilegiadas • Base de datos • Aplicaciones • Componentes de Servicios Next Generation Technology Approaches to Manage Privileged Identities, Users and Applications 24 Sobre Lieberman Software ► Fundada en 1978 Technology Partnerships include: ► Gestión de Identidad Privilegiada ► 1200+ Clientes en todas verticales ► Considerado Líder por Gartner, Forrester, 451 Group, Kuppinger-Cole ► Las mayores instalaciones en LATAM y EEUU Next Generation Technology Approaches to Manage Privileged Identities, Users and Applications 25 1400+ Clientes Finance Manufacturing Federal Government Technology Healthcare Insurance Next Generation Technology Approaches to Manage Privileged Identities, Users and Applications 26 El caso de Negocio • El ROI en Latam = 300K – 4M • El Costo de no hacerlo = 25k - 70K al mes (Desconsiderando los Incidentes) Next Generation Technology Approaches to Manage Privileged Identities, Users and Applications 27 Consideraciones Finales • …Solamente 45% de los ataques son prevenidos con anti-virus. • …+ de 800 nuevos malwares identificados en 30 días fueron diseñados para robar contraseñas privilegiadas • …95% de las empresas ya fueran hackeadas • …en promedio, lleva 9 meses para identificar un ataque hacker silencioso Next Generation Technology Approaches to Manage Privileged Identities, Users and Applications 28 ¿Preguntas? Fernando Oliveira Tel: +1 (954) 232 6562 | Skype: Fernando.OliveiraFO [email protected] Next Generation Technology Approaches to Manage Privileged Identities, Users and Applications 29 “Para Conocer al Enemigo, Usted Debe Convertirse en Tu Enemigo.” Server, Desktop & Network OS – Administrador, Dominio/Local – Root, Super Usuario, Admin, … Bases de Datos (DBA + Apps) – SA, Sysadmin – SYS, … Middleware – Cuentas de Proxy – Cuentas de Gateway, … Mainframes – UID=0, Línea-de-negocios – RACF Special, … Aplicaciones – Setup, Admin, App Local – Cuentas de Servicios Web, … Entornos VM – Administrador – Root Next Generation Technology Approaches to Manage Privileged Identities, Users and Applications 30 Privileged Accounts Dangerous to Ignore • 39% of IT staff can get unauthorized access to their organization’s most sensitive information • 20% of IT professionals have exploited their privileged access for unauthorized purposes • 13% of IT professionals can access previous employers’ systems using their old credentials • 81% think fellow IT staff ignore rules their departments put in place Source: Lieberman Software Surveys Next Generation Technology Approaches to Manage Privileged Identities, Users and Applications 31 No Es Todo Pesimismo ► ► ► ► ► ► ► ► ► ► Evite los Vendedores que ofrecen “Algo que funcione para Todos” El Cumplimiento no te salvará No Reaccione Instintivamente en Todas las Vulnerabilidades Haga Su Debida Diligencia No Desperdicie Su Dinero en Servicios Profesionales Analistas no son infalibles No Confíe en Departamentos de Marketing de Vendedores Protección Final No Existe – Veja el “Algo que funciona para Todos” Es Muy Probable que Usted Ya Esté Hackeado – Supere. Usted Debe a Usted Mismo El Mejor – No Desperdicie Su Dinero en el Resto ► No Mitigue - Erradique Next Generation Technology Approaches to Manage Privileged Identities, Users and Applications 32