(apts) con ibm trusteer apex
TRANSCRIPT
© 2015 IBM Corporation
Jordi Medina Torregrosa IBM Trusteer Apex Sales Leader for SPGI IBM Security [email protected] +34 663 729 709 1 de Julio de 2015
Protección Frente Amenazas Avanzadas Persistentes (APTs) con IBM Trusteer Apex
2 © 2015 IBM Corporation
¿Qué es una APT?
Una amenaza persistente avanzada, también conocida por sus siglas en inglés, APT (por Advanced Persistent Threat), es un conjunto de procesos informáticos sigilosos y continuos, dirigidos a penetrar la seguridad informática de una entidad específica. Una APT, generalmente, fija sus objetivos en organizaciones o naciones por motivos de negocios o políticos. Los procesos de APT requieren un alto grado de cobertura durante un largo período de tiempo. El proceso avanzado involucra sofisticadas técnicas que utilizan software malicioso para explotar vulnerabilidades en los sistemas. El término ‘persistente’ sugiere que existe un control y monitorización externos para la extracción de datos de un objetivo específico de forma continua. El término ‘amenaza’ indica la participación humana para orquestar el ataque
El Objetivo más común de una APT es el de obtener acceso a las Cuentas Privilegiadas para robar datos de forma continua sin ser detectada permaneciendo oculta el mayor tiempo posible.
3 © 2015 IBM Corporation
¿Cómo se crea una APT?
¿De dónde se obtiene esta información? Entre muchas otras fuentes …
Recopilando Información del objetivo: - Sistemas informáticos internos y externos - Bases de Datos que se utilizan - Sistemas de seguridad de la red - Sistemas de seguridad del puesto de trabajo - Socios conocidos - Contratos con terceros - Directivos - Empleados
4 © 2015 IBM Corporation
¿Cuál es su principal Vector de Ataque?
Datos y Sistemas de la
Empresa
Empleados Partners y Externos
Fácil
Fácil
Cyberdelincuente
Complejo
Ataque de Malware
Robo de Credenciales
5 © 2015 IBM Corporation
Caso Real – Entidad Bancaria de Estados Unidos
“Hemos encontrado una APT que llevaba activa cerca de nueve meses, robando información de clientes, tarjetas y préstamos hipotecarios. Al realizar un análisis forense, hemos descubierto que la APT se introdujo en la empresa a través de un documento de texto enviado a uno de los directivos. Tras hablar con él y ver el contenido de los correos electrónicos nos percatamos de que un supuesto cazatalentos le había contactado para ofrecerle un puesto en un competidor a través de una red social. El supuesto cazatalentos le mandó una propuesta laboral por email desde una cuenta de Hotmail para que los filtros del correo electrónico no identificaran al remitente como un cazatalentos. El documento realmente contenía una propuesta de trabajo, pero ejecutaba una macro aprovechando una vulnerabilidad conocida y no parcheada del procesador de textos para instalar la APT en el equipo del usuario y luego se propagaba mediante una elevación de privilegios a los distintos equipos conectados a la misma red. Por supuesto, la oferta era falsa, la dirección de Hotmail ya no existe y el perfil del cazatalentos en la red social también ha desaparecido.”
6 © 2015 IBM Corporation
Hay que centrarse en el eslabón más débil que a su vez es el principal vector de ataque: EL USUARIO Y SUS EQUIPOS
Hay que focalizar los esfuerzos
7 © 2015 IBM Corporation
IBM Trusteer Apex – Prevención frente APTs
Protección Efectiva en Tiempo Real Múltiples capas que detienen las cadenas de ataque
Análisis de Seguridad y Servicio Gestionado
Proporcionado por expertos de seguridad de IBM Trusteer
Protección contra Amenazas de Día Cero Basado en el control de comportamiento de las aplicaciones
Trusteer Apex
8 © 2015 IBM Corporation
IBM Trusteer Apex – Protección de Credenciales
WWW
Robo de credenciales vía
Phising
Reutilización de Credenciales Corporativas
Site Corporativo legítimo
Contraseña
Enviar: Permitir • Detección de envío
• Validación de Destino
Phishing site
Site legítimo no autorizado
*******
Authorized site
9 © 2015 IBM Corporation
IBM Trusteer Apex – Detección y Bloqueo de Exploits
• Correlación del estado de la aplicación con las acciones post-exploit
• Aplicar controles de permitir/denegar a través de la cadena del exploit
Escribir ficheros
Afectar a otras aplicaciones
Modificar el registro
Otros métodos
Monitorizando las acciones post-exploit
Propagación del Exploit Estados de la Aplicación
Indicadores
Evaluando los estados de la aplicación
10 © 2015 IBM Corporation
IBM Trusteer Apex – Bloqueo para JAVATM
• Se bloquea la actividad maliciosa y se permiten las aplicaciones Java legítimas
• La legitimización de apps de Java especifica la garantiza Trusteer o el Administrador de TI
Monitor and control high-risk activities
App Maliciosa Una app maliciosa de Java puede eludir los controles internos de Java
ej., Mostrar, cálculos en local
App legitima
App no confiable
Permitir acciones de bajo riesgo
ej., Escribir al Sistema de ficheros, cambios en el registro
App legítima
App no confiable
App legitima
11 © 2015 IBM Corporation
IBM Trusteer Apex – Bloqueo de Comunicaciones Maliciosas
1. Determinar la confiabilidad del proceso
2. Identificar la brecha en el proceso
3. Permitir/Denegar la comunicación externa
Site maliciosa
Sitio legÍtimo usado como Command
and Control
Descarga directa del usuario
Infección Pre-Existente
RED EXTERNA
Proceso
Zombi
COMUNICACIÓN DIRECTA
CANAL DE
Identificar brecha de la aplicación
Permitir/ bloquear
Determinar el nivel de confiabilidad
12 © 2015 IBM Corporation
IBM Trusteer Apex – Detección y Mitigación de Malware
Protección frente a APTs distribuida globalmente Protección Tradicional frente amenazas
Billones de ficheros legítimos guardados y ejecutados
Billones de ficheros maliciosos bloqueados
Blacklist
Database
Whitelist
Database
• Sin escaneo activo = sin impacto en el rendimiento
• Sin actualizaciones de firmas en el puesto
Eliminación Automática de Malware 50 Motores Antimalware comparan el MD5 de los ficheros con sus BBDD de firmas en tiempo real
13 © 2015 IBM Corporation
IBM Trusteer Apex – Informes de Riesgo y Amenazas
Informes de Vulnerabilidades
Informe detallado para ver y entender que puestos de trabajo y aplicaciones son
vulnerables ante exploits
Informes de Credenciales Corporativas
Informe de que usuarios reutilizan sus
credenciales en otros sites sin seguir la
política corporativa
Informes de incidentes
Informes de incidentes de seguridad: exploits,
comunicaciones sospechosas, infecciones
14 © 2015 IBM Corporation
IBM Trusteer Apex – Opciones de Despliegue Flexibles
BYOC
Empresa PAQUETE MSI
Despliegue con herramientas estándar de distribución de SW,
e.j., IBM Endpoint Manager
Customer Web App / Gateway
• Página SSL VPN • Cloud App • Portal Corporativo • Apps Internas • …
Apex detection snippet
15 © 2015 IBM Corporation
IBM Trusteer Apex – Sin impacto para el departamento IT
Elimina la aproximación tradicional del equipo de seguridad (detectar, notificar, y resolver manualmente)
Prevención de amenazas sin carga en el puesto
Muy bajo impacto para el equipo de seguridad de TI
Minimiza el impacto bloqueando acciones peligrosas
Servicio de asesoramiento del riesgo centralizado
Actualización directa de los puestos
Servicio clave 24x7x365
Análisis avanzado como servicio
16 © 2015 IBM Corporation
IBM Trusteer Apex – Inteligencia Dinámica
Búsqueda de Amenazas e Inteligencia Global
• Combina la experiencia de X-Force con la búsqueda de malware de Trusteer
• Catálogo de más de 70K vulnerabilidades, más de 17B páginas web y datos de más de 100M de endpoints
• Bases de datos inteligentes actualizadas dinámicamente minuto a minuto
Real-time sharing of Trusteer intelligence
NEW
Phishing Sites
URL/Web Categories
IP/Domain Reputation
Exploit Triage
Malware Tracking
Zero-day Research
© Copyright IBM Corporation 2015. All rights reserved. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any kind, express or
implied. IBM shall not be responsible for any damages arising out of the use of, or otherwise related to, these materials. Nothing contained in these materials is intended to, nor shall have the effect of, creating any
warranties or representations from IBM or its suppliers or licensors, or altering the terms and conditions of the applicable license agreement governing the use of IBM software. References in these materials to IBM
products, programs, or services do not imply that they will be available in all countries in which IBM operates. Product release dates and / or capabilities referenced in these materials may change at any time at
IBM’s sole dis retio ased o arket opportu ities or other fa tors, a d are ot i te ded to e a o it e t to future product or feature availability in any way. IBM, the IBM logo, and other IBM products and
services are trademarks of the International Business Machines Corporation, in the United States, other countries or both. Other company, product, or service names may be trademarks or service marks of others.
Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection and response to improper access from within and outside your enterprise. Improper access can result in information being altered, destroyed, misappropriated or misused or can result in damage to or misuse of your systems, including for use in attacks on others. No IT system or product should be considered completely secure and no single product, service or security measure can be completely effective in preventing improper use or access. IBM systems, products and services are designed to be part of a lawful, comprehensive security approach, which will necessarily involve additional operational procedures, and may require other systems, products or services to be most effective. IBM DOES NOT WARRANT THAT ANY SYSTEMS, PRODUCTS OR SERVICES ARE IMMUNE FROM, OR WILL MAKE YOUR ENTERPRISE IMMUNE FROM, THE MALICIOUS OR ILLEGAL CONDUCT OF ANY PARTY.
THANK YOU www.ibm.com/security GRACIAS