1

Ciberseguridad y Amenazas Avanzadas Advanced Persistent Threat Intelligence

Julio 2019

Luis Javier Pérez

Colegio de Ingenieros Civiles de México

2 2

Amenazas Avanzadas

Ciberseguridad

Conclusiones

Retos en Ciberdefensa

? Agenda

3

Ciberseguridad

4

CONCEPTOS GENERALES

La seguridad se basa en 3 objetivos fundamentales (CIA): •Confidencialidad

•Integridad

•Disponibilidad (Availability)

Es un proceso evolutivo que trabaja en tres planos: •Gente

•Procesos

•Tecnología

5 5

OBJETIVOS DE LA SEGURIDAD

Confidencialidad : •Los recursos sólo podrán ser utilizados por las entidades autorizadas.

Integridad : •Sólo las entidades autorizadas podrán modificar los recursos del

sistema. •La información deberá reflejar la realidad

Disponibilidad : •Los recursos deberán estar listos para utilizarse por las entidades

autorizadas

6 6

LA CIBERSEGURIDAD

La ciberseguridad es el conjunto de herramientas, políticas, conceptos de seguridad, salvaguardas de

seguridad, directrices, métodos de gestión de riesgos, acciones, formación, prácticas idóneas, seguros y

tecnologías que pueden utilizarse para proteger los activos de la organización y los usuarios en el

ciberentorno

https://www.itu.int/net/itunews/issues/2010/09/pdf/201009_20-es.pdf

7

Retos en Ciberseguridad Pensando como el Atacante

8 8

Motivaciones del Atacante

Cuánto dinero están dispuestos a invertir?

Con qué nivel de riesgo se sienten confortables?

Tienen una agenda?

Los hemos visto antes?

Que tan focalizado es el ataque?

Utilizan inteligencia?

Qué tan sofisticados son?

Qué tipo de activos tienen?

Qué tan disciplinados son?

Qué tipo de ataque utilizan?

Que tipo de objetivos seleccionan?

Se anuncian o prefieren estar encubiertos?

Diferentes hackers, diferentes motivaciones, diferente visión del mundo

WHITE HAT SCRIPT KIDDIES HACKTIVISTS STATE SPONSORED

SPY HACKERS CYBER TERRORISTS

BLACK HAT

Altamente experimentados

Van más allá de la experiencia del white-hat

Se agrupan en algunos casos

Mantienen infraestructura de ataque

Continuamente buscan debilidades

No hay límites en sus métodos

9

Motivación del Atacante

Obtener dinero

Encontrar y desarrollar herramientas

Utilizar el camino de la minima resistencia

Cibercrimen

Hackers en renta

Alterar la ley y el orden

Asegurar fondos monetarios

OBJETIVOS

NOTAS

Hackers que no se detendrán hasta ejecutar su agenda

QUIÉNES SON?

NIVEL

HERRAMIENTAS Exploits 0-day & genericos

Encriptores

Rootkits

Malware

Botnets | DDoS

10

Tipos de Atacantes

Interés Nacional

Ganancia Personal

Reconocimiento

Curiosidad

Principiante Amateur Profesional Experto

Motivación

Vándalos

Criminal

Espias

Programador

Ladrón

Armada y Agencias

de Inteligencia

Gobiernos Hacktivistas

Crimen Organizado Terroristas

Habilidad

Detrás de un Atacante hay Personas

¿Aleatorio o un objetivo?

¿Qué nivel de preparación se require?

¿Dónde buscar la siguiente pista?

OBJETIVO

La Tecnología Utilizada es un Reflejo

¿Es un 0-day?

¿Cuentan con inteligencia sobre el objetivo?

¿Tipo de actividad forense a realizar?

FONDOS

¿Qué tan cuidadosos son?

¿Cómo funciona su operación?

¿Existe información sobre ellos?

DISCIPLINA

¿Se anuncian y toman responsabilidad?

¿Realizan comunicados revelando información?

GRUPO SOCIAL

¿Hemos visto operación similar?

¿A qué tipo de actividades se relaciona su infraestructura?

¿Cómo limitamos sus actividades?

INFRAESTRUCTURA

¿Qué Utilizan Los Atacantes?

1 2 3 4 5 6 SPEAR-PHISHING

SITIOS DE INFECCIÓN

MALWARES | EXPLOITS

RED DE COMANDO Y CONTROL

SITIOS DE EXFILTRACIÓN

Reconocimiento, Explotación, Ejecución, Repetición ¿Cómo entrar en la red objetivo?, ¿Cómo encontrar lo que estoy buscando una vez dentro?, ¿Cómo extraer la información fuera del

objetivo?, ¿Cómo evitar ser descubierto?, ¿Cómo evitar perder la inversión?, ¿Cómo mantener la persistencia de un ataque?

BOTNET / DDOS

Ataque con el objetivo de controlar el entretenimiento y voz pública

Ataque de una nación a un corporativo

Rehen digital

De ciber ataque a ciber terrorismo [del daño a la reputación a amenazas de bomba]

1

13

¿Por qué es importante el caso de SONY?

2

3

4

Ataques en el Aeropuerto de Vietnam

MOTIVACIÓN: Hacktivismo

PAÍS: China

GRUPO RESPONSABLE: 1937cn

(uno de los más grandes en China)

MOTIVO DEL ATAQUE: critícas sobre disputas en el mar

del sur de China

RESULTADOS DEL ATAQUE: (1) defacement con slogans

criticando la situación (2) control sobre el Sistema de sonido del aeropurto(3) fuga de información personal de miembros del programa de lealtad de Vietnam Airlines

¿Qué pensaban los atacantes?

15

¿Se require acceso físico a las pantallas?

¿Cuáles son las vulnerabilidades del sitio de Vietnam Airlines?

¿Podemos utilizer ingeniería social?

¿Qué tipo de controles existen?

¿CÓMO ENTRAR?

¿Cómo oculto el plan de ataque?

¿Cómo me oculto?

¿CÓMO EVITO LA DETECCIÓN?

Tipo de Sistema de sonido?

¿Qué Sistema se conecta con las pantallas de vuelos?

¿Cómo exporter la información a un formato de excel?

¿CUÁLES SON MIS OBJETIVOS?

Visto por muchos, crea confusion, disrupción,

público

¿CUÁL ES EL MEJOR OBJETIVO PARA EL MAYOR

IMPACTO?

Encontrar los exploits apropiados, desarrollar marlware, crear un plan para un efecto en grande

¿QUÉ HERRAMIENTAS REQUIERO?

¿CÓMO LO MANTENGO EL

MAYOR TIEMPO POSIBLE?

Hacer el ataque persistente, crear un

ataque para el cual no se tengan herramientas para

detector, bloquear o remediar

15

¿Qué pensaban los atacantes?

?

16

¿Cómo ver Ataques al Gobierno?

MOTIVATION: most likely hacktivism

COUNTRY: Peru, Mexico

RESPONSIBLE GROUP: Anonymous

REASON FOR ATTACK: criticism over new laws

ATTACK RESULTS: (1) defacements on government sites

What were the attackers thinking?

17

Ataques en Nicaragua

MOTIVATION: most likely hacktivism

COUNTRY: Nicaragua

RESPONSIBLE GROUP: Anonymous

REASON FOR ATTACK: criticism

ATTACK RESULTS: defacements only?

What were the attackers thinking?

Campañas a Largo Plazo en Diversas Organizaciones Centro de Operaciones del Atacante Red Global Trabajo de tiempo completo

Servidores de C2

Sitios de Infección

Búsqueda de

Inteligencia

BANCA Y ORGANIZACIONES GOBIERNO INDUSTRIA

Sitios de Exfiltración

Correos de Spear-Phishing

Manipulaciones Tendencias y

Anomalias Nacionales

OBJETIVOS NACIONALES

Ejecuta Objetivos Basado en la Motivación

REDES NACIONALES

Recursos para Atacar| Valor Monetario

20

APT´s Visión y Operación del Security Intelligence Center

21

Los Atacantes SIEMPRE Evadirán Cualquier Mecanismo de Prevención

22

Evolución de las Amenazas

Molestia básica y demostrar “que se puede”

ERA DE LOS VIRUS SIMPLES

Afecta continuidad del negocio, STUXNET, grupos y ataques organizados, MIRAI

ERA DE ATAQUES PARA PERJUDICAR

Multi fase, complejos, basados en una agenda, cibercrimen, Incremento de inversión

ERA DE LAS AMENAZAS AVANZADAS

Vida Conectada, Encripción, Inteligencia Artificial, Sociedad Digital, Nueva Generación del comercio Electrónico

ERA DE…………..

22

23 23

Las Organizaciones Requieren Visibilidad

a Través del Kill Chain

Los Atacantes Tienen Múltiples Rutas Para Llegar Al Objetivo

24

• Una nueva clase de amenazas, apodada apropiadamente como "Amenaza Persistente Avanzada" (APT, por sus siglas en inglés), representa adversarios bien capacitados y con recursos que llevan a cabo campañas de intrusión de varios años dirigidas a información económica altamente confidencial, privada o de seguridad nacional.

• Estos adversarios logran sus objetivos utilizando herramientas y técnicas avanzadas diseñadas para derrotar a la mayoría de los mecanismos de defensa de redes informáticas convencionales.

Fuente: Hutchins, Cloppert, Amin; Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains

Definición de Amenaza Persistente Avanzada

25

Las Organizaciones Deben Moverse a la Detección y Respuesta

La Detección debe Cubrir todo el Kill-Chain para Hacer la Diferencia

La Cobertura es Crítica

Complejidad, Ruido, Habilidades, Barreras, Costos

Las Herramientas de Nicho Crean Nuevos Problemas

Pero hay que Considerar…

26

¿Dónde Deja Esto a Las Organizaciones?

? ? ?

El Tiempo de la Detección a la Respuesta debe Acortarse

26

82 Días 101 Días

Momento de la Infección

Tiempo de Detección

Tiempo de Investigación Tiempo de Respuesta

Carencia de Habilidades y Personal

La investigación es un cuello de botella La detección toma mucho tiempo

Fuente: Mandiant 2018 m-trends report

27

Seguridad y Costos: OPTIMIZADOS

Seguridad Costos

Balance entre los requerimientos de Seguridad y el Retorno de Inversión

28

Detección Investigación Respuesta

Una Solución Unificada Construida Para Ciberdefensa

Forense

¿QUÉ SE REQUIERE? Ciber Inteligencia Automatizada y Orquestada

32

Investigación

33

TIEMPO

Visibilidad de Amenzas, detección de “desconocidos”

Cumplimiento; Capa de Visibilidad

Evolución De Ciberseguridad a Ciberdefensa De ser Cazados a ser Cazadores

Integración, Analítica y

Automatización

Reforzar Políticas

Defensa de Amenazas Avanzadas

Perímetro Basado en firmas

Sólo “conocidos”

Conectar bitácoras con la red,

estaciones de trabajo

SIEM 2.0

No hay analítica automatizada

Limitado a un vector de ataque

Detección de Amenazas Avanzadas y Respuesta SIM

SEM

Agrega bitácoras; no hay análisis

NECESIDAD

34 © 2016 VERINT SYSTEMS INC. ALL RIGHTS RESERVED WORLDWIDE

Actividades de Investigación

Nivel 1 - Monitoreo

Nivel 2 – Investigación proactiva

SOC Manager Escalación, Remediación

Analistas Forenses Ingeniería Inversa

Analistas de Inteligencia Web – Panorama de Anemazas

Nivel 3 – Investigación avanzada Threat Hunting

Inteligencia

Investigación

35

Los Pilares de la Inteligencia R

ecol

ecci

ón Bitácoras

Tráfico Alertas Artefactos Conocimiento An

ális

is Correlación Fusión Enriquecimiento

Reportes de Inteligencia

Ope

raci

ón Recolección Táctica

Contención del ataque

Analítica Acciones

Elementos de Inteligencia - Tareas

Colaboración y Distribución

36

Preguntas a Responder

¿Quién es el atacante? ¿Quién es el objetivo? ¿Qué compromete la amenaza? ¿Cuáles son las armas? ¿Estamos familiarizados con el comportamiento de la amenaza? ¿Cuál es el objetivo del atacante? ¿Cuál es la dimension de tiempo del ataque?

41

Cómo Identificar al Atacante

41

Recolectar Comunicaciones e IOC’s Diversas Fuentes de inteligencia

Creación de Perfiles Para todos los actores y amenazas

53

Resumen

• Los atacantes son inteligentes

• La clave para entenderlos es la motivación

• Hay que obtener inteligencia

• Siempre se está vulnerable

• Siempre existe una forma de entrar y de salir

• La clave para identificarlos es ver el panorama completo

54

Gracias POR ESCUCHAR