SlideShare ist ein Scribd-Unternehmen logo

Geraldo Bravo - Pós APT / Segurança da tática à prática - Mind The Sec (2015)

Geraldo Bravo
Geraldo Bravo

MindTheSec 2015 - Apresentação de Geraldo Bravo na Sala Soluções

Technologie
1 von 21
Downloaden Sie, um offline zu lesen
1 Fui vítima de APT, o que esperar em seguida? Segurança interna, da tática à prática Geraldo Bravo
2 Passo 2: Obter acesso administrativo (Ex: Usuário de suporte) Que comecem os jogos!!! Passo1: Phishing para obter um ponto de entrada Tech support Passo 3: Acessar um servidor
3 E a história se repete..... ▪ Dia Zero ▪ Exploração inicial ▪ C&C (instalação e uso) ▪ Elevação de privilégio ▪ Reconnaisance ▪ Movimentação lateral ▪ Obtenção de dados confidenciais/importantes ▪ Retirada de dados
4 Principais fatores – Infecção e propagação ▪ Detecção ineficiente (dia zero) ▪ Operação insegura e ausência de: ■ Boas práticas de administração • Active directory, devices de rede ■ Técnicas de desenvolvimento seguro ■ Segregação de acessos • Mínimo privilégio necessário • Need to know
5 Os APTs são perigosos (OK, já sabemos) 60% das empresas foram comprometidas em minutos 205Dias em média entre o ataque inicial e a detecção 98% Dos casos envolveram contas do Active Directory
6 Elevação de privilégio... Exemplo rápido • Estação infectada: varre hashes de Kerberos de usuários logados. • Reconnaissance para encontrar outros targets • Uso dos hashes para acessar outras máquinas (Pass- the-Hash, Overpass-the-Hash) • Estabelece outras bases, e de lá a movimentação se repete Ou..... Busca em TXT, XLS e DOC (!?)
7 O Santo Graal: Credencial Privilegiada? ▪ Keyloggers: Obter senhas digitadas (DB, equipamentos de rede, etc) ▪ Memory scraper: Obter hashes NTLM e Kerberos ▪ DLLs ▪ Contas locais: Mesma senha? ▪ Arquivos ini ▪ DB: credenciais hard coded ▪ Domain Admin, Enterprise admin: Game Over ■ Kerberos Golden ticket, PTH
8 Contas Privilegiadas: Uma bela superfície de ataque Contas Privilegiadas Suporte, admin, TI Parceiros e prestadores de serviço Key users Midias sociais Credenciais Web Aplicações • Qualquer dispositivo que seja possui credenciais administrativas • Vemos uma média de credenciais privilegiadas 3x maior que o numero de pessoas na empresa
9 Remediação
10 Como agir • Em casos mais simples: • Isolar equipamentos suspeitos • Obter atualizações necessárias • Reorganizar proteção • Forense para determinar “estragos” • Nos piores casos – atividades sincronizadas: • Ajuda especializada • Recriar estrurura de AD – reset de todas as contas • Atualizar imagens • Reinserir equipamentos • Reorganizar proteção • Forense para determinar “estragos”
11 Novo front, Nova mentalidade
12 Paradigma atual • Manter o intruso fora da rede • Detectar, Detectar, Detectar • Atuar no perímetro: • NIPS, Mail analysis, Webfiltering • Proteger a rede interna • AV, Sandbox, static code analysis, SIEM Em todos os grandes casos... As soluções existiam, e estavam atualizadas...
13 Psicologia reversa • Não posso manter os malfeitores fora da rede – 100% do tempo • Tornar a vida deles um inferno: • Diminuir superfície • Adotar boas práticas • Camadas internas de proteção • Induzir ao erro • CONHEÇA SEU AMBIENTE
14 Você conhece seu ambiente? De verdade? Service Accounts User Accounts Embedded credentials Interactive logons
15 Ativos de risco 10% 50% 100% Baixo Médio Alto
16 Superfície diminuindo • Proteja credenciais • Privileged Account Security • Remova credenciais de vetores acessíveis • Arquivos ini, códigos de app, etc • Monitore atividades • Das credenciais • Das máquinas • Em arquivos • Duplo fator de autenticação
17 Camada interna
18 Práticas adicionais • Diminuição de contas administrativas • Trocas de senha periódicas e senhas únicas • Codificação segura • Isolamento de sessões/Segregação de rede • App Control
19 Práticas adicionais – cont. • Mínimo privilégio necessário • Need to know • Revisão de acessos • Revisão periódica • Duplo fator de autenticação
20 Futuro... e além! • Os atacantes seguem evoluindo rapidamente • Possuem recursos • Possuem a motivação • Inove também • O Brasil segue no alvo (por que não?)
21 Encerramento Obrigado!!! Contato: Geraldo.bravo@cyberark.com Linkedin: br.linkedin.com/in/geraldobravo

Empfohlen

Risco aplicado à Privacidade e Proteção de dados
Risco aplicado à Privacidade e Proteção de dadosRisco aplicado à Privacidade e Proteção de dados
Risco aplicado à Privacidade e Proteção de dadosAlexandre Prata
 
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidadeBe Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidadeSymantec Brasil
 
Aula.revisao av2 gsi
Aula.revisao av2 gsiAula.revisao av2 gsi
Aula.revisao av2 gsiThais Oliveira
 
NSM (Network Security Monitoring) - Tecland Chapeco
NSM (Network Security Monitoring) - Tecland ChapecoNSM (Network Security Monitoring) - Tecland Chapeco
NSM (Network Security Monitoring) - Tecland ChapecoRodrigo Montoro
 
Analisando pacotes for fun and packet - Conceito de Network Security Monitori...
Analisando pacotes for fun and packet - Conceito de Network Security Monitori...Analisando pacotes for fun and packet - Conceito de Network Security Monitori...
Analisando pacotes for fun and packet - Conceito de Network Security Monitori...Rodrigo Montoro
 
Pentest cool
Pentest coolPentest cool
Pentest coolAdilson Da Rocha
 
Como começar na área de PenTest - Womcy Security Day Fatec
Como começar na área de PenTest - Womcy Security Day FatecComo começar na área de PenTest - Womcy Security Day Fatec
Como começar na área de PenTest - Womcy Security Day FatecJoas Antonio dos Santos
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Clavis Segurança da Informação
 

Empfohlen

Risco aplicado à Privacidade e Proteção de dados
Risco aplicado à Privacidade e Proteção de dadosRisco aplicado à Privacidade e Proteção de dados
Risco aplicado à Privacidade e Proteção de dadosAlexandre Prata
 
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidadeBe Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidadeSymantec Brasil
 
Aula.revisao av2 gsi
Aula.revisao av2 gsiAula.revisao av2 gsi
Aula.revisao av2 gsiThais Oliveira
 
NSM (Network Security Monitoring) - Tecland Chapeco
NSM (Network Security Monitoring) - Tecland ChapecoNSM (Network Security Monitoring) - Tecland Chapeco
NSM (Network Security Monitoring) - Tecland ChapecoRodrigo Montoro
 
Analisando pacotes for fun and packet - Conceito de Network Security Monitori...
Analisando pacotes for fun and packet - Conceito de Network Security Monitori...Analisando pacotes for fun and packet - Conceito de Network Security Monitori...
Analisando pacotes for fun and packet - Conceito de Network Security Monitori...Rodrigo Montoro
 
Pentest cool
Pentest coolPentest cool
Pentest coolAdilson Da Rocha
 
Como começar na área de PenTest - Womcy Security Day Fatec
Como começar na área de PenTest - Womcy Security Day FatecComo começar na área de PenTest - Womcy Security Day Fatec
Como começar na área de PenTest - Womcy Security Day FatecJoas Antonio dos Santos
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Clavis Segurança da Informação
 
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Clavis Segurança da Informação
 
Infosec e pentesting - Escolha o seu lado!
Infosec e pentesting - Escolha o seu lado!Infosec e pentesting - Escolha o seu lado!
Infosec e pentesting - Escolha o seu lado!Leandro Magnabosco
 
SQL Server ES - Visão geral sobre segurança
SQL Server ES - Visão geral sobre segurançaSQL Server ES - Visão geral sobre segurança
SQL Server ES - Visão geral sobre segurançaDirceu Resende
 
CHEFE, O PENTEST FINALIZOU! … E AGORA?
CHEFE, O PENTEST FINALIZOU! … E AGORA?CHEFE, O PENTEST FINALIZOU! … E AGORA?
CHEFE, O PENTEST FINALIZOU! … E AGORA?iBLISS Segurança & Inteligência
 
Palestra: Pentest - Intrusão de Redes
Palestra: Pentest - Intrusão de RedesPalestra: Pentest - Intrusão de Redes
Palestra: Pentest - Intrusão de RedesBruno Alexandre
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DFGerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DFClavis Segurança da Informação
 
Ransomware como proteger sua empresa
Ransomware como proteger sua empresa Ransomware como proteger sua empresa
Ransomware como proteger sua empresa Bravo Tecnologia
 
Proteja-se de um Insider Threat
Proteja-se de um Insider ThreatProteja-se de um Insider Threat
Proteja-se de um Insider ThreatMarcos Silva
 
Csirt
CsirtCsirt
CsirtRenato Basante Borbolla
 
Pentest Auto-Ensinado
Pentest Auto-EnsinadoPentest Auto-Ensinado
Pentest Auto-EnsinadoLeandro Magnabosco
 
Aula import seg
Aula import segAula import seg
Aula import segJorgewfAlves
 
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" "Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" Clavis Segurança da Informação
 
Análise de Malware
Análise de MalwareAnálise de Malware
Análise de MalwareRenato Basante Borbolla
 
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Clavis Segurança da Informação
 
Tendências na segurança da informação
Tendências na segurança da informaçãoTendências na segurança da informação
Tendências na segurança da informaçãoFabio Leandro
 
Segurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalSegurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalJefferson Costa
 
Aula03 – Códigos Maliciosos e Tipos de Ataques
Aula03 – Códigos Maliciosos e Tipos de AtaquesAula03 – Códigos Maliciosos e Tipos de Ataques
Aula03 – Códigos Maliciosos e Tipos de AtaquesCarlos Veiga
 
Palestra Segurança da Informação e Servidores
Palestra Segurança da Informação e ServidoresPalestra Segurança da Informação e Servidores
Palestra Segurança da Informação e ServidoresCesar Augusto Pinheiro Vitor
 
Ransomware e a proxima geracao de ameacas ciberneticas
Ransomware e a proxima geracao de ameacas ciberneticasRansomware e a proxima geracao de ameacas ciberneticas
Ransomware e a proxima geracao de ameacas ciberneticasBravo Tecnologia
 
Aula 04 - Seguranca da Informacao.pdf
Aula 04 - Seguranca da Informacao.pdfAula 04 - Seguranca da Informacao.pdf
Aula 04 - Seguranca da Informacao.pdfpolisolventepolisolv
 
Blindando sua nuvem: Respondendo as ameaças
Blindando sua nuvem: Respondendo as ameaçasBlindando sua nuvem: Respondendo as ameaças
Blindando sua nuvem: Respondendo as ameaçasAmazon Web Services LATAM
 
Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )
Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )
Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )Rafael Biriba
 

Weitere ähnliche Inhalte

Was ist angesagt?

Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Clavis Segurança da Informação
 
Infosec e pentesting - Escolha o seu lado!
Infosec e pentesting - Escolha o seu lado!Infosec e pentesting - Escolha o seu lado!
Infosec e pentesting - Escolha o seu lado!Leandro Magnabosco
 
SQL Server ES - Visão geral sobre segurança
SQL Server ES - Visão geral sobre segurançaSQL Server ES - Visão geral sobre segurança
SQL Server ES - Visão geral sobre segurançaDirceu Resende
 
Palestra: Pentest - Intrusão de Redes
Palestra: Pentest - Intrusão de RedesPalestra: Pentest - Intrusão de Redes
Palestra: Pentest - Intrusão de RedesBruno Alexandre
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DFGerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DFClavis Segurança da Informação
 
Ransomware como proteger sua empresa
Ransomware como proteger sua empresa Ransomware como proteger sua empresa
Ransomware como proteger sua empresa Bravo Tecnologia
 
Proteja-se de um Insider Threat
Proteja-se de um Insider ThreatProteja-se de um Insider Threat
Proteja-se de um Insider ThreatMarcos Silva
 
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" "Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" Clavis Segurança da Informação
 
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Clavis Segurança da Informação
 

Was ist angesagt? (14)

Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
 
Infosec e pentesting - Escolha o seu lado!
Infosec e pentesting - Escolha o seu lado!Infosec e pentesting - Escolha o seu lado!
Infosec e pentesting - Escolha o seu lado!
 
SQL Server ES - Visão geral sobre segurança
SQL Server ES - Visão geral sobre segurançaSQL Server ES - Visão geral sobre segurança
SQL Server ES - Visão geral sobre segurança
 
CHEFE, O PENTEST FINALIZOU! … E AGORA?
CHEFE, O PENTEST FINALIZOU! … E AGORA?CHEFE, O PENTEST FINALIZOU! … E AGORA?
CHEFE, O PENTEST FINALIZOU! … E AGORA?
 
Palestra: Pentest - Intrusão de Redes
Palestra: Pentest - Intrusão de RedesPalestra: Pentest - Intrusão de Redes
Palestra: Pentest - Intrusão de Redes
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DFGerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
 
Ransomware como proteger sua empresa
Ransomware como proteger sua empresa Ransomware como proteger sua empresa
Ransomware como proteger sua empresa
 
Proteja-se de um Insider Threat
Proteja-se de um Insider ThreatProteja-se de um Insider Threat
Proteja-se de um Insider Threat
 
Csirt
CsirtCsirt
Csirt
 
Pentest Auto-Ensinado
Pentest Auto-EnsinadoPentest Auto-Ensinado
Pentest Auto-Ensinado
 
Aula import seg
Aula import segAula import seg
Aula import seg
 
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" "Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
 
Análise de Malware
Análise de MalwareAnálise de Malware
Análise de Malware
 
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
 

Ähnlich wie Geraldo Bravo - Pós APT / Segurança da tática à prática - Mind The Sec (2015)

Tendências na segurança da informação
Tendências na segurança da informaçãoTendências na segurança da informação
Tendências na segurança da informaçãoFabio Leandro
 
Segurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalSegurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalJefferson Costa
 
Aula03 – Códigos Maliciosos e Tipos de Ataques
Aula03 – Códigos Maliciosos e Tipos de AtaquesAula03 – Códigos Maliciosos e Tipos de Ataques
Aula03 – Códigos Maliciosos e Tipos de AtaquesCarlos Veiga
 
Ransomware e a proxima geracao de ameacas ciberneticas
Ransomware e a proxima geracao de ameacas ciberneticasRansomware e a proxima geracao de ameacas ciberneticas
Ransomware e a proxima geracao de ameacas ciberneticasBravo Tecnologia
 
Aula 04 - Seguranca da Informacao.pdf
Aula 04 - Seguranca da Informacao.pdfAula 04 - Seguranca da Informacao.pdf
Aula 04 - Seguranca da Informacao.pdfpolisolventepolisolv
 
Blindando sua nuvem: Respondendo as ameaças
Blindando sua nuvem: Respondendo as ameaçasBlindando sua nuvem: Respondendo as ameaças
Blindando sua nuvem: Respondendo as ameaçasAmazon Web Services LATAM
 
Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )
Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )
Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )Rafael Biriba
 
Be Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo Conformidade
Be Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo ConformidadeBe Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo Conformidade
Be Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo ConformidadeSymantec Brasil
 
iNTRODUCAO-A-ENGENHARIA-SOCIAL-PRATICA-pdf - Copia.pdf
iNTRODUCAO-A-ENGENHARIA-SOCIAL-PRATICA-pdf - Copia.pdfiNTRODUCAO-A-ENGENHARIA-SOCIAL-PRATICA-pdf - Copia.pdf
iNTRODUCAO-A-ENGENHARIA-SOCIAL-PRATICA-pdf - Copia.pdfHelenaReis48
 
Aula02 conceitos de segurança
Aula02 conceitos de segurançaAula02 conceitos de segurança
Aula02 conceitos de segurançaCarlos Veiga
 
5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidades5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidadesHumberto Xavier
 
Segurança física e lógica e análise de vulnerabilidade 1
Segurança física e lógica e análise de vulnerabilidade 1Segurança física e lógica e análise de vulnerabilidade 1
Segurança física e lógica e análise de vulnerabilidade 1Diego BBahia
 
Segurança física e lógica e análise de vulnerabilidade
Segurança física e lógica e análise de vulnerabilidadeSegurança física e lógica e análise de vulnerabilidade
Segurança física e lógica e análise de vulnerabilidadeDiego BBahia
 
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"Symantec Brasil
 
Workshop - Fundamentos de Ethical Hacking
Workshop - Fundamentos de Ethical HackingWorkshop - Fundamentos de Ethical Hacking
Workshop - Fundamentos de Ethical HackingKaique Bonato
 
Ransomware - Conceitos e Prevenção
Ransomware - Conceitos e PrevençãoRansomware - Conceitos e Prevenção
Ransomware - Conceitos e PrevençãoMaurício Harley
 
Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataqu...
Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataqu...Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataqu...
Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataqu...Magno Logan
 

Ähnlich wie Geraldo Bravo - Pós APT / Segurança da tática à prática - Mind The Sec (2015) (20)

Tendências na segurança da informação
Tendências na segurança da informaçãoTendências na segurança da informação
Tendências na segurança da informação
 
Segurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalSegurança da informação - Forense Computacional
Segurança da informação - Forense Computacional
 
Aula03 – Códigos Maliciosos e Tipos de Ataques
Aula03 – Códigos Maliciosos e Tipos de AtaquesAula03 – Códigos Maliciosos e Tipos de Ataques
Aula03 – Códigos Maliciosos e Tipos de Ataques
 
Palestra Segurança da Informação e Servidores
Palestra Segurança da Informação e ServidoresPalestra Segurança da Informação e Servidores
Palestra Segurança da Informação e Servidores
 
Ransomware e a proxima geracao de ameacas ciberneticas
Ransomware e a proxima geracao de ameacas ciberneticasRansomware e a proxima geracao de ameacas ciberneticas
Ransomware e a proxima geracao de ameacas ciberneticas
 
Aula 04 - Seguranca da Informacao.pdf
Aula 04 - Seguranca da Informacao.pdfAula 04 - Seguranca da Informacao.pdf
Aula 04 - Seguranca da Informacao.pdf
 
Blindando sua nuvem: Respondendo as ameaças
Blindando sua nuvem: Respondendo as ameaçasBlindando sua nuvem: Respondendo as ameaças
Blindando sua nuvem: Respondendo as ameaças
 
Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )
Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )
Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )
 
Be Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo Conformidade
Be Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo ConformidadeBe Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo Conformidade
Be Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo Conformidade
 
iNTRODUCAO-A-ENGENHARIA-SOCIAL-PRATICA-pdf - Copia.pdf
iNTRODUCAO-A-ENGENHARIA-SOCIAL-PRATICA-pdf - Copia.pdfiNTRODUCAO-A-ENGENHARIA-SOCIAL-PRATICA-pdf - Copia.pdf
iNTRODUCAO-A-ENGENHARIA-SOCIAL-PRATICA-pdf - Copia.pdf
 
Cnasi sp apresentação marcelo souza
Cnasi sp apresentação marcelo souzaCnasi sp apresentação marcelo souza
Cnasi sp apresentação marcelo souza
 
Aula02 conceitos de segurança
Aula02 conceitos de segurançaAula02 conceitos de segurança
Aula02 conceitos de segurança
 
5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidades5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidades
 
Segurança física e lógica e análise de vulnerabilidade 1
Segurança física e lógica e análise de vulnerabilidade 1Segurança física e lógica e análise de vulnerabilidade 1
Segurança física e lógica e análise de vulnerabilidade 1
 
Segurança física e lógica e análise de vulnerabilidade
Segurança física e lógica e análise de vulnerabilidadeSegurança física e lógica e análise de vulnerabilidade
Segurança física e lógica e análise de vulnerabilidade
 
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
 
Workshop - Fundamentos de Ethical Hacking
Workshop - Fundamentos de Ethical HackingWorkshop - Fundamentos de Ethical Hacking
Workshop - Fundamentos de Ethical Hacking
 
Ransomware - Conceitos e Prevenção
Ransomware - Conceitos e PrevençãoRansomware - Conceitos e Prevenção
Ransomware - Conceitos e Prevenção
 
Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataqu...
Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataqu...Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataqu...
Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataqu...
 
SDI Aula 1
SDI Aula 1SDI Aula 1
SDI Aula 1
 

Geraldo Bravo - Pós APT / Segurança da tática à prática - Mind The Sec (2015)

  • 1. 1 Fui vítima de APT, o que esperar em seguida? Segurança interna, da tática à prática Geraldo Bravo
  • 2. 2 Passo 2: Obter acesso administrativo (Ex: Usuário de suporte) Que comecem os jogos!!! Passo1: Phishing para obter um ponto de entrada Tech support Passo 3: Acessar um servidor
  • 3. 3 E a história se repete..... ▪ Dia Zero ▪ Exploração inicial ▪ C&C (instalação e uso) ▪ Elevação de privilégio ▪ Reconnaisance ▪ Movimentação lateral ▪ Obtenção de dados confidenciais/importantes ▪ Retirada de dados
  • 4. 4 Principais fatores – Infecção e propagação ▪ Detecção ineficiente (dia zero) ▪ Operação insegura e ausência de: ■ Boas práticas de administração • Active directory, devices de rede ■ Técnicas de desenvolvimento seguro ■ Segregação de acessos • Mínimo privilégio necessário • Need to know
  • 5. 5 Os APTs são perigosos (OK, já sabemos) 60% das empresas foram comprometidas em minutos 205Dias em média entre o ataque inicial e a detecção 98% Dos casos envolveram contas do Active Directory
  • 6. 6 Elevação de privilégio... Exemplo rápido • Estação infectada: varre hashes de Kerberos de usuários logados. • Reconnaissance para encontrar outros targets • Uso dos hashes para acessar outras máquinas (Pass- the-Hash, Overpass-the-Hash) • Estabelece outras bases, e de lá a movimentação se repete Ou..... Busca em TXT, XLS e DOC (!?)
  • 7. 7 O Santo Graal: Credencial Privilegiada? ▪ Keyloggers: Obter senhas digitadas (DB, equipamentos de rede, etc) ▪ Memory scraper: Obter hashes NTLM e Kerberos ▪ DLLs ▪ Contas locais: Mesma senha? ▪ Arquivos ini ▪ DB: credenciais hard coded ▪ Domain Admin, Enterprise admin: Game Over ■ Kerberos Golden ticket, PTH
  • 8. 8 Contas Privilegiadas: Uma bela superfície de ataque Contas Privilegiadas Suporte, admin, TI Parceiros e prestadores de serviço Key users Midias sociais Credenciais Web Aplicações • Qualquer dispositivo que seja possui credenciais administrativas • Vemos uma média de credenciais privilegiadas 3x maior que o numero de pessoas na empresa
  • 10. 10 Como agir • Em casos mais simples: • Isolar equipamentos suspeitos • Obter atualizações necessárias • Reorganizar proteção • Forense para determinar “estragos” • Nos piores casos – atividades sincronizadas: • Ajuda especializada • Recriar estrurura de AD – reset de todas as contas • Atualizar imagens • Reinserir equipamentos • Reorganizar proteção • Forense para determinar “estragos”
  • 11. 11 Novo front, Nova mentalidade
  • 12. 12 Paradigma atual • Manter o intruso fora da rede • Detectar, Detectar, Detectar • Atuar no perímetro: • NIPS, Mail analysis, Webfiltering • Proteger a rede interna • AV, Sandbox, static code analysis, SIEM Em todos os grandes casos... As soluções existiam, e estavam atualizadas...
  • 13. 13 Psicologia reversa • Não posso manter os malfeitores fora da rede – 100% do tempo • Tornar a vida deles um inferno: • Diminuir superfície • Adotar boas práticas • Camadas internas de proteção • Induzir ao erro • CONHEÇA SEU AMBIENTE
  • 14. 14 Você conhece seu ambiente? De verdade? Service Accounts User Accounts Embedded credentials Interactive logons
  • 15. 15 Ativos de risco 10% 50% 100% Baixo Médio Alto
  • 16. 16 Superfície diminuindo • Proteja credenciais • Privileged Account Security • Remova credenciais de vetores acessíveis • Arquivos ini, códigos de app, etc • Monitore atividades • Das credenciais • Das máquinas • Em arquivos • Duplo fator de autenticação
  • 18. 18 Práticas adicionais • Diminuição de contas administrativas • Trocas de senha periódicas e senhas únicas • Codificação segura • Isolamento de sessões/Segregação de rede • App Control
  • 19. 19 Práticas adicionais – cont. • Mínimo privilégio necessário • Need to know • Revisão de acessos • Revisão periódica • Duplo fator de autenticação
  • 20. 20 Futuro... e além! • Os atacantes seguem evoluindo rapidamente • Possuem recursos • Possuem a motivação • Inove também • O Brasil segue no alvo (por que não?)