Añadir a la recogida (s) Añadir a salvo
  1. Ingeniería
  2. Informática
  3. Seguridad informática

SABEMOS DE SEGURIDAD

Anuncio 
DESAFIOS DE SEGURIDAD ACTUALESMALWARE AVANZADO-SHADOW ITSEGURIDAD SINCRONIZADA
SABEMOS DE SEGURIDAD
1
Secuestro Digital
Debilidades de los Sistemas
¿Cómo enfrentar el Problema?
¿Cómo detectar la amenaza avanzada?
Socio tecnológico
¿Que es un Secuestro Digital de Información?
• Se trata de el cifrado malicioso de
archivos por parte de un hacker, el cual
solicita un rescate en dinero con la
promesa de una llave que ayude a
descifrar la información.
• Es una de las ciber amenazas con
mayor crecimiento en los últimos años
• Los controles tradicionales no son
capaces de detectar las amenazas y
tampoco contenerlas
3
Una técnica que va en evolución
2013 La
revolución
Cryptowall
Primero en
solicitar rescate
a través de
Bitcoin
2015 PCLock
Imitador de
Ransomware,
que pretender
ser Cryptolocker
TeslaCrypt al
principio
atacaba a los
usuarios de
juegos en línea
AndroidDefender
1989 AIDS
Malware Primer
Ransom
Desconocido
Falso Antivirus –
Bloquea la
pantalla del
dispositivo móvil
2010 WinLock
Aprovechamient
o del SMS
2005 GPCoder
El regreso del
malware que
Cifra los
Archivos
2012
Reventon
Aparenta ser
una multa
2014
TorrentLocker
CTF-Locker
Usa redes Tor
para las
comunicaciones
de comando y
control
Simplocker
Malware donde
sus objetivos
son los
dispositivos
Android
2016
KeRanger
Primero en
atacar maquinas
OS X Locky Se
propaga a
través de
documentos de
office
4
Ransomware Q12016
Incidentes
Ransomware
Transformaciones del los trojanos
tipo Ransom
2950
200000
2900
3,40%
180000
2850
160000
2800
2750
140000
2700
120000
23,50%
2650
100000
2600
80000
2550
2500
58,40%
60000
2450
40000
2400
20000
Q4 2015
Q4 2015
Q1 2016
Q1 2016
Teslacrypt
Cryptowall
CTB-Locker
0
Enero
Febrero
Enero
Febrero
Marzo
Marzo
5
Malware Automatizado o Ataque Malicioso
Malware
Genérico
Reconocimiento e
Identificación de
personas (Target)
Compromiso
Inicial y Búsqueda
de Credenciales
del usuario
Herramienta
para tomar el
control de la
estación de
trabajo
Comunicación y
control de la
victima.
Posicionamiento
Silencioso
Acceso
Valido
Secuestro
y/o Fuga de
información
Confidencial
Aprovechamiento
de las
La información del
credenciales, se
usuario y/o
inicial los
compañía esta en
movimientos
riesgo
laterales
6
Anatomía del Ataque Ransomware
Instalación vía una explotación de una vulnerabilidad o infección vía correo electrónico a través de un adjunto
Una vez instalado el ransomware modifica las claves del Registro
El atacante establece una comunicación de comando y control con la estación afectada
El ransomware envía información sobre el equipo infectado hacia el servidor C & C y descarga una clave pública individual para el equipo.
Cifrado malicioso
Ciertos archivos se cifran en el equipo local y en todas las unidades de red con esta clave pública. Las Copias de seguridad del sistema operativo Windows (shadow copies) a menudo se
eliminan para evitar la recuperación de datos.
Solicitud/demanda de rescate
Aparece un mensaje en el escritorio del usuario, que explica cómo un rescate (a menudo en forma de bitcoins) se puede pagar dentro de un plazo de, por ejemplo, 72 horas para permitir el
descifrado de los datos con la clave privada que sólo el sistema de atacante tiene acceso.
El atacante desaparece
El ransomware es capaz de borrar evidencia y dejar los archivos cifrados.
7
SII advierte circulación de nuevo correo electrónico falso
8
Debilidades del Sistema
Falla en los Controles
Firewall
Productos Mal Dimensionados
Punto Final
Cifrado
Malicioso
Módulos de Seguridad Inactivos
Correo
Sistemas de prevención de intrusos y
antivirus basados en firmas
Problemas con las políticas de seguridad
Falta de integración con los productos
Navegación
Problemas con la educación de los
usuarios
Falta de plan de respuesta al incidente
9
Ransomware: Modus Operandi
10
Medidas Paliativas
Medidas que mitigan, suavizan o atenúan los efectos negativos
•Desplegar una solución de antivirus corporativa. Mejorar las políticas.
•Desplegar y/o Mejorar una solución contra el spam. Activar las protecciones de AV
•Aplicar políticas de bloqueo de contenido para extensiones. (javascript, vbscript, flash, chm
etc…)
•Respaldar los archivos importantes constantemente
•Desplegar y/o Mejorar una solución de filtro de contenido que detecte las llamadas de C&C
•Ver la posibilidad de abrir el tráfico HTTPS por HW
•Utilizar un modulo de HIPS en las estaciones de trabajo
•Activar el firewall en las estaciones de trabajo
•Evaluar una solución de análisis avanzado de malware (Sandboxing & Análisis Predictivo)
11
¿Cómo responder al Incidente?
IRP
Conformar un equipo de respuesta
o Contar con un aleado tecnológico
Definir un Plan de respuesta a
Incidentes
Tener un mapa de riesgo de los
activos (estaciones de trabajo)
Contener los daños y minimizar los
Riesgos
Recopilar los
antecedentes
Identificar la
infección
Recuperar la
normalidad de
las operaciones
Determinar su
alcance
Erradicar la
infección y el
vector de
ataque
Mantener la
continuidad
del negocio
Contener las
acciones
maliciosas
12
¿Cómo identificar la amenaza?
Navegación
Correo
Normalizar la plataforma
Firewall
Switch
Management Console
Servicio de Auditoria de Amenazas Avanzadas
Proxy
Analisis vía TAP o SPAN
DNS
Estaciones de trabajo y Dispositivos móviles
Solución dedicada (Manager + Sensores)
Solución multi protocolo (revisa el tráfico entrante y
saliente)
Bloquea las llamadas de comando y control
Identifica las estaciones y dispositivos infectados
Fácil de integrar en la organización (TAP o SPAN)
Solución multiplataforma, reconoce las estaciones de
trabajo y los dispositivos móviles
Solución escalable, se pueden agregar mas sensores o
interfaces de análisis en el sensor
13
¿Cómo identificar la amenaza?
Navegación
Correo
Firewall
Switch
Management Console
Proxy
Analisis vía TAP o SPAN
DNS
Estaciones de trabajo y Dispositivos móviles
14
Mejores Tecnologías basadas en necesidades reales
15
PERMANECE EN CONTACTO CON NOSOTROS
Oficina
Fono
Email / Website
Av. Santa María 0212 Of 106 –
Providencia – Santiago
+56223349334
[email protected]
www.makros.cl
Documentos relacionados
PETYA, el nuevo virus que secuestra el arranque de
PETYA, el nuevo virus que secuestra el arranque de
A toda la comunidad universitaria: Se han reportado casos dentro
A toda la comunidad universitaria: Se han reportado casos dentro
Boletín Técnico | Abril 2016 Siguen Ataques Ransomware Una
Boletín Técnico | Abril 2016 Siguen Ataques Ransomware Una
Ransomware - Instituto Politécnico Nacional
Ransomware - Instituto Politécnico Nacional
Seguridad en el Smartphone
Seguridad en el Smartphone
Marcas Propias
Marcas Propias
Documento con la orden de la cadena
Documento con la orden de la cadena
Más información
Más información
Cómo el ransomware puede secuestrar su negocio y
Cómo el ransomware puede secuestrar su negocio y
Más información
Más información
deep discovery™ email inspector
deep discovery™ email inspector
sophos-ransomware-the-cyberthreat-that-just-wont-die-wp
sophos-ransomware-the-cyberthreat-that-just-wont-die-wp
7-best-practices-for-ransomware-recovery
7-best-practices-for-ransomware-recovery
Descargar
Anuncio
Anuncio