Palo Alto Networks Automatización de la seguridad con los firewalls de nueva generación
description
Transcript of Palo Alto Networks Automatización de la seguridad con los firewalls de nueva generación
Palo Alto Networks
Automatización de la seguridad con los firewalls de nueva generación
Jesús Díaz Barrero
Introducción
Análisis de un ciberataque moderno
3 | ©2013, Palo Alto Networks. .
Engañar alusuario
Exploit Descarga delBackdoor
Conectar con elCentro de control
Examinar y Robar
El terminal es el punto más débil de la cadena y su usuario fácilmente engañable
Infectar algún componente del terminal sin conocimiento del usuario (navegador, java, PDF reader ...)
Descarga secundaria del Malware que será el responsable de cometer el ataque
El Malware establece una conexión con el centro de control para recibir modificaciones y órdenes
El atacante remoto tiene control de una de las piezas internas de la red y dispone de mucha más capacidad
1 2 3 4 5
Aplicaciones Payloads Dominios
Vector de infección• Web, email,
transferencias de archivos
Mando y Control• P2P, IM, DNS, otros
Persistencia y evasión• RDP, SSL,
anonymizers, proxies y túneles
Malware• Botnets
• Backdoors
• Keyloggers
Exploits• SQL Injection
• XSS Scripting
• Buffer Overflows
Infección• Sitios comprometidos
• Kits de exploits (blackhole)
Mando y Control• Dynamic DNS
• Dominios fast flux
• Domain Generation Algorithms (DGAs)
Los ciberataques son algo más que payloads
Los ciberataques dependen de la coordinación automatizada de aplicaciones maliciosas, websites y payloads
4 | ©2013 Palo Alto Networks. .
Aplicaciones propietarias Payloads personalizados Nuevos Dominios
UDP y TCP personalizados• Los protocolos C2
están altamente personalizados
• Modifican P2P, IM y las aplicaciones de transferencia de archivos
Puertos no estándar• Evitan firmas
• Utilizados para descargar nuevos payloads
Malware personalizado• Reto al mercado para
detectar nuevo malware
Malware polimórfico• Malware modificado
para variar el nombre o su hash
Nuevos dominios• Nuevos dominios sin
reputación utilizados para entregar y controlar el malware
5 | ©2013 Palo Alto Networks. .
Los atacantes personalizan todas las fases
Unknown UDP = 2% del tráfico de red, pero 51% de los logs
de malware
Entre el 50%-70% del malware capturado
por WildFire no tiene cobertura de AV
Las botnets cambian constantemente de dominio para evitar
ser detectadas
6 | ©2013, Palo Alto Networks. .
Automatizando la protección
Automatización en el descubrimiento de Zero-days
Visibilidad y prevención multigabit en todo el tráfico y todos los puertos (web, email, SMB, ...)
El malware se ejecuta en la nube con acceso a Internet para descubrir protocolos C2, dominios, URLs y descargas de malware planificadas
Se crean automáticamente firmas de malware, DNS, URL y C2 que se entregan a todos los clientes
Motor en línea de tipo streaming que realiza el análisis y bloqueo
Posibilidad de utilizar una nube local para garantizar la privacidad
8 | ©2013, Palo Alto Networks. .
WildFireTM
Appliance WildFire(opcional)
Firmas Anti-malware
Inteligencia DNS
Base de datos de URL Malware
Firmas Anti-C2
Sitios de prueba, sinkholes, Fuentes de 3as partes
Usuarios WildFire
Inteligencia global y protección ofrecida
a todos los usuarios
Mando y control
Automatización de las contramedidas contra Zero-days
Firmas AV Firmas DNS Firmas C&CFiltrado URL Malware
WildFire
9 | ©2013, Palo Alto Networks. .
Todas las contramedidas son compartidas por todos los firewalls de nueva generación
Automatización de las firmas contra peticiones DNS a botnets
10 | ©2013, Palo Alto Networks. .
Host infectado
Servidor DNS interno
Petición DNS para badwebserver.com????
Servidor DNS Auth
Respuesta DNS para badwebserver.com
122.45.23.26
122.45.23.26
Phone home al servidor C2 badwebserver.com
¿Infectado?
Bloqueo de la petición DNS que un host infectado hace para conectarse al servidor de C&C
Yendo un paso más allá: DNS “Sinkholing”
Monitorización pasiva de las peticiones DNS para identificar peticiones a sistios web maliciosos o actividad de mando y control
El DNS sinkhole ayuda a identificar las máquinas potencialmente infectadas
11 | ©2013, Palo Alto Networks. .
Host infectado
Sinkhole IP
Servidor DNS interno
Respuesta DNS falsa para badwebserver.com a
10.10.10.10.
10.10.10.10
???
Servidor DNS Auth
InfectadoPetición DNS para
badwebserver.com?
Phone home al servidor C2
Conexión a servidores de C&C en base a DGAs
Los atacantes utilizan algoritmos para generar listas de dominios de los servidores C&C
Cuando el zombie pierde la conexión ejecuta el algoritmo y reintenta conectarse a la nueva lista (Conficker fue el primero en usar esta estrategia)
12 | ©2013, Palo Alto Networks. .
Zombie
Servidor C&Cwww.abcdefghij.com
Ejecutar DGA:www.xyzk.comwww.zabc.comwww.ledfsa.com
1
2
3
Rizando el rizo: detección y desactivación de DGAs
Ingeniería inversa sobre el algoritmo que utiliza el DGA
Base de datos con las variantes del DGA
Registro periódico de los dominios antes de que lo hagan los atacantes
Honeynet para recibir a los zombies
13 | ©2013, Palo Alto Networks. .
Host infectado
Honeypot benigna
Servidor DNS interno
Respuesta DNS a dominio registrado
1.1.1.1
???
Servidor DNS Auth
InfectadoPetición DNS para xyza.xyza.com?
Phone home al servidor honeypot
C&C malicioso
Automatizando la gestión
Automatizando la gestión: detección de hosts infectados por comportamiento
Informe automático diario sobre la actividad sospechosa de máquinas potencialmente infectadas
15 | ©2013, Palo Alto Networks. .
Automatizando la gestión: integración con API XML
Cualquier sistema externo puede conectarse a través de una conexión SSL
Usado para: Leer/escribir la configuración del equipo Extraer informes en formato XML Ejecutar comandos operativos
Grandes posibilidades para explotar altos volúmenes de datos e integrarse con la inteligencia de terceras herramientas
16 | ©2013, Palo Alto Networks. .
•REST API sobre SSL
Sistema externo
•Config dispositivo /Report datos
Automatizando la gestión: ejemplo de SDK via API
17 | ©2013, Palo Alto Networks. .
Automatización del datacenter en entornos virtuales
18 | ©2013, Palo Alto Networks. .
Nuevo Web Server
La solución VM protege el tráfico “Este-Oeste”
Se reduce la superfice de ataque al mantener políticas por aplicación y no por puerto
Los objetos dinámicos permiten automatizar políticas cuando se instancia, modifica o mueve una máquina virtual
Web
Web
SQL
Dynamic Address Object = ‘Web’
App-ID = Permitir solo las aplicaciones web
Content-ID = Escanear todas las amenazas web
Bloquear el resto de aplicaciones
Política de seguridad para VMs webserver
Conclusión: necesidad de usar automatización
19 | ©2013, Palo Alto Networks. .
Los ciberataques son cada vez más sofisticados, frecuentes y automatizados
Han proliferado las herramientas que intentan resolver solo parte del problema
Las aproximaciones basadas en intervenciones manuales fallan o llegan tarde
El volumen de datos que hay que manejar requiere automatización en la defensa, tanto en el perímetro como en el datacenter
Un NGFW es capaz de coordinar, integrar y automatizar las diferentes contramedidas que se necesitan
NGFW: Visión y control integrales
App-ID
URL
IPS
Lic.
Spyware
AV
Files
WildFire
Bloquear las apps de alto
riesgo
Bloquear los sitios con malware
Bloquearel exploit
Prevenir drive-by-downloads
Detectar malware
desconocido
Bloquear el malware
Cebo al usuario
Exploit DescargarBackdoor
Establecimiento del canal trasero
Explorar &Robar
Bloquear el spyware, el tráfico C&C
Bloquear C&C en puertos no
estándarBloquear malware,
dominios fast-flux
Bloquear nuevo tráfico
de C&C
Inteligencia coordinada para
detectar y bloquear los
ataques activos en base a
firmas, orígenes y
comportamientos