windows 2003 sem suporte: por que você deveria se preocupar
Post on 15-Jan-2017
175 Views
Preview:
TRANSCRIPT
Windows 2003 sem suporte: por que você deveria se preocupar?
Anderson Rios Senior Technical Account Manager Wesly Alves Systems Engineer
Bruno Nazareth, CISSP Senior Systems Engineer
PorFfolio Symantec
Copyright © 2015 Symantec Corpora=on 3
Serviços de Cyber Segurança • Monitoramento, Resposta a Incidentes, Simulação, Inteligência contra
Ameaças
Proteção contra Ameaças
ENDPOINTS DATA CENTER GATEWAY
• Prevenção de Ameaças, Detecção, Forense & Resposta
• Disposi=vos, Email, Servidores, Virtual & Cloud • Disponível On-‐premise e Cloud
Plataforma Unificada para Análise de Segurança • Análise de segurança através de Big data; disponível self-‐service
Telemetria Gerenciamento de Incidentes
Engines de Proteção
Inteligência Global
Análise de Ameaças
Proteção da Informação
DADOS ACESSO
• Proteção de Iden=dade e DLP
• Gerencia de Chaves .Cloud • Cloud Security Broker
Usuários
Dados
Apps
Cloud
Disposi=vos
Rede
Data Center
CENÁRIO DE AMEAÇAS ASCENDENTE
ATACANTES MAIS ÁGEIS EXTORSÃO DIGITAL EM ALTA MALWARE MAIS INTELIGENTE
AMEAÇAS DIA-‐ZERO DIVERSOS SETORES SOB ATAQUE
5 em 6 grandes empresas atacadas
317M novos
malwares criados
1M novas ameaças por dia
60% focados em SMB
113% aumento de ransomware
45X mais disposiBvos sequestra-‐
dos
28% dos malwares
detectam VM
Recorde geral
Top 5 vulnera. sem patch por 295 dias
24 Saúde + 37%
Finanças +6%
Educação+10%
Governo +8%
Varejo +11%
Fonte: Symantec Internet Security Threat Report 2015 5
EsFmaFva de Servidores W2K3 em Uso
hhp://news.netcral.com/archives/2015/08/12/millions-‐s=ll-‐running-‐the-‐risk-‐with-‐windows-‐server-‐2003.html 6
Copyright © 1985 Capcom
Timeline do Windows 2003
hhps://en.wikipedia.org/wiki/Windows_Server_2003
7 Copyright © 2009 PopCap Games
Quiz
De acordo com o CVE quantas vulnerabilidades do Windows 2003 foram
publicadas? Entre com sua resposta no Chat do Webex.
30 SEGUNDOS de TEMPO
Vale 1 Mochila Bacana da Symantec!
Copyright © 1991 LucasArts 8
E agora?
• Opção 1: – Desliga tudo
• Opção 2: – Instalar An=virus
• Opção 3: – Baseline e Sandbox?
Copyright © 2010 AMC 10
Cara de TI (Você)
Symantec Datacenter Security: Server Advanced
Copyright © 2015 Symantec Corpora=on 11
Registro
Arquivos de Configuração
Armazenamento Externo
Aplicações
Sistema Operacional
Memória
Garantir Integridade do Registro
Garantir Integridade dos Arquivos
Implementar Proteção de Memória
Aplicar Controles a Rede
Forçar o Controle de Dispositivos
Controle de Atividade das Aplicações
Como Funciona?
• O Datacenter Security: Server Advanced encapsula cada aplicação, processo ou DLL numa “sandbox”.
• A sandbox controla acesso aos recursos (Filesystem, Memória, Rede, Configurações, Disposi=vos) de acordo com a polí=ca.
• Implementação rápida, Symantec já mapeou as funcionalidades e permissões que cada componente da Microsol precisa para operar.
• As polí=cas pré-‐definidas permitem funcionamento normal dos processos, mas bloqueiam o comportamento que não é necessário (malicioso) tais como: – Estouro de memória para permi=r a inserção de código malicioso nas áreas de execução.
– Interação com outros recursos para, por exemplo, matar um processo legí=mo.
Copyright © 2015 Symantec Corpora=on 13
Como Funciona?
• Essa abordagem é diferente de técnicas de Lockdown : – Protegemos o SO sem depender de perfis ou versões iden=cas de aplicações.
– Mesmo se uma aplicação es=ver liberada (whitelist), ela não terá acesso irrestrito e será tratada por uma sandbox.
• DCSSA automá=camente restringe processos ou aplicações “desconhecidas” numa sandbox BEM restrita.
• “Virtual Patch” protege o sistema contra uma única vulnerabilidade conhecida. Por sua vez, o DCSSA bloqueia o VETOR DE ATAQUE que pode ser u=lizado por outras vulnerabilidades que poderão ser descobertas.
Copyright © 2015 Symantec Corpora=on 14
Exemplos de vetores de ataques
Copyright © 2015 Symantec Corpora=on 15
Estratégia de Ataque MiFgação com DCSSA
Implantar programas maliciosos e executáveis no disco
• Bloqueio por padrão de inserção ou modificação de componentes executáveis (CMD, EXE, DLL, SYS, etc.) no sistema por usuários ou programas não confiáveis.
• Proíbe a inserção ou modificação de qualquer arquivo (ou qq =po de extensão) em áreas crí=cas (exemplo Windows/system32).
Criação ou modificação de chaves de registro crí=cas ou arquivos de configuração
• Usa mecanismos para prevenir que exploits alterem configurações que permitam execução após um reboot.
Comando e Controle Remoto (phone home)
• Limita acesso a rede para os processos que tentarem se comunicar com sistemas externos.
• Oferece configurações de firewall para bloquear a=vidades e controlar acesso a rede por programa, usuário, porta, protocolo e endereço IP.
Buffer Overflow e Injeção de Código • Garante que solware autorizados não sejam sequestrados por injeção de código através de buffer overflow ou “thread injec=on”.
Abuso ou Escalação de Privilégios • Trata cada processo privilegiado como um outro qualquer. Dessa forma não podem violar as polí=cas de controle mesmo que o Windows permita acesso completo ao sistema.
Ambiente de Demonstração
• 1 Servidor de Gerenciamento (Datacenter Security) – Windows 2008
• 1 Servidor Legado – Windows 2003 – SP2, An=virus e Datacenter Security Client
• 1 Máquina “Hacker” – Kali Linux 2.0
• Vulnerabilidade Explorada – CVE-‐2008-‐4250
Copyright © 2015 Symantec Corpora=on 17
Riscos Associados a Implementação e Estratégias de MiFgação
• DCS:SA possui um histórico de implementações em Windows 2003 que demonstra um risco muito baixo. Mesmo assim, estratégias de mi=gação devem ser levadas em consideração:
19
Risco Probabilidade Estratégia de MiFgação
Sistema não inicializa Muito Baixa
• Reiniciar antes de instalar o DCSSA. • Agendar lotes de distribuição. • Backup/Restore • Servidores Redundantes
Tela Azul Muito Baixa
• Roll-‐back: boot em modo seguro e desinstalar. • Backup/Restore • Imagem (P2V) e teste/distribuição em ambiente virtual. • Testar primeiro em homologação.
Driver SISIPS Driver não inicia após reboot Muito Baixa • Reiniciar antes de instalar o DCSSA
PolíFcas Genéricas bloqueiam Aplicações LegíFmas
Muito Baixa
• Usar o Modo de Monitoração para testar a polí=ca antes de implementar • Permi=r administrador de alterar a polí=ca local para restaurar a
funcionalidade instantâneamente. • Ter uma representação idên=ca em homologação dos servidores de
Produção. (LoL!) Sem comunicação Cliente-‐Servidor Baixa • Verifique se todas as portas corretas estão abertas.
• Analisar logs e verificar se existe problemas de comunicação.
Copyright © 2015 Symantec Corpora=on
Riscos Associados a Criação de PolíFcas e Estratégias de MiFgação
• Organizações podem u=lizar polí=cas personalizadas para cada aplicação.
• As seguintes considerações devem ser avalidas ao criar polí=cas personalizadas:
20
Risco Probabilidade Estratégia de MiFgação
PolíFcas Personalizadas bloqueiam Aplicações LegíFmas
Média
• Use o Modo de Monitoramento (Prevenção Desabilitada) • Crie polí=cas efe=cas atráves de uma metodologia de teste • Permi=r administrador de alterar a polí=ca local para restaurar a
funcionalidade instantâneamente. • Ter uma representação idên=ca em homologação dos servidores de
Produção. (LMAO!)
Criação de PolíFcas demora muito Média
• Crie inicialmente polícitas abrangente e aperte a segurança aos poucos • Tenha foco na criação das polí=cas • Ter uma representação idên=ca em homologação dos servidores de
Produção. (ROFL!)
Muito ruído é gerado para criar uma políFca efeFva Média • Crie uma polí=ca inicial que reduza o ruído inicial (exemplo: permita
processos do %windir%\system32 acessar e modificar o registro).
Copyright © 2015 Symantec Corpora=on
Black Hat 2015 Datacenter sem patches, mas protegido pelo DCS:SA, conFnua sem invasões pela terceira vez ($5.000 de recompensa) • Ambiente– “Mini Data Center” com servidores Windows 2000 & 2003, RHEL, CentOS, desktops (Windows XP e 7), além de um appliance NetBackup: – Solware de Ponto de Venda nos desktops com comunicações para os servidores que
processavam transações; – DCS:SA firewall deixado completamente aberto intencionalmente; – Configurações default além da falta de patches.
• ObjeFvo– “capture the flag” (obter acesso e roubar dados) e ganhe prêmios!
• Jogadores – ~40 simultaneamente, entre membros do U.S. DoD e congressisstas da China e Rússia.
• Ataques – uma variedade de ataques aplicados, incluídos: – Força Bruta para quebra de senhas (mais de 400 de login por minuto); – Ataques diretos do Metasploit; – Tenta=vas de desligar os serviços DCS:SA (através do help online… J).
• Resultado – DCS:SA segurou a onda, ninguem levou os $5.000… Copyright © 2015 Symantec Corpora=on
21
Beneqcios do DCS:SA
• Capacidade Técnica — HIPS/HIDS completo, com inúmeras polí=cas na=vas para proteção de sistemas e aplicações.
• Histórico Comprovado — as tecnologias de HIPS/HIDS no Symantec DCS:SA defendem sistemas operacionais legados (até Windows NT) há 11 anos.
• Protege sistemas contra vulnerabilidades conhecidas e desconhecidas ao limitar o escopo de recursos que usuários e programas u=lizam na operação do dia a dia.
• Implementação Rápida— e possibilidade de retorno a configuração anterior com boot em Modo Seguro.
Copyright © 2015 Symantec Corpora=on 22
Obrigado!
Copyright © 2015 Symantec CorporaFon. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corpora=on or its affiliates in the U.S. and other countries. Other names may be trademarks of their respec=ve owners.
This document is provided for informa=onal purposes only and is not intended as adver=sing. All warran=es rela=ng to the informa=on in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The informa=on in this document is subject to change without no=ce.
Anderson Rios
Wesly Alves
Bruno Nazareth
Convite: Semana que vem 21/10 as 10:30: Gerenciando os a=vos de TI dentro e fora da rede Corpora=va
top related