Embed Size (px)
Citation preview
USO DEL ANALISIS ESTADISTICO E INTELIGENCIA PARA DETECTAR
AMENAZAS EN LA RED
Luis Serrano
Agenda
• Ciberamenazas Modernas
• Etapas del Cyber Kill Chain
• Análisis Inteligente del comportamiento
• Hillstone Server Breach Detection System(sBDS)
• Hillstone Firewall de Modo Gemelo
• Hillstone CloudHive
• Hillstone CloudEdge
• Hillstone Serie X para Centros de datos
• Hillstone Cloud-Sandbox
• Hillstone At Glance
CyberAmenazas Modernas
malwareAPTs
Zero-Days
Insider Theft
“en el 60% de los casos,los atacantes son capaces
de comprometer a las organizaciones en
minutos.”– Verizon 2015 DBIR
Caracteristicas de las CyberAmenazasModernas
• Largos periodos de invisibilidadEl promedio de tiempo de detección del ataque es de 225días durante el cual el código malicioso permanece invisibley puede llevar a cabo actividades lentas y de bajo perfildentro de la red víctima. Esto requiere que losadministradores supervisen y analicen continuamente loseventos de amenazas durante un largo.
Características de las CyberAmenazasModernas
• Multietapas (Cyber Kill Chain)
Etapas del Cyber Kill Chain
• Explotación inicial• El atacante realiza la penetración inicial de los
computadores anfitriones o redes específicas. Esto lopuede hacer por medio de un correo electrónico despear phishing, visitando sitios web que parecen serlegítimos u otras formas de medios de comunicaciónsocial.
Etapas del Cyber Kill Chain
• Instalación o delivery• Después de que el atacante gana con éxito el acceso a la
red víctima, puede tratar de descargar e instalar algunosarchivos o scripts desarrollados por los atacantes einstalar algo como Portable Ejecutable (PE) y realizartareas destinadas tales como la comunicación con elservidor externo.
Etapas del Cyber Kill Chain
• C&CEl código malicioso previamente entregado intentaestablecer la conexión entre el host comprometido y elservidor C&C, siempre controlado por el atacante fuera dela red víctima. Esto se hace a través de actividades de DNS yla conexión a los servidores de nombres de dominio cuyosson generados utilizando el Algoritmo para GenerarDominios (DGA). El propósito de esto es poder obtener másinstrucciones desde el servidor C&C.
Etapas del Cyber Kill Chain
• Reconocimiento internoEl atacante puede explorar la red víctima, mapear latopología de la red, buscar e identificar los activos críticos, ysentar las bases para futuras acciones de infiltración.
Etapas del Cyber Kill Chain
• Movimiento LateralEn esta etapa, el atacante puede realizar otras actividadescomo escalar privilegios y niveles de acceso en la red, paraobtener el control de los activos críticos dentro de la misma.Estas actividades se llevan a cabo en preparación para laexfiltración final monetaria o de datos.
Etapas del Cyber Kill Chain
• ExfiltraciónEsta es la etapa final en el CKC. En esta etapa, los atacanteshan tomado el control de los activos críticos dentro de lared víctima y han establecido el acceso y han identificadolos datos objetivo. Los datos se envían fuera de la red alservidor del atacante, a menudo por transferencia dearchivos cifrados.
Análisis inteligente del Comportamiento
• Puede descubrir las amenazas ocultas enminutos no en meses
Análisis inteligente del Comportamiento
HillstoneIntelligent
i + Next-Gen FW
Basado encomportamiento
Next-Gen FW
TraditionalesBasados en firmas
Arquitectura de Firewall Inteligente de Hillstone
AmenazasDesconocidas
ComportamientosAnormales
Detección
Indexaciónde Riesgo
Forénsicainteractiva
Visualización
Mitigaciónsensible al contexto
Enforzamiento
El Análisis inteligente del Comportamientoautomatizando la seguridad de Red
DetectarEncontrar amenazas
modernas
• Externas• Internas
VisualizarMejorar la comprensión
• Riesgos de red• Análisis de causa raíz
EnforzarMitigar dinámicamente
• Relentizar el bandwidth• Aplicar cambios a
las políticas
puedes
AmenazasDesconocidas
ComportamientosAnormales
Indexaciónde Riesgo
Forénsicainteractiva
Mitigaciónsensible al contexto
Arquitectura de Análisis
El Análisis inteligente del Comportamiento automatizando la seguridad de Red
Hillstone protege durante todoel Cyber Kill Chain
NGFW
Software de Detecciónde Malware
Hillstone Intelligent NGFW (i+NGFW)
FW Tradicionales
Reconocimiento Brecha Robopre-breach post-breach
Herramienta Cyber Kill Chain del iNGFWde Hillstone
Actividades C&C Detectadas
Herramienta Cyber Kill Chain del iNGFWde Hillstone
Actividades de movimientos laterales detectadas
Hillstone Server Breach Detection System(sBDS)
La solución sBDS de Hillstone es un componente clave del portafolio deseguridad de intranet, protegiendo activos críticos como son los servidores yapalancando la tecnología de Hillstone de detección para identificar hostscomprometidos y amenazas en la intranet. Monitorea el comportamiento de losservers estableciendo una linea base de comportamiento y cuando el patróncambia, el engine avanzado de comportamiento alerta el evento a otros enginesparalelos donde el eveento es caracterizado y se informa al equipo de respuestade incidentes con toda la información relevante.
Hillstone Server Breach Detection System(sBDS)
• Análisis Comprensivo de correlación para la detección de amenazas avanzadas.El motor de correlación de amenazas de Hillstone analiza losdetalles de las relaciones de cada caso de amenazasospechosa individual, así como otra información contextualdentro de la red, con el fin de conectar los puntos yproporcionar detección de ataques y malware preciso yefectivo con altos niveles de confianza.
Hillstone Server Breach Detection System(sBDS)
• Análisis Comprensivo de correlación para la detección de amenazas avanzadas.
Hillstone Server Breach Detection System(sBDS)
• Monitoreo de riesgos en tiempo real para la red internas y activos críticos.Permite a los administradores definir activos críticosbasados en su prioridad de operación, inspeccionar todo eltráfico que pasa a través de los activos con funcionesavanzadas de detección de amenazas y mostrar los detallesde riesgo y amenaza de cada activo crítico.
Hillstone Server Breach Detection System(sBDS)
• Monitoreo de riesgos en tiempo real para la red internas y activos críticos.
Hillstone Server Breach Detection System(sBDS)
• Visibilidad del ciclo de vida completo de la amenazas atraves del Cyber Kill ChainMapea los eventos de amenaza al modelo de la cadenacibernética (CKC) y proporciona una visión profunda delcamino de ataque de amenazas posteriores a la brechadentro de la red comprometida. Los administradores deseguridad pueden entender más sobre cada etapa delataque y tomar las medidas adecuadas para detener laexfiltración de datos confidenciales de la red interna.
Hillstone Server Breach Detection System(sBDS)
• Visibilidad del ciclo de vida completo de la amenazas atraves del Cyber Kill Chain
Hillstone Server Breach Detection System(sBDS)
• Deployment Scenario
Hillstone Server Breach Detection System(sBDS)
• Características principales• Análisis de correlación de amenazas
• Detección avanzada de amenazas
• Detección de comportamiento Anormal
• Detección de Intrusiones
• Virus Scan
• Detección de Ataques
• Identificación de Aplicaciones
Centros de datos redundantes
A medida que más empresas confían endisponibilidad 24/7/365 para sus aplicaciones, eldiseño de los centros de datos redundantes conconmutación por error se han vuelto cada vez máspopulares. Hasta hace poco, muchos de los firewallsmás sofisticados eran incapaces de garantizar laseguridad completa en un entorno de centro de datosredundantes.
Centros de datos redundantes
Problemas de Failover del Firewall de estados (Tráficoasimétrico)
• En una implementación de servicios distribuidos en laque unas pocas aplicaciones o los servicios se ejecutanen sólo uno de los dos centros de datos redundantes, enlugar de en ambos al mismo tiempo.
• Un escenario de copia de seguridad en el que unsegundo centro de datos se ha hecho cargo de unaaplicación de negocio que fracasó en el primer centro dedatos.
• Una migración de máquinas virtuales a través de la LANque se extienden desde un centro de datos a otro.
Scenario 1:Sin Firewall
Scenario 2:Firewall de Estados normal
31
32
Scenario 3: Hillstone Twin-Mode Firewall
Centros de datos redundantes
Problemas de Failover del Firewall de estados (Tráfico asimétrico)
Centros de datos redundantes
Hillstone Firewall de Modo Gemelo y Alta Disponibilidad
Hillstone CloudHive
• Hillstone CloudHive ofrece tecnología de micro-segmentación para asegurar cada máquina virtual (VM) a implementar en la nube.
• Proporciona una visibilidad completa del tráfico Este-Oeste y ofrece protección completa para detener los ataques laterales entre máquinas virtuales.
• Además, el servicio de seguridad CloudHive se puede escalar fácilmente para satisfacer la demanda sin interrupción del negocio.
Solución de Microsegmentación en la nube
Hillstone CloudHive
• El Módulo con Orquestación para la Seguridad Virtual (vSOM), integra y conecta lasPlataformas de Administración desde la Nube (CMP), gestiona el ciclo de vida delservicio CloudHive.
• El Módulo de Servicios Virtuales de Seguridad (VSSM), se implementa en cadaservidor físico para implementar su micro-segmentación y proporcionar servicios deseguridad L2-L7.
• El Módulo de Control Virtual de Seguridad (vSCM), es el panel de control, quepermite la configuración y distribución de políticas, así como la gestión del ciclo devida del vSSM.
Solución de Microsegmentación en la nube
Hillstone CloudHive
Solución de Microsegmentación en la nube
Hillstone CloudHive
Beneficios
• Logra Visibilidad Incomparable del Tráfico en Vivo• Reducen la Superficie de Ataque a Casi Cero• Escala la Seguridad sin Esfuerzo por Medio de Orquestación Activa.• Mejora la Eficiencia Mientras Reduce los costos:
Hillstone CloudEdge• Hillstone CloudEdge proporciona servicios avanzados de seguridad a lo largo de las
capas 2-7, compartiendo la tecnología base del NGFW para usuarios de las nubepúblicas y privadas. Puede ser desplegado a través de plataformas de gestión de lanube (CMPS) como "Servicio de Firewall" para una solución multi-inquilino en elentorno virtual.
• CloudEdge proporciona una gestión independiente, así como el acceso remoto deseguridad para cada inquilino al entorno virtual y a la nube multi-inquilino. CloudEdgees compatible con las principales tecnologías de hipervisor incluyendo: KVM, Xen,Hyper-V, VMware ESXi etc.
• También está estrechamente integrada y es compatible con los CMP, como el Servicio Web de Amazon (AWS),Microsoft Azure, AliCloud, Openstack y VMware vCenter.
Hillstone CloudEdge
Escenarios de implementación para CloudEdge
Hillstone Serie X Centro de DatosArquitectura de seguridad elástica
• Hasta 1000 Firewallsvirtuales con SLAsindependientes.
• Hasta 680 Gbps de Firewall• 240 Millones de sesiones
simultaneas.• 4.8 Millones de sesiones
nuevas por segundo.• Hasta 68 puertos 10Gb y 144
1 Gb.
Hillstone Cloud-Sandbox
Hillstone Cloud Sandbox entrega una plataforma avanzada de detección deamenazas avanzadas que puede emular el ambiente de ejecución y analizar todaslas actividades relativas a los archivos maliciosos colaborando con las solucionesexistentes para proveer una rápida remediación.
Hillstone Cloud-Sandbox
Hillstone Cloud Sandbox está compuesto de tres módulos: Análisis Estático, Analisisde comportamiento y Cloud Intelligence. Los tres módulos trabajan juntos para aseguar la eficiencia y eficacia de la de la detección de archivos maliciosos.
Hillstone At Glance
Fundada en 2006 por veteranos de Netscreen, Cisco y juniper
14,000+ clientes en 30 paises: financial, telecom, education, energy
600+ empleados, >50% en ingeniería
• Silver Lake Partners
• Northern Light Venture Capital
Beijing
Singapore
Silicon ValleySilicon Valley
Investors • Experienced leadership
from Netscreen, Cisco,
Juniper, Intel
World Class TeamDubai
Latin
America
Hillstone At Glance
Hillstone At Glance
Hillstone At Glance
¿Dudas?
