¿Cómo las pymes pueden abordar la seguridad de su información?

Todas las empresas, independientemente de su tamaño, tienen información que debe ser protegida. Sin embargo, las pequeñas y medianas empresas (pymes) a menudo se encuentran en una posición desfavorable cuando se trata de asegurarla. La falta de recursos financieros y humanos hace que sea difícil para ellas prestar atención a la seguridad de la información, lo que las deja vulnerables a las amenazas.

A menudo se piensa que la seguridad de la información es una responsabilidad que solo las grandes empresas pueden permitirse. Sin embargo, la verdad es que todas las empresas, independientemente de su tamaño deben prestarle atención. Los datos son críticos y su pérdida o robo puede tener consecuencias graves, tanto financieras como reputacionales.

En este contexto, la figura del CISO (Jefe de Seguridad de Información – por sus siglas en inglés -) se vuelve crucial. El CISO es el responsable de la seguridad de la información en una empresa, y se encarga de implementar y supervisar las políticas y procedimientos necesarios para proteger sus datos. Sin embargo, muchas pymes no tienen la capacidad financiera para contratar a un CISO a tiempo completo, lo que las deja en una posición desfavorable.

Aquí es donde la tercerización de servicios de seguridad de la información se vuelve una alternativa atractiva para las empresas pequeñas y medianas. Los proveedores especializados en seguridad de la información ofrecen servicios de CISO de manera externa, lo que permite a las pymes tener acceso a la experiencia y los conocimientos de un CISO sin tener que contratar uno a tiempo completo.

Además, los proveedores de seguridad de la información pueden ofrecer una amplia variedad de servicios adicionales, desde la evaluación de riesgos y la implementación de medidas de seguridad, hasta la monitorización y detección de amenazas, todo adaptado a las necesidades y presupuesto de cada empresa.

En conclusión, la seguridad de la información es una necesidad crítica para todas las empresas, independientemente de su tamaño. Si eres una pyme y no cuentas con presupuesto, entonces un proveedor de servicios tercerizados de seguridad es tu solución.

¿Por qué su empresa necesita un CISO y cómo la tercerización de los servicios de seguridad puede ser una opción viable?

En la actualidad, la seguridad de la información es una preocupación crítica para todas las empresas, independientemente de su tamaño o industria. Los ciberataques y las amenazas de seguridad están en constante evolución, lo que hace que la gestión de la seguridad de la información sea cada vez más compleja y desafiante. Por lo tanto, es esencial que las empresas cuenten con un experto en seguridad de la información en su equipo, un CISO (Chief Information Security Officer), que se encargue de asegurar la información de la organización.

Sin embargo, no todas las empresas tienen la capacidad financiera o los recursos humanos que acompañen a la contratación de un CISO a tiempo completo. En estos casos, la tercerización de los servicios de seguridad de la información puede ser una opción viable y efectiva.

Las empresas especializadas que ofrecen servicios de MSS (Managed Security Services) poseen expertos altamente calificados y experimentados, que al brindar de forma tercerizada estos servicios, pueden sacar provecho de las economías de escala y reducir costos al compartir los recursos especializados con sus otros clientes.

La tercerización de los servicios de seguridad también permite a las empresas acceder a una amplia gama de servicios de seguridad de la información, incluyendo la monitorización de seguridad en tiempo real, la detección y prevención de intrusiones, la gestión de incidentes y la recuperación de desastres.

Sin embargo, es importante tener en cuenta que la tercerización conlleva ciertos riesgos, como la pérdida de control sobre la gestión de la seguridad de la información. Por lo tanto, es importante seleccionar cuidadosamente su proveedor de servicios y establecer un acuerdo de nivel de servicio (SLA) detallado y claro para garantizar que se satisfagan las necesidades y expectativas de la organización.

En resumen, contar con un CISO en el equipo de su empresa es esencial para garantizar la seguridad de la información. Pero si no tiene el presupuesto suficiente, la tercerización de los servicios de seguridad puede ser una solución efectiva.

Predicciones de Ciberseguridad 2023

Según WatchGuard Technologies

PREDICCIÓN 1.

Las aseguradoras se volverán más exigentes con sus clientes de ciertos tipos de negocios que se han vuelto más atractivos para los cibercriminales , los forzarán a adoptar regulaciones más estrictas y a pagar costos más altos por sus pólizas de seguros.

Los negocios más afectados serían los que han aparecido recientemente en los titulares como sujetos de ciberataques: Prestadores de Salud, Empresas Financieras, Infraestructura Crítica y Proveedores de Servicios Tercerizados.

También se espera que ciertas aseguradoras adopten una lista de proveedores de soluciones de ciberseguridad aprobados, cuyas soluciones deberían ser las contratadas por los negocios que deseen poder acceder a sus pólizas de seguro.

PREDICCIÓN 2.

Más allá de invertir bastante tiempo y presupuesto en refinar los propios mecanismos de seguridad; las organizaciones seguirán incrementando su preocupación respecto a la seguridad de sus asociados de negocio, debido a que sería especialmente frustrante ser víctima de un ciberataque por el error de alguien más.

Como resultado de esta preocupación, la validación de las prácticas de seguridad de los nuevos proveedores y asociados de negocio, serán un aspecto fundamental en la selección de un nuevo producto.

Estarán surgiendo nuevas empresas especializadas en la validación de la seguridad y en el análisis de riesgo fabricantes de productos. Estas empresas ayudarán a mantener seguimiento de los programas de seguridad de los asociados de negocios y proveedores externos.

PREDICCIÓN 3

Una de las funcionalidades que ofrece el metaverso al mundo empresarial, es el incremento de productividad que puede representar el uso de dispositivos de realidad virtual que permitan tomar control del computador físico de cada usuario en una sala de reuniones virtual. La idea es que los participantes de la reunión interactúen en el metaverso de una forma más humana, como si en realidad se encontrarán en la misma sala de reuniones, sin importar las distancias geográficas que los separen. Sin embargo, en dichas reuniones, los usuarios necesitarán de la información que tienen almacenadas en sus propios computadores y tendrán que tomar control de los escritorios de sus computadores desde el metaverso, en este momento echarán mano de protocolos de escritorio remoto ya conocidos y que han sido objeto de muchos ataques en el pasado.

Por eso se cree que el primer gran ataque al metaverso será producto de la explotación de las vulnerabilidades de escritorio remoto ampliamente conocidas y explotadas en la actualidad.

PREDICCIÓN 4

Se espera un incremento de los ataques de ingeniería social cuyo objetivo son los sistemas de autenticación de múltiple factor (MFA).

La amplia adopción del uso de MFA le ha estado complicando el trabajo a los ciberatacantes que han centrado sus ataques en la obtención de las credenciales de sus víctimas o en el reciclaje de credenciales robadas y disponibles en la DarkWeb.

Mientras los ciberatacantes logran perfeccionar mecanismos de ataque que le permitan capturar los tokens de validación MFA en el «aire», la forma más útil que tienen en los actuales momentos es engañar a los usuarios de los sistemas de MFA para que puedan validarse legítimamente y así poder realizar el ataque.

PREDICCIÓN 5

Los sistemas de taxis que se manejan de forma autónoma con el uso de inteligencia artificial, han estado creciendo rápidamente, debido al ahorro que representa para el sector de transporte para pasajeros poder eliminar el alto costo que representa el conductor.

Alguna de las empresas que promueven estos servicios de taxi autónomos, están afirmando que han completado sobre el millón de viajes y esperan desplegar formalmente este tipo de servicios en ciudades como San Francisco y Beijing.

En el pasado, investigadores de seguridad han demostrado como puede ser hackeado un automóvil que esté conectado con un servicio a internet basado en la red móvil. Por lo que es previsible que ya hayan atacantes centrando sus esfuerzos en estos taxis autónomos, por pura diversión o interés económico.

Se prevé que en 2023, se logré hackear un taxi autónomo con el único objetivo de engañar al sistema de inteligencia artificial y que no sepa como responder, haciendo que se detenga el vehículo y colapsando el tráfico en la vía.

PREDICCION 6

El uso de la inteligencia artificial ha evolucionado mucho y es capaz de ofrecer nuevas habilidades o capacidades prácticas, una de ellas es la capacidad de generar líneas de código (programación) automática.

La inteligencia artificial ya está aprendiendo de billones de líneas de código que se encuentran en repositorios como GitHub. Sin embargo, la calidad del aprendizaje va a ser tan buena como la calidad de las líneas de código de las que se esté aprendiendo. Esto quiere decir, que si el código que alimenta a la inteligencia artificial sufre de vulnerabilidades, los programas que se desarrollen con inteligencia artificial tendrán vulnerabilidades.

Se predice que en 2023, un programador flojo desarrollará un APP de forma totalmente automatizada que incluirá una vulnerabilidad crítica y lo hará disponible del público general.

Traducción y Adaptación Libre. José Luis Gomes.

EDR: Detección y Respuesta desde el Computador.

Cada computador podría ser una puerta de entrada a la red de una organización. Por eso es necesario protegerlas con algo más que un antivirus, es necesaria una herramienta que permita tener la visibilidad requerida para actuar en las fases tempranas de un posible ataque. Esta es la misión de un EDR.

Podemos decir que un EDR es una categoría de herramientas de ciberseguridad que detectan automáticamente posibles amenazas de seguridad y reducen los tiempos de respuesta a incidentes.

Un EDR captura grandes cantidades de eventos e información contextual de cada computador (o servidor) para detectar potenciales ataques, incluso aquellos que nunca antes se hayan visto.

Aunque la visibilidad es el principal beneficio de un EDR, también incluye la capacidad para responder a los ataques en tiempo real. La gran mayoría de los EDR utilizan análisis conductual e inteligencia artificial para identificar patrones de comportamiento sospechosos y contener las amenazas antes de que se produzcan daños significativos.

La gran cantidad de los eventos generados por los EDR de las computadoras, no siempre podrán ser procesados automáticamente, por lo que se requiere del talento humano para analizar las alertas y extrapolar el significado de los eventos generados. Las pequeñas empresas podrían no tener los recursos para mantener su propio especialista, por lo que deberían considerar los servicios de un proveedor de seguridad administrada.

Las características principales de un EDR son:

1. Captura de Eventos: a través de un agente de software ligero que se instala en cada computador y que a través de telemetría envía los eventos de seguridad a una plataforma centralizada donde se puede organizar y analizar. Esta plataforma suele estar basada en la nube.

2. Análisis de Eventos: mediante inteligencia artificial el agente de software aprende cuál es el comportamiento normal del uso del computador, para luego generar un registro, una alarma o un bloqueo de cualquier irregularidad que se presente. Al tener los registros, el personal de seguridad podrá profundizar en el "cuándo", "dónde", "cómo" y "quién" de una amenaza.

3. Clasificación de Eventos: utilizando el marco de MITRE ATT&CK que es una base de datos mundial que categoriza y describe ataques e intrusiones ocurridas en el mundo real, se identifican, bloquean o se generan indicadores que permitan reforzar la postura de seguridad de la organización. 

4. Respuesta automatizada: ante cualquier actividad que se considere sospechosa, generando una alerta para que el personal de seguridad investigue.  Aunque el EDR no sea capaz de resolver los ataques más sofisticados, los cuáles van a requerir de intervención humana, la atención inmediata de los ataques más sencillos ayuda a las organizaciones a minimizar los tiempos de respuesta a incidentes.

5. Retención de Eventos: que permitirá al personal de seguridad revisar datos históricos para determinar como ocurrió un ataque. Los conocimientos obtenidos son extremadamente valiosos para fortalecer la postura de seguridad contra futuras amenazas.  En el caso de los EDR cuya plataforma está basada en la nube,  se obtiene tranquilidad adicional, puesto que siempre se tendrán los históricos, incluso en el peor caso en el que un atacante logre desactivar el EDR.


La prevención por sí sola ya no garantiza la protección. Debemos operar con la creencia de que un atacante, en algún momento, logrará vencer nuestras protecciones de perímetro y cuando llegue ese día, el EDR será crucial para ver qué sucedió, cómo sucedió y, lo más importante, cómo solucionarlo. 

El EDR debe ser considerada por nuestras organizaciones como una pieza fundamental para reforzar nuestra postura de seguridad en la medida que las amenazas evolucionen y se vuelven cada vez más sofisticadas.

En Altermedios podemos poner a su disposición agentes de EDR para que puedan ser evaluados por su organización.

Tomado de:  https://blog.emsisoft.com/en/41378/what-is-edr/ y Adaptado por AltermediosMSS

3 Razones para NO ejecutar dos programas antivirus simultáneamente.

¿Ha escuchado que ejecutar dos programas antivirus al mismo tiempo es algo problemático?

¿Esto es un buen consejo basado en argumentos técnicos o es un intento para disuadirlo de instalar los productos de la competencia?

Hagamos una análisis del argumento:

1. Problemas de complejidad: incompatibilidad potencial
   • Los programas de protección se crean de muchas maneras diferentes y, muy a menudo, los desarrolladores no se adhieren a los estándares de codificación recomendados. En particular, el uso de interfaces de sistema operativo no documentadas a menudo causa bloqueos inesperados o bloqueos que son muy difíciles de resolver. A veces, es muy difícil saber si algunos proveedores no tienen la experiencia necesaria para crear sus productos de una manera que los haga compatibles con otros, o simplemente no les importa y esperan que sus clientes resuelvan estos problemas por su cuenta.
2. Ambos Antivirus detectan una amenaza: ¿Quién es el primero en ponerse en cuarentena?
   • Imagine que tiene ambos productos de seguridad con análisis en tiempo real. Al descargar un archivo peligroso ambos podrían detectar y alertar sobre la amenaza; Pero, ¿Cuál es el primero en ponerlo en cuarentena o eliminar la amenaza? ¿Qué pasaría con el segundo antivirus? Seguramente el que accione de último, generaría mensajes de error porque los archivos se desaparecerían repentinamente al ser eliminados o puestos en cuarentena.
3. Más no siempre es mejor. Múltiples soluciones seguro representarán un alto consumo de recursos.
   • Los productos de protección contra malware hoy en día son bastante complejos y el número creciente de amenazas se multiplica exponencialmente, lo que requiere de una gran cantidad de código para mantener su computadora segura. Esto resultará en un uso relativamente alto de los recursos informáticos, muy especialmente de su memoria (RAM). Por lo tanto, es posible que termine gastando de 0.5 a 1 GB o más de su RAM disponible para aumentar su tasa de detección, digamos, de 98% a 99%. Pero, ¿realmente vale la pena esta minúscula mejora? Cada nuevo archivo en la computadora tendría que ser escaneado por ambos productos, lo que desencadenaría dos complejos conjuntos de código que usan gran parte de su tiempo de CPU, que sin duda podrían usarse mejor para otras tareas.

Podemos sacar como conclusión, que no vale la pena utilizar 2 programas de protección antivirus completos en su computador, a menos que sean configurados para que operen en cadena y no de forma simultánea, además que se complementen en análisis y no compitan por los recursos de su equipo.

Si quiere aumentar la protección de su antivirus actual, le recomendamos que se complemente con un agente EDR (Endpoint Detection and Response).

Fuente: BLOG EMSISOFT «Why it isn’t a good idea to run multiple full antivirus products at the same time»

5 TECNOLOGÍAS EN SINERGIA CONTRA EL RANSOMWARE

El Ransomware es un negocio multimillonario que afecta a las organizaciones a nivel mundial a través de sus usuarios. La clave para estar protegido contra el ransomware es poner especial cuidado a la protección de cada usuario con soluciones que incorporen tecnologías que trabajen en conjunto para detectarlo de manera confiable.

1. Detección basada en firmas.

Todos los objetos en el mundo digital contienen atributos específicos que pueden ser utilizados para identificarlos, a esto se denomina firma digital. Cada variante de ransomware no escapa de tener asociada una firma específica que lo identifica. Incorporar estas firmas de forma regular a la base de datos de su solución antiransomware, permitirá identificar archivos que contengan la firma maliciosa, para identificarlos como una amenaza y así poder bloquearlos.

2. Detección basada en Comportamiento.

La detección basada en firmas es una forma eficiente de detener el ransomware conocido, sin embargo, es incapaz de detectar nuevas variantes de ransomware que aún no hayan sido estudiadas para obtener su firma digital. Por este motivo la detección basada en comportamiento es fundamental.

La detección basada en comportamiento trabaja mediante la detección de patrones de conducta que son inusuales, para detener todo programa malicioso antes que pueda hacer cambios en su sistema.

Patrones como creación automática de archivos, intentos de cifrado de archivos, intentos de eliminación de archivos, podrían indicar la presencia de un ransomware que debe ser bloqueado.

La detección basada en comportamiento puede detectar de forma confiable casi todo tipo de malware, aún cuando su sistema de detección basado en firmas se encuentre desactualizado.

3. Prevenir la explotación de vulnerabilidades.

El inicio de un ataque de ransomware, usualmente comienza con la explotación de alguna vulnerabilidad del sistema operativo del computador o de alguno de los programas que utiliza. Por esta razón es que es tan importante mantener actualizados nuestros programas como estrategia de prevención.

Típicamente lo que ocurre al explotar una vulnerabilidad, es que el cyberdelincuente logra una forma para comprometer su sistema, permitiéndole reconocer el equipo o su entorno de red, hurtar sus credenciales, propagarse a otros equipos aprovechando la misma vulnerabilidad u otra presente en los otros equipos. Sólo al final, el ransomware secuestra su información. Al entender todo el proceso del ataque, se puede entender que es un proceso elaborado que toma su tiempo y que ocurre por descuido o falta de atención del usuario.

La idea es detener el ataque en sus fases tempranas, antes que culmine el ataque de ransomware. Al detener cualquier inyección de código a través de programas comúnmente utilizados, por ejemplo, prevenir la ejecución de scripts desde las aplicaciones de Microsoft Office, se previene la ejecución de código malicioso y se reduce la capacidad de maniobra del ataque.

La prevención de la explotación de vulnerabilidades asegura la detección y bloqueo del ransomware en las fases tempranas del ataque, independientemente del método de infección, sea por email, por escritorio remoto, navegación ocasional o vulnerabilidades no parcheadas.

4. Protección con Password.

El Ransomware no se despliega de forma instantánea. Es una ataque que típicamente demora algunos días, semanas y hasta meses. Los cyberdelincuentes se toman su tiempo en reconocer su objetivo para maximizar el impacto del ataque. Parte de este proceso involucra deshabilitar cualquier proceso de seguridad existente en el sistema objetivo, lo cual asegura que este malware no sea detectado e impedido su despliegue.

La protección con password es una forma eficiente para evitar que puedan deshabilitar la solución de seguridad que se tenga implementada en los sistemas de los usuarios. Mejor aún, si la protección por password es establecida de forma centralizada desde un servidor de administración que se encuentre fuera de la red corporativa, preferiblemente en la nube. Al no existir un mecanismo local para el ingreso de la contraseña, se hace mucho más complicado que el cyberdelincuente pueda obtener acceso o interceptar estas contraseñas.

5. Alerta de Ataque al servicio RDP.

RDP es el protocolo de Escritorio Remoto, que suele ser utilizado para tener acceso a servidores. Este protocolo es uno de los vectores de ataque más ampliamente utilizados en los últimos tiempos, motivado a la necesidad de implementar mecanismos de Teletrabajo.

En estos casos, el cyberdelincuente inicia el despliegue del ransomware mediante la ubicación de servidores que tengan el protocolo de RDP expuesto hacia el Internet. Al detectar que el puerto de la aplicación responde al intento de conexión, inicia un ataque de fuerza bruta para obtener las credenciales de dicho servidor. Una vez que ubican una cuenta que posea privilegios administrativos, el atacante podría hacer de todo en la red comprometida.

Disponer de un mecanismo que alerte de los intentos de acceso fallidos a nuestros servidores por RDP, nos permite tomar decisiones como: el bloqueo de las direcciones IP de los atacantes, deshabilitar el servicio RDP en demanda para que sólo permanezca activo durante el período de tiempo que lo necesitamos, utilizar mecanismos de endurecimiento y rotación de contraseñas o en el mejor de los casos utilizar mecanismos de autenticación de múltiple factor que impida el éxito en el secuestro de una cuenta que posea privilegios administrativos.

Conclusión

La protección contra el ransomware requiere poner mucha atención a los equipos y sistemas de nuestros usuarios (eslabón débil de la cadena) y utilizar estas cinco tecnologías de protección de forma simultánea, lo cual se entiende como una estrategia multicapa.

El escenario ideal apunta a que estas tecnologías puedan estar incorporadas en un sólo producto que facilite su implementación y abarate su adopción en los equipos de los usuarios. Sin embargo, también puede adoptarse cada tecnología de forma independiente, con soluciones más especializadas y costosas. Incluso puede adoptarse la estrategia multicapa en distintas zonas de seguridad de la red corporativa.

No puede, ni debe descartarse, el uso de un buen mecanismo de respaldo de los datos, que se encuentre preferiblemente fuera del alcance de los atacantes de la red. Hasta hace poco tiempo se solía decir que la única forma de asegurar la continuidad del negocio era mantener los mejores backups posibles. Sin embargo, los cyberdelincuentes saben esto y no sólo secuestran los datos operativos, también sustraen los respaldos existentes.

Fraudes para robo de Información: PHISHING, VISHING, SMISHING.

En días recientes, estuve escuchando en un evento de seguridad, un panel de expertos del sector bancario y energético, que hablaban acerca de como se habían incrementado los ataques hacia estos sectores durante esta pandemia de COVID-19.

Uno de los panelistas del sector bancario, hizo referencia a que ellos habían recibido un incremento importante en los ataques de Phishing, Vishing y Smishing, haciendo énfasis en que esto complicaba aún más la ya mermada actividad económica de los bancos.

Cómo estos ataques se basan en el engaño a la persona, en este caso al usuario del sistema bancario, la educación sería la manera más económico-efectiva de evitar caer en el fraude. Es por este motivo que consideramos importante aportar aspectos relevantes acerca de cada tipo de Fraude:

PHISHING: 

• Se basa en recibir una comunicación escrita de una fuente que aparenta ser confiable.
• La comunicación escrita se recibe por email en la mayoría de los casos; pero puede recibirse por redes sociales como Whatsapp o Facebook.
• Es un engaño a la confianza de la persona que recibe el ataque.
• El atacante se hace pasar por alguna entidad u organización conocida por nosotros.
• En la comunicación escrita siempre se le va a solicitar conectar con un sitio web fraudulento para que aporte algún tipo de información (sus datos bancarios).
• Este sitio web fraudulento va a tener todos los elementos visuales que lo harían parecer como legítimo.
• La persona podría detectar el phishing al identificar que el nombre de dominio y los certificados no son los que utiliza oficialmente la institución bancaria.

VISHING

• Se basa en recibir una llamada telefónica en la cual se hacen pasar por un funcionario del Centro de Atención de un Banco.
• Requiere que antes haya ocurrido un phishing en la que han obtenido datos de la persona para que la llamada pueda ser creíble.
• El objeto es vulnerar los sistemas de protección de una sola vez que colocan los bancos, para proteger las operaciones con un factor adicional a la clave del ebanking.
• Los bancos han adoptado el uso de claves de único uso por SMS o han adoptado el uso de Tokens de Seguridad que cambian cada 30 segundos (OTP).
• La llamada telefónica recurre al engaño basado en la alarma.  Advierten a la persona que han detectado un acceso fraudulento a su cuenta y que requieren de su clave de único uso o de su token OTP para confirmar su identidad.

SMISHING

• Su éxito radica en el uso que hacen las entidades bancarias de la omnicanalidad, en la cual han adoptado múltiples formas de contacto con sus clientes.
• Se basa en el uso de SMS o WHATSAPP para comunicarse con la persona para alertar una violación en el uso de su Tarjeta de Crédito.
• La persona recibe un mensaje donde se le invita a llamar al Centro de Atención de su banco para validar la operación con la Tarjeta de Crédito. En el mensaje se coloca el número telefónico falso del supuesto Centro de Atención Telefónico.
• El atacante al recibir la llamada, solicitará los datos bancarios de la persona para poder validar su identidad y su supuesto consumo con la Tarjeta.

¿Qué puede hacer para evitar ser víctima de estos fraudes?

• NO preste atención a ninguna comunicación recibida por el Banco que no haya sido solicitada por usted.
•  En el caso que no haya hecho ninguna transferencia bancaria o haya hecho uso de sus tarjetas, haga caso omiso a cualquier supuesta comunicación del banco.
• NO entregue ningún Dato de Identificación Personal o Bancario a través de ningún medio: email, llamada telefónica, website, etc.  Estos datos ya los conoce el banco.
• NO presione sobre ningún enlace acortado recibido por email o redes sociales en nombre de su banco o equivalente.
• NO atienda a ningún enlace web recibido por correo, aunque haya sido recibido desde una fuente confiable.  Primero consulte al remitente del mensaje si le ha enviado algún acceso a un sitio web.

Las entidades bancarias y las organizaciones para las que trabaja, seguro han implementado muchas herramientas de ciberseguridad que comentaremos en otras publicaciones, pero cuentan con su sentido común para que no sustraigan información sensible y privilegiada que ocasionen pérdidas económicas para todos.

 

Imagen cortesía de Vector de Tecnología creado por freepik – www.freepik.es

 

 

 

 

 

 

 

 

 

 

ALERTA: Malware por Email relacionado a asuntos jurídicos.

Hace un par de días recibimos la alerta de un cliente que recibió el siguiente email:

De: RAMA JUDICIAL <notificacionesycitaciones.@cendoj.ramajudicial.gov.co>

Enviado el: Friday, November 22, 2019 2:32 PM

Para: Undisclosed-Recipients:

Asunto: Hemos reprogramado la audiencia de imputacion de cargos para el dia viernes 29 de noviembre en el proceso adelantado en su contra.

Importancia: Alta

TELEGRAMA RGO   3100901278

Hemos reprogramado la audiencia de imputacion de cargos en el proceso adelantado en su contra ya que no contabamos con su presencia o la  de su defensor , esta se llevara a cabo nuevamente en el complejo judicial de paloquemao el dia viernes 29 de noviembre del presente año le agradecemos puntual asitencia .

IMPORTANTE:  Si usted por algun motivo no esta enterado(a) de este proceso en su contra  lo hemos adjuntado.

Todo documento adjunto contiene una contraseña es : 2019

• Este email viene con un archivo adjunto en formato de texto enriquecido (*.rtf).
• Dentro del archivo adjunto no hay ningún escrito, sólo un enlace a un URL traducido en el sitio:  https://acortaurl.com
• El URL direcciona a http://download*.mediafire.com
• El archivo descargado es un archivo cifrado *.zip protegido con contraseña.
• Al descomprimir el archivo hay un ejecutable *.exe que contiene un virus.

ANÁLISIS:

Este email requiere de un alto grado de colaboración del usuario receptor del correo para lograr su objetivo, lo cual logra al enviar una notificación en español perfectamente redactada y hasta cierto punto creíble, porque incluye una notificación judicial con fecha de expiración (29 de Noviembre).

El ataque de malware está compuesto de elementos que por sí solos, no parecieran constituir un riesgo en sí mismos, pero que combinados de la forma en que se hizo, con la total complicidad del receptor del correo, pudieran lograr su cometido:

• Un email que en su cuerpo no contiene ninguna URL o referencia directa que pueda ser declarado como sospechoso en un análisis rápido.
• Un adjunto por email en formato texto, normalmente permitido en las organizaciones.
• Un enlace a un sitio «seguro» https, con un enlace traducido del cual un usuario promedio no sospecharía.
• Un redireccionamiento para un sitio de descarga (se espera el archivo con la notificación judicial) de un archivo protegido con contraseña.
• Un archivo comprimido con contraseña que no va a ser analizado por el antivirus, por poseer clave.

PREVENCIÓN:

• Si la dirección de correo remitente no es de su jurisdicción o usted no mantiene relaciones con dicho país, debe sospechar que el email está equivocado.
• Si el email no específica directamente su dirección de correo, no es un email válido como notificación judicial. Haga caso omiso y elimine el email.
• Si el email no incluye su nombre completo en el cuerpo del email, tampoco es válido como notificación judicial.  Puede descartar el correo.
• En la notificación se indica la fecha en que debe asistir, pero no se incluye la hora.  Otro elemento de sospecha.
• Enviar una contraseña en un correo electrónico general que le remite a un correo adjunto que usará dicha contraseña no tiene sentido lógico, más que evadir un antimalware para correo.  Los archivos protegidos y las claves de descifrado siempre deben viajar por diferentes medios.
• El email carece de una firma con datos que permitan validar la procedencia legítima del correo y su notificación asociada.

PROTECCIÓN:

• Configure su solución de seguridad para que no permita la ejecución de traductores de enlaces o URL recortados.
• Configure su solución de seguridad para que prohíba o alerte del uso de sitios de descargas de archivos genéricos.
• No permita la descarga directa de archivos que no puedan ser analizados por su antivirus.  Envíelos a cuarentena y solicite a su soporte técnico que evalúe el archivo.
• Configure su Antivirus para que no permita la descarga o ejecución de archivos ejecutables.
• Su computador debe ser utilizado con permisos de usuario limitado.  Los permisos de administrador son sólo para acciones puntuales, no deben ser de uso diario.

 

Cómo hacer la revisión de Logs al ocurrir un Incidente de Seguridad.

Fuente:  SANS Institute.  Autores: Anton Chuvakin & Lenny Zeltser.

ENFOQUE GENERAL.

1. Identificar cuáles son las fuentes de log disponibles y las herramientas automatizadas que se pueden utilizar para realizar la revisión.
2. Realizar una copia de los logs a otra ubicación en la que puedan revisarse sin alterar los registros originales.
3. Eliminar el ruido relacionado con líneas repetitivas, después de confirmar que el evento registrado era benigno.
4. Considerar la zona horaria al analizar la fecha y hora de los eventos registrados.
5. Mantener el enfoque en todos los eventos asociados a:
   1. 1 Cambios
   2. 1 Fallas
   3. 1 Errores
   4. 1 Accesos
   5. 1 Eventos Administrativos
   6. 1 Eventos Inusuales.
6. Revisar los logs un período de tiempo anterior y posterior al incidente de seguridad.
7. Correlacionar los distintos eventos registrados en los logs para tener una imagen completa de lo que ocurrió.
8. Desarrollar Teorías acerca de lo que ocurrió y luego verifique si los logs confirman o descartan la teoría.

DONDE BUSCAR.

• Repositorios de logs de los Sistemas Operativos existentes en los Servidores y Estaciones de Trabajo.
• Repositorios de los Servidores de Aplicación como WEB y/o Base de Datos.
• Logs de las herramientas de Seguridad como Antivirus, Firewall, IPS.
• Registros de Eventos en las Aplicaciones de los Usuarios.
• No Olvide revisar cualquier otro evento de seguridad aunque provenga de fuentes que no registran Logs.

 

 

 

 

 

Comparativa de Desempeño UTM – Miercom labs – Agosto 2018.

Extractos del Informe.  Contenido completo en:  https://www.watchguard.com/wgrd-resource-center/miercom-high-performance-verification-report-m270

Un UTM es un producto que consolida funciones de enrutamiento, firewall, Prevención de Intrusiones (IPS), Antivirus, VPN, entre otras medidas de protección requeridas por las pequeñas y medianas empresas PYMES.

Aunque combinan el poder de un Next Generation Firewall y un Secure Web Gateway, tradicionalmente, su desventaja ha sido el bajo performance ante procesamiento intensivo de tráfico.

A solicitud de WatchGuard Technologies, Miercom Labs condujo un estudio independiente en el que comparó equipos que compiten en precio con el Firebox M270. Es decir, equipos con un precio cercano al M270, pero que se estuvieran por debajo del precio de su siguiente producto: el Firebox M370.  Estos equipos fueron:

• Cisco Meraki MX84
• Fortinet FortiGate 100E
• SonicWall NSA 2650
• Sophos XG 210

La comparación de los productos se realizó en los siguiente escenarios:

• Sólo como Firewall
• Firewall con capas adicionales de seguridad en tráfico HTTP y HTTPS.
• UTM con IPS, Antivirus y Control de Aplicaciones activo en tráfico HTTP y HTTPS.

Gráfico 1:  Sólo Firewall procesando tráfico UDP 1518  y procesando IMIX UDP

 

Gráfico 2:  Sólo Tráfico HTTP  /  HTTP combinado con IPS / HTTP con AV / HTTP con IPS & AV / HTTP FULL UTM

Gráfico 3:  HTTPS combinado con IPS / HTTPS con AV / HTTPS con IPS & AV / HTTPS FULL UTM

Este reporte documenta el efecto de las capas de seguridad en el desempeño que tienen cada uno de los UTM evaluados procesando el tráfico. Conocer este impacto, puede ayudar a los Departamentos de IT a decidir cuál producto de seguridad se ajusta mejor a las necesidades de la Organización.

Las pymes siguen siendo un blanco atractivo para los cyber-criminales.

Elaborado por José Luis Gomes – Tecnología Altermedios MSS INC.

En los últimos meses hemos recibido llamadas de empresas que, a pesar de tener soluciones de seguridad de distintos fabricantes muy reconocidos, han presentado problemas como: Bloqueo de Direcciones IP Públicas, Problemas de conectividad por saturación del ancho de banda de Internet, Archivos contaminados con Virus, Aplicaciones de Escritorio con errores de ejecución, entre otras fallas comunes.

Todas estas empresas tenían la tecnología mínima necesaria:  Switches, Servidores, Firewalls-UTM, Antivirus, etc;  sin embargo, todas estas empresas carecían de personal de IT Fijo y en algunos casos tenían a un técnico que llamaban ocasionalmente para resolver fallas puntuales.

Al presentarnos para hacer el diagnóstico, siempre conseguimos las mismas situaciones:

-) Redes planas sin ningún tipo de segmentación. Inalámbricos, Servidores y Estaciones de trabajo, todos trabajando en el mismo segmento de red.

-) Switches Administrables con la configuración por defecto.

-) Redes inalámbricas a las que nunca le habían cambiado la clave del SSID.

-) Todos los usuarios de los computadores (Estaciones de Trabajo) ejecutando sus sesiones con privilegios elevados.

-) Firewalls y Antivirus sin ningún tipo de personalización, con sus configuraciones por defecto.

-) Software de Acceso remoto gratuitos y diferentes, ejecutados incluso en los computadores sin conocimiento de los usuarios.

-) Software tipo Freeware o Adware para ejecutar labores en donde se requieren privilegios, como Backups.

-) Unidades de Red compartidas entre todos los usuarios con los mismos privilegios.

-) Unidades USB libres, sin ningún tipo de bloqueo o control, a las que los usuarios conectan sus teléfonos celulares.

-) Impresoras de Red Alámbricas o Inalámbricas conectadas sin ningún tipo de control de uso a Internet.

Todas estas situaciones son prácticas ejecutadas por personal que se ha preocupado por atender las necesidades de funcionamiento, pero sin tener consideración alguna por la seguridad de lo que están poniendo a funcionar.

En algunos casos, podríamos argumentar que las empresas no contaban con asistencia calificada; sin embargo, lo que nos hemos conseguido mayoritariamente, son casos en los que las empresas contrataban servicios de asistencia con precios mínimos y limitados a atender requerimientos puntuales, que a la larga se convertían en innumerables llamadas y pagos en exceso, que pudieron ser evitados con una correcta asesoría inicial.

Mientras las pymes sigan considerando a la tecnología como un gasto que deben minimizar y existan asesores tecnológicos dispuestos a seguirles la corriente, los cyber-criminales contarán con blancos fáciles a los que puedan comprometer para realizar sus fechorías.

 

 

 

 

 

¿Puedo protegerme utilizando un servicio de DNS?

En los últimos tiempos, hemos observado que las pequeñas empresas se muestran interesadas, cada vez más, en su seguridad informática. Sin embargo, al mostrar productos basados en Hardware o Software, el costo de inversión asociado a estas soluciones tiende a ser el factor principal en la toma de decisión.

La pregunta: «¿Cuánto me cuesta?» , que sigue de inmediato a la presentación de los beneficios de una solución, nos revela que nos seguimos enfrentando a la percepción de la tecnología como un gasto y no como una inversión.

Al hablar con las pequeñas empresas, en muy rara ocasión se encuentra presente algún interlocutor del área de tecnología.  Esto hace que la conversación se desarrolle con los dueños del negocio, quienes manifiestan la preocupación en su seguridad, esperando que podamos ayudarlos a un «costo razonable».

Como proveedores de servicios nos planteamos la posibilidad de operar una solución totalmente basada en la nube, que no requiera de inversión en ningún hardware o software extra, ni de complejos artilugios en las redes de nuestros clientes.

Al analizar los controles basados en DNS, encontramos la alternativa de «costo razonable» que estábamos buscando.

Si partimos del hecho que para que podamos: navegar a un sitio web, enviar un correo electrónico, chatear o ver un video, es imprescindible la resolución de un nombre de dominio (DNS) para conocer la dirección IP del servidor al que debe establecerse la conexión, entonces al controlar que direcciones IP resuelven nuestros Servidores DNS podemos controlar como fluye el tráfico hacia internet.

Este tipo de controles DNS han estado en operación desde hace tiempo, incluso en países que aplican censura a ciertos sitios o dominios opuestos al gobierno de turno.  El uso del DNS es tan poderoso, que puede utilizarse – incluso – para evadir los controles de censura aplicados por estos países.

Combinar el poder del protocolo DNS con un adecuado sistema de clasificación de dominios en internet, con el que podamos agrupar sitios que distribuyen virus,  que poseen contenido pornográfico ó que permiten la descarga de herramientas de hacking,  nos permite tener una solución de seguridad básica para las pequeñas empresas y que combinada con herramientas de seguridad multicapa, nos permite mejorar la estrategia de seguridad de las medianas y grandes empresas.

Malware VPNFilter infecta más de 500.000 enrutadores inalámbricos caseros.

(Tomado de WatchGuard Secplicity y del Blog de Cisco Talos)

Hace una semana los investigadores de Talos publicaron un análisis acerca de un APT denominado VPNFilter, en el cual estimaban que al menos hay 500.000 enrutadores SOHO infectados en 54 países.  Unas horas más tarde, el FBI anunció que habían incautado un dominio clave para el botnet que establecía el canal de comando y control del malware.

VPNFilter es un malware altamente sofisticado, que funciona de forma modular desplegándose en fases para hacerse persistente en los enrutadores que compromete, comunicándose con los servidores de comando y control para descargar módulos de malware especializados.

La primera fase del APT difiere de otros malware dirigidos a IoT en que puede hacerse persistente, lo cual quiere decir que el dispositivo afectado permanece infectado aún después de un reinicio. Después de lograr afianzarse al enrutador, el APT intenta localizar y descargar un segundo malware que es no persistente y que es similar a otros botnet en que implementa un canal de comando y control para recibir y ejecutar comandos en el enrutador.

Como la segunda fase del malware intenta localizar a los servidores de comando y control, el FBI ha estado solicitando a los dueños de enrutadores que sospechen que pudieran haber sido afectados, para que los reinicien y de esta forma lograr identificar cuáles equipos han sido afectados a través del dominio que incautaron.

Hasta ahora no se conoce exactamente cuáles vulnerabilidades en los enrutadores fueron explotadas para lograr la instalación permanente del malware en los equipos afectados, sin embargo los investigadores han encontrado que todos los enrutadores comprometidos tenían vulnerabilidades bien conocidas que pudieron ser explotadas con técnicas que sólo requerían permisos administrativos y que no requerían técnicas de día cero sofisticadas para lograr la instalación.

Hasta ahora los modelos y marcas de los dispositivos que han sido afectados por el APT son:

LINKSYS:  E1200  –  E2500  –  WRVS4400N

MIKROTIK: 1016  –  1036  –  1072

NETGEAR:  DGN2200  –  R6400  –  R7000  –  R8000  –  WNR1000  –  WNR2000

QNAP:  TS251  –  TS439 Pro  –  Otros modelos QNAP NAS ejecutando QTS software

TP-LINK:  R600VPN

Los investigadores no han logrado determinar todos los modelos y marcas afectados porque todas sus observaciones se han basado en el acceso remoto a los equipos y aún no se conocen cuantos equipos se encuentran afectados.

Es importante destacar que este malware tiene un potencial destructivo capaz de implementar un ataque de alcance mundial a infraestructuras y proveedores de servicios críticas.  El control que han logrado de los dispositivos afectados es tal que los desarrolladores del APT tienen capacidad de dañar permanentemente a los enrutadores para lograr cubrir sus huellas.  Si decidieran generar un colapso mundial de los servicios de internet domésticos podrían destruir remotamente a todos los dispositivos con una instrucción remota.

¿Que hacer?

• Si tiene alguna de las marcas de Enrutadores o NAS afectados, se recomienda restablecer el equipo a su configuración de fábrica y volverlo a configurar procurando evitar las claves por defecto y accesos administrativos remotos desde internet.
• Descargue las últimas actualizaciones de firmware que pongan a disposición los fabricantes de los equipos, para tratar de corregir las vulnerabilidades que están siendo explotadas por VPN Filter en estos momentos.
• Evite colocar enrutadores domésticos directo al Internet si está en la posibilidad de colocarlos detrás de un equipo de seguridad que tenga servicios de defensa IPS o Antivirus.

 

 

 

 

 

 

USO DEL WIFI COMO HERRAMIENTA DE NEGOCIOS.

Seguramente la tecnología de conectividad inalámbrica o Wi-Fi no sea ajena para usted, ya que su uso se ha extendido como consecuencia de su incorporación en los teléfonos o tabletas celulares.

Quizá desconozca tecnológicamente como funciona un Wi-Fi, pero si debe estar acostumbrado a ubicar su Conexión Inalámbrica por Nombre (SSID) y a colocar una clave para conectarse.  Es muy probable que usted se conecte a un enrutador o punto de acceso inalámbrico en su casa u oficina, aunque esto no sea de mayor importancia para usted.

El uso de Wi-Fi es tan cotidiano, que seguramente ha pensado en incorporarlo en su negocio (si aún no lo ha hecho), solamente porque le parece natural permitir que los teléfonos se puedan conectar de forma inalámbrica.

Más allá de las consideraciones de seguridad asociadas a permitir conexiones inalámbricas en nuestras organizaciones, en el artículo de hoy queremos resaltar las bondades que tiene la tecnología inalámbrica para nuestros negocios.

Por definición, la tecnología Wi-Fi está compuesta de una estación de comunicación base y varios terminales inalámbricos.  En cualquiera de estos elementos, se transmiten y se reciben datos como una señal electromagnética, con un nivel de intensidad o de potencia de transmisión.  Este nivel de potencia o nivel de señal, lo podemos utilizar para conocer que tan cerca o que tan lejos se encuentra un terminal inalámbrico de la base de comunicaciones.

Intuitivamente sabemos que nuestro teléfono registra un nivel de señal alto o excelente, en la medida que nos acercamos a la base de comunicaciones. También sabemos que en la medida que nos alejamos de la estación base, se va debilitando el nivel de señal hasta que nuestro teléfono se desconecta e intenta ubicar a otra estación base cercana.

Si quisiéramos, podríamos establecer una regla que asocie la distancia que nos separa de nuestra estación de comunicaciones base en función del nivel de señal Wi-Fi que registra nuestro teléfono.  Por ejemplo, podríamos tener 5 Niveles de señal:  Excelente, Buena, Regular, Mala, Débil asociados a la distancia que nos separa de la antena:  1, 2, 3, 4 o 5 metros, respectivamente.

Ahora bien, ¿no suena lógico que podamos hacer la misma medición de distancia desde la propia base de comunicaciones?  ¿No tendríamos los mismos resultados?.  Pues la respuesta es afirmativa, se puede hacer la misma medición, obteniendo la misma distancia de separación del terminal móvil o teléfono.

Cómo nuestra base de comunicaciones inalámbricas Wi-Fi está diseñada para permitir la conexión de varias computadoras o teléfonos, entonces podríamos utilizarla para medir la distancia de separación hacia cada unos de los teléfonos.

Esto nos lleva a concluir que podemos utilizar un sistema Wi-Fi para saber cuántos teléfonos (o computadores) se encuentran cerca o cuántos teléfonos se encuentran lejos de nuestro sistema de comunicación inalámbrica.

Si mantenemos un registro constante de las mediciones que se hacen con nuestras antenas y luego las analizamos, vamos a poder saber cuando un teléfono se acerca o se aleja de nuestro sistema, cuanto tiempo permanece un teléfono cerca de nuestra antena, cuantas veces se ha acercado el teléfono a nuestro Wi-Fi, etc.

Partiendo del hecho que cada teléfono o computador no se desplaza por cuenta propia, sino que una persona vinculada a dicho equipo es la que lo acerca o lo aleja (consciente o inconscientemente) de nuestro Wi-Fi, al lograr establecer una vinculación de cada teléfono a su dueño, vamos a poder establecer mediciones asociadas a los dueños de los teléfonos.

De esta forma, es posible distribuir varios puntos de comunicación Wi-Fi en un Centro Comercial, para medir por donde se desplaza cada persona (que tan lejos o que tan cerca está de cada antena), cuanto tiempo se mantiene cada persona cerca de cada antena o cuantas veces dicha persona visita el centro comercial.

Así que, la próxima vez que piense que debe instalar una zona Wi-Fi en su organización, sólo porque hoy día es común su uso, piense que esto podría ser una herramienta poderosa para hacer negocios, si selecciona un Wi-Fi que haga análisis de los datos de conectividad inalámbrica.

 

 

 

 

 

 

 

 

 

WatchGuard Threat Labs: Estadísticas del tercer trimestre 2017

(Información obtenida de la Infografía Resumen del Estudio Q3, 2017 de WatchGuard Threat Labs)

Para poder establecer una estrategia de defensa es preciso conocer los tipos de amenazas y ataques que han estado ocurriendo en los últimos tiempos.

Lo valioso de la información obtenida del estudio de WatchGuard Technologies es que resume el comportamiento de un universo aproximado de 30.000 equipos distribuidos en el mundo entero.

Esta información debe complementar nuestra propia estrategia de visualización y análisis de los Logs con las tendencias obtenidas del Informe.

A continuación la información más importante que se puede resumir:

-) 24% DEL MALWARE DETECTADO ES ZERO DAY.

Ya no es suficiente protección el uso del Gateway Antivirus.  Es preciso el complemento con tecnologías de detección en la nube y de evaluación de comportamiento del tipo Sandbox, para poder estar protegido de este tipo de malware.

Aunque el Gateway Antivirus no es suficiente, evidentemente es una protección necesaria contra un 76% del malware conocido. 

-) 68% DEL MALWARE DETECTADO UTILIZA TECNOLOGÍA DE SCRIPTING EN SESIONES WEB.

La evidencia muestra que es imprescindible el uso del IPS para evitar la ejecución de  «programas» (scripts) en sesiones de navegación web.  Por lo que es altamente recomendable la activación de la prevención de intrusiones en sesiones http y https.

La evidencia también mostró que el malware no estaba afectando solamente a los navegadores de los usuarios, también estaba afectando a los servidores web.  Por lo que no debe olvidar de aplicar el IPS sobre su Servidor WEB y cualquier aplicativo que haga uso de los servicios web para su funcionamiento.

-) 71,62% DEL MALWARE DETECTADO OCURRIÓ EN LA REGIÓN EUROPA-AFRICA-MEDIO ORIENTE (EMEA por sus siglas en Inglés).

Esta estadística muestra que los usuarios de estas regiones deben poner especial cuidado en el uso de una estrategia de seguridad MULTICAPA que debe incluir como mínimo el uso de Antivirus, IPS y APT Blocker.

Si usted no pertenece a esta región no debe sentirse aliviado por el mal ajeno.  Muy por el contrario, debería enfocar sus esfuerzos por analizar sus datos con DIMENSION y evaluar su interacción de tráfico con esta región EMEA, para que pueda prevenir contaminarse de manera indirecta.  Aproveche la función de GEOLOCALIZACIÓN para bloquear la actividad con los países de la región con los que no requiera interacción alguna y aplique seguridad multicapa con aquellos con los que si requiera interacción.

Estos son las cifras más relevantes de un estudio muchísimo mas extenso y algunas de nuestros comentarios y recomendaciones basadas en estas cifras.

Si quiere obtener mayor información acerca del estudio o nuestra interpretación del mismo, puede escribirnos a  info@altermediosmss.net

 

 

 

 

 

10 Malos Hábitos que deben romper los Profesionales de Seguridad IT

(Tomado y Adaptado de TechRepublic)

La demanda de profesionales de Seguridad IT continúa en ascenso y se proyecta una escasez de talentos de 1.8 Millones de empleos para el año 2022.  Los encargados de asumir estas posiciones jugarán un rol muy importante en sus organizaciones. Una serie de errores comunes pueden hacer su trabajo más difícil y poner en riesgo la seguridad de sus empresas. El costo promedio de las brechas de seguridad, a nivel mundial, está estimado en 3.62 millones de dólares.

A continuación se indican los 10 malos hábitos que deben romper los profesionales en Seguridad IT para ser más eficaces en sus organizaciones:

1.EXCESO DE CONFIANZA.

Es el error más común en Seguridad IT.  Una falsa sensación de confianza se produce al pensar que se han implementado todos los controles correctamente, lo que lleva a pensar que las organizaciones son invulnerables.

Otro de los errores comunes es pensar que es suficiente con implementar un sólo mecanismo de protección.  Sin embargo, como queda establecido en los juegos de estrategia, una Individuo puede ser vencido por otro Individuo independientemente de que tan ágil  o poderoso sea.  Por eso es importante que siempre se aborde una estrategia de seguridad multicapa.

2.OMISIÓN DE LOS CONTROLES CORPORATIVOS.

Los profesionales de seguridad IT tienden a deshabilitar los controles implementados cuando consideran que les impide hacer su trabajo.

Al implementar una estrategia de seguridad multicapa se presentan incompatibilidades entre tecnologías que compiten entre si, lo que los obliga a desabilitar o apagar configuraciones que suelen ser repetidas.

Desabilitar o remover protecciones como el Anti-Virus, la Autenticación de Doble Factor o abrir los Protocolos de Red, exponen los sistemas de manera deliberada a los atacantes.

3.ACTITUD NEGLIGENTE ACERCA DE LOS FALSOS POSITIVOS.

Algunos profesionales de seguridad IT son negligentes respecto a los falsos positivos, asociados a la detección y bloqueo de archivos benignos que han sido catalogados como malware, con la consecuente pérdida de información o interrupción de las operaciones.

Muchas veces estos falsos positivos son provocados por la configuración de los sistemas de seguridad IT a un nivel paranoico que impide el normal desenvolvimiento de las operaciones de la organización.

4.NO REVISAR TODO SU AMBIENTE DE TRABAJO.

Los profesionales de seguridad IT pasan gran parte de su tiempo «apagando fuegos» y tapando huecos de seguridad. Muy por el contrario, pasan muy poco tiempo revisando por qué sus sistemas se van debilitando.

Muchas veces los problemas de seguridad se presentan por cambios de configuración provisionales que no son reversados o por elevación de los permisos de los usuarios que son solicitados temporalmente para realizar alguna actividad y que luego no son revocados.

5.DESCONOCER LA IMPORTANCIA DE LOS USUARIOS EN LA SEGURIDAD IT.

Aunque muchos profesionales de IT reconocen que sus usuarios son el eslabón más débil en la cadena; muy pocos reconocen que deben actuar sobre sus usuarios para mejorar la seguridad.

El entrenamiento de los usuarios es una aspecto clave en la estrategia de seguridad por lo que es deseable que la educación sea un aspecto prioritario. Pequeños cambios en la conducta de los usuarios, pueden traer efectos notables en la postura de seguridad de la organización.

6.DEJAR QUE DECAIGAN SUS HABILIDADES.

Es un error asumir que se poseen todas las habilidades que puede requerir su trabajo.  Debe mantenerse en constante entrenamiento para no ser dejado atrás por las nuevas tecnologías.

7.NO ACTUALIZAR LOS PARCHES DE SEGURIDAD INMEDIATAMENTE.

Las organizaciones invierten gran cantidad de su presupuesto en la contratación de soluciones de seguridad que terminan siendo vulneradas por no aplicar las actualizaciones de seguridad de manera oportuna.

8.EL SÍNDROME DE FATIGA POR ALERTAS.

Este síndrome es provocado por el envío de una gran cantidad de alarmas al responsable de Seguridad IT, quien termina por descartarlas al no poder procesarlas o por que le incomoda tener que reaccionar ante el gran volumen de información recibida.  Esto trae como resultado que se descarten alarmas muy importantes que evitarían a tiempo cualquier amenaza de seguridad.

9.CONFIAR DEMASIADO EN SUS PROVEEDORES.

Muchas veces lo profesionales de IT confían demasiado en sus proveedores, porque se supone que deben estar a la vanguardia de las tendencias en seguridad. Pero debe tenerse en mente que cualquier producto, sea de hardware o software, es solamente un engranaje de un completo sistema de seguridad, no es la solución en sí misma.

La recomendación es que cada profesional de seguridad IT debe asegurarse de poder obtener el máximo provecho de sus productos de hardware o software, antes de continuar adquiriendo nuevas tecnologías, evitando así la alta dependencia de sus proveedores.

10.IGNORAR EL LADO EMPRESARIAL.

El profesional de seguridad IT debe poder hablar en términos del negocio con los tomadores de decisión.  No debe expresarse en términos técnicos que no puedan ser comprendidos por sus interlocutores, hacer esto es como ir a una balacera con un cuchillo, no le serviría de nada (o de muy poco).

El encargado de seguridad IT debe tratar de entender el negocio en todo su contexto y no enfocarse solamente en los aspectos de seguridad, sino lo hace así, el negocio dejaría de ser exitoso, haciendo inútil la implementación de cualquier tipo de estrategia.

Fuente: http://www.techrepublic.com/article/10-bad-habits-cybersecurity-professionals-must-break/

 (Créditos: Alison DeNisco)

Resumen del Análisis hecho por GARTNER del mercado UTM para PyMes.

Un Firewall Multi-función para PYMEs es la definición más general de UTM.  Provee una solución integrada de seguridad en un sólo equipo para Empresas Distribuidas Geográficamente y para las pequeñas y medianas empresas.

Los Servicios que debe proveer un UTM, como mínimo, son los siguientes:

• Seguridad para Correo Electrónico.
• Seguridad para Tráfico WEB.
• Prevención de Intrusiones.
• Conectividad Remota.
• Enrutamiento y Balanceo Multi-WAN.

En las PyMes, son bien valorados que un UTM posea una interfaz web para su administración, que sea fácil la configuración de políticas de seguridad, que posea un Sistema de Reportes Integrados y que todo el Software y Documentación relacionados con el UTM se encuentren fácilmente localizados.

El mercado típico de los dispositivos de seguridad UTM son las Empresas que poseen de 100 a 1000 empleados.

La empresas más pequeñas tienen altas presiones presupuestarias y poca consciencia de sus riesgos de seguridad. Sus decisiones de compra son tomadas basadas en aspectos no técnicos, principalmente reconocimiento de marca.

Las empresas medianas, suelen tener un equipo de IT  o encargan en una empresa de servicios asistidos (MSS), el mantenimiento, configuración y monitoreo de la solución de seguridad.

Las empresas distribuidas geográficamente, con muchas sucursales, suelen tener más de mil empleados, sin embargo, sólo una fracción del personal contratado tiene acceso a recursos de IT.  Estas empresas tienden a tener presupuestos aún más escasos y su operación es mucho más complicada por la poca cantidad de miembros que suele tener el equipo de IT.

En los próximos 5 años se esperan las siguientes tendencias en las PYMEs:

1. 50% instalará una solución de seguridad en la nube y transitará el tráfico de navegación a través de un túnel seguro hasta la nube.
2. 25% instalará un UTM como un sistema de control y monitoreo de acceso a servicios en la nube, para controlar terminales móviles y para evaluar la seguridad de sus estaciones de trabajo.
3. 10% de las nuevas sucursales de empresas distribuidas implementará su seguridad bajo el modelo de Firewall como servicio.

Las grandes empresas, tienen necesidades de seguridad diferentes a las PyMes, incluso en sus sucursales, que normalmente atienden con firewalls empresariales del segmento más bajo, aprovechando la economía de escala resultante de las compras por volumen y la facilidad de administración que implica trabajar con una sola consola. Por esta razón GARTNER genera un análisis diferente para Firewalls Empresariales.

A continuación el cuadrante mágico de GARTNER para UTMs

Definición de los cuadrantes

LEADERS:  Son los que más venden equipos. Tienen una amplia gama de modelos de equipos para la venta.  Tienen gran cantidad de funciones y son fáciles de gerenciar y configurar.

VISIONARIES: Tienen el diseño y funciones que requieren las empresas que compran UTM, pero carecen de la estrategia o finanzas que le permitan competir con los líderes. Para aquellas empresas en donde la tecnología de seguridad es muy importante, los visionarios son la elección.

CHALLENGERS: Son los que tiene muchas Ventas pero sus Equipos no tienen la tecnología y funciones que requiere el mercado. Son empresas que han tenido éxito con productos en otros segmentos de mercado y que logran hacer ofertas globales (en conjunto) que le permiten obtener buenas ventas.

NICHE PLAYERS: Son vendedores que se enfocan en una vertical de mercado o un área geográfica específica.  Están totalmente enfocadas a su cliente.

 

4 Servicios Wi-Fi que requieren las PyMes.

(Tomado y Adaptado de #WatchGuard #Secplicity)

WatchGuard como empresa orientada exclusivamente al canal, recibe requerimientos de sus asociados dedicados a la prestación de servicios asistidos (MSP – Managed Security Partners).

Estos requerimientos cuando están asociados a las Pymes son muy diferentes a los servicios requeridos por las grandes empresas y pueden ser agrupados en 4 categorías que pueden ser explotadas por los MSP como servicios facturables:

1. Managed Wi-Fi:  El MSP maneja todos los aspectos de configuración y resolución de problemas asociados a los Wi-Fi.
2. Managed Wi-Fi Security: El MSP ofrece los servicios de seguridad inalámbrica a través del uso de Sistemas de Prevención de Intrusiones Inalámbricas (WIPS), lo cual le permitiría a los clientes cumplir con los estándares HIPAA y PCI 3.2.
3. Portales captivos que interactuan  con los usuarios: Se crean portales de autenticación que contienen anuncios que pueden ser adaptados a las estrategias de mercadeo de los clientes.
4. Datos de Seguimiento en Tiempo Real: El MSP genera métricas asociadas a los dispositivos que se conectan al Wi-Fi y su comportamiento al visitar el establecimiento del cliente.

Algunos fabricantes ofrecen estas capacidades a través de la integración de sus APs a productos de terceros.

En el caso de WatchGuard se pueden ofrecer todos estos servicios con un sólo producto: la subscripción Wi-Fi Cloud.  Esta es una suite que provee un ambiente inalámbrico seguro, simple de administrar, inteligente y que incluye herramientas para aumentar la interacción con los usuarios y generar métricas de interés para el negocio.

 

5 Señales que indican que su PYME necesita contratar una empresa MSS.

(Tomado y Adaptado al Español de #WatchGuard #Secplicity)

Empresas de todos los tamaños están enfrentando retos en Seguridad de Información regularmente.  En particular, las PYME enfrentan una cantidad de riesgos de seguridad motivados a la escasez de recursos.  La única manera en que una PYME puede mantener los datos de sus clientes seguros sin dedicar a un personal dedicado exclusivamente a la seguridad, es contratando a un Proveedor de Servicios Gestionados (MSSP por sus siglas en inglés Managed Security Service Provider) – después de todo, ellos son los expertos. Sin embargo, Cómo una pequeña empresa puede identificar que debería iniciar una conversación para conseguir apoyo externo a su seguridad de información?

El Director de WatchGuard encargado del producto asociado a gestión, Himanshu Verma, escribió recientemente un artículo que muestra los 5 indicadores clave que una pequeña empresa  debe reconocer para contratar a un MSSP. El también explica que los datos sugieren que las PYMES se mueven en la dirección correcta cuando delegan su seguridad en una MSSP.

«Las buena noticia es que las PYMES están comenzando a darse cuenta del valor de un soporte externo para su seguridad. De acuerdo a una encuesta reciente llevada a cabo por Vanson Bourne, mas del 60% de los revendedores  de soluciones para PYMES no creen que la mayoría de sus clientes conocen la diferencia entre UTM y NGFW.  De los 1400 revendedores encuestados, cerca del 80% no cree que sus clientes se preocupen acerca del tipo de producto que usan o su clasificación – y solamente quieren saber que su negocio se encuentra protegido con los últimos y mejores servicios de seguridad.  Estos datos sugieren que las PYMES han comenzado a seguir las mejores estrategias y recomendaciones de seguridad que le indican los revendedores de equipos de seguridad y los MSSPs».

Los 5 aspectos clave que indican que una PYME debe contratar con un MSSP son:

1. Si la pyme no cuenta con un presupuesto dedicado exclusivamente para la seguridad de información.
2. Si la empresa se relaciona en un ecosistema de negocios con empresas más grandes.
3. Si ha tenido mejor suerte encontrando un unicornio en la empresa que un especialista en seguridad de información (CISSP)
4. Si no posee visibilidad de los datos y recursos de IT que usa.
5. Si cree que el cumplimiento de las normativas es un inconveniente.

 Virtual Strategy Magazine.

5 Tips para prevenir amenazas asociadas al WiFi

El uso constante que hacemos de las aplicaciones móviles y de los puntos de acceso inalámbrico públicos, es lo que los vuelve inseguros.

Al utilizar una red inalámbrica pública, nunca se sabe si se está poniendo en riesgo o no. Al conectar su dispositivo a una red comprometida puede ocurrir robo de información, comprometerse con ransomware o ser utilizado como una plataforma de retransmisión de un ataque informático.

TIP 1 – VERIFIQUE LA AUTENTICIDAD DE LA RED WIFI: Un atacante puede publicar un hotspot inalámbrico de nombre muy similar al verdadero, para robar sus datos personales. Siempre valide con los dependientes del restaurant, tienda u hotel, cuál son los datos correctos de su conexión WiFi.

TIP 2 – USE UNA VPN: No navegue a través de una red inalámbrica pública, sin utilizar una VPN que le brinde privacidad a las conexiones que realice. Así evita dar información sensible que pueda comprometer su red y aumenta la seguridad de su navegación con su protección corporativa.

TIP 3 – NO TENGA EL BLUETOOTH ENCENDIDO: La recomendación es sólo encender el bluetooth para aparearse a un dispositivo, luego desactivarlo al culminar el apareamiento. La seguridad de las conexiones bluetooth por defecto es débil, por lo que incluso se recomienda NUNCA habilitarlo mientras está conectado a un WiFi. La idea es evitar que un Hacker desee explotar su teléfono para tener acceso a su red corporativa o a su información sensible mientras navega.

TIP 4 – DESHABILITAR LA OPCIÓN DE COMPARTIR LA UBICACIÓN: La opción de geolocalización de los dispositivos móviles es muy útil para los servicios de taxi o de entregas a domicilio. Sin embargo, mantenerlo activo, mientras se conecta a un WiFi público, aún cuando pueda usar una VPN para asegurar su conexión inalámbrica, puede decirle a un atacante la información real donde usted se encuentra, generándole un riesgo a su propia seguridad personal y suministrando información que puede ser utilizada para atacar a su red corporativa.

TIP 5 – DESACTIVE LA OPCIÓN DE UNIRSE AUTOMÁTICAMENTE A REDES WIFI DISPONIBLES: Todos los puntos de acceso inalámbrico públicos son atractivos para los atacantes. Puede ser comprometidos para atacar de forma indirecta a los dispositivos móviles. Evitar la conexión automática WIFI a redes disponibles, reduce la exposición a estos ataques sin que usted se percate lo que está ocurriendo.

En el año 2020, la tendencia ha sido el tele-trabajo, lo cual tiene relación directa con las redes WiFi. Es por esto que los ciberatacantes han estado desarrollando ataques que están vinculados al uso de redes inalámbricas. Como ejemplo, ha aparecido el ransomware CryCriptor y troyanos para control remoto de dispositivos cómo DingWe.AD.

Hoy más que nunca hay que tomar todas las precauciones al conectarse a las redes públicas inalámbricas .

Estadísticas del Ransomware: 2do Trimestre del 2020.

Según el BLOG de #EMSISOFT, quienes han analizado muestras de ransomware recibidas a través de ID Ransomware y el propio website de Emsisoft, entre el 01 de Abril y el 30 de Junio de 2020, las cepas de ransomware más reportadas fueron las siguientes:

1. STOP (Djvu): 71,70%
2. Phobos: 8.90%
3. Dharma (.cezar): 6.90%
4. REvil / Sodinokibi: 3.20%
5. Globeimposter 2.0: 2.00%
6. Makop: 1.80%
7. Paymen45: 1.60%
8. LockBit: 1.40%
9. GoGoogle: 1.30%
10. Magniber: 1.10%

Cepas de Ransomware más reportadas en Q2 / 2020

STOP/Djvu, fue la familia ransomware más reportada durante el primer trimestre de 2020: 70,2% y ha continuado su legado en este segundo trimestre: 71,7%. Esta prolífica cepa, normalmente se propaga a través del uso de software que ha sido crackeado, generadores de claves (keygen) y activadores.

En segundo y tercer lugar se muestran Phobos y Dharma, que utilizan como vector de ataque el protocolo de Escritorio Remoto (RDP). Resulta evidente que muchas organizaciones no implementaron de forma segura el RDP en su prisa por desplegar el Teletrabajo dejando estas conexiones vulnerables a los compromisos.

Países desde donde se han recibido más cepas de Ransomware:

1. India: 28,40%
2. Estados Unidos: 16,10%
3. Egipto: 11,50%
4. Indonesia: 10,60%
5. Pakistán: 8,40%
6. Brasil: 8,40%
7. Corea del Sur: 5,50%
8. Turquía: 4,00%
9. Filipinas: 3,60%
10. Argelia: 3,60%

Países desde donde se han recibido más muestras de Ransomware. Q2 / 2020.

Puede ampliar información acerca del reporte en: https://blog.emsisoft.com/en/36769/ransomware-statistics-for-2020-q2-report/#