DLP Full live circle: Control de los ficheros fuera del perímetro

Parece mentira pero el talento, la innovación y los buenos productos no entienden de fronteras. Y en

estos últimos meses, me he llevado sorpresas muy agradables con productos que complementan los proyectos de DLP.
En concreto, Protección-Online (Prot-on) y SealPath. Ambos aplicando cifrado o DRMs de Microsoft consiguen audidar en todo momento y en cualquier sitio. Quién hace que y dónde con los ficheros protegidos.
Claro que estamos hablando de ficheros, que previamente tienen que haber sido tratados para asignarles permisos, y las propiedades de compartición. Estos dos productos pueden funcionar en la nube o on-premise, con diferentes grados de integración con la empresa. Prot-on está más orientado a los usuarios, con versiones gratuitas y una interfaz más propia de una red social que de una aplicación de seguridad.
Seal-Path, nace del empuje de dos ex-Pandas software, que tiene muy claro la relevancia de garantizar el control de todo a los administradores y tiene una aproximación más empresarial. En el caso de SealPath no require de agentes para los datos, pero si para las imágenes y en el caso de Prot-on, el mismo cliente sirve para todos los ficheros. Por otra parte, cabe destacar que al compartir un fichero con alguien, se puede decidir aspectos como que no pueda imprimir, copiar y pegar, o que solo pueda acceder una horas. Los dos productos son compatibles con las principales plataformas como PCS, tablets móviles...etc.
Estos productos se instalan en cinco minutos, y son muy efectivos dentro o fuera de la organización. A diferencia de los proyectos de DLP, que son una cara, larga, inútil y frustrante elección.

Master Class protección web con Palaolto Networks

Miércoles 09:30 CEST Gran Hotel Central.Via Laietana 30,Barcelona. Evento Exclusive Networks-PAN España.

Empezó la sesión de Master Class con regusto (legal) +++The Mentor+++ Manifiesto Hacker 1986 por parte de Jesús Díez System Engineer de Paloalto Networks.

Para los que no conozcáis a Jesús, como me pasaba a mí hasta el miércoles, es uno de esos ingenieros con un discurso sencillo, apasionado, mordaz y experimentado en auditorías de seguridad. Por asimilarlo, seria una versión formal de Chema Alonso.

Vaya uno de esos pocos conferenciantes que puede convertir un evento en una experiencia: discusiones de hacking sobre Cross-site scripting, SQL injection, parameter tampering, ejecución de comandos de SO y acceso completo a la Shell. Todo esto con una web de e-commerce de ejemplo a modo de punching ball, siguiendo la estela de WebGoat de la comunidad OWASP

Evidentemente el ejercicio consistió en destrozar todas las protecciones del portal y demostrarlo con escalado de privilegios, acceso a información sensible o cosas simples del tipo enviarte productos de forma gratuita.

Algunas de las claves de la sesiones fueron:

• Explicación de fases clásicas de ataque.
• Utilización de Herramienta proxy Paros.-MiM web con spider y crowler de pasivo y activo.
• Explotación de información del fichero /robots.txt que se crea para los spiders oficiales tipo google.
• Deconstrucción de la programación de las web. Vector de ataque fijado en las comprovaciones realizadas en el lado del usuario. Ej, bypass de la comprovación de las tarjetas bancarias mediant algoritmo LUHN.Luhn_algorithm
• Identificación de codificación Grupo64 que oculta datos sensibles y acceleración del desencriptado de MD5 sin usar Johntheripper, sino mediante BBDD online.
• Explotación automátizada de ataques de inyección de código SQL usando Sqlix

Finalización de la sesión con la creación de CONTRAMEDIDAS en el PALOALTO.


A destacar, la diferenciación entre los motores de aprendizaje dinámico del comportamiento esperado de las webs,  de los mejores WAF y la diferencia con PAN.  Por otra parte, creo que la exposición del final, fue clave para entender la orientación de algunas herramientas integradas en los PAN como puede ser la desencriptación del tráfico SSL.  Un ejemplo seria, descargar del trabajo de cifrado SSL a los servidores internos de la dmz, y poder tratar al tráfico en claro. Por otra parte, la utilización de los filtros por tipo de fichero y firmas de DLP hicieron prácticamente el resto.

Valoración del evento: IMPRESCINDIBLE y DIVERTIDO

hth,

Robclav

Cinco Pros y cinco Contras de los PaloAlto Networks

Los cinco grandes PROs:

1. Clasificación en tiempo real de todo el tráfico de la red, dotando de visibilidad completa del comportamiento actual en contraste con el pasado, devoradores de ancho de banda tanto aplicaciones como host o usuarios. Pensado para minimizar el tiempo de troubleshooting de un problema de red, centralizando todos los logs necesarios.
2. Cuadro de mando de la seguridad con informes ejecutivos de utilización de la red.
3. Data Leak Prevention con módulos especiales para número de serie y VISA independiente de la forma de transmisión(ftp, webmail, file server, smtp...etc)
4. Políticas de seguridad, Qos, URL filtering o antivirus en función de la identificación del usuario.
5. Altas prestaciones de routing aprendida de los Netscreen descritas en el anterior POST.

Los cinco grandes Contras:

1. VPN SSL únicamente como sustitución de IPSEC, no permite publicación de escritorios o aplicaciones.
2. QoS extremadamente completa pero compleja para principiantes.
3. Entorno gráfico muy agradable y completo pero dependiente del navegador.
4. Producto muy nuevo, cada nueva actualización incorpora nuevas funcionalidades. Obligatorio actualizar el PAN a la última versión.
5. Pensado para reporting no para administración diaria como sería un Checkpoint.

Pese a estos inconvenientes los PaloAlto son a día de hoy una apuesta segura, la respuesta de gente con talento a las necesidades actuales.
RobClav

Que es un Paloalto Networks?

Esta es la pregunta más repetida por todo el mundo. Qué demonios es un Paloalto y para que sirve? Es un equipo de inspección de tráfico de capa siete con capacidad de modificar el comportamiento de los paquetes. Qué necesitaríamos para igualar un PaloAlto? 

1. Un Packeteer para analizar, clasificar y priorizar tráfico. Dando visibilidad de que pasa en la red.
2. Un IDP de Juniper para detectar ataques y amenazas en la red como troyanos y virus.
3. Un correlador de eventos en tiempo real y forense.
4. Un firewall que permita virtualizar sus recursos como tablas de enrutamiento, y asignar recursos a cada firewall virtual soportado sobre el chasis principal. Capacidad de routing dinámico (RIP, EIGRP y BGP), establecimento de VPNs lan-to-lan IPsec y SSL. Policy Based Routing. 
5. Un Proxy que permita filtra el contenido al que se accede y filtre los virus.
6. Un equipo de DLP (Data Leak Prevention) para evitar fugas de información. Sí, es capaz de mirar en todas las comunicaciones y dentro de los ficheros para detectar la información que le detectemos.
7. Un equipo que sea capaz de romper una conexión de SSL para ver los paquetes en claro(Man-in-the-Middle)

En el siguiente post comentaré las diferentes herramientas de reporting que lleva. Un avance sería que de las siete pestañas del GUI, tres son diferentes perspectivas vía informe de la red.  El top tres diferencial son las que destacan las comparativas del comportamiento del tráfico en la red, los máximos consumidores de ancho de banda y aquellos que lo han dejado de ser, y el tercero sería las principales vulnerabilidades atacadas.