Embed Size (px)
Citation preview
CONFRARIA 0DAY - 10/2016MARCELO SOUZA
JÁ ERA PARA ESTARMOS SEGUROS, NÃO ERA?
# WHOAMINot root… :-/
Consultor
Fuçador
Co-fundador DEFCON Group BSB (dc5561.org)
~15 anos atuando em InfoSec
POR QUE ME PREOCUPAR?
MOTIVAÇÃOMilhões de $$$ investidosem segurança nosambientes corporativos
Incidentes… incidentes…
Mais milhões de $$$!
Incidentes…
Já falei dos milhões??? J
SOLUÇÃO A, B, C…
AntivirusAnti-APT
App Firewall
IDS/IPS
Proxy
Firewall
”A” NÃO FALA COM ”B” NEM ”C”…
Se dependesse da quantidade de soluções de InfoSec, nãoteríamos mais problemas de InfoSec…
Pior de tudo: cada umafuncionando isoladamente (silos)
Nosso paradigma está correto?
ESTAMOS PERDIDOS!?!?
"A definição de insanidade é fazera mesma coisa repetidamente e esperar resultados diferentes" -Albert Einstein (!!!)
Em resumo: cometemos osmesmos erros há anos… e não adianta botar a culpa no usuário!
Software continua mal escrito, vulnerabilidades antigas ainda presentes, ”stupid assumptions”...
(!!!) Ok, não foi ele que disse isso mas vou usar a frase mesmo assim! :-)
HOW TO SUCK AT INFOSEC?
https://blog.marcelosouza.com/como-ser-um-idiota-em-seginfo-reloaded/
HOW TO SUCK AT INFOSEC?
”THERE’S NO PATCH FOR THAT…”
https://www.schneier.com/blog/archives/2016/10/security_design.html
CENÁRIOS…
...BASEADOS EM FATOS REAIS!
CENÁRIO 1: DUMP DE SENHAS
”Senha forte é bobagem!”
NLTM hashes de senhas de 8 caracteres(números e letras min.) à quebradas em< 1 minuto (Rainbow Table de 8GB)
mimikatz (2012) rul3z!!!
Muitas vezes nem é necessário quebrarhashes (WDigest)
CENÁRIO 1: DUMP DE SENHAS
Vídeo (dump LSASS)
http://ophcrack.sourceforge.net/tables.php
CENÁRIO 2: ”POWER MALWARE”
Vídeo (”Power Malware”)
CENÁRIO 3: RUBBER DUCKY
https://www.hak5.org/blog/15-second-password-hack-mr-robot-style
SO WHAT?
NÃO MELHORAMOS NADA?!?Não o bastante!
Algumas poucas iniciativas em busca de melhorias
Reviravoltas em InfoSec ”pós-Snowden” (2013)
TLS ”everywhere”, HSTS, ”cloud fear”...
”APT fear” (não é FUD!)
Mudança de mentalidade interessante (~2014/2015)
”vulnerability-centric” à ”threat-centric”
VULN MNGMT X THREAT INTEL
https://www.google.com/trends/explore?q=vulnerability%20management,threat%20intelligence
O QUE FALTA, DOUTOR?
”INCIDENT-CENTRIC” INFOSECNecessidade de mais uma mudança de paradigma
”vulnerability-centric” à ”threat-centric” à ”incident-centric”
Mudança não significa abandonar totalmente o legado
Dar a devida importância a Resposta a Incidentes
Em outras palavras: ”Vou ser invadido cedo outarde, melhor estar preparado!”
Pro+Pe+Tec and Situational Awareness to the rescue!
PRO+PE+TEC
Preparação para IR: PROcessos, PEssoas e TECnologia
Pessoas
Tecnologia
Processos
(!!!) Não, não é uma palestra de vendas!
SITUATIONAL AWARENESSMecanismos para perceberquando incidentes acontecem e reagir a eles
Objetivo principal: auxiliar no tempo de resposta
Yahoo levou 2 anos (!!!) pra descobriro vazamento de 500M contas
Necessidade de integraçãoentre as ferramentas de segurança
Correlação e contextualização de eventos
IOCs + Logs + Tráfego de rede
