trustwave spider labs_2012_

© 2012

Presentado por:

Amenazas y Tendencias Globales de Seguridad 2012

Luiz Eduardo Dos SantosCISSP, GCIH, CWNE, CEHDirector, SpiderLabs LAC

© 2012

Agenda• Introducción• Investigaciones de Incidentes en 2011• Trilogía de los ataques• Tendencias del Malware• Fallas de seguridad bajo el microscopio• Nuestras defensas• Conclusión• ¿Preguntas?

2

© 2012© 2012

Introducción

© 2012

El Equipo SpiderLabs® de TrustwaveEl equipo SpiderLabs utiliza métodos innovadores de investigación en seguridad en escenarios reales para mejorar los productos de Trustwave, proporcionando inteligencia en seguridad de la información y una experiencia única a sus clientes.

4

AMENAZAS

PROTECCIONES

Mundo Real

Descubiertas

Aprendizaje

© 2012

Reporte Global de Seguridad de Trustwave 2012

• Resultados de más de 300 investigaciones forenses y respuesta a incidentes realizados en 18 países.

• Análisis de datos recolectados de los servicios de SpiderLabs combinados con los servicios de seguridad administrada y ofertas de SSL de Trustwave.

• Análisis de más de 2000 pruebas manuales de intrusión a redes y 2 millones de escaneos de vulnerabilidades de redes y aplicaciones.

• Revisión de más de 25 proveedores de anti-virus.

• Tendencias de 16 billones de correos electrónicos recolectados en el periodo de 2008-2011.

• Revisión de 300 incidentes de páginas Web publicados en 2011.

• Tendencias y debilidades de más de 2 millones de contraseñas utilizadas en sistemas corporativos.5

© 2012

Enfoque

6

En esta presentación nos enfocaremos en:

- Resaltar las amenazas dirigidas a los activos de su organización.

- Aclarar los métodos de ataque más avanzados, observados a través de nuestras investigaciones en casos de robo de información.

- Detallar las debilidades más comunes sobre la seguridad en escenarios reales con base en hallazgos de nuestra área de desarrollo e investigación.

© 2012© 2012

Investigaciones a Incidentes en 2011Datos y tendencias de más de 300 investigaciones

© 2012

2011: Un año muy activo en respuesta a incidentes

• Más de 300 investigaciones forenses en 2011

• Datos de incidentes en 18 países diferentes

• 42% más investigaciones que en 2010– Los ataques van en aumento– Las organizaciones están más conscientes de los

requisitos de divulgación de incidentes de seguridad

8

© 2012

Industrias y datos específicos

La industria de alimentos y bebidas y la industria de ventas al menudeo (“Retail”) siguen siendo foco principal de los grupos criminales:•77% (2010: 75%)

9

© 2012

Industrias y datos específicosLos atacantes se enfocan más en obtener los registros de clientes, especialmente los datos de tarjetas de pago:

- 89% (2010: 89%)

10

© 2012

Los activos de enfoqueLos activos más interesantes para los atacantes son:• 75% Software POS en Terminales

(2010: 75%)• 20% E-commerce

(2010: 9%)

11

© 2012

Responsabilidad de la Adminstración de los Sistemas

¿Qué se puede hacer?

•Contractualmente definir los requisitos de seguridad.•Imponer sus politicas y procedimientos a los terceros (por ejemplo: políticas de contraseña)

12

En 76% de los casos, un tercero era responsable por algún componente principal de la administración de los sistemas (2010: 88%)

© 2012

Métodos de DetecciónAuto-detección es vital para

detener a los atacantes al comienzo de sus esfuerzos:

• 16% (2010: 20%)

Procuración de Justicia ha incrementado sus esfuerzos:

• 33% (2010: 7%)

Confiar en la detección externa aumenta la ventana de ataque:

• 173.5 días vs. 43 días13

© 2012

Cronograma de un Ataque

• Casos en 2011 se extendieron hasta 44 meses

• 35.8% de los ataques empezaron en el Q3 de 2010

14

© 2012

Origen de los Ataques

15

32.5% Desconocido (2010: 24%)29.6% Russia (2010: 32%)10.5% USA (2010: 6%)

Advertencia• Es fácil falsificar el origen

– “Proxies” anonimos (Tor).

– “Saltos” utilizando sistemas hackeados.

Desafios• Diferentes leyes en cada

país.• ¿Los atacantes se

necesitan esconder?

© 2012© 2012

Trilogía de los AtaquesComo los atacantes se infiltran, capturan y extraen la información

© 2012

InfiltraciónObteniendo acceso no autorizado• 62% RAS/RAA

(2010:55%)• 7% SQLi

(2010: 6%)• 20% Desconocido

2010: 18%)

¿Porqué algunos métodos son desconocidos?• Credenciales Débiles.• Ataques “Client-Side”.• Falta de Registro y

Monitoreo de bitácoras.

17

© 2012

Agregación de los DatosCaptura de información “confidencial”:

• Aproximadamente lo mismo del año pasado.

• Ocultando malware “a la vista”.

Ataques “en tránsito”:

• “Sniffers” de red y memoria.

• “Key-loggers”.

Redirección de Datos

• Manipulación de procesos para redirigir información a sistemas o herramientas controladas por atacantes.

18

© 2012

Extracción de la InformaciónRetirando los datos comprometidos:• Reutilización de los

mecanismos de infiltración.

• “Malware” con funcionalidades para exportar automáticamente.

• Emular el tráfico válido de los usuarios evitando la detección.

19

© 2012© 2012

Tendencias del “Malware”Malware Común y Específico

© 2012

Múltiples diferenciasComún

– Propagación automática a través de vulnerabilidades o acciones de los usuarios.

– Fácilmente distribuido.

– Detectable fácilmente por soluciones de AV.

21

Específicos– Sin propagación y

posiblemente no explota vulnerabilidades.

– Ataca a sistemas o aplicaciones especificas.

– Solo encontrados en los ambientes específicos del ataque.

– La mayoría encontrada en las investigaciones de Trustwave en 2011 no fueron detectados por AV; sólo el 12% fue detectado por los mejores AV.

© 2012

Tipos de “Malware” Específicos

Más Populares:• Analizador de

Memoria obtiene los datos en uso en la memoria de los sistemas.

• “Keystroke Loggers” orientados al dispositivo de entrada y al usuario.

• Específico para Aplicaciones se “inyectan” en las aplicaciones con acceso a los datos confidenciales.

22

© 2012

Capacidad para Exportar Información

“Malware” utiliza:• HTTP como el método

más popular para enviar los datos comprometidos a Internet.

• Lo esconde en el tráfico válido de los usuarios.

Algunos se quedan escondidos:• Algunos NO exportan

sus datos.• Descubiertos en los

casos investigados de ataques más “específicos” en 2011.

23

© 2012© 2012

Fallas de Seguridad bajo el MicroscopioCuatro recursos vulnerables en el ambiente de trabajo

© 2012

La RedTrustwave ofrece el servicio de escaneo de vulnerabilidades con más de 2 millones de clientes.

El equipo SpiderLabs de Trustwave realiza más de 2000 pruebas manuales de intrusión (“Network pentest”) anualmente.

La suma de ambos esfuerzos revelan los problemas más importantes en las organizaciones en la actualidad.

25

© 2012

La Red – Credenciales Predeterminadas

26

Encontrados en todas partes:•28% en Apache Tomcat.

•10% en Instalaciones de Jboss.

•9% en sitios phpMyAdmin.

•2% de TODOS los dispositivos Cisco.

Muchos dispositivos vienen con credenciales predeterminadas.

Estas cuentas y contraseñas podrían ser fácilmente cambiadas durante la instalación.

Muchos administradores no lo hacen.

© 2012

La Red – Tráfico sin cifradoDesde hace más de una década existen métodos de cifrado para casi todos los protocolos de Internet

Existen razones legítimas para no cifrar el tráfico web, pero no para:• Autenticación de

aplicaciones Web.• Transferencias de

archivos.• Correos electrónicos.

27

© 2012

La Red – Acceso RemotoEl Acceso Remoto fue el método de infiltración número uno en las fugas de información en 2011 (62%).

Enviar las credenciales sin cifrar por Internet puede resultar en cuentas comprometidas.

Una de cada cinco organizaciones utilizan soluciones de acceso remoto inseguras.

28

© 2012

La Red – Los 10 Problemas Principales

6. Uso de cifrado “WEP” en redes inalámbricas.

7. Uso de cifrado “LAN Manager” para validación de NTLM.

8. “Firewalls” permitiendo acceso a sistemas internos.

9. Información sensible almacenada fuera de redes seguras.

10.Información sensible transmitida por “Bluetooth”.

29

1. Contraseñas débiles o sin contraseña.

2. Datos “sensibles” enviados sin cifrado.

3. Credenciales débiles en bases de datos.

4. Envenenamiento de “ARP Cache”.

5. Dispositivos buscando y publicando las redes inalámbricas almacenadas en perfiles.

© 2012

Correo electrónicoTrustwave ofrece mailMAX, un servicio de correo electrónico seguro en la nube que hace la verificación de más de 4 billones de correos electrónicos por año.

Se revisaron todos los correos electrónicos en el período de 2008 a 2011 para producir las tendencias de seguridad en correo electrónico.

El correo no deseado (“SPAM”) ha disminuido de forma considerable en 2011 (36% de todos los correos procesados) después del aumento de 53% en 2010.

30

© 2012

Correo electrónico – “Spam” en atributo “Asunto:”

La mayoría de los correos basura (83%) constaba de dos categorías:• Píldoras Farmacéuticas• Pornografía

31

© 2012

Correo electrónico – Archivos Peligrosos

32

Cada año se duplicaron los archivos ejecutables interceptados en correos electrónicos desde 2008.

Los archivos ejecutables son normalmente utilizados para enviar “malware” a las víctimas o como forma de propagación de gusanos.

© 2012

Correo electrónico – Análisis Temporal

33

Executable Alert!Inicio: 8:00 AMFin: 9:00 AM

Virus Alert!Inicio: 8:00 AMFin: 9:00 AM

Virus Alert!Inicio: AgostoFin: Septiembre

© 2012

La WebTrustwave es patrocinador y contribuidor activo del Web Hacking Incident Database (WHID) que contiene más de 300 incidentes de 2011.

El equipo SpiderLabs de Trustwave realiza cientos de pruebas manuales de seguridad en aplicaciones (“Application pentest”) anualmente.

La suma de ambos esfuerzos revelan los problemas más comunes en aplicaciones Web.

34

© 2012

La Web – Ataques Principales

Los principales ataques pertenecen a la categoría “Sin Reportar” (“Unreported”) lo que puede significar que:

• No existen suficientes registros/bitácoras– Configurado

Incorrectamente.– Sin visibilidad al trafico web

real.

• Resistencia a la revelación pública– Miedo de la opinión pública.– Impacto en la confianza de

los clientes.

35

© 2012

La Web – Resultados SobresalientesExisten 2 principales motivos para los ataques:

• “Hacking” con fines de lucro– Extracción de la

información de los clientes.

– Fraude bancario.

• “Hacking” Ideológico– Avergonzar a otros.– “Ocupemos” XYZ.

36

© 2012

La Web – Ataques en Mercados Verticales

37

Inyección SQL y Denegación de servicio es común denominador.

Los ataques de “Cross-Site Request Forgery” (CSRF) son en su más comunes en redes sociales y proveedores de “hosting” compartido.

© 2012

La Web – Los 10 Problemas Principales

6. “Bypass” de Autenticación.

7. “Cross-Site Request Forgery” (CSRF).

8. Revelación del Código Fuente.

9. Mensajes de error detallados.

10.Aplicaciones Vulnerables de Terceros.

38

1. Inyección SQL.

2. Fallas en la lógica de aplicaciones.

3. “Cross-Site Scripting” (XSS).

4. “Bypass” de Autorización.

5. Fallas en el manejo de sesiones.

© 2012

Dispositivos MóvilesEl equipo SpiderLabs de Trustwave realiza investigación de forma activa en el campo de seguridad móvil.

La mayoría de las organizaciones trata a los dispositivos móviles como computadoras en miniatura en sus programas de seguridad.

La tendencia de ataques inició en 2011 justo cuando la seguridad en dispositivos móviles empezó a evolucionar.

39

© 2012

Dispositivos Móviles – Troyanos BancariosHistóricamente los troyanos bancarios estaban enfocados a las computadoras personales, pero en el año de 2011:• Zeus y SpyEye hicieron su aparición para Android e iOS.

• Enfocados en “Mobile Transaction Authentication Numbers” (mTANs).

• Sin propagación automática, pero esta funcionalidad es probable que aparezca en el año de 2012.

40

© 2012

Dispositivos Móviles – “Malware” Consciente de UbicaciónLos dispositivos móviles son desarrollados para utilizar y generar información de rastreo GPS.

“Malware” puede fácilmente acceder a este tipo de información.

Crea problemas de seguridad física para empleados y directivos ¡en tránsito!

41

© 2012

Dispositivos Móviles – La Situación en AndroidAndroid tiene más del 50% del mercado de dispositivos móviles.

Google apenas empezó a revisar las aplicaciones por problemas de seguridad.

Las “tiendas de aplicaciones” de terceros están llenos de “malware”.

42

© 2012© 2012

Nuestras DefensasControles Básicos

© 2012

ContraseñasMás de 2.5 millones de contraseñas analizadas

• Todas utilizadas en ambientes corporativos.

Debilidades Comunes• Contraseñas compartidas de

administrador (‘admin’).• Contraseñas predeterminadas

a los nuevos empleados.• Requisitos pobres de

complejidad.• 5% basado en “password”• 1% basado en “welcome”

44

© 2012

Anti-Virus

No es la “Bala de Plata”:• Asimetría de la

información– Autores de “malware” /

escritores de firmas.

• La “Carrera de armamento” depende de la firma de detección.

Resultados• 70,000 muestras

maliciosas.• Los A/V identificaron 81%

de las muestras.• El proveedor con la

puntuación más baja detectó 70%.

45

© 2012

FirewallsLos “Firewalls” comúnmente utilizan traducción de direcciones de red (NAT) para ahorrar direcciones públicas en Internet.

El equipo SpiderLabs de Trustwave hay encontrado que 1 de cada 800 equipos estaban protegidos por firewalls con NAT mal configurado.

Esto permitiría a un atacante obtener acceso a servicios que se pensaban protegidos por el firewall.

46

© 2012© 2012

Conclusión

47

© 2012

Pirámide de Seguridad de la Información en 2012

La minería de datos de gran volumen se realiza mejor con la ayuda de visualizaciones, lo que hace la vida más fácil para

detectar anomalías y actividades sospechosas

La correlación de bitácoras y eventos generados por las actividades físicas y digitales de los usuarios permite tener una

visión más clara de los potenciales incidentes de seguridad

Mantener un completo inventario/registro de activos proporciona información necesaria para ayudar a identificar y contener brotes

de malware e intrusiones

Reducir complejidad utilizando hardware y software común simplifica la administración, el mantenimiento y seguridad

Cada acción iniciada por una cuenta dentro de un ambiente debería estar

vinculada a un usuario específico

Los empleados son la base fundamental de los controles de prevención, detección y

monitoreo

© 2012

Conclusiones

49

Almacenar los registros de clientes convierte a cualquier empresa en un objetivo de ataque.

• No pensar en términos de seguridad de redes o aplicaciones, debe enfocarse en la seguridad la información.

“Outsourcing” es todavía un riesgo importante asociado al acceso no autorizado de la información.

• Imponer sus políticas y procedimientos a los terceros cuando su información está en juego.

Los empleados y administradores eligen contraseñas débiles.• Aplicar una mejor política de complejidad de contraseñas, utilizar autenticación de

doble factor y educar a sus usuarios.

Anti-virus por si solo no es suficiente.• Se puede identificar algo desconocido de manera más confiable realizando

constantes pruebas de seguridad y análisis.

Tecnologías de “firewall” antiguas pueden ser vulnerables.• Mantener actualizada la tecnología. Revise la configuraciones de seguridad con

frecuencia y de forma agresiva.

© 2012© 2012

¿Preguntas? Luiz Eduardo Dos SantosDirector, SpiderLabs LAC

© 2012

ReferenciasDescargar el reporte: www.trustwave.com/GSRRedes Sociales:•Twitter: @Trustwave / @SpiderLabs•Facebook: http://www.facebook.com/Trustwave •LinkedIn: http://www.linkedin.com/company/trustwave •Google+: https://plus.google.com/103260594120163717290