1 / 21

Palo Alto Networks Automatización de la seguridad con los firewalls de nueva generación

Palo Alto Networks Automatización de la seguridad con los firewalls de nueva generación. Jesús Díaz Barrero jdiaz@paloaltonetworks.com. Introducción. Análisis de un ciberataque moderno. 1. 2. 3. 4. 5. Exploit. Engañar al usuario. Descarga del Backdoor. Conectar con el

marlin
Download Presentation

Palo Alto Networks Automatización de la seguridad con los firewalls de nueva generación

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Palo Alto NetworksAutomatización de la seguridad con los firewalls de nuevageneración JesúsDíazBarrero jdiaz@paloaltonetworks.com

  2. Introducción

  3. Análisis de un ciberataquemoderno 1 2 3 4 5 Exploit Engañar al usuario Descarga delBackdoor Conectar con el Centro de control Examinar y Robar El atacante remoto tiene control de una de las piezas internas de la red y dispone de mucha más capacidad El terminal es el punto más débil de la cadena y su usuario fácilmente engañable Infectar algún componente del terminal sin conocimiento del usuario (navegador, java, PDF reader ...) Descarga secundaria del Malware que será el responsable de cometer el ataque El Malware establece una conexión con el centro de control para recibir modificaciones y órdenes

  4. Los ciberataques son algomásque payloads • Los ciberataquesdependen de la coordinaciónautomatizada de aplicacionesmaliciosas, websites y payloads

  5. Los atacantespersonalizantodaslasfases Unknown UDP = 2% del tráfico de red, pero 51% de los logs de malware Entre el 50%-70% del malware capturadopor WildFire no tienecobertura de AV Las botnets cambianconstantemente de dominioparaevitarserdetectadas

  6. Automatizando la protección

  7. Automatización en el descubrimiento de Zero-days Firmas Anti-malware Inteligencia DNS Base de datos de URL Malware Firmas Anti-C2 • Visibilidad y prevenciónmultigabiten todo el tráfico y todos los puertos (web, email, SMB, ...) • El malware se ejecuta en la nube con acceso a Internet paradescubrirprotocolos C2, dominios, URLs y descargas de malware planificadas • Se creanautomáticamentefirmas de malware, DNS, URL y C2 que se entregan a todos los clientes • Motor en línea de tipo streaming querealiza el análisis y bloqueo • Posibilidad de utilizarunanube local paragarantizar la privacidad Inteligencia global y protecciónofrecida a todos los usuarios WildFire TM Sitios de prueba, sinkholes, Fuentes de 3aspartes Mando y control Appliance WildFire (opcional) Usuarios WildFire

  8. Automatización de lascontramedidas contra Zero-days • Todaslascontramedidas son compartidasportodos los firewalls de nuevageneración FirmasAV Firmas DNS Filtrado URL Malware Firmas C&C WildFire

  9. Automatización de lasfirmas contra peticiones DNS a botnets • Bloqueo de la petición DNS que un host infectadohaceparaconectarse al servidor de C&C Servidor DNS Auth Servidor DNS interno Petición DNS parabadwebserver.com? ??? ¿Infectado? Respuesta DNS parabadwebserver.com 122.45.23.26 Host infectado Phone home al servidor C2 badwebserver.com 122.45.23.26

  10. Yendo un pasomásallá: DNS “Sinkholing” • Monitorizaciónpasiva de laspeticiones DNS paraidentificarpeticiones a sistios web maliciosos o actividad de mando y control • El DNS sinkhole ayuda a identificarlasmáquinaspotencialmenteinfectadas Servidor DNS interno Servidor DNS Auth Petición DNS parabadwebserver.com? ??? Infectado Respuesta DNS falsaparabadwebserver.com a 10.10.10.10. Host infectado Phone home al servidor C2 Sinkhole IP 10.10.10.10

  11. Conexión a servidores de C&C en base a DGAs • Los atacantesutilizanalgoritmosparagenerarlistas de dominios de los servidores C&C • Cuando el zombie pierde la conexiónejecuta el algoritmo y reintentaconectarse a la nuevalista (Confickerfue el primeroen usarestaestrategia) 1 Servidor C&C www.abcdefghij.com 2 Ejecutar DGA: www.xyzk.com www.zabc.com www.ledfsa.com 3 Zombie

  12. Rizando el rizo: detección y desactivación de DGAs • Ingenieríainversasobre el algoritmoqueutiliza el DGA • Base de datos con lasvariantes del DGA • Registroperiódico de los dominios antes de que lo hagan los atacantes • Honeynetpararecibir a los zombies Servidor DNS interno Servidor DNS Auth Petición DNS paraxyza.xyza.com? ??? Infectado Respuesta DNS a dominioregistrado Host infectado Phone home al servidor honeypot Honeypot benigna 1.1.1.1 C&C malicioso

  13. Automatizando la gestión

  14. Automatizando la gestión: detección de hosts infectadosporcomportamiento • Informeautomáticodiariosobre la actividadsospechosa de máquinaspotencialmenteinfectadas

  15. Automatizando la gestión: integración con API XML • Cualquiersistemaexternopuedeconectarse a través de unaconexión SSL • Usadopara: • Leer/escribir la configuración del equipo • Extraerinformes en formato XML • Ejecutarcomandosoperativos • Grandesposibilidadesparaexplotar altos volúmenes de datos e integrarse con la inteligencia de tercerasherramientas • Configdispositivo /Report datos • REST APIsobreSSL Sistemaexterno

  16. Automatizando la gestión: ejemplo de SDK via API

  17. Automatizacióndel datacenter en entornosvirtuales • La solución VM protege el tráfico “Este-Oeste” • Se reduce la superfice de ataque al mantenerpolíticasporaplicación y no porpuerto • Los objetosdinámicospermitenautomatizarpolíticascuando se instancia, modifica o mueveunamáquina virtual • Dynamic Address Object = ‘Web’ • App-ID = Permitir solo lasaplicacionesweb • Content-ID = Escaneartodaslasamenazas web • Bloquear el resto de aplicaciones Nuevo Web Server Política de seguridadparaVMs webserver Web Web SQL

  18. Conclusión: necesidad de usarautomatización • Los ciberataques son cadavezmássofisticados, frecuentes y automatizados • Han proliferadolasherramientasqueintentan resolver solo parte del problema • Las aproximacionesbasadas en intervencionesmanualesfallan o llegantarde • El volumen de datosque hay quemanejarrequiereautomatización en la defensa, tanto en el perímetrocomo en el datacenter • Un NGFW escapaz de coordinar, integrar y automatizarlasdiferentescontramedidasque se necesitan

  19. NGFW: Visión y control integrales Cebo al usuario Exploit DescargarBackdoor Establecimiento del canal trasero Explorar &Robar Bloquearlas apps de alto riesgo Bloquear C&C en puertos no estándar Bloquear malware, dominios fast-flux Bloquear los sitios con malware Bloquearel exploit Inteligenciacoordinadaparadetectar y bloquear los ataquesactivos en base a firmas, orígenes y comportamientos Bloquear el spyware, el tráfico C&C Bloquear el malware Prevenir drive-by-downloads Detectar malware desconocido Bloquearnuevotráfico de C&C

More Related