Las nuevas ciberamenazas que enfrentamos el 2017

1

MBA Ing. Raúl Díaz Parra | CRISC, CISA, CISM, CEH, CHFI, ECSA, ECSP, CPTE,

ITIL, ISF ISO/IEC 27002 | raul.diaz@strategoscs.com | +51-994521461

Agenda

• Predicciones de Ciberamenazas

• Ciberamenazas del 2017

– Wannacry y Ciberarmas de Shadow Brokers

• Aplicación de ciberseguridad según

ISO/IEC 27032:2012

• Conclusiones

2

Predicciones de Ciberamenazas

3

Predicciones

• Ransomware

• Amenazas móviles

• Machine Learning

• Exploits de vulnerabilidades Windows

• Dronejacking

• Ciberespionaje

• Hacktivismo

4 Fuente: Mc Affee Labs

Ciberamenazas del 2017

5

Robo de ciberarmas a la NSA

6

7

Ciberataque Wannacry

• Shadow Brokers extrae ciberarmas de la NSA

• 12 de Mayo 2017 inicia el ataque Wannacry

• + 230k ordenadores en 150 países (Rusia, Ucrania, India y Taiwán)

• NHS, Telefónica, FedEx, Latam, ISA, Banco de China, Banco Nacional de India

• Exploit EternalBlue (CVE-2017-0144) - smb

• Parche ms17-010

• Secuestro de información por 300 USD en bitcoins

8

9

Anatomía de ataque Wannacry

10 Fuente: Panda

Proceso de Gestión de Parches

1. Evaluar

2. Identificar

3. Planear

4. Desplegar

11

Mapa Wannacry

12

https://intel.malwaretech.com/WannaCrypt.html

13

14

15

16

17

Wannacry vs Lazarus APT

18

Swift Hack

19

Fuente: BAE Systems

20

Marcus Hutchins

Wannacry Kill Switch

21

iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

Exploit MS17-010

22

Demo

• Explotación de vulnerabilidad CVE-2017-

0144 con Metasploit en:

– Win7

– Win2008Server R2

23

¿Qué controles se vulneraron en el ciberataque Wannacry?

24

Botnet MIRAI

25

Mirai: escaneo, infección y ataque

26 Fuente: Imperva

Passwords por defecto utilizados por Mirai

27 Fuente: https://krebsonsecurity.com/2016/10/who-makes-the-iot-things-under-attack/

Shodan

28

Autenticación débil

29

Se libero código fuente de MIRAI y evolucionó el 2017

30

31

Aplicando Ciberseguridad según ISO/IEC 27032:2012

32

Relación de la ciberseguridad y otros dominios de seguridad

33 Fuente: ISO/IEC 27032:2012

27001 vs 27032

• 27001 aplicado a la

protección de activos

digitales y no digitales. Es

auditable.

• 27032 aplicado a la

protección de activos

digitales. Es no auditable.

34

Relaciones de conceptos de seguridad

35 Fuente: Adaptado de la ISO/IEC 15408-1:2005 para la ISO/IEC 27032

Enfoque ISO/IEC 27032

36

Controles de la ISO/IEC 27032

• La ISO/IEC 27032 se focaliza en los

controles técnicos:

37

Controles a nivel de

aplicación (12.2)

Protección del Servidor (12.3)

Controles del usuario final

(12.4)

Controles contra ataques de ingeniería social (12.5)

• Preparación para la ciberseguridad (12.6) – Anexo A • Otros Controles (12.7)

38

•Mostrar una notificación de la compañía en los servicios online

•Asegurar la gestión de sesiones

•Asegurar el manejo de entradas para prevenir inyecciones SQL

• Prevenir el XSS

• Realizar revisiones de entrada

•HTTPs / SSL

Controles a nivel de aplicación

39

• Hardening

• Implementar un sistema para probar e implementar actualizaciones de seguridad

• Realizar seguimiento del desempeño de seguridad del servidor a traves de registros de auditoría

• Revisar la configuración de la seguridad

• Ejecutar controles anti software malicioso (spyware o malware)

• Escanear todo el contenido alojado y subido utilizando software antimalware actualizado

• Realizar evaluaciones de vulnerabilidades y pruebas de seguridad de manera constante

Protección al servidor

40

• Utilizar Sistemas Operativos con soporte

• Utilizar aplicaciones en su ultima versión

• Usar antivirus y antimalware

• Habilitar bloqueos de script

• Utilizar filtros contra la suplantación de identidad

• Utilizar otros elementos de seguridad disponible en los navegadores

• Habilitar un firewall y un HIDS

• Habilitar actualizaciones automáticas

Controles para

usuarios finales

41

• Políticas

• Métodos y procesos

• Categorización y clasificación de información

• Concientización y entrenamiento

• Pruebas

• Personas y organización

• Técnico

Controles contra

ataques de

ingeniería social

Controles a nivel de aplicación

42

Caso Wannacry: Script ms17-010 para Nmap

43

https://github.com/cldrn/nmap-nse-scripts/blob/master/scripts/smb-vuln-ms17-010.nse

Colocar en la ruta /usr/share/nmap/scripts

44

Ejecutar el siguiente comando nmap –p 445 --script smb-vul-ms17-010 192.168.152.0/24

45

Conclusiones

46

Conclusiones

• Wannacry y Mirai son solo muestras de los próximos ciberataques.

• La demora de la aplicación del parche de seguridad es aprovechado por los cibercriminales para explotar vulnerabilidades. – Con nmap podemos verificar fácilmente si se aplicaron

los parches para la vulnerabilidad CVE-2017-0144

• Evaluar si contamos con controles de ciberseguridad necesarios para la protección organizacional ante las nuevas ciberamenazas – Fortalecer la estrategia de seguridad con el monitoreo

de ciberamenazas para prevenir próximos ciberataques

47

¿Preguntas?

48

Gracias

49

MBA Ing. Raúl Díaz Parra

Socio Líder de Consultoría de Strategos CRISC, CISM, CISA, CEH, CHFI, ECSA, ECSP,

CPTE, ITIL(F), ISO/IEC 27002

raul.diaz@strategoscs.com

+51-994521461

@rauldiazp