© 2015 IBM Corporation

Jordi Medina Torregrosa IBM Trusteer Apex Sales Leader for SPGI IBM Security jordi.medina@es.ibm.com +34 663 729 709 1 de Julio de 2015

Protección Frente Amenazas Avanzadas Persistentes (APTs) con IBM Trusteer Apex

2 © 2015 IBM Corporation

¿Qué es una APT?

Una amenaza persistente avanzada, también conocida por sus siglas en inglés, APT (por Advanced Persistent Threat), es un conjunto de procesos informáticos sigilosos y continuos, dirigidos a penetrar la seguridad informática de una entidad específica. Una APT, generalmente, fija sus objetivos en organizaciones o naciones por motivos de negocios o políticos. Los procesos de APT requieren un alto grado de cobertura durante un largo período de tiempo. El proceso avanzado involucra sofisticadas técnicas que utilizan software malicioso para explotar vulnerabilidades en los sistemas. El término ‘persistente’ sugiere que existe un control y monitorización externos para la extracción de datos de un objetivo específico de forma continua. El término ‘amenaza’ indica la participación humana para orquestar el ataque

El Objetivo más común de una APT es el de obtener acceso a las Cuentas Privilegiadas para robar datos de forma continua sin ser detectada permaneciendo oculta el mayor tiempo posible.

3 © 2015 IBM Corporation

¿Cómo se crea una APT?

¿De dónde se obtiene esta información? Entre muchas otras fuentes …

Recopilando Información del objetivo: - Sistemas informáticos internos y externos - Bases de Datos que se utilizan - Sistemas de seguridad de la red - Sistemas de seguridad del puesto de trabajo - Socios conocidos - Contratos con terceros - Directivos - Empleados

4 © 2015 IBM Corporation

¿Cuál es su principal Vector de Ataque?

Datos y Sistemas de la

Empresa

Empleados Partners y Externos

Fácil

Fácil

Cyberdelincuente

Complejo

Ataque de Malware

Robo de Credenciales

5 © 2015 IBM Corporation

Caso Real – Entidad Bancaria de Estados Unidos

“Hemos encontrado una APT que llevaba activa cerca de nueve meses, robando información de clientes, tarjetas y préstamos hipotecarios. Al realizar un análisis forense, hemos descubierto que la APT se introdujo en la empresa a través de un documento de texto enviado a uno de los directivos. Tras hablar con él y ver el contenido de los correos electrónicos nos percatamos de que un supuesto cazatalentos le había contactado para ofrecerle un puesto en un competidor a través de una red social. El supuesto cazatalentos le mandó una propuesta laboral por email desde una cuenta de Hotmail para que los filtros del correo electrónico no identificaran al remitente como un cazatalentos. El documento realmente contenía una propuesta de trabajo, pero ejecutaba una macro aprovechando una vulnerabilidad conocida y no parcheada del procesador de textos para instalar la APT en el equipo del usuario y luego se propagaba mediante una elevación de privilegios a los distintos equipos conectados a la misma red. Por supuesto, la oferta era falsa, la dirección de Hotmail ya no existe y el perfil del cazatalentos en la red social también ha desaparecido.”

6 © 2015 IBM Corporation

Hay que centrarse en el eslabón más débil que a su vez es el principal vector de ataque: EL USUARIO Y SUS EQUIPOS

Hay que focalizar los esfuerzos

7 © 2015 IBM Corporation

IBM Trusteer Apex – Prevención frente APTs

Protección Efectiva en Tiempo Real Múltiples capas que detienen las cadenas de ataque

Análisis de Seguridad y Servicio Gestionado

Proporcionado por expertos de seguridad de IBM Trusteer

Protección contra Amenazas de Día Cero Basado en el control de comportamiento de las aplicaciones

Trusteer Apex

8 © 2015 IBM Corporation

IBM Trusteer Apex – Protección de Credenciales

WWW

Robo de credenciales vía

Phising

Reutilización de Credenciales Corporativas

Site Corporativo legítimo

Contraseña

Enviar: Permitir • Detección de envío

• Validación de Destino

Phishing site

Site legítimo no autorizado

*******

Authorized site

9 © 2015 IBM Corporation

IBM Trusteer Apex – Detección y Bloqueo de Exploits

• Correlación del estado de la aplicación con las acciones post-exploit

• Aplicar controles de permitir/denegar a través de la cadena del exploit

Escribir ficheros

Afectar a otras aplicaciones

Modificar el registro

Otros métodos

Monitorizando las acciones post-exploit

Propagación del Exploit Estados de la Aplicación

Indicadores

Evaluando los estados de la aplicación

10 © 2015 IBM Corporation

IBM Trusteer Apex – Bloqueo para JAVATM

• Se bloquea la actividad maliciosa y se permiten las aplicaciones Java legítimas

• La legitimización de apps de Java especifica la garantiza Trusteer o el Administrador de TI

Monitor and control high-risk activities

App Maliciosa Una app maliciosa de Java puede eludir los controles internos de Java

ej., Mostrar, cálculos en local

App legitima

App no confiable

Permitir acciones de bajo riesgo

ej., Escribir al Sistema de ficheros, cambios en el registro

App legítima

App no confiable

App legitima

11 © 2015 IBM Corporation

IBM Trusteer Apex – Bloqueo de Comunicaciones Maliciosas

1. Determinar la confiabilidad del proceso

2. Identificar la brecha en el proceso

3. Permitir/Denegar la comunicación externa

Site maliciosa

Sitio legÍtimo usado como Command

and Control

Descarga directa del usuario

Infección Pre-Existente

RED EXTERNA

Proceso

Zombi

COMUNICACIÓN DIRECTA

CANAL DE

Identificar brecha de la aplicación

Permitir/ bloquear

Determinar el nivel de confiabilidad

12 © 2015 IBM Corporation

IBM Trusteer Apex – Detección y Mitigación de Malware

Protección frente a APTs distribuida globalmente Protección Tradicional frente amenazas

Billones de ficheros legítimos guardados y ejecutados

Billones de ficheros maliciosos bloqueados

Blacklist

Database

Whitelist

Database

• Sin escaneo activo = sin impacto en el rendimiento

• Sin actualizaciones de firmas en el puesto

Eliminación Automática de Malware 50 Motores Antimalware comparan el MD5 de los ficheros con sus BBDD de firmas en tiempo real

13 © 2015 IBM Corporation

IBM Trusteer Apex – Informes de Riesgo y Amenazas

Informes de Vulnerabilidades

Informe detallado para ver y entender que puestos de trabajo y aplicaciones son

vulnerables ante exploits

Informes de Credenciales Corporativas

Informe de que usuarios reutilizan sus

credenciales en otros sites sin seguir la

política corporativa

Informes de incidentes

Informes de incidentes de seguridad: exploits,

comunicaciones sospechosas, infecciones

14 © 2015 IBM Corporation

IBM Trusteer Apex – Opciones de Despliegue Flexibles

BYOC

Empresa PAQUETE MSI

Despliegue con herramientas estándar de distribución de SW,

e.j., IBM Endpoint Manager

Customer Web App / Gateway

• Página SSL VPN • Cloud App • Portal Corporativo • Apps Internas • …

Apex detection snippet

15 © 2015 IBM Corporation

IBM Trusteer Apex – Sin impacto para el departamento IT

Elimina la aproximación tradicional del equipo de seguridad (detectar, notificar, y resolver manualmente)

Prevención de amenazas sin carga en el puesto

Muy bajo impacto para el equipo de seguridad de TI

Minimiza el impacto bloqueando acciones peligrosas

Servicio de asesoramiento del riesgo centralizado

Actualización directa de los puestos

Servicio clave 24x7x365

Análisis avanzado como servicio

16 © 2015 IBM Corporation

IBM Trusteer Apex – Inteligencia Dinámica

Búsqueda de Amenazas e Inteligencia Global

• Combina la experiencia de X-Force con la búsqueda de malware de Trusteer

• Catálogo de más de 70K vulnerabilidades, más de 17B páginas web y datos de más de 100M de endpoints

• Bases de datos inteligentes actualizadas dinámicamente minuto a minuto

Real-time sharing of Trusteer intelligence

NEW

Phishing Sites

URL/Web Categories

IP/Domain Reputation

Exploit Triage

Malware Tracking

Zero-day Research

© Copyright IBM Corporation 2015. All rights reserved. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any kind, express or

implied. IBM shall not be responsible for any damages arising out of the use of, or otherwise related to, these materials. Nothing contained in these materials is intended to, nor shall have the effect of, creating any

warranties or representations from IBM or its suppliers or licensors, or altering the terms and conditions of the applicable license agreement governing the use of IBM software. References in these materials to IBM

products, programs, or services do not imply that they will be available in all countries in which IBM operates. Product release dates and / or capabilities referenced in these materials may change at any time at

IBM’s sole dis retio ased o arket opportu ities or other fa tors, a d are ot i te ded to e a o it e t to future product or feature availability in any way. IBM, the IBM logo, and other IBM products and

services are trademarks of the International Business Machines Corporation, in the United States, other countries or both. Other company, product, or service names may be trademarks or service marks of others.

Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection and response to improper access from within and outside your enterprise. Improper access can result in information being altered, destroyed, misappropriated or misused or can result in damage to or misuse of your systems, including for use in attacks on others. No IT system or product should be considered completely secure and no single product, service or security measure can be completely effective in preventing improper use or access. IBM systems, products and services are designed to be part of a lawful, comprehensive security approach, which will necessarily involve additional operational procedures, and may require other systems, products or services to be most effective. IBM DOES NOT WARRANT THAT ANY SYSTEMS, PRODUCTS OR SERVICES ARE IMMUNE FROM, OR WILL MAKE YOUR ENTERPRISE IMMUNE FROM, THE MALICIOUS OR ILLEGAL CONDUCT OF ANY PARTY.

THANK YOU www.ibm.com/security GRACIAS