1

SeguridadSeguridadSeguridadSeguridad OfensivaOfensivaOfensivaOfensiva sobresobresobresobreInfraestructurasInfraestructurasInfraestructurasInfraestructuras CríticasCríticasCríticasCríticas

Ing. Walter Riveros

Director Offensive Security

wriveros@deloitte.com | @wriveros

Porque es necesario la seguridad ofensiva?Porque es necesario la seguridad ofensiva?Porque es necesario la seguridad ofensiva?Porque es necesario la seguridad ofensiva?

Fuente: Industrial cybersecurity threat landscape by Karspersky labs

2

Encarando seguridad de la infraestructura de manera ofensivaEncarando seguridad de la infraestructura de manera ofensivaEncarando seguridad de la infraestructura de manera ofensivaEncarando seguridad de la infraestructura de manera ofensiva

• Pasos a seguir y etapas

1. OSINT como herramienta fundamental en la planificación de las pruebas

2. Ataque a la seguridad física como vía de acceso

3. Ataque a los componentes debiles de la cadena. Operadores vía ingeniería social (spear phishing, USB dropping, etc.)

4. Ataque activo de las infraestructuras de acceso publico

5. Ataque activo a las infraestructuras internas

1 1 1 1 –––– OSINT (Open OSINT (Open OSINT (Open OSINT (Open SourceSourceSourceSource IntelligenceIntelligenceIntelligenceIntelligence))))

3

1 1 1 1 –––– OSINT (Open OSINT (Open OSINT (Open OSINT (Open SourceSourceSourceSource IntelligenceIntelligenceIntelligenceIntelligence))))

2 2 2 2 –––– Ataque FísicoAtaque FísicoAtaque FísicoAtaque Físico

• Hay múltiples vías, ideas y formas de que la seguridad física sea comprometida y en consecuencia la operatoria

• Sabotaje • Rotura de cableado principal

• rotura de servicios principales de refrigeración

• Interrupción de servicio vía drones domésticos, etc.

• Tomar ventaja de puntos ciego de cámaras de seguridad y controles

• Uso de controles de acceso ineficientes• Uso de credenciales RFID para ingresos (fácilmente clonables)

• Control vehicular a partir de patentes

• Personal vulnerable a técnicas de ingeniería social

• Están los programas de concientización realmente funcionando?? Poner a prueba la seguridad física es una forma de prevenir posibles sabotajes y comprobar realmente la eficiencia de las medidas adoptadas

4

2 2 2 2 –––– Ataque FísicoAtaque FísicoAtaque FísicoAtaque Físico

3 3 3 3 –––– IngenierIngenierIngenierIngenieríaíaíaía SocialSocialSocialSocial

• Usuarios internos como target es una técnica efectiva de entrada a redes privilegiadas.

• El desarrollo de técnicas de ingeniería social se ha incrementado y es necesario probar los sistemas de control (antivirus, monitoreo de actividades, malware, etc.)

• Para esta etapa se llevan a cabo diferentes técnicas como ser:• Spear phishing donde se busca implantar un software que permita el acceso

remoto al equipo infectado

• UBS dropping donde el objetivo es que la victima conecte un dispositivo con contenido malicioso

• Conectar dispositivos de backdooring como parte del acceso físico a la instalación (proveedores, visitas, etc.)

5

3 3 3 3 –––– IngenierIngenierIngenierIngenieríaíaíaía Social (Social (Social (Social (CasoCasoCasoCaso real)real)real)real)

4 4 4 4 –––– AtaqueAtaqueAtaqueAtaque a a a a infraestructurasinfraestructurasinfraestructurasinfraestructuras externasexternasexternasexternas

• La búsqueda de puntos de acceso desde redes publicas permite la identificación de vectores de acceso y explotación que generan accesos privilegiados sobre recursos sin importar su criticidad.

• Planes de pruebas adaptables al contexto son fundamentales en esta etapa. Los resultados de la inteligencia realizada en la etapa 1 seranfundamentales para la planificación de pruebas (bruteforce, explotación, etc.)

• Si bien las ICS serán el target final es fundamental encontrar pasos intermediados para lograr ese objetivo

6

5 5 5 5 –––– AtaqueAtaqueAtaqueAtaque a a a a infraestructurasinfraestructurasinfraestructurasinfraestructuras internasinternasinternasinternas

• Realmente tienen acceso a servicios críticos las personas que corresponden? O fallas en la seguridad de la red interna exponen operaciones criticas a todos los usuarios?

• Es necesario evaluar como son los acceso a servicios críticos a partir de acceso sin privilegios sobre la red (red de telefonía IP, red proveedores, red menor privilegio, etc.)

• Infraestructuras criticas comúnmente están compuestas por dispositivos conocidos y de una configuración estándar y, en muchos casos de carácter publico. El ataque a protocolos conocidos y/o vulnerabilidades asociadas son claves en esta etapa

5 5 5 5 –––– AtaqueAtaqueAtaqueAtaque a a a a infraestructurasinfraestructurasinfraestructurasinfraestructuras internasinternasinternasinternas

7

ConclusionesConclusionesConclusionesConclusiones

GRACIAS!!GRACIAS!!GRACIAS!!GRACIAS!!Ing. Walter Riveros

Director Offensive Security

wriveros@deloitte.com | @wriveros