Post on 18-Aug-2020
1
SeguridadSeguridadSeguridadSeguridad OfensivaOfensivaOfensivaOfensiva sobresobresobresobreInfraestructurasInfraestructurasInfraestructurasInfraestructuras CríticasCríticasCríticasCríticas
Ing. Walter Riveros
Director Offensive Security
wriveros@deloitte.com | @wriveros
Porque es necesario la seguridad ofensiva?Porque es necesario la seguridad ofensiva?Porque es necesario la seguridad ofensiva?Porque es necesario la seguridad ofensiva?
Fuente: Industrial cybersecurity threat landscape by Karspersky labs
2
Encarando seguridad de la infraestructura de manera ofensivaEncarando seguridad de la infraestructura de manera ofensivaEncarando seguridad de la infraestructura de manera ofensivaEncarando seguridad de la infraestructura de manera ofensiva
• Pasos a seguir y etapas
1. OSINT como herramienta fundamental en la planificación de las pruebas
2. Ataque a la seguridad física como vía de acceso
3. Ataque a los componentes debiles de la cadena. Operadores vía ingeniería social (spear phishing, USB dropping, etc.)
4. Ataque activo de las infraestructuras de acceso publico
5. Ataque activo a las infraestructuras internas
1 1 1 1 –––– OSINT (Open OSINT (Open OSINT (Open OSINT (Open SourceSourceSourceSource IntelligenceIntelligenceIntelligenceIntelligence))))
3
1 1 1 1 –––– OSINT (Open OSINT (Open OSINT (Open OSINT (Open SourceSourceSourceSource IntelligenceIntelligenceIntelligenceIntelligence))))
2 2 2 2 –––– Ataque FísicoAtaque FísicoAtaque FísicoAtaque Físico
• Hay múltiples vías, ideas y formas de que la seguridad física sea comprometida y en consecuencia la operatoria
• Sabotaje • Rotura de cableado principal
• rotura de servicios principales de refrigeración
• Interrupción de servicio vía drones domésticos, etc.
• Tomar ventaja de puntos ciego de cámaras de seguridad y controles
• Uso de controles de acceso ineficientes• Uso de credenciales RFID para ingresos (fácilmente clonables)
• Control vehicular a partir de patentes
• Personal vulnerable a técnicas de ingeniería social
• Están los programas de concientización realmente funcionando?? Poner a prueba la seguridad física es una forma de prevenir posibles sabotajes y comprobar realmente la eficiencia de las medidas adoptadas
4
2 2 2 2 –––– Ataque FísicoAtaque FísicoAtaque FísicoAtaque Físico
3 3 3 3 –––– IngenierIngenierIngenierIngenieríaíaíaía SocialSocialSocialSocial
• Usuarios internos como target es una técnica efectiva de entrada a redes privilegiadas.
• El desarrollo de técnicas de ingeniería social se ha incrementado y es necesario probar los sistemas de control (antivirus, monitoreo de actividades, malware, etc.)
• Para esta etapa se llevan a cabo diferentes técnicas como ser:• Spear phishing donde se busca implantar un software que permita el acceso
remoto al equipo infectado
• UBS dropping donde el objetivo es que la victima conecte un dispositivo con contenido malicioso
• Conectar dispositivos de backdooring como parte del acceso físico a la instalación (proveedores, visitas, etc.)
5
3 3 3 3 –––– IngenierIngenierIngenierIngenieríaíaíaía Social (Social (Social (Social (CasoCasoCasoCaso real)real)real)real)
4 4 4 4 –––– AtaqueAtaqueAtaqueAtaque a a a a infraestructurasinfraestructurasinfraestructurasinfraestructuras externasexternasexternasexternas
• La búsqueda de puntos de acceso desde redes publicas permite la identificación de vectores de acceso y explotación que generan accesos privilegiados sobre recursos sin importar su criticidad.
• Planes de pruebas adaptables al contexto son fundamentales en esta etapa. Los resultados de la inteligencia realizada en la etapa 1 seranfundamentales para la planificación de pruebas (bruteforce, explotación, etc.)
• Si bien las ICS serán el target final es fundamental encontrar pasos intermediados para lograr ese objetivo
6
5 5 5 5 –––– AtaqueAtaqueAtaqueAtaque a a a a infraestructurasinfraestructurasinfraestructurasinfraestructuras internasinternasinternasinternas
• Realmente tienen acceso a servicios críticos las personas que corresponden? O fallas en la seguridad de la red interna exponen operaciones criticas a todos los usuarios?
• Es necesario evaluar como son los acceso a servicios críticos a partir de acceso sin privilegios sobre la red (red de telefonía IP, red proveedores, red menor privilegio, etc.)
• Infraestructuras criticas comúnmente están compuestas por dispositivos conocidos y de una configuración estándar y, en muchos casos de carácter publico. El ataque a protocolos conocidos y/o vulnerabilidades asociadas son claves en esta etapa
5 5 5 5 –––– AtaqueAtaqueAtaqueAtaque a a a a infraestructurasinfraestructurasinfraestructurasinfraestructuras internasinternasinternasinternas
7
ConclusionesConclusionesConclusionesConclusiones
GRACIAS!!GRACIAS!!GRACIAS!!GRACIAS!!Ing. Walter Riveros
Director Offensive Security
wriveros@deloitte.com | @wriveros