Prevención de Ataques Día-0 con Aranda 360 ENDPOINT SECURITY ANDREZ LAMOUROUX S. Security Solutions Manager LATAM

Más de 20 millones de nuevos códigos

maliciosos en 2010.

55.000 nuevas variantes por día

aproximadamente.

La tasa de propagación puede exceder los

180.000 PC’s por día.

El tiempo promedio de respuesta de un

fabricante de antivirus es de más de 13 horas.

Compañías encuestadas pagaron en promedio

US$289.000 en 2008 por problemas de

seguridad*.

* Fuente : CSI Computer Crime and Security Survey 2009

Virus Desconocidos

Tipo de Producto

Tecnología

Objetivo

Limitación

Antivirus

Unión de patrones

Detener virus y spam

Amenazas

desconocidas

Firewall Personal

Filtro de red

Detener las intromisiones a la red

Ataques

sigilosos

RPV (red privada

virtual “VPN”)

Autenticación y encripción

Protección de comunicación remota

Sistemas corruptos

Las soluciones de seguridad actuales no ofrecen la protección suficiente.

¡Su negocio se encuentra en riesgo!

Deficiencias de

las soluciones actuales

• Es una amenaza informática que trata de explotar las vulnerabilidades de aplicaciones que son desconocidos para otros que no se han dado a conocer al desarrollador del software.

• Los exploits de día cero (código actual que puede utilizar un agujero de seguridad para llevar a cabo un ataque) son utilizados o compartidos por los atacantes antes de que el desarrollador de software sepa acerca de la vulnerabilidad.

Ataque de Día-0

• Sitios Web Falsos: El código en el sitio puede explotar una vulnerabilidad en el navegador web.

• Archivos adjuntos en correo: Aprovechan las vulnerabilidades de la aplicación (Office, Adobe Reader/Flash, etc.)

• Malware: Toma ventaja de los exploits para comprometer sistemas, robar información, robar identidad.

Vectores de Ataque

• El desarrollador crea software que contiene una vulnerabilidad (desconocida).

• El atacante encuentra la vulnerabilidad antes de que el desarrollador la descubra.

• El atacante escribe y distribuye un exploit de la vulnerabilidad. El desarrollador aun desconoce la vulnerabilidad.

• El desarrollador encuentra la vulnerabilidad y comienza a trabajar en una solución.

Ventana de Vulnerabilidad

Demos

Vulnerabilidad

• Remote Desktop Protocol (RDP) de Microsoft Windows (XP SP3, 2003, Vista, 2008 SP2, R2 y R2 SP1, y Windows 7 no procesa correctamente los paquetes en la memoria.

• Permite a atacantes remotos ejecutar código arbitrario mediante el envío de paquetes especiales RDP disparando el acceso a un objeto que (1) no se ha inicializado correctamente o (2) es eliminado.

Ataque

• Este módulo explota la vulnerabilidad MS12-20 RDP originalmente descubierta y reportada por Luigi Auriemma.

• La falla se puede encontrar en la forma en que el paquete T.125 ConnectMCSPDU es manejado en el campo maxChannelIDs, lo que resultará que un puntero no válido sea utilizado, y por lo tanto, causando una denegación de servicio.

Vulnerabilidad Remote Desktop Protocol

Vulnerabilidad

• Los controles ActiveX (1) ListView (2) ListView2, (3) TreeView, y (4) TreeView2 los controles en MSCOMCTL.OCX en los controles comunes de Microsoft Office 2003 SP3, 2007 SP2 y SP3 y otros, permiten a atacantes remotos ejecutar código arbitrario a través de (a) sitio web elaborado, (b) documento de Office, o (c) archivo .rtf que dispara una corrupción “system state“.

• También conocido como “Vulnerabilidad MSCOMCTL.OCX RCE“.

Ataque

• En este módulo aprovecha un desbordamiento de búfer en MSCOMCTL.OCX.

• Utiliza un archivo RTF malicioso para incrustar un control especialmente diseñado (MSComctlLib.ListViewCtrl.2).

• Esta cadena utiliza "msgr3en.dll", que se cargará después de la oficina se cargará después de la carga de Office, por lo que el archivo malicioso debe ser cargado a través de "Archivo / Abrir" para lograr la explotación.

Vulnerabilidad MSCOMCTL.OCX

Vulnerabilidad

• Las versiones de Adobe Flash Player anteriores a versiones 10.3.183.15, 11.1.102.62 11.x en Windows, Mac OS X, Linux y Solaris, anteriores a versión 11.1.111.6 en Android 2.x y 3.x, y anteriores a versión 11.1.115.6 en Android 4.x permite a los atacantes ejecutar código arbitrario o causar una denegación de servicio (corrupción de memoria) a través de vectores no especificados.

Ataque

• Este módulo aprovecha una vulnerabilidad en Adobe Flash Player.

• Proporcionando un archivo corrupto .mp4 cargado por Flash, es posible obtener la ejecución arbitraria de código remoto en el contexto del usuario.

• Esta vulnerabilidad ha sido explotada ampliamente como parte del ataque de correo electrónico “Iran’s Oil Nuclear Situation.doc”.

Vulnerabilidad Adobe Flash Player

• Protección limitada contra vulnerabilidades genéricas de corrupción de memoria.

• Mitigación de desbordamientos de memoria (Buffer Overflow).

• Protección de Múltiples Capas:

– ACL (Listas de Control de Acceso)

– NAC (Control de Acceso a la Red)

– Firewall

• Análisis Conductual:

– MD5 Checksums

– Perfil de Comportamiento

Protección de Día-0

Aranda 360 ENDPOINT SECURITY

Solución de seguridad y protección de múltiples

capas que permite controlar y reforzar políticas

de seguridad de forma dinámica y sencilla en

los puntos finales de la red corporativa.

Aranda 360 proporciona la oferta de seguridad más proactiva

y de mejor desempeño en el mercado.

Sistema de Prevención de Intrusos (HIPS)

Protección contra software dañino (gusanos, troyanos y virus).

Prevención de ataques de Dia-0

Prevención de ataques de desbordamientos de memoria

Firewall Dinámico (Dynamic Firewall)

Firewall integrado al kernel de Windows

Filtrado de tráfico de red (MAC, IP, Protocolo IP/TCP, Puertos)

Control de Aplicaciones (Application Control)

Control de instalación y ejecución de aplicaciones

Administración de listas blancas y listas negras

Control centralizado de archivos y procesos activos del sistema

Aranda 360 SYSTEM PROTECTION

Control de Acceso a la Red (Network Access Control)

Verificación de procesos activos del sistema

Aplicación de políticas de cuarntena

Ejecución de scripts para la solución de problemas

Verificación de actualizaciones de firmas y parches (Antivirus)

Políticas para Usuarios Móviles Definición de políticas contextuales de seguridad

Políticas de acuerdo al sitio o tipo de conexión

Desactivación segura y remota del agente

Aranda 360 SYSTEM PROTECTION

• Protección de capas múltiples y basada en análisis conductual – Ningún otro producto tiene esto

– No depende de actualizaciones de firmas como los AV.

• Verdadera integración de un único Agente/Consola – No es integración a nivel de PDFs de partes y piezas adquiridas

• El agente mas pequeño y de menor consumo de recursos en el mercado

• Nivel de granularidad en los módulos sin comparación

Ventajas Competitivas

• La mayoría de los productos de seguridad endpoint se basan en protecciones mediante firmas.

– Antivirus Estándar • Symantec, McAfee, Sophos, ESET, Kaspersky, etc.

– Control de Aplicaciones • Productos de Listas Negras/Blancas como Bit9

– Productos basados en reputación • Symantec Quorum (Norton Insight)

Protección Conductual vs. Basada en Firmas

Si la protección basada en firmas no es la respuesta entonces que lo es?

• Las capacidades HIPS de Aranda 360 han eclipsado otras ofertas competitivas: – Protección de 3ª generación contra desbordamientos de memoria con

5 capas de colaboración y protección integradas (ASLR, Nx/Xd, Backtracing, Honeypot y ret-lib-c)

– Profunda protección contra Rootkits

– Completo control a nivel del kernel

– Verificación por tipo de archivo en USB/CD/DVD

Protección Conductual de Aranda 360

Si la protección basada en firmas no es la respuesta entonces que lo es?

• Control de Aplicaciones – Aranda 360 puede ser utilizado en ambos modos para el control de

aplicaciones, archivos, acceso al red y acceso al registro.

– Bloqueo de instalación de software

– Relaciónes de confianza con Aranda SOFTWARE DELIVERY, Microsoft SMS o LanDesk para permitir despliegue de nuevas aplicaciones.

• Protección contra ataques al kernel mediante la detección y bloqueo de instalación de Rootkits

Protección Conductual de Aranda 360

Si la protección basada en firmas no es la respuesta entonces que lo es?

• Prevención de Intrusiones en la Red – IPS que verifica la integridad de los paquetes basándose en los RFC de

todos lo protocolos del modelo TCP/IP (Ethernet, IP, TCP, UDP, ICMP)

– Aranda 360 puede ser utilizado en ambos modos para el control de aplicaciones, archivos, acceso al red y acceso al registro.

• Detección y bloqueo de mecanismos de intrusión en la red – Análisis de puertos

– Envenenamiento ARP

– Denegación de Servicio (DOS)

– Inundaciones IP

Protección Multicapas de Aranda 360

• Agente basado en el kernel diseñado para minimizar el impacto:

– Agente Premium (todos los módulos) pesa menos de 25 MB.

– Instalador MSI del Agente pesa 12 MB

– El Agente utiliza menos de 15 MB de memoria RAM bajo condiciones normales de operación

– No más de 5% de CPU en condiciones normales.

El tamaño del Agente SI importa!

• Preguntas?

andrez.lamouroux@arandasoft.com @DarkOperator