, Si! Me Gusta. Windows. Por que no?

Texto completo

(1)

Me Gusta , Si!

¿Por que no?

(2)

descargos

 En el transcurso de la investigación y preparación del material ningún sistema ha sido vulnerando.  Toda la información que se brinda es con fines educativos y de investigación. No nos hacemos

responsables por le mal uso de la misma.

 Las vulnerabilidades expuestas en el transcurso de esta charla ya han sido previamente reportadas al fabricante de los productos y las soluciones a las mismas se encuentran publicadas.

 Las pruebas y los demos presentados fueron realizadas con sistemas operativos de licencia Trial

(3)

Luis Alejandro Martinez

Especialista Senior en Seguridad

Gabriel Carracelas

(4)

"La invencibilidad es una cuestión de

defensa, la vulnerabilidad, una

cuestión de ataque"

(5)

"

El

único sistema seguro es aquel que está apagado y

desconectado, enterrado en un refugio de cemento, rodeado por

gas venenoso y custodiado por guardianes bien pagados y muy bien

armados. Aun así, yo no apostaría mi vida por él”

(6)

SISTEMAS OPERATIVOS DE ESCRITORIO 2016 - 2018

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% Other Chrome OS Linux Unknown OS X Windows

(May 2016 - Abr 2018) Uruguay:Windows – 76.38%

Linux – 9,76% OS X – 6,88% Statcounter.com / Netmarketshare.com Win7 46% Win10 35% Win8.1 10% WinXP Win8 3% WinVista 1%

(7)

Privilegios Administrativos:

Remover los privilegios administrativos

Actualizar SO:

Migrar a sistemas operativos actualizados Fortalecer SO:

Aprovechar las mejoras de seguridad Fortalecer el SO:

Desarrollar y mantener el software Listas Blancas:

Confiar en el código por excepción, desconfiar por defecto

(8)

REGLAS IMPORTANTES PARA LA SEGURIDAD DE WINDOWS

No hay seguridad en Windows a menos que:

Sigamos el principio del menor privilegio

(9)

PRINCIPIO DEL MENOR PRIVILEGIO

Reporte de Vulnerabilidades de Microsoft en 2017

El 80% de las vulnerabilidades criticas en sistemas

Microsoft podrían haber sido mitigadas removiendo los

privilegios de administrador

El 95% de la vulnerabilidades criticas en navegadores

podrían haber sido mitigadas removiendo las privilegios

administrativos

(10)

No usar el Domain admin

No usar el Domain admin

No usar el Domain admin

No usar el Domain admin

No usar el Domain admin

No usar el Domain admin

(11)

Privilegios Administrativos:

Remover los privilegios administrativos

Actualizar SO:

Migrar a sistemas operativos actualizados

Fortalecer SO:

Aprovechar las mejoras de seguridad

Fortalecer el SO:

Desarrollar y mantener el software

Listas Blancas:

Confiar en el código por excepción, desconfiar por defecto

(12)

ACTUALIZAR LOS SO

DEFENDERSE DE

LAS NUEVAS

AMENAZAS

ASEGURIDAD

DISPOSITIVOS IDENTIDADESASEGURAR

PROTECCIÓN DE INFORMACION RESISTENCI AS A AMENAZAS

(13)
(14)

CICLO DE VIDA PARA FORTALECER DISPOSITIVOS

Privilegios Administrativos:

Remover los privilegios administrativos Actualizar SO:

Migrar a sistemas operativos actualizados

Fortalecer SO:

Aprovechar las mejoras de seguridad

Fortalecer el SO:

Desarrollar y mantener el software

Listas Blancas:

Confiar en el código por excepción, desconfiar por defecto

(15)

REGLAS IMPORTANTES PARA LA SEGURIDAD DE WINDOWS

No hay seguridad en Windows a menos que:

Sigamos el principio del menor privilegio

(16)

AVANZAR CON SOLUCIONES CONOCIDAS Y PROBADAS

Ejemplo de estructur as de OU y enlaces a GPOs Domain Root Domain policy Windows 10 Client

Windows 10 Client Computer

Windows 10 User Computer

Internet Explorer Client Computer policy

Windows 10 Computer policy

Internet Explorer User policy Windows 10 User policy

Windows 10 BitLocker policy Windows 10

Credential Guard policy Windows 10 Defender policy

(17)
(18)

CICLO DE VIDA PARA FORTALECER DISPOSITIVOS

Privilegios Administrativos:

Remover los privilegios administrativos Actualizar SO:

Migrar a sistemas operativos actualizados Fortalecer SO:

Aprovechar las mejoras de seguridad

Fortalecer el Software:

Desarrollar y mantener el software

Listas Blancas:

Confiar en el código por excepción, desconfiar por defecto

(19)

CICLO DE VIDA PARA FORTALECER DISPOSITIVOS

Privilegios Administrativos:

Remover los privilegios administrativos Actualizar SO:

Migrar a sistemas operativos actualizados Fortalecer SO:

Aprovechar las mejoras de seguridad Fortalecer el SO:

Desarrollar y mantener el software

Listas Blancas:

Confiar en el código por excepción, desconfiar por defecto

(20)

Según gartner y NIST, la medida de seguridad más

importante a implementar para el 2018 es:

(21)

RECOMENDACIONES PARA UN PROYECTO DE LISTAS BLANCAS

✘ Implementar renvio de registros

✘ Implementar AppLocker en modalidad de Auditoria ✘ Recolectar registros por un tiempo prudencial

✘ Crear reglas basada en los registros

✘ Educar a los administradores

✘ Prender la auditoria de applocker para el resto del ambiente ✘ Forzar la aplicación de applocker para un grupo piloto

✘ Monitorear un por un tiempo

✘ Prenderlo para todo el ambiente

(22)

APPS

DLLs

(23)

LISTAS BLANCAS

✘ Las listas Blancas son una de las formas mas efectivas de incrementar

la seguridad.

✘ Las listas blancas son realmente efectivas cuando se combinan con el

principio del menor privilegio

(24)

Paso 1: Preparase

Paso 2: Hacer que el dispositivo actué Paso 3: Esperar al que el usuario llame a la mesa de ayuda

Paso 4: Obtener credenciales de la mesa de ayuda

Paso 5: Finalizar

(25)

Usuario Dispositivo (Físico o Virtual) Problemas con un dispositivo 1 Knok Knok

ATAQUE A L A MESA DE AYUDA

Contactar a la Mesa 2 Conectarse al dispositivo como administrador 3

 Escenario típico de la mesa de

ayuda: : técnicos que pertenecen a un grupo con derechos

administrativos sobre todos los dispositivos

Tec de la Mesa

(26)

Usuario

Dispositivo (Físico o Virtual)

Knok Knok

 Capturando una sola credencial se

gana acceso a todos los dispositivos

 Las credenciales de la mesa de

ayuda son diseñadas para

conectarse de forma arbitraria a los dispositivos Tec de la Mesa Dispositivo #2 Dispositivo #n 4 5 Com prometer otros dispositivos 6 Compromise all other devices 7

ATAQUE A L A MESA DE AYUDA

Problemas con un dispositivo 1 Contactar a la Mesa 2 Conectarse al dispositivo como administrador 3

(27)

Usuario Dispositivo (Físico o Virtual) Problemas con un dispositivo 1 Knok Knok

MITIGACIÓN DEL ATAQUE USANDO LAPS

Contacto a la Mesa 2 Conectar con credenciales 9

 Si alguien gana acceso a un

dispositivo, solo tendrá acceso a ese dispositivo

 JEA Script crea credenciales de un

solo uso Técnico Mesa Dispositivo #2 Dispositivo #n Atributo AD LAPS Solicitar credenciales del Dispositivo 3 Recibir credencialess del dispositivo 8 1 9 Credenci al es 1.1 no reuti li zable

10 Web

Portal ScriptJEA

Solicitar credenciales del script 4 Recibir credenciales del dispositivo 7 Buscar credenciales del AD 5 Recibir credenciales del dispositivo 6

(28)

ACTIVOS DE ALTO VALOR

Administradores

Operadores de Sistemas de Misión critica

Desarrolladores

Al tratar a todos los usuarios como especiales, no estas tratando a ningún

(29)

LO S A C T IV O S P R IV I L E G I A D O S D E B E N S E R G E S T I O N A D O S P O R U N A C A D E N A D E C O N F I A N Z A Q U E S E E X T I E N D E D E S D E E L T E C L A D O H A S TA E L A C T IV O A D M I N I S T R A D O Q U E S O LO A D M I T E L A E J E C U C I Ó N D E A P L I C A C I O N E S Y DAT O S Q U E S O N D E C O N F I A N Z A A L M I S M O G R A D O Q U E E L A C T IV O .

(30)

Windows Hello Windows Hello for

Business Companion Device Framework Credential Guard Cambiar claves, proteger identidades Fortalecer la autenticación con doble

factor y/o biométricos

Secure Boot Device Guard Windows Defender Ejecutar únicamente software conocido

Eliminar malware en los dispositivos corporativos

Encripción automática con protección persistente Windows Information Protection Proteger datos corporativos Windows Defender Advanced Threat Protection Detectar dispositivos comprometidos

Utilizar detección basada en comportamiento, inteligencia de amenazas

para detección de dispositivos comprometidos

Figure

Actualización...

Referencias

Actualización...

Related subjects :