JÁ ERA PARA ESTARMOS SEGUROS, NÃO ERA?€¦ · marcelo souza confraria 0day - 10/2016 jÁ era...

CONFRARIA 0DAY - 10/2016MARCELO SOUZA

JÁ ERA PARA ESTARMOS SEGUROS, NÃO ERA?

# WHOAMINot root… :-/

Consultor

Fuçador

Co-fundador DEFCON Group BSB (dc5561.org)

~15 anos atuando em InfoSec

POR QUE ME PREOCUPAR?

MOTIVAÇÃOMilhões de $$$ investidosem segurança nosambientes corporativos

Incidentes… incidentes…

Mais milhões de $$$!

Incidentes…

Já falei dos milhões??? J

SOLUÇÃO A, B, C…

AntivirusAnti-APT

App Firewall

IDS/IPS

Proxy

Firewall

”A” NÃO FALA COM ”B” NEM ”C”…

Se dependesse da quantidade de soluções de InfoSec, nãoteríamos mais problemas de InfoSec…

Pior de tudo: cada umafuncionando isoladamente (silos)

Nosso paradigma está correto?

ESTAMOS PERDIDOS!?!?

"A definição de insanidade é fazera mesma coisa repetidamente e esperar resultados diferentes" -Albert Einstein (!!!)

Em resumo: cometemos osmesmos erros há anos… e não adianta botar a culpa no usuário!

Software continua mal escrito, vulnerabilidades antigas ainda presentes, ”stupid assumptions”...

(!!!) Ok, não foi ele que disse isso mas vou usar a frase mesmo assim! :-)

HOW TO SUCK AT INFOSEC?

https://blog.marcelosouza.com/como-ser-um-idiota-em-seginfo-reloaded/

HOW TO SUCK AT INFOSEC?

”THERE’S NO PATCH FOR THAT…”

https://www.schneier.com/blog/archives/2016/10/security_design.html

CENÁRIOS…

...BASEADOS EM FATOS REAIS!

CENÁRIO 1: DUMP DE SENHAS

”Senha forte é bobagem!”

NLTM hashes de senhas de 8 caracteres(números e letras min.) à quebradas em< 1 minuto (Rainbow Table de 8GB)

mimikatz (2012) rul3z!!!

Muitas vezes nem é necessário quebrarhashes (WDigest)

CENÁRIO 1: DUMP DE SENHAS

Vídeo (dump LSASS)

http://ophcrack.sourceforge.net/tables.php

CENÁRIO 2: ”POWER MALWARE”

Vídeo (”Power Malware”)

CENÁRIO 3: RUBBER DUCKY

https://www.hak5.org/blog/15-second-password-hack-mr-robot-style

SO WHAT?

NÃO MELHORAMOS NADA?!?Não o bastante!

Algumas poucas iniciativas em busca de melhorias

Reviravoltas em InfoSec ”pós-Snowden” (2013)

TLS ”everywhere”, HSTS, ”cloud fear”...

”APT fear” (não é FUD!)

Mudança de mentalidade interessante (~2014/2015)

”vulnerability-centric” à ”threat-centric”

VULN MNGMT X THREAT INTEL

https://www.google.com/trends/explore?q=vulnerability%20management,threat%20intelligence

O QUE FALTA, DOUTOR?

”INCIDENT-CENTRIC” INFOSECNecessidade de mais uma mudança de paradigma

”vulnerability-centric” à ”threat-centric” à ”incident-centric”

Mudança não significa abandonar totalmente o legado

Dar a devida importância a Resposta a Incidentes

Em outras palavras: ”Vou ser invadido cedo outarde, melhor estar preparado!”

Pro+Pe+Tec and Situational Awareness to the rescue!

PRO+PE+TEC

Preparação para IR: PROcessos, PEssoas e TECnologia

Pessoas

Tecnologia

Processos

(!!!) Não, não é uma palestra de vendas!

SITUATIONAL AWARENESSMecanismos para perceberquando incidentes acontecem e reagir a eles

Objetivo principal: auxiliar no tempo de resposta

Yahoo levou 2 anos (!!!) pra descobriro vazamento de 500M contas

Necessidade de integraçãoentre as ferramentas de segurança

Correlação e contextualização de eventos

IOCs + Logs + Tráfego de rede

OBRIGADO!!!BLOG.MARCELOSOUZA.COM

CONTATO@MARCELOSOUZA.COM@MARCELO_SZ