Internet y Cloud:

Amenazas Silenciosas Evolucin y

ataques
Entorno y situacin actual 2014

Aiuken Solutions

Aiuken es una compaa internacional focalizada en Tecnologas de comunicacin e

informtica TI, especializada en soluciones de Seguridad y servicios Cloud de alto
Introduccin
valor aadido.
Nuestra visin:
Servicios gestionados y Cloud como base de proteccin para grandes empresas,
Pymes y Administracin Pblica.
Nuestra misin:
Proporcionar las tecnologas, servicios e infraestructuras que faciliten la seguridad y
el acceso seguro al CLOUD, Internet y sistemas

2014 Deloitte Advisory, S.L.

Objetivo:
Seguridad Cloud con
Calidad, Servicio y
Pago por uso

-2-

Puerto Rico

America

Our Operations Network

Negocio por pases
Andorra

Mxico
ESPAA
Repblica
Dominicana

Marruecos
Colombia

Chile

USA (Florida)

Negocio 2013 2014 en Europa,

LATAM y USA
Modelo de presencia en 8 pases.
Directo 4 (Espaa, USA, Chile y
Rep. Dominicana) Oficinas Mad,
BCN, Chile, Miami y Sto Domingo
Cobertura de Servicio para
empresas espaolas en LATAM,
USA y Europa

Aiuken S.L. All rights reserved

www.aiuken.com

Aiuken Solutions: Servicios ANDBANC

Introduccin
Actuamente Aiuken presta servicios a ANDBANC en modalidad Cloud de:
Servicio Antiphishing :Servicios gestionados y Cloud de bsqueda y deteccin de
ataques de suplantacin y robo de credenciales contra los sistemas de banca y pago
del Grupo ANDBANC a nivel global. Incluye monitorizacin de Dominios Global
Servicio Monitorizacin de Malware
Servicios gestionados y Cloud de monitorizacin y deteccin de malware, troyanos y
virus orientados al robo contra Clientes ANDBANC y sus sistemas.

2014 Deloitte Advisory, S.L.

Modalidad:
Servicio Cloud de
Seguridad en modelo
Pago por uso anual

-4-

Clientes GLOBALES
International Customers

Explosin de Internet 2008 2014: Nmero de usuarios Conectados

2014 Deloitte Advisory, S.L.

C2C Internet of users

-6-

Explosin de Internet 2008 2014: Nmero de dispositivos conectados

M2M Internet of things

2014 Deloitte Advisory, S.L.

Dispositivos
Mvilesx5

-7-

Explosin de Internet 2008 2014: Trfico Datos Mviles

Trfico
Internet
x26
x26

03/11/2014

Explosin de Internet 2008 2014: Trfico Datos Internet

Datos
Guardados
x4
(en 3 aos)

03/11/2014

Explosin de Internet 2008 2014: Crecimiento de mercado y negocio

Incremento del negocio

eCommerce >500 % en los
ltimos 5 aos
$$$$$$$$$$$$$$$$$$$$$$$

2014 Deloitte Advisory, S.L.

Internet Commerce
B2C
Busines to Comsumers
B2B
Business to Business

- 10 -

EVOLUCIN DE LA EFICIENCIA DE LAS INFRAESTRUCTURAS

IT evolution Cloud as IaaS / SaaS

IT Infrastructures

First Approach to Cloud

Transformation

Aplications

Manteinance consolidation
Operations consolidation
SW Base & Middleware

IT Equipment

DataCenter
Infrastructures

SaaS
IaaS
Services Centers

Support Considation
Standarazation
Software free
HW Consolidation
Virtualization

Cooling Consolidation
Free Cooling
Cold / Warm corridor

Private Cloud
(Sharing for Gov only)
DataCenter
Consolidation

 2014 Deloitte Advisory, S.L.

Eficiencia y la razn del Cloud: LA TRANSFORMACIN IMPARABLE

- 12 -

 2014 Deloitte Advisory, S.L.

Top 5 Global Risks

FUENTE: World Economic Forum 2012

- 13 -

 2014 Deloitte Advisory, S.L.

Qu podemos esperar?

- 14 -

5 de Julio 1993.
THE NEWYORKER
- 15 -

2014 Deloitte Advisory, S.L.

IDENTIDAD?

Y todo es Internet: TCP/IP + HTML

TCP/IP
1960 Protocolo Militar (US military
Deparment DARPA) orientado a la
supervivencia (todo vale)
Asncrono!!!!!!
No orientado a conexin
Sin verificacin de origen ni
destino. Ni orientado a conexin
Sin cifrado y encima estamos en
v4
Diseado para entono cerrado y
confianble (CERN 1980)
Sin animaciones ni rich content
slo texto plano con meta data
para indexacin
Stateless
No orientacin a conexin ni
sesin
- 16 -

2014 Deloitte Advisory, S.L.

HTML

 2014 Deloitte Advisory, S.L.

Por qu el anonimato de Internet? IPv4

15-16 Oct 2013

Session / Paper Title

17
- 17 -

Usando los mviles como arma

IP pblica
IP privada 1

IP privada 3

IP privada 4

El uso de IPv4 imposibilita dar servicio a todos los usuarios 3G y 4G de tarifa plana,
guardar sus identidades, logs, ni nada de nada.
Hasta que no se migrue a IPv6 esto NO tiene solucin
RESUMEN: los accesos por mvil son practicamente ANONIMOS
- 18 -

2014 Deloitte Advisory, S.L.

IP privada 2

- 19 2014 Deloitte Advisory, S.L.

PRINCIPALES
AMENAZAS
INTERNET

Phising
Robo de informacion
Carding
Malware

Uso inapropiado de marca

Publicidad informacion falsa
Difamacion
Canales alternativos de venta
Seguimiento Identidad Digital

Deloitte Advisory

DDoS / DOS
Hacktivismo
Portal Online inoperativo
Vulneracion de mecanismos de seguridad
Revelacion de informacion confidencial

 2014 Deloitte Advisory, S.L.

Otras vas ms oscuras.BITCOIN la moneda de los HACKERS

- 21 -

ATAQUE DE DENEGACIN DE SERVICIO (DoS)

- 23 -

2014 Deloitte Advisory, S.L.

DoS Fundamentos: Saturar tus recursos

 2014 Deloitte Advisory, S.L.

qu es un DoS? DDoS? Orgenes

- 24 -

 2014 Deloitte Advisory, S.L.

DoS Fundamentos: Inutilizar tus Servicios

- 25 -

Durante un Distributed Denial of Service (DDoS), los equipos

comprometidos o hackeados (bots) enan trfico vlido o no, pero
masivo hacia los servidores objetivo hasta saturarlos y bloquear el
26
uso o forzar un chash .
- 26 -

2014 Deloitte Advisory, S.L.

Qu es un DDoS ? Explicacin bsica

 Top two attack motivation categories are fueled by personal beliefs and inclinations
of attackers
Exponential increase in risk of being attacked
Source: SANS Survey DDoS 2014
- 27 -

2014 Deloitte Advisory, S.L.

TOP DDoS Motivations

Mobile Infrastructure DDoS Attacks

50% see application layer attacks on their networks

DNS is the most common target target with the most widespread damage
potential
Surprise that HTTP was not top as last year, especially given general trends
Source: ARBOR NETWORKS
- 28 -

2014 Deloitte Advisory, S.L.

Broad spread of attack types - similar to what we see elsewhere

Elementos clave de un DDoS

Infraestructuras

Vulnerabilidades

Motivacin

Tiempo
- 29 -

Potencia

2014 Deloitte Advisory, S.L.

APTS

BOTNETs

La Informacin. SandBox Model Object MS SharePoint

30

Un documento con
TODO lo que
queramos meter???

Nuestros virus, quin quiere uno?

Ataques dirigidos

Samples NICOS por ao

~170.000 al da (!!)
- 31 -

2014 Deloitte Advisory, S.L.

Modelos de negocio de la escena eCrime

Nuestros virus, quin quiere uno?

Deteccin de antivirus
Toolkit popular
SpyEye v1.4.1
(versin de enero 2012)

Junio: el 97,6% NO lo
detectan tras su generacin

2014 Deloitte Advisory, S.L.

24h ms tarde el 54,75%

siguen sin detectarlo

- 32 -

http://www.youtube.com/watch?v=lN_CdeFOjz4
C:>Copy/b img_anonymous.png+doc_secreto.doc new_anonymous.png

La Informacin
1 mes

1 da

33

12 meses

BotNets: cimientos de economa eCrime

Ataques dirigidos

2014 Deloitte Advisory, S.L.

Modelos de negocio de la escena eCrime

- 34 -

APTs definicin formal

Advanced Persistent Threats (APTs) es una categora de Cybercrimen (un conjunto de
ataques), dirigido contra objetivos empresariales y gubernamentales. Los APTs requiren la
combinacin de sofisticado malware, normalmente creado ad hoc, combinado con la
persistencia en el tiempo de la combinacin tcnica geogrfica y la ingeniera social. Su
propio nombre los define:
1. Advanced: los ataques y las organizaciones que los desarrollan combinan distintas
tcnicas de cybermalware, troyanos, sniffers, back-doors, zero-day exploits, etc.de
forma conjunta y novedosa, creada especificamente.
2. Persistent: los objetivos son concretos y son el nico foco, del ataque, no el beneficio a
corto, y se mantendrn insistentes hasta obtener el objetivo, tanden lo que tarden.
Monitorizando y escaneando toda actividad. No como otros malwares como phishing,
bootnets, etc. El mtodo low-and-slow es el preferido.
3. Threats: la amenaza no es autmatica, se combina el poder tecnolgico de la
herramienta con el sentido comn del humano que la gestiona, cambiando su
comportamiento tantas veces como sea necesario para que sea una amenaza real y
eficaz contra las contramedidas y para conseguir el objetivo.
4. Algunos nombres: STUXNET, AURORA, FLAME

La Aceleracin de los Ataques Avanzados Dirigidos

Cyber-espionage
and Cybercrime

De amenazas generales y dispersas a

persistente, avanzada y orientada

Los ataques avanzados aceleran

Perfil de victimas de alto nivel (ej., RSA,
Symantec, Google)

Numerosos nuevos APTs como Operation

Aurora, Shady RAT, GhostNet, Night
Dragon, Nitro

Damage of Attacks

N de amenazas x5 en 4 aos
Cambia la naturaleza de la amenaza
Cybercrime

Disruption

Advanced
Persistent Threats
Zero-day
Targeted Attacks
Dynamic Trojans
Stealth Bots

Spyware/
Bots

Worms
Viruses

2004

2006

2008

2010

2012

Gartner, 2012

fuente
- 36 -

2014 Deloitte Advisory, S.L.

Organizations face an evolving threat scenario that they are ill-prepared to deal with.advanced threats that have bypassed their
traditional security protection techniques and reside undetected on their systems.

APTs OBJETIVOS. Motivacin

Advanced Persistent Threats (APTs) son creados por organizaciones muy distintas desde grupos de hackers como Lulzsec, Anonymous, etc. A
organismos gubernamentales como la CIA, el Gobierno Chino, etc. Y est ms que demostrado. Por tanto sus motivaciones son:
1.
Politicas:
2.
Econmicas
3.
Tcnicas
4.
Militares

- 38 -

Razn 1

Universal

Razn 2

Barato

Razn 3

Eficiente

Razn 4

Impune

Razn 5

Gran impacto

Razn 6

Reiteradamente posible

Razn 7

Menospreciado

2014 Deloitte Advisory, S.L.

DDoS la amenaza creciente y persistente

Situacin Actual: Informe ataques DDoS Jun 2014

>10 % de los
10 %

ataques se
reportan

> 10 % de las
compaias
admiten haber
sufrido ataques
90 %

> 5 % creen
2014 Deloitte Advisory, S.L.

que sufrirn uno

en 12 meses

- 39 -

Descripcin servicio Cloud

WAF + Anti-DDoS Protection
Load distributed on
Imperva Cloud

50 Mbps

Websites

4 Gbps

WEB APPLICATION FIREWALL (NIVEL 7) WAF

ANTI-DDOS DYNAMIC PROTECTION
Distribucin de carga, escalable a multi-throughput, garantiza los tiempos de respuesta

- 40 -

2014 Deloitte Advisory, S.L.

DDoS attack traffic is

blocked

Servicio Deteccin Cloud Vulnerabilidades de

Cdigo Web (seguridad nivel 7)
Fuente: WASC (Web Application Security Consortium)

El resultado de un ataque o
prdida de datos implica
graves consecuencias legales a
la compaa
41

- 41 -

2014 Deloitte Advisory, S.L.

Ms del 90% de las

vulnerabilidades en
Internet estn en el
cdigo

El 95% de los
ataques en
Internet van
contra el
aplicativo

Code Security & Secure Web Development

Software Development Lifecycle

Architect and
implement code
Fix errors and
vulnerabilities

TEST

DEPLOY

Test for
vulnerabilities

Block attacks

Virtually patch
vulnerabilities

Detect leaks, errors

Monitor and report

exploits

Imperva is an
OWASP Member
- 42 -

2014 Deloitte Advisory, S.L.

DESIGN
& CODE

 2014 Deloitte Advisory, S.L.

Cualquier hw o sw es una herramienta DoS

- 43 -

Control de ficheros en cualquier dispositivo

Protege la informacin y los contenidos

de los usuarios

Permite definir y saber quin, cmo y

cundo tiene acceso

Independientemente de la ubicacin del

fichero y del nmero de copias
BLOG

Cloud Computing

Funcionando como una red social

(viralidad)

- 44 -

2014 Deloitte Advisory, S.L.

Para cualquier entorno

(PC, mvil, cloud computing)

 2014 Deloitte Advisory, S.L.

Big Data & SIEM

45

- 45 -

No hay aplicacin entre la

politica de la compaia y
los dispositivos

HR

IT
Finance

Sales

Al menos uno de cada

5 dispotivos se pierde
cada ao
2014 Deloitte Advisory, S.L.

IT

Nuevas amenazas de
malware especificas
para movilidad

Ms de la mitad de
los usuarios no
bloquea sus
dispositivos

- 46 -

November 3, 2014

APTs y DDoS . Conclusiones

Hay soluciones, pero hay que avanzar cada da. Las arquitecturas estticas sucumbirn

La situacin es dificil por el incremento de los APTs basados en nuevo malware, nuevas
vulnerabilidades, zero-day attacks, etc. As como la proliferacin de los Botnets favorece
los DDoS, que adems ya no son slo volumetricos sino tambin dirigidos.
El perimetro es difuso por el exceso de trfico no catalogado, la heterogeneidad de las
aplicaciones, las necesidades de ubicuidad de los usuarios y la consumerizacin.
No obstante existen combinaciones tecnolgicas que permiten aumentar la visibilidad y
monitorizacin del trfico y los activos crticos y as disear una proteccin adecuada
Se debe desplegar un perimetro tradicional, adecuadamente dimensionado y
contundente
Adicionalmente se deben incluir elementos de monitorizacin y correlacin continua, y
gestionada
Por ltimo nuevas tecnologas de proteccin AntiDDos, simulacin de entornos con
SandBox virtuales y analizadores de trfico dinmicos no basados en firmas permiten
tener bajo vigilacin los APTs y el DoS
Adems los servicios CLOUD nos pueden y deben ayudar evolucionando hacia asumir la
funcin de proteccin perimetral generica, sobre las comunicaciones raw, para que el
caudal venga con un mnimo de seguridad y no sea un mero transmisor de amenazas y
ataques.

Deloitte Advisory

Juan Miguel Velasco Lpez-Urda

jmvelasco@aiuken.com
@juanmivelasco
CEO Aiuken Solutions
Presidente de la Comisin de Seguridad
Y Confianza en la Nube de EuroCloud

48