Cómo hacer la revisión de Logs al ocurrir un Incidente de Seguridad.

Fuente:  SANS Institute.  Autores: Anton Chuvakin & Lenny Zeltser.

REVISION DE LOGS

ENFOQUE GENERAL.

  1. Identificar cuáles son las fuentes de log disponibles y las herramientas automatizadas que se pueden utilizar para realizar la revisión.
  2. Realizar una copia de los logs a otra ubicación en la que puedan revisarse sin alterar los registros originales.
  3. Eliminar el ruido relacionado con líneas repetitivas, después de confirmar que el evento registrado era benigno.
  4. Considerar la zona horaria al analizar la fecha y hora de los eventos registrados.
  5. Mantener el enfoque en todos los eventos asociados a:
    1. 1 Cambios
    2. 1 Fallas
    3. 1 Errores
    4. 1 Accesos
    5. 1 Eventos Administrativos
    6. 1 Eventos Inusuales.
  6. Revisar los logs un período de tiempo anterior y posterior al incidente de seguridad.
  7. Correlacionar los distintos eventos registrados en los logs para tener una imagen completa de lo que ocurrió.
  8. Desarrollar Teorías acerca de lo que ocurrió y luego verifique si los logs confirman o descartan la teoría.

DONDE BUSCAR.

  • Repositorios de logs de los Sistemas Operativos existentes en los Servidores y Estaciones de Trabajo.
  • Repositorios de los Servidores de Aplicación como WEB y/o Base de Datos.
  • Logs de las herramientas de Seguridad como Antivirus, Firewall, IPS.
  • Registros de Eventos en las Aplicaciones de los Usuarios.
  • No Olvide revisar cualquier otro evento de seguridad aunque provenga de fuentes que no registran Logs.

 

 

 

 

 

Anuncios

Comparativa de Desempeño UTM – Miercom labs – Agosto 2018.

Extractos del Informe.  Contenido completo en:  https://www.watchguard.com/wgrd-resource-center/miercom-high-performance-verification-report-m270

Un UTM es un producto que consolida funciones de enrutamiento, firewall, Prevención de Intrusiones (IPS), Antivirus, VPN, entre otras medidas de protección requeridas por las pequeñas y medianas empresas PYMES.

Aunque combinan el poder de un Next Generation Firewall y un Secure Web Gateway, tradicionalmente, su desventaja ha sido el bajo performance ante procesamiento intensivo de tráfico.

A solicitud de WatchGuard Technologies, Miercom Labs condujo un estudio independiente en el que comparó equipos que compiten en precio con el Firebox M270. Es decir, equipos con un precio cercano al M270, pero que se estuvieran por debajo del precio de su siguiente producto: el Firebox M370.  Estos equipos fueron:

  • Cisco Meraki MX84
  • Fortinet FortiGate 100E
  • SonicWall NSA 2650
  • Sophos XG 210

La comparación de los productos se realizó en los siguiente escenarios:

  • Sólo como Firewall
  • Firewall con capas adicionales de seguridad en tráfico HTTP y HTTPS.
  • UTM con IPS, Antivirus y Control de Aplicaciones activo en tráfico HTTP y HTTPS.
Gráfico 1:  Sólo Firewall procesando tráfico UDP 1518  y procesando IMIX UDP

Firewall UDP

 

Gráfico 2:  Sólo Tráfico HTTP  /  HTTP combinado con IPS / HTTP con AV / HTTP con IPS & AV / HTTP FULL UTM

HTTP mas Features

Gráfico 3:  HTTPS combinado con IPS / HTTPS con AV / HTTPS con IPS & AV / HTTPS FULL UTM

HTTPS mas Features

Este reporte documenta el efecto de las capas de seguridad en el desempeño que tienen cada uno de los UTM evaluados procesando el tráfico. Conocer este impacto, puede ayudar a los Departamentos de IT a decidir cuál producto de seguridad se ajusta mejor a las necesidades de la Organización.

Las pymes siguen siendo un blanco atractivo para los cyber-criminales.

Elaborado por José Luis Gomes – Tecnología Altermedios MSS INC.

En los últimos meses hemos recibido llamadas de empresas que, a pesar de tener soluciones de seguridad de distintos fabricantes muy reconocidos, han presentado problemas como: Bloqueo de Direcciones IP Públicas, Problemas de conectividad por saturación del ancho de banda de Internet, Archivos contaminados con Virus, Aplicaciones de Escritorio con errores de ejecución, entre otras fallas comunes.

Falla de Red

Todas estas empresas tenían la tecnología mínima necesaria:  Switches, Servidores, Firewalls-UTM, Antivirus, etc;  sin embargo, todas estas empresas carecían de personal de IT Fijo y en algunos casos tenían a un técnico que llamaban ocasionalmente para resolver fallas puntuales.

Al presentarnos para hacer el diagnóstico, siempre conseguimos las mismas situaciones:

-) Redes planas sin ningún tipo de segmentación. Inalámbricos, Servidores y Estaciones de trabajo, todos trabajando en el mismo segmento de red.

-) Switches Administrables con la configuración por defecto.

-) Redes inalámbricas a las que nunca le habían cambiado la clave del SSID.

-) Todos los usuarios de los computadores (Estaciones de Trabajo) ejecutando sus sesiones con privilegios elevados.

-) Firewalls y Antivirus sin ningún tipo de personalización, con sus configuraciones por defecto.

-) Software de Acceso remoto gratuitos y diferentes, ejecutados incluso en los computadores sin conocimiento de los usuarios.

-) Software tipo Freeware o Adware para ejecutar labores en donde se requieren privilegios, como Backups.

-) Unidades de Red compartidas entre todos los usuarios con los mismos privilegios.

-) Unidades USB libres, sin ningún tipo de bloqueo o control, a las que los usuarios conectan sus teléfonos celulares.

-) Impresoras de Red Alámbricas o Inalámbricas conectadas sin ningún tipo de control de uso a Internet.

Todas estas situaciones son prácticas ejecutadas por personal que se ha preocupado por atender las necesidades de funcionamiento, pero sin tener consideración alguna por la seguridad de lo que están poniendo a funcionar.

En algunos casos, podríamos argumentar que las empresas no contaban con asistencia calificada; sin embargo, lo que nos hemos conseguido mayoritariamente, son casos en los que las empresas contrataban servicios de asistencia con precios mínimos y limitados a atender requerimientos puntuales, que a la larga se convertían en innumerables llamadas y pagos en exceso, que pudieron ser evitados con una correcta asesoría inicial.

Mientras las pymes sigan considerando a la tecnología como un gasto que deben minimizar y existan asesores tecnológicos dispuestos a seguirles la corriente, los cyber-criminales contarán con blancos fáciles a los que puedan comprometer para realizar sus fechorías.

 

 

 

 

 

¿Puedo protegerme utilizando un servicio de DNS?

En los últimos tiempos, hemos observado que las pequeñas empresas se muestran interesadas, cada vez más, en su seguridad informática. Sin embargo, al mostrar productos basados en Hardware o Software, el costo de inversión asociado a estas soluciones tiende a ser el factor principal en la toma de decisión.

La pregunta: “¿Cuánto me cuesta?” , que sigue de inmediato a la presentación de los beneficios de una solución, nos revela que nos seguimos enfrentando a la percepción de la tecnología como un gasto y no como una inversión.

Al hablar con las pequeñas empresas, en muy rara ocasión se encuentra presente algún interlocutor del área de tecnología.  Esto hace que la conversación se desarrolle con los dueños del negocio, quienes manifiestan la preocupación en su seguridad, esperando que podamos ayudarlos a un “costo razonable”.

Imagen Bloqueo

Como proveedores de servicios nos planteamos la posibilidad de operar una solución totalmente basada en la nube, que no requiera de inversión en ningún hardware o software extra, ni de complejos artilugios en las redes de nuestros clientes.

Al analizar los controles basados en DNS, encontramos la alternativa de “costo razonable” que estábamos buscando.

Si partimos del hecho que para que podamos: navegar a un sitio web, enviar un correo electrónico, chatear o ver un video, es imprescindible la resolución de un nombre de dominio (DNS) para conocer la dirección IP del servidor al que debe establecerse la conexión, entonces al controlar que direcciones IP resuelven nuestros Servidores DNS podemos controlar como fluye el tráfico hacia internet.

Este tipo de controles DNS han estado en operación desde hace tiempo, incluso en países que aplican censura a ciertos sitios o dominios opuestos al gobierno de turno.  El uso del DNS es tan poderoso, que puede utilizarse – incluso – para evadir los controles de censura aplicados por estos países.

Combinar el poder del protocolo DNS con un adecuado sistema de clasificación de dominios en internet, con el que podamos agrupar sitios que distribuyen virus,  que poseen contenido pornográfico ó que permiten la descarga de herramientas de hacking,  nos permite tener una solución de seguridad básica para las pequeñas empresas y que combinada con herramientas de seguridad multicapa, nos permite mejorar la estrategia de seguridad de las medianas y grandes empresas.

Malware VPNFilter infecta más de 500.000 enrutadores inalámbricos caseros.

(Tomado de WatchGuard Secplicity y del Blog de Cisco Talos)

Hace una semana los investigadores de Talos publicaron un análisis acerca de un APT denominado VPNFilter, en el cual estimaban que al menos hay 500.000 enrutadores SOHO infectados en 54 países.  Unas horas más tarde, el FBI anunció que habían incautado un dominio clave para el botnet que establecía el canal de comando y control del malware.

VPN Filter

VPNFilter es un malware altamente sofisticado, que funciona de forma modular desplegándose en fases para hacerse persistente en los enrutadores que compromete, comunicándose con los servidores de comando y control para descargar módulos de malware especializados.

La primera fase del APT difiere de otros malware dirigidos a IoT en que puede hacerse persistente, lo cual quiere decir que el dispositivo afectado permanece infectado aún después de un reinicio. Después de lograr afianzarse al enrutador, el APT intenta localizar y descargar un segundo malware que es no persistente y que es similar a otros botnet en que implementa un canal de comando y control para recibir y ejecutar comandos en el enrutador.

Como la segunda fase del malware intenta localizar a los servidores de comando y control, el FBI ha estado solicitando a los dueños de enrutadores que sospechen que pudieran haber sido afectados, para que los reinicien y de esta forma lograr identificar cuáles equipos han sido afectados a través del dominio que incautaron.

Hasta ahora no se conoce exactamente cuáles vulnerabilidades en los enrutadores fueron explotadas para lograr la instalación permanente del malware en los equipos afectados, sin embargo los investigadores han encontrado que todos los enrutadores comprometidos tenían vulnerabilidades bien conocidas que pudieron ser explotadas con técnicas que sólo requerían permisos administrativos y que no requerían técnicas de día cero sofisticadas para lograr la instalación.

Hasta ahora los modelos y marcas de los dispositivos que han sido afectados por el APT son:

LINKSYS:  E1200  –  E2500  –  WRVS4400N

MIKROTIK: 1016  –  1036  –  1072

NETGEAR:  DGN2200  –  R6400  –  R7000  –  R8000  –  WNR1000  –  WNR2000

QNAP:  TS251  –  TS439 Pro  –  Otros modelos QNAP NAS ejecutando QTS software

TP-LINK:  R600VPN

Los investigadores no han logrado determinar todos los modelos y marcas afectados porque todas sus observaciones se han basado en el acceso remoto a los equipos y aún no se conocen cuantos equipos se encuentran afectados.

Es importante destacar que este malware tiene un potencial destructivo capaz de implementar un ataque de alcance mundial a infraestructuras y proveedores de servicios críticas.  El control que han logrado de los dispositivos afectados es tal que los desarrolladores del APT tienen capacidad de dañar permanentemente a los enrutadores para lograr cubrir sus huellas.  Si decidieran generar un colapso mundial de los servicios de internet domésticos podrían destruir remotamente a todos los dispositivos con una instrucción remota.

¿Que hacer?

  • Si tiene alguna de las marcas de Enrutadores o NAS afectados, se recomienda restablecer el equipo a su configuración de fábrica y volverlo a configurar procurando evitar las claves por defecto y accesos administrativos remotos desde internet.
  • Descargue las últimas actualizaciones de firmware que pongan a disposición los fabricantes de los equipos, para tratar de corregir las vulnerabilidades que están siendo explotadas por VPN Filter en estos momentos.
  • Evite colocar enrutadores domésticos directo al Internet si está en la posibilidad de colocarlos detrás de un equipo de seguridad que tenga servicios de defensa IPS o Antivirus.

 

 

 

 

 

 

USO DEL WIFI COMO HERRAMIENTA DE NEGOCIOS.

Seguramente la tecnología de conectividad inalámbrica o Wi-Fi no sea ajena para usted, ya que su uso se ha extendido como consecuencia de su incorporación en los teléfonos o tabletas celulares.

Quizá desconozca tecnológicamente como funciona un Wi-Fi, pero si debe estar acostumbrado a ubicar su Conexión Inalámbrica por Nombre (SSID) y a colocar una clave para conectarse.  Es muy probable que usted se conecte a un enrutador o punto de acceso inalámbrico en su casa u oficina, aunque esto no sea de mayor importancia para usted.

El uso de Wi-Fi es tan cotidiano, que seguramente ha pensado en incorporarlo en su negocio (si aún no lo ha hecho), solamente porque le parece natural permitir que los teléfonos se puedan conectar de forma inalámbrica.

Más allá de las consideraciones de seguridad asociadas a permitir conexiones inalámbricas en nuestras organizaciones, en el artículo de hoy queremos resaltar las bondades que tiene la tecnología inalámbrica para nuestros negocios.

WIFI para hacer negocios

Por definición, la tecnología Wi-Fi está compuesta de una estación de comunicación base y varios terminales inalámbricos.  En cualquiera de estos elementos, se transmiten y se reciben datos como una señal electromagnética, con un nivel de intensidad o de potencia de transmisión.  Este nivel de potencia o nivel de señal, lo podemos utilizar para conocer que tan cerca o que tan lejos se encuentra un terminal inalámbrico de la base de comunicaciones.

Intuitivamente sabemos que nuestro teléfono registra un nivel de señal alto o excelente, en la medida que nos acercamos a la base de comunicaciones. También sabemos que en la medida que nos alejamos de la estación base, se va debilitando el nivel de señal hasta que nuestro teléfono se desconecta e intenta ubicar a otra estación base cercana.

Si quisiéramos, podríamos establecer una regla que asocie la distancia que nos separa de nuestra estación de comunicaciones base en función del nivel de señal Wi-Fi que registra nuestro teléfono.  Por ejemplo, podríamos tener 5 Niveles de señal:  Excelente, Buena, Regular, Mala, Débil asociados a la distancia que nos separa de la antena:  1, 2, 3, 4 o 5 metros, respectivamente.

Ahora bien, ¿no suena lógico que podamos hacer la misma medición de distancia desde la propia base de comunicaciones?  ¿No tendríamos los mismos resultados?.  Pues la respuesta es afirmativa, se puede hacer la misma medición, obteniendo la misma distancia de separación del terminal móvil o teléfono.

Cómo nuestra base de comunicaciones inalámbricas Wi-Fi está diseñada para permitir la conexión de varias computadoras o teléfonos, entonces podríamos utilizarla para medir la distancia de separación hacia cada unos de los teléfonos.

Esto nos lleva a concluir que podemos utilizar un sistema Wi-Fi para saber cuántos teléfonos (o computadores) se encuentran cerca o cuántos teléfonos se encuentran lejos de nuestro sistema de comunicación inalámbrica.

Si mantenemos un registro constante de las mediciones que se hacen con nuestras antenas y luego las analizamos, vamos a poder saber cuando un teléfono se acerca o se aleja de nuestro sistema, cuanto tiempo permanece un teléfono cerca de nuestra antena, cuantas veces se ha acercado el teléfono a nuestro Wi-Fi, etc.

Partiendo del hecho que cada teléfono o computador no se desplaza por cuenta propia, sino que una persona vinculada a dicho equipo es la que lo acerca o lo aleja (consciente o inconscientemente) de nuestro Wi-Fi, al lograr establecer una vinculación de cada teléfono a su dueño, vamos a poder establecer mediciones asociadas a los dueños de los teléfonos.

De esta forma, es posible distribuir varios puntos de comunicación Wi-Fi en un Centro Comercial, para medir por donde se desplaza cada persona (que tan lejos o que tan cerca está de cada antena), cuanto tiempo se mantiene cada persona cerca de cada antena o cuantas veces dicha persona visita el centro comercial.

Así que, la próxima vez que piense que debe instalar una zona Wi-Fi en su organización, sólo porque hoy día es común su uso, piense que esto podría ser una herramienta poderosa para hacer negocios, si selecciona un Wi-Fi que haga análisis de los datos de conectividad inalámbrica.

 

 

 

 

 

 

 

 

 

Predicciones en Seguridad IT según WatchGuard Technologies.

(Fuente WatchGuard Technologies – Versión Libre al Español por AltermediosMSS)

Predicciones 2018

1. Los hackers encontrarán una vulnerabilidad suficientemente severa en los blockchain como para acabar completamente con algunas de las criptomonedas. 

Ya el objetivo de los hackers no serán las criptomonedas para cobrar rescate en ataques de ransomware.  Como ha crecido tanto la adopción de las criptomonedas más conocidas y están incorporándose otras nuevas, no sería raro de esperar que el próximo objetivo de los cibercriminales sean las criptomonedas en sí mismas.

2. La creciente adopción de seguros corporativos que disminuyan el impacto económico de un ransomware y en la reputación de las empresas, motivará a los cibercriminales a enfocar sus ataques en las aseguradoras y sus empresas aseguradas.

Debido a que la efectividad de un ataque de spam es inferior a 1% y que apenas un tercio (1/3) de las empresas contaminadas por ransomware están pagando por los rescates solicitados, los autores de estas extorsiones han comenzado a revisar su negocio.  Pensar en subir el valor del rescate solicitado para aumentar (o compensar) sus ganancias reduce la cantidad de empresas que podrían pagar por el rescate. Su alternativa es hacerse más efectivos y apuntar a empresas vinculadas a pólizas de seguros contra este tipo de extorsiones, porque sería más probable que opten por pagar el rescate solicitado.

 3. Se espera que los gobiernos aumenten las regulaciones sobre el Internet de las Cosas (IoT = Internet of Things), debido al crecimiento de Botnets IoT.

El número de fabricantes que están desarrollando dispositivos IoT están en constante aumento.  Estos han reducido la seguridad de los desarrollos IoT para poder tener los nuevos equipos en el mercado lo más pronto posible.  Esta falta de seguridad y el incremento de plataformas multimedia de uso masivo como “Reddit” o “Netflix” hace pensar en que pudiera generarse un ataque masivo utilizando un BOTNET de equipos IoT.  Esto obligará a que los gobiernos den un paso al frente y comiencen a crear leyes que obliguen a los fabricantes de equipos IoT a prestar atención a la seguridad de sus equipos.

4. WatchGuard Labs ha estado observando un incremento en los ataques sobre sistemas basados en Linux durante el 2017 y espera que dichos ataques se dupliquen durante el 2018.

Durante el primer trimestre de 2017 el 36% del malware detectado estaba orientado a dispositivos basados en Linux, mientras que en el segundo trimestre hubo un incremento en la explotación de vulnerabilidades de red asociadas a estos equipos.  Para finales de año 2017, también se detectó un incremento de los ataques basados en sesiones TELNET y SSH sobre servidores LINUX.  Estas tendencias y el hecho que la mayoría de los dispositivos IoT baratos están haciendo uso de kernel linux instalados por defecto, lo cual los hace extremadamente inseguros, obliga a predecir el alarmante incremento de los ataques directos a estas plataformas.

5. La pérdida de datos y fuga de contraseñas obligarán a las PYME a adoptar definitivamente la Autenticación de factor múltiple.

En los últimos años se ha tenido noticias de ataques orientados al robo de credenciales (usuarios y contraseñas) en sitios web muy conocidos.  Esta información robada luego es utilizada para tener acceso directo a servidores y redes, principalmente en aquellas empresas en la que los usuarios utilizan un mismo usuario y contraseña para el acceso a todos sus recursos.  La adopción de Autenticación de Factor Múltiple, surge entonces como una alternativa, pues ya no bastaría con una contraseña para acceder a un recurso o sistema, se requeriría al menos de dos elementos de validación en simultáneo.  Estos sistemas de Autenticación múltiple han tardado en adoptarse en las pequeñas y medianas empresas (pymes) por lo costoso y complejo que resulta su implementación. Sin embargo, se espera que durante el 2018 con el incremento del uso de smartphones y de plataformas de pagos por uso (as a service) se abaraten estos sistemas lo suficiente como para que las pyme comiencen rápidamente su adopción.

6. ¿Que causará mayor impacto en las elecciones durante el 2018? Hackeo de las máquinas de votación o campañas de desinformación y propaganda.

Durante el DEFCON de 2017 un grupo de hackers pudo mostrar cómo hackear máquinas de votación, algo que ha sido intentado por años con mayor o menor grado de éxito.  La posibilidad de tener acceso a las máquinas de votación, provoca que el elector cuestione la credibilidad de un proceso electoral en su totalidad. Sin embargo, los hackers que pudieron llevar con éxito el ataque, tuvieron acceso total y físico a los equipos, cuestión que es imposible que ocurra en una elecciones en la vida real.  Ahora bien, el impacto que genera la duda acerca de la integridad de las máquinas de votación afecta mucho más al proceso electoral que el ataque en si mismo a cada máquina de votación, lo cual sería mucho más díficil y costoso de hacer. Así que pareciera que las campañas de desinformación y propaganda con noticias falsas (fake news) parecieran que van a ser la forma en que se afectarán los procesos electorales del 2018.

7. La tecnología SDR para comunicaciones inalámbricas está siendo adoptada por cada vez más dispositivos comunes como  automóviles, dispositivos de salud, alarmas de edificios, etc.  Esto lleva a pensar que la próxima frontera es el ataque a esta tecnología. 

El Hackeo de Sistemas WiFi se ha vuelto cada vez más común, al punto que ya existen videos tutoriales acerca de cómo hacerlo.  Esto ha llevado a perfeccionar los sistemas de radio definidos por software (SDR), los cuáles permiten modificar el comportamiento de un transmisor de radio con el uso de un programa y un procesador de uso general.  Esta tecnología que inicialmente encontraba su nicho de aplicación en lo militar ahora se ha estado llevando a sistemas cotidianos a los fines de poder modificar a conveniencia y de manera económica su comunicación inalámbrica.