Combatendo e mitigando ataques ATP e Zero Day

Carlos Nunes Leon Homar

CONCEITOS

APT – Advanced and persistent threat

ATP – Advanced Threat Protection

ZERO DAY ATTACK: Ataque que não possui vacina ou patch

para combater/corrigir

ATA – Advanced Tageted Attack (STUXNET)

AMEAÇAS E MÉTODOS CONHECIDOS

Zero day attack

APT

ATA

Phishing / Whalling

Engenharia social (Mídias sociais, comunicação Humana)

Malware - Ramsomware

CADA SEMANA UM NOVO ALVO

FATOS SOBRE INVASÕES

100% das vítimas possuíam Firewall / IPS / Antivírus

97% das organizações já foram ou estão invadidas

69% das empresas invadidas foram notificadas por terceiros

205 dias é a média em que o hacker permanece em um

ambiente antes de ser descoberto

Um dicionário com 10.000 senhas é suficiente para quebrar

98% de um universo de 6 milhões de senhas

100% DAS INVASÕES UTILIZARAM UMA CREDENCIAL DE ALTOS PRIVILÉGIOS

ONDE ESTÃO AS CREDENCIAIS DE ALTOS PRIVILÉGIOS ?

Routers

Workstations

Routers

Laptops

Servidores

Dispositivos IP

IPMI Cards

DRAC Cards

ATM SCADA Devices

Servers

Base de Dados

HyperVisors

Switches

Cybersecurity’s Maginot Line: A Real-world Assessment of the Defense-in-Depth Model

Reconhecimento externo

Identificação de um ponto fraco 1 Comprometimento inicial

Brecha inicial via phishing, engenharia social… 2 Base de ataque estabelecida

Obter identidade privilegiada (Domain Admin) 3 Reconhecimento interno

Movimentos laterais 4 Missão Cumprida!

Vazamento de dados 5

Ponto crítico de

Ação/Defesa

XEQUE-MATE EM 5 MOVIMENTOS

http://www2.fireeye.com/rs/fireye/images/fireeye-real-world-assessment.pdfhttp://www2.fireeye.com/rs/fireye/images/fireeye-real-world-assessment.pdfhttp://www2.fireeye.com/rs/fireye/images/fireeye-real-world-assessment.pdfhttp://www2.fireeye.com/rs/fireye/images/fireeye-real-world-assessment.pdfhttp://www2.fireeye.com/rs/fireye/images/fireeye-real-world-assessment.pdfhttp://www2.fireeye.com/rs/fireye/images/fireeye-real-world-assessment.pdfhttp://www2.fireeye.com/rs/fireye/images/fireeye-real-world-assessment.pdf

VOCÊ JÁ VIU ISSO ANTES?

QUÃO SEGURO É O SEU AMBIENTE?

• Quantas pessoas conhecem ou tem acesso às senhas de

credenciais privilegiadas?

• Estas pessoas ainda estão trabalhando na empresa ?

• Em caso negativo, essa pessoa saiu amigavelmente ?

• Os usuários são administradores locais de suas estações ?

• As senhas de contas de serviços são trocadas com frequência?

Recepción P@ssw0rd2015

P@ssw0rd2015

P@ssw0rd2015

P@ssw0rd2015

CENÁRIO COMUM

CENÁRIO COMUM - MITIGAÇÃO

Recepción

z+HFOZDlS9*&9F

y+@%Fl%cOsmlo5

!yADVT`W0C,+75

07HVh,dEMnV8^/

OUTRO CENÁRIO COMUM

Aplicativo de CRM

Pepe

Juan

Maria

Mario

Victor

Julio

Valeria

Angel

Adriana

CRM-1

CRM-3

CRM-2

P@ssw0rd

P@ssw0rd

P@ssw0rd

urlmw^8~chry

SqxpAQWRO3|[Po

nswMoKcqtMcu

TÉCNICAS PARA MITIGAÇÃO DE RISCOS:

• Identificar onde estão e quem utiliza as credenciais de altos

privilégios;

• Randomizar as senhas de credenciais administrativas e de

serviços;

• Delegar acesso ás credenciais somente a pessoas autorizadas;

• Garantir a confidencialidade das senhas de forma impessoal;

QU3M S3R4 0 PR0X1M0...?

Carlos Nunes – Lieberman Software cnunes@liebsoft.com Leon Homar – Vert Leon.homar@vert.com.br

OBRIGADO!

mailto:cnunes@liebsoft.commailto:Leon.homar@vert.com.br