ciso lawyers in tic researcher analista de malware ... edge...emet •implementación de múltiples...
TRANSCRIPT
• CISO Lawyers In Tic
• CTO NetSat
• Researcher
• Analista de malware
• INFOSEC & Ethical Hacking
Sistemas Industriales
Monitorear
Controlar
Gestionar
Advanced Persistent ThreatAPTs
Definiendo realmente una APT
Amenaza PersistenteAvanzada
TiempoDinero
Motivación
Ataques personalizados
Bajo y lento
Dinero y organización
Ataques simultáneos y diversos
Redes sociales
APTs En entornos industriales
Kill Chain Attacks
reconocimiento Prepararse Envió
ExplotaciónInstalación
Conexión Acciones
BlackEnergy
Ingeniería socialAPTsVulnerabilidades
Análisis de caso real
“Windows OLE Remote Code Execution Vulnerability”
Spear-phishingVirus.ppt(.INF) Llamado a
archivo remoto mediante una
ruta UNC
\\SERVER\SHARE\FILE.TXT
\\198.51.100.5\REMOTE.DAT
Conexión a C&CDescarga de archivos slides.inf
slide1.gif
slides.inf renombra a slide1.gif
slide1.gif.exe
PPT
SandwormEn entornos industriales
Nueva variante!
.cim & .bcl
CIMPLICITY HMI Solution Suite de General Electric
%CIMPATH%. config.bak CimEdit/CimView
(CIMPLICITY)
config.bak
OnOpenExecCommand ScreenOpenDispatch
Spiskideputatovdone.ppsSlide1.gif.exe
FONTCACHE.DAT
Detección
HoneyPots
EMET
EMET• Implementación de múltiples medidas de seguridad: DEP, ASLR,
SEHOP, EAF, HSA, NPA, BUR sin necesidad de recompilar software.
• Altamente configurable: las medidas de mitigación son muy flexibles,permitiendo aplicar las mismas en los procesos que se elijan.
• Facilidad de uso y de despliegue: EMET dispone de una interfazgráfica desde la que configurar todos los parámetros deseados
Prevención
Identificación de elementos
críticos
Establecer los protocolos para la gestión de
permisos
Actualizar los sistemas operativos, hardware y software
Rutina periódica de actualización y parcheo
Identificar los dispositivos
Buenas practicas de desarrollo
Procedimientos de registro de incidentes
Definircontroles
Segmentación de redes
Plan de recuperación Operacional