Global Technology

Menú
Linkedin Youtube Instagram

Categoría: SOC

¿Cómo las filtraciones de datos pueden afectar a tu negocio?

filtración de datos

El vertiginoso desarrollo de las tecnologías de la información y su incorporación a la empresa conlleva que la generación de datos esté sujeta a un crecimiento continuo. La cantidad de datos en diferentes formatos que se manejan en las empresas no deja de aumentar, al igual que lo hacen los medios a través de los cuales se pueden compartir. El lanzamiento de los primeros sistemas operativos de Microsoft con una interfaz gráfica amigable en la década de los 90, precursores de los que utilizamos actualmente, facilitó la tarea de creación, acceso y difusión de información. En los puestos de trabajo de los usuarios se sustituyeron los terminales por PCs que, entre otros dispositivos, disponían de una disquetera. Éste fue, quizás, uno de los primeros medios tecnológicos a través de los cuales se propiciaba la fuga de información. Los menos jóvenes recordarán cómo en algunas empresas se daba la orden de desconectar esos dispositivos para evitar que los usuarios grabasen información en disquetes y se la pudieran llevar fuera de la compañía con fines no autorizados. Posteriormente, la irrupción del correo electrónico, la transformación digital y el viaje a la nube han ido multiplicando las facilidades para compartir información y, como consecuencia, la posibilidad de abrir puertas a filtraciones no controladas. Qué es una filtración de datos Suele ser habitual considerar siempre la filtración de datos como un ciberataque. Sin embargo, esto no siempre tiene que ser así. Como en el caso citado, la filtración puede tener su origen en un comportamiento indebido o, incluso, accidental de un empleado. De forma general, se considera una filtración de datos cualquier incidente de seguridad en el que terceros no autorizados obtienen acceso a datos o a información de una organización. La gravedad del incidente no dependerá tanto del volumen de información sustraída en la filtración sino por el tipo de información. Así, la filtración de datos de carácter personal con un nivel de protección alto (por ejemplo, informes médicos) podrá acarrear severas consecuencias para la organización. Cuando nos referimos a la filtración de datos estamos pensando en una sustracción que se realiza utilizando software malicioso y técnicas propias del ámbito tecnológico (ransomware, phishing, etc.) Sin embargo, una filtración de información también se puede acometer por métodos tradicionales: robo de documentos en papel, sustracción de dispositivos USB, robo de ordenadores portátiles, etc. Tipos y motivaciones de filtración de datos Desde el punto de vista de las causas que pueden provocar una filtración se pueden distinguir dos tipos: Accidental: el trabajo diario de los empleados está sujeto a numerosas vicisitudes. Así, con relativa frecuencia se realizan envíos de correos electrónicos a destinatarios equivocados o se comparte información en un repositorio incorrecto. Estas situaciones que parecen inocentes, sin embargo, dependiendo del tipo de información compartida, puede derivar en sanciones o en situaciones incómodas para la compañía. Maliciosa: se trata de filtraciones provocadas de forma intencionada con fines diversos. Los actores que las ejecutan pueden ser empleados internos, conocidos como “insiders”, o terceros ajenos a la compañía (ciberdelincuentes). Los empleados internos que provocan una filtración suelen estar alentados por dos tipos de motivaciones a la hora de ejecutar estas acciones. La más habitual es la del descontento con la empresa, el afán de venganza ante una situación que consideran injusta. Por otro lado, están aquellos que buscan un beneficio económico con su acción, que habitualmente se traduce en la entrega de información a la competencia. Por su parte, en las filtraciones de datos en las que intervienen ciberdelincuentes, generalmente, es la búsqueda de ingresos económicos el móvil que de manera recurrente está detrás de la ejecución de estas acciones, si bien hay otras claves no menos importantes.  Así, dependiendo de los sectores productivos, se deben tener en cuenta estas otras: Espionaje industrial: aquí se incluye el robo de documentos relativos a patentes, diseños de productos o planes de desarrollos futuros e investigaciones realizadas por laboratorios y universidades. Acciones promovidas por estados: los objetivos que persiguen los grupos sostenidos por estados van desde el causar afecciones al funcionamiento de las organizaciones hasta dañar la imagen y la reputación de éstas. Principales amenazas Una vez determinadas las causas y las motivaciones, es necesario conocer que amenazas son las que, si se materializan, desencadena la filtración de información. Aquí nos fijaremos en las tres amenazas que con mayor frecuencia son identificadas por nuestro Centro de Operaciones de Seguridad: Ransomware: mediante este tipo de malware, los actores maliciosos cifran toda o parte de los datos de la empresa víctima del ataque. Para evitar vender o exponer la información en Internet y, por tanto, que se filtre la información, solicitan un rescate. Malware de tipo stealer: se trata de software malicioso desarrollado para ejecutarse en los equipos de los usuarios y robar información confidencial de todo tipo: números de tarjetas de crédito, credenciales de acceso, documentos, etc.…). Los actores maliciosos se sirven de la ingeniería social, fundamentalmente de campañas de phishing, para lograr sus objetivos. Robo de credenciales: conseguir credenciales que faciliten el acceso a los servicios de las compañías es uno de los principales objetivos de los ciberdelincuentes. Una vez logrado, les resulta muy fácil acceder a información y sacarla fuera de la organización. Coste de las filtraciones Una amenaza de filtración de datos provocada por la ejecución de un ransomware tiene unas evidentes consecuencias económicas. Dado que puede llegar a provocar la interrupción de las operaciones de la empresa. Más allá de esto, el perjuicio económico se puede ver incrementado a raíz de las sanciones en las que se hayan podido incurrir al incumplir determinada normativa de protección de datos. A esta circunstancia, se añadirá el consiguiente daño reputacional y de confianza que deberá soportar la empresa, lo cual también se traduce en un perjuicio económico. A todo ello hay que sumar el impacto legal que puede tener la filtración si con ella se pueden ver afectadas las relaciones con terceros, fundamentalmente con clientes y proveedores. Protección de los datos En otras ocasiones hemos hablado de las medidas de

CYBERSOC PARA EL CUMPLIMIENTO NORMATIVO DE LAS EMPRESAS

CyberSOC

La digitalización es un hecho irrenunciable para cualquier organización pública o privada. La tecnología está permitiendo abordar la transformación de numerosos procesos, alcanzando una significativa mejora de competitividad y de eficiencia, así como una notable reducción de costes. Sin embargo, la incorporación de la tecnología y, muy especialmente, la utilización de Internet, han obligado a las organizaciones a hacer frente a nuevos desafíos. Las organizaciones están dedicando numerosos esfuerzos para salvaguardar los sistemas de información de las amenazas cibernéticas. Las entidades públicas y privadas se están viendo obligadas a adoptar un conjunto de medidas de seguridad para proteger la información sensible, con el fin de garantizar su disponibilidad, integridad y confidencialidad. Esta es una labor de enorme transcendencia como se desprende del hecho de que son muchos los sectores en los que son de aplicación normas que exigen el cumplimiento de determinados controles de seguridad informática. Reglamento Europeo de protección de datos. Uno de los aspectos fundamentales que tienen que observar las organizaciones es el tratamiento de los datos personales que puedan almacenar. Para regular este proceso se ha desarrollado en Europa el Reglamento Europeo de Protección de Datos (GDPR, en sus siglas en inglés), convirtiéndose en norma de referencia y de obligado cumplimiento para todas las organizaciones. El GDPR establece que se deben implementar controles de seguridad adecuados para proteger los datos personales contra posibles violaciones o brechas de seguridad. El GDPR exige, igualmente, que las organizaciones implementen medidas técnicas y organizativas apropiadas para este fin. ISO/IEC 27001. La ISO/IEC 27001 es un estándar internacional emitido por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC) que establece los requisitos para un Sistema de Gestión de la Seguridad de la Información (SGSI). Este estándar proporciona un marco para gestionar de manera efectiva y sistemática la seguridad de la información, con el objetivo de proteger la confidencialidad, integridad y disponibilidad de la información. La /IEC 27001 es ampliamente reconocida y utilizada por organizaciones de todo tipo y tamaño en todo el mundo, y su implementación puede ser certificada por organismos de certificación acreditados. Esquema nacional de seguridad. En España, se ha desarrollado el Esquema Nacional de Seguridad (ENS) como marco regulatorio para garantizar la protección de la información y los servicios electrónicos en el sector público. De manera muy similar a lo establecido por la ISO-27001, entre los objetivos del ENS están el asegurar que la información manejada y los servicios prestados por las administraciones públicas estén adecuadamente protegidos. Para ello, en la norma se definen un conjunto común de medidas de seguridad que deben implementarse en todas las administraciones públicas. Todo ello encaminado a promover la evaluación y mejora continua de la seguridad de la información.  Otras normas sectoriales. Junto con estas normas de ámbito generalista, existen otras que son de aplicación en sectores concretos que dada su relevancia económica y social requieren de un control exhaustivo de los procesos que implementan. Estos son algunos ejemplos: PCI-DSS (Payment Card Industry Data Security Standard): esta norma fija un conjunto de estándares de seguridad definidos para proteger la información de las tarjetas de pago y prevenir el fraude asociado con su uso. Esto se traduce en un grupo de requisitos que las organizaciones deben implementar para asegurar el adecuado tratamiento de la información. HIPAA (Health Insurance Portability and Accountability Act): es una ley federal de los Estados Unidos, que establece estándares para proteger la información médica y de salud personal. La HIPAA se diseñó para asegurar la portabilidad y continuidad de la cobertura del seguro de salud, así como para reducir el fraude y el abuso en el sector de la salud. También incluye disposiciones para la protección de la privacidad y la seguridad de la información de salud. TISAX (Trusted Information Security Assessment Exchange): es una norma de seguridad de la información específica para la industria de la automoción. Fue desarrollada por la Asociación Alemana de la Industria Automotriz. Su objetivo principal es proporcionar un estándar común de seguridad de la información para todos los que participan en la cadena de suministro de la industria de este sector. Como se puede observar, todas estas normas tienen como nexo común la protección de la seguridad de la información a través del establecimiento de mecanismos adecuados. La correcta implementación se verifica en las auditorías periódicas a las que están sometidas las organizaciones sujetas a este cumplimiento normativo. Durante el desarrollo de las auditorías es habitual que los auditores soliciten evidencias que demuestren la correcta implementación de estos mecanismos de seguridad como, por ejemplo: la política de cambio de contraseñas, la gestión de usuarios, la gestión del acceso a los servicios, la actividad registrada en el firewall, los registros de la herramienta antimalware, la retención de los eventos de seguridad, la detección de ciberataques, etc. Contribución clave del CyberSOC. establecer numerosos mecanismos de seguridad. Esta circunstancia desencadena nuevos Para alcanzar el grado de cumplimiento exigido en las distintas normas, las organizaciones deben procesos que deben atender las organizaciones como, por ejemplo, la revisión de los eventos de seguridad que registran las herramientas de seguridad. La realización de esta tarea de manera independiente resulta prácticamente imposible de abordar de manera continuada. Suplir esta carencia ha sido posible gracias al desarrollo de los Centros de Operaciones de Cibereguridad, más conocidos a través de sus siglas en inglés como CYBERSOC o SOC. Éstos contribuyen de manera esencial al cumplimiento normativo a través de las tareas que tiene encomendadas: Monitorización continua y registro de eventos de seguridad: el SOC se apoya en el SIEM (Sistema de Gestión de Información y Eventos de Seguridad) para monitorizar de forma continua la actividad que se genera alrededor de los activos de los sistemas de información. El SIEM centraliza los eventos de seguridad de las diferentes fuentes de eventos y, tras su tratamiento, puede generar alertas de seguridad. El SIEM, además, cumple con la función de almacenar y retener estos eventos durante el tiempo exigido por los estándares normativos. De esta manera, se asegura que los datos

Detección de amenazas basada en el comportamiento

Detección de amenazas y ciberataques

El grado de sofisticación de los ciberataques se va incrementando conforme los actores maliciosos tienen acceso a tecnología más avanzada. Por este motivo, los equipos que se dedican a la ciberseguridad defensiva, como los Centros de Operaciones de Seguridad (SOC), tiene que dotarse de herramientas capaces de detectar estas nuevas amenazas. Así, últimamente, estamos viendo como las soluciones SIEM están incorporando tecnología y capacidades avanzadas para abordar este reto. Esto ha permitido crear una categoría de sistemas SIEM denominada de próxima generación que se diferencian del resto por incluir el análisis del comportamiento, tanto del usuario (UBA) como del atacante (ABA). ¿Qué es UBA y ABA? En ciberseguridad existen variedad de métodos para detectar comportamientos anómalos. En este artículo explicaremos brevemente dos tipos de reglas que basan la detección de amenazas en el comportamiento. La primera es UBA, User Behavior Analytics, que aplica análisis avanzado para detectar anomalías en la actividad de los usuarios dentro de la red.  Y la segunda es ABA, Attacker Behavior Analytics, la cual combina el análisis avanzado y las reglas creadas específicamente para cada tipo de ataque. ¿Cómo funciona UBA? En el caso de UBA se crea un modelo estudiando a los usuarios de la red durante un periodo de tiempo conocido como “baseline” o periodo de aprendizaje. Durante este tiempo se recolecta todo tipo de información que pueda ser de utilidad para aprender el comportamiento del usuario. Por ejemplo, imaginemos que vamos a monitorizar el uso de VPN de un usuario de la red. La información que se recoge durante el periodo de “baseline” es: tiempos de conexión VPN, IPs origen, país origen… Una vez finalizado el periodo de “baseline” y se tengan suficientes datos se realiza un modelado para identificar el uso de la VPN del usuario. Ahora UBA puede identificar la actividad anómala del usuario. Por ejemplo, que se conecte desde un país por primera vez, desde una IP nueva, que la conexión dure más tiempo, etc. Cuando UBA detecta un comportamiento anómalo genera una alerta que notifica al equipo de seguridad. ¿En qué casos se utiliza? Los principales casos de uso de UBA son: Detección de amenazas internas. El usuario dentro de la red se convierte en atacante y roba información, realiza cambios deshonestos, sabotajes, etc. Detección de cuentas comprometidas. Si una cuenta de usuario se ve comprometida UBA puede detectar esa intrusión. Detección de ataques de fuerza bruta. UBA puede detectar intentos fallidos a usuarios o máquinas para que así puedas defenderte contra estos ataques. Detección del uso de usuarios privilegiados (superusuarios). Se puede detectar cuando se crean usuarios administradores o con determinados privilegios dentro de la red. Además del uso y comportamiento de estos usuarios. s Detección de violación de datos protegidos. Lleva un control de acceso a los datos protegidos para conocer en todo momento quien, cuando y que documento reviso. ¿Cómo funciona ABA? El segundo método de análisis del comportamiento está enfocado en la detección de acciones comunes que realizan los atacantes. Entre éstas estarían el escaneo de puertos, la ejecución de malware y el movimiento lateral. Estas acciones se detectan siguiendo unas reglas predefinidas que se actualizan periódicamente para identificar nuevos ataques. Un ejemplo de este tipo de reglas sería la que contendría dominios y direcciones IP relacionadas con una campaña de malware. ¿Cuál es la diferencia entren UBA y ABA? Las diferencias principales entre estos dos modelos de detección de amenazas basados en el comportamiento son: UBA basa centra el análisis en los usuarios legítimos de la red, mientras que ABA analiza el comportamiento de los atacantes potenciales o reales. Mientras que UBA necesita un periodo de aprendizaje, ABA utiliza un juego de reglas predefinido con cada tipo de ataque. En la misma línea, UBA no necesita actualizarse ya que la detección se basa en el aprendizaje de los usuarios, en cambio ABA necesita actualización para incorporar nuevas reglas con el objetivo de detectar nuevos ataques. UEBA: un paso más allá de UBA para la detección de amenazas User and Entity Behavior Analytics (UEBA) es otro método de detección de comportamientos anómalos que toma como referencia UBA y lo mejora añadiendo entidades y eventos. En algunos casos, no es conveniente analizar las cuentas de los usuarios individuales para identificar acciones anormales. Por ejemplo, los atacantes que han accedido al equipo de una víctima pueden usar varias cuentas para realizar su post-explotación, como, por ejemplo, moverse a otras máquinas. Es en estas situaciones cuando UEBA ofrece un gran potencial, ya que añade al análisis entidades como los equipos de usuario e incluso las direcciones IP de éstos. En conclusión, el uso de estas tecnologías resulta fundamental para la detección de amenazas avanzadas. El Centro de Operaciones de Seguridad (SOC) de Global Technology realiza un seguimiento continuo de la actividad de los usuarios mediante herramientas que incorporan este tipo de tecnologías para identificar comportamientos anómalos y evitar la materialización de ciberincidentes. Rubén Ascarza PeñasTécnico de Ciberseguridad globalt4e.com

MITRE ATT&CK ICS: Detección de amenazas en entornos OT

El desarrollo del concepto Industria 4.0 tiene en las estrategias de convergencia de los entornos IT y OT una de las claves para alcanzar mayores niveles de eficiencia en la producción. Lamentablemente, este proceso de integración conlleva que las amenazas que sobrevuelan sobre el ámbito IT se trasladen al mundo OT. Últimamente, se observa un incremento en la actividad que los actores maliciosos dirigen contra activos del entorno OT, a través de amenazas que incluyen malware, ransomware y botnets. La investigación de esta actividad potencialmente maliciosa en el ámbito OT se ha venido realizando con técnicas específicas para los entornos afectados. Esta dispersión de metodologías generaba un gran esfuerzo a los equipos de analistas en la realización de cada investigación. Afortunadamente, para hacer frente a estas amenazas, se ha conseguido trasladar desde el ámbito IT las metodologías de investigación que, con tanto éxito, se han desarrollado allí. Así, marcos como el del MITRE ATT&CK, que define tácticas, técnicas y procedimientos (conocidas como TTP) para acelerar la respuesta a las amenazas, fue replicado y adaptado en el año 2020 para identificar las tácticas y técnicas que los actores maliciosos utilizan para atacar los sistemas de control industrial (ICS). ¿Qué es MITRE ATT&CK? MITRE ATT&CK son las siglas de MITRE Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK). El MITRE ATT&CK Framework for ICS clasifica la actividad maliciosa en una matriz que recopila 12 tácticas dentro de las cuales hay alrededor de 90 técnicas distintas. Ambas están identificadas con un ID (TA para las tácticas y T para las técnicas) y con la fecha de su creación y de su última modificación. Fuente: https://attack.mitre.org/tactics/TA0108/ Como se puede observar en la matriz, las tácticas recorren toda la cadena de un ataque, desde el acceso inicial hasta el impacto. El formato en el que se presenta la matriz permite entender de forma muy sencilla la relación entre unas y otras. Fuente: https://attack.mitre.org/matrices/ics/ En la descripción de cada técnica se incorpora información precisa que resulta muy útil para la identificación de las amenazas y, también, para ayudar a las organizaciones a detectar fallos en la seguridad de la infraestructura OT y priorizar su mitigación en base a su nivel de riesgo: Uso que los actores maliciosos puede hacer de la técnica Algunos ejemplos de procedimientos de ejecución Medidas de mitigación específicas y mecanismos de detección.   Fuente: https://attack.mitre.org/techniques/T0807/ Así mismo, entre la información aportada en cada técnica, encontraremos referencias a las posibles plataformas en las que el actor malicioso podría ejecutarlas. Así, si accedemos a la técnica “Interfaz línea de comandos” (T0807), perteneciente al grupo de las tácticas de “Ejecución” (T0104) vemos que puede ser ejecutada en estos activos: Servidores de control Historiadores de datos Controladores de campo (RTU, PLC…) Interfaz hombre-máquina, Servidores de entrada/salida En cuanto a los procedimientos, éstos se revelan como un instrumento muy útil para conocer cómo se pueden utilizar las técnicas. Incluso, pueden servir para simular escenarios que repliquen su presencia y obtener, así, información que ayude a la detección en situaciones reales. Las herramientas de monitorización y detección de amenazas se apoyan en estos marcos para asociar de forma inmediata el comportamiento malicioso con las técnicas en la cadena de ataque. De esta forma, los analistas del Centro de Operaciones de Seguridad (SOC) obtienen rápidamente información precisa sobre los comportamientos detectados. El tiempo dedicado a la investigación se reduce drásticamente. Si tenemos en cuenta que muchos de estos sistemas de control industrial operan en infraestructuras críticas o de gran dependencia para la actividad diaria de las personas, la agilidad en la respuesta a la amenaza resulta muy relevante para evitar daños que podrían afectar, incluso, a la vida de éstas. La utilización de marcos como el MITRE ATT&CK ICS no sólo son útiles para los equipos encargados de la ciberdefensa, sino que, además, pueden servir de referencia a las organizaciones para definir la estrategia de seguridad a aplicar en los entornos OT, ya que facilita la evaluación de las defensas implementadas, la identificación de posibles debilidades y permite valorar medidas orientadas a robustecer la protección del entorno. Alrededor del MITRE ATT&CK han surgido proyectos que han facilitado la generación de mapeos entre distintos estándares normativos y este marco de referencia. Gracias a estas iniciativas se evita que los encargados de la seguridad de los sistemas de control industrial tengan que dedicar tiempo a realizar sus propios mapeos, lo que favorece que puedan enfocar su tiempo y recursos a mitigar las amenazas. En el camino hacia la convergencia de los entornos IT y OT se debería incluir la convergencia de la gestión de la ciberseguridad en ambos lados, de forma que ésta se abordarse de forma global, apoyándose en herramientas que incorporen estos marcos de referencia para la detección de amenazas. El SOC de Global Technology cuenta con herramientas avanzadas para la detección de amenazas en entornos IT y OT que incorporan los correspondientes marcos del MITRE ATT&CK. Las herramientas utilizadas en entornos OT son capaces de abordar la monitorización de los dispositivos de forma pasiva, sin necesidad de desplegar agentes, lo cual se revela como un método ágil, nada invasivo y muy eficiente. José Antonio Barrio PuyoResponsable de SOC en Global Technology

Recolección y correlación de eventos

Cuando se define la estrategia de ciberseguridad de una organización, el Centro de Operaciones de Seguridad (SOC), se revela como un elemento fundamental para coordinar la defensa contra los ciberataques. El SOC moderno se configura con la suma de personas, procesos y tecnología. Dentro de esta última, el SIEM (Gestor de Eventos e Información de Seguridad) se posiciona como un elemento básico, siendo la herramienta que permite monitorizar y centralizar los eventos de seguridad, tanto del entorno IT (Information Technology) como del OT (Operational Technology). El SIEM clasifica estos eventos, los normaliza y les aplica reglas de correlación mediante las cuales se pueden identificar anomalías o comportamientos sospechosos. El conjunto de funciones básicas que debe incorpora un SIEM moderno son estas: Recolección de información Correlación de eventos Generación de alertas Cuadros de mando Cumplimiento normativo Retención Análisis forense En este artículo nos vamos a centrar en las dos primeras funciones: la recolección de información y la correlación de eventos. Recolección de eventos La recolección de eventos se consigue a través de la integración de diversas fuentes de datos en el SIEM. Cuanto más grande sea la organización mayor número de orígenes de datos serán susceptibles de alimentar el SIEM y, por tanto, mayor cantidad de información deberá procesarse. Se recopilan eventos provenientes de aplicaciones, servicios en la nube, redes y dispositivos. Los SIEM modernos permiten, además, integrar fuentes de inteligencia de amenazas de terceros que serán muy útiles en la fase de correlación para la detección de nuevos ataques. Active Directory Detectores de Malware Servicios en la nube Honeypot IDS/IPS Firewall DHCP DNS Correo electrónico Filtros de correo Sistemas de autenticación Servicios de directorio (LDAP) VPN WAF Otros Fuentes de eventos Esta diversidad de fuentes conlleva que la estructura de la información enviada sea heterogénea. Es en la fase de recolección donde se normalizan y clasifican para poder ser gestionados de forma eficiente. Las plataformas SIEM que encontraremos en el mercado disponen de diferentes modelos de licenciamiento, siendo los más extendidos aquellos que se basan en la cantidad de eventos por segundo a procesar (EPS) o en el tamaño del almacenamiento requerido para albergar los eventos recopilados, frente a los que se licencian en base al número de activos a monitorizar. Si se opta por un SIEM dónde el volumen de eventos condiciona el coste de la solución habrá que optimizar el proceso de recolección con el objetivo de recopilar únicamente aquellos eventos que sean útiles para la gestión de la seguridad. El volumen de datos almacenados deberá ser tenido en cuenta, además, para calcular los recursos necesarios en base al periodo de retención que se quiera habilitar. Normas como la ISO/IEC 27001 o la PCI-DSS exigen que los eventos estén disponibles durante un determinado periodo de tiempo. El proceso de integración de las fuentes de eventos es complejo debido a las diferentes tecnologías a gestionar y los diferentes mecanismos que facilitarán esa integración. Este proceso necesita de un análisis que permita asegurar la correcta integración y que los eventos que se envíen al SIEM sean los adecuados para alinearse con los casos de uso que se hayan definido. Los mecanismos para la integración de fuentes pueden ser diversos. Estos son algunos de los más utilizados: Agentes: en equipos de usuario y servidores se instalan agentes ligeros que recopilan los eventos de seguridad que se generan en el sistema. Reenvío de logs (Syslog): para la monitorización de aplicaciones y servicios o de dispositivos en los que no sea posible la instalación de un agente, se enviarán los logs a un servidor central desde el que se realizará la ingesta al SIEM. WMI: en entornos con tecnología Microsoft es habitual abordar la integración de determinados servicios mediante un conector WMI (Windows Management Instrumentation). Correlación de eventos Una vez realizada la ingesta de eventos en el SIEM, arranca la segunda fase con la correlación. Ésta es una técnica de análisis matemático que, partiendo de un conjunto de eventos, busca relaciones entre ellos que permiten generar alertas en tiempo real. Estos eventos, por si solos, pueden no ser significativos, pero dentro del conjunto pueden revelar comportamientos anómalos. Creación de alertas personalizadas en InsightIDR El sistema de correlación de eventos está basado en un motor de reglas. La potencia de este motor y la posibilidad que ofrezca al usuario de definir sus propias reglas adaptadas al entorno a monitorizar es un factor diferencial a la hora de determinar las prestaciones de una herramienta SIEM. Así mismo, habrá que tener en cuenta el grado de complejidad que posea el lenguaje requerido para la creación de esas reglas. Las reglas de correlación podrán tener en cuenta una o varias fuentes de datos, podrán ser simples o complejas y podrán desencadenar acciones, como el envío de alertas o la realización de actuaciones sobre el sistema afectado. La correlación de eventos es una funcionalidad esencial de las herramientas SIEM. Gracias a los motores de reglas se pueden identificar patrones de comportamiento y, por tanto, obtener información para detectar amenazas rápidamente. La automatización de este proceso complejo permite liberar de una gran carga de trabajo a los analistas de ciberseguridad y optimiza el tiempo de detección y respuesta. El SOC de Global Technology dispone de herramientas SIEM con capacidades avanzadas que facilitan la integración de todo tipo de fuentes de datos y la correlación de grandes volúmenes de eventos de manera ágil y con la posibilidad de crear reglas personalizadas para cada caso de uso. Además, estos SIEM están basados en modelos de licenciamiento que facilitan la determinación del coste de la solución desde su puesta en marcha. José Antonio Barrio PuyoResponsable de SOC en Global Technology

Taxonomía de un incidente

taxonomia de un incidente

El ciclo de gestión de un ciberincidente, entendiendo como tal un incidente de seguridad, consta de varias fases. Dentro de las fases más tempranas, el Centro de Operaciones de Seguridad (SOC) debe clasificarlos claramente con el fin de aplicar un adecuado tratamiento. Esta tarea de clasificación, también conocida como taxonomía, está ampliamente desarrollada en las normas que son de aplicación en nuestro país dentro del ámbito de la seguridad de la información. Fases de la gestión de incidentes de seguridad. Es el caso del “Esquema Nacional de Seguridad” (ENS), norma de referencia para las entidades públicas.  Allí se señala la obligación de establecer una Política de Seguridad de la Información que defina una serie de requisitos de seguridad, siendo necesario contemplar los que permitan gestionar los incidentes de seguridad. Entre éstos, la norma establece que deberán incluirse unos adecuados criterios de clasificación. Teniendo en cuenta que no todos los incidentes poseen las mismas particularidades ni tienen el mismo impacto, cada organización podrá definir su propia taxonomía de los incidentes a gestionar. Esta clasificación facilitará el análisis posterior de los ciberincidentes y, también, la generación de indicadores que permitirán identificar su tipología y, como consecuencia, adoptar medidas para su prevención. ¿Cómo elaborar una taxonomía? Elaborar una taxonomía no es una tarea sencilla. En todo caso, la definición de este proceso puede verse favorecido por la adopción de modelos de taxonomía diseñados por organismos de referencia. Es el caso de la “Guía de Seguridad de las TIC CCN-STIC 817” del CCN-CERT en donde se establecen los factores a considerar a la hora de establecer criterios de clasificación: Tipo de amenaza: código dañino, intrusiones, fraude, etc. Origen de la amenaza: Interna o externa. La categoría de seguridad de los sistemas afectados. El perfil de los usuarios afectados, su posición en la estructura organizativa de la entidad y, en su consecuencia, sus privilegios de acceso a información sensible o confidencial. El número y tipología de los sistemas afectados. El impacto que el incidente puede tener en la organización, desde los puntos de vista de la protección de la información, la prestación de los servicios, la conformidad legal y/o la imagen pública. Los requerimientos legales y regulatorios. La toma en consideración de estos factores determinará la decisión de crear un ciberincidente y, en su caso, su peligrosidad y la prioridad de actuación. Además de la citada guía del CCN-CERT, la Agencia Europea para la Ciberseguridad (ENISA) ha publicado diversos documentos orientados a la creación de modelos de clasificación de los incidentes que pueden utilizarse como referencia. Entre estos documentos destaca el “Reference Incident Classification Taxonomy”, que ha servido de base para la creación en España de los modelos de taxonomía incluidos en la “Guía de Seguridad de las TIC CCN-STIC 817” y en la “Guía Nacional de Notificación y Gestión de Ciberincidentes”. Tipos de incidentes y clasificación. La siguiente tabla contiene una clasificación de los ciberincidentes tomando como referencia la incluida en la guía CCN-STIC 817. Fuente: https://www.ccn-cert.cni.es/series-ccn-stic/800-guia-esquema-nacional-de-seguridad/988-ccn-stic-817-gestion-de-ciberincidentes/file.html Para completar una adecuada clasificación de los ciberincidentes, además de asignarlos a un grupo o tipo, será necesario determinar tanto el grado de peligrosidad como el impacto que puede tener en la organización. El establecimiento de ciertos criterios permitirá asignar el grado de peligrosidad en la primera fase de detección. En cuanto al impacto, éste se podrá medir teniendo en cuenta las consecuencias que puede desencadenar el ciberincidente en la operación de la organización, en sus activos o, incluso, en los propios individuos. Completada la clasificación del ciberincidente, se deberá realizar un seguimiento exhaustivo del mismo, documentando todas las acciones incluidas en su gestión y el desarrollo que ha llevado a lo largo de su ciclo de vida. Existen numerosas herramientas y sistemas de gestión diseñados para este fin. El SOC de Global Technology ha diseñado un modelo de clasificación de los ciberincidentes tomando como referencia las normas citadas anteriormente que, apoyado en diferentes herramientas de gestión, le permite documentar todo el tratamiento seguido desde su detección. José Antonio Barrio PuyoResponsable de SOC en Global Technology

El SOC instrumento para la Gobernanza de la Ciberseguridad

seguridad tic

La gestión de la ciberseguridad es un proceso complejo que requiere de la intervención de equipos vinculados a diferentes ámbitos, con funciones y responsabilidades diversas. Además, las decisiones resultantes de esta gestión pueden impactar de forma transversal sobre todo el conjunto de la organización. Por todo ello, surge la necesidad de fijar un marco de gobernanza en el que se designe la persona u órgano que se encargará de la gestión de la ciberseguridad y se detallen sus competencias. Este marco de gobernanza deberá ser dado a conocer a toda la organización con el fin de que las medidas que adopten los responsables de la gestión de la ciberseguridad sean asumidas por todos sus miembros.   Definición Marco de Gobernanza de la Ciberseguridad La definición de este marco puede parecer una tarea ardua, abordable únicamente por grandes organizaciones dotadas de equipos específicos expertos en los distintos ámbitos de gestión de la ciberseguridad. Nada más lejos de la realidad. Toda organización puede diseñar y adaptar su marco de gobernanza, partiendo de esquemas básicos hasta llegar a propuestas extremadamente complejas. Así, el Centro Criptológico Nacional (CCN) en su documento “Aproximación al marco de gobernanza de la ciberseguridad” propone un modelo de gobernanza de la ciberseguridad que puede ser adoptado por las organizaciones. Tomando como referencia este marco, las organizaciones pueden desarrollarlo en base a sus capacidades y necesidades, bien reduciendo su alcance si poseen una estructura reducida, bien desarrollándolo de tal manera que todas las funciones y responsabilidades queden perfectamente definidas y asignadas, de forma que se cubran todos los ámbitos de gestión de la ciberseguridad.   Ejes principales del Marco de Gobernanza de la Ciberseguridad El marco de gobernanza de la ciberseguridad propuesto por el CCN gira en torno a tres ejes principales: Identificación de una estructura organizativa responsable de la gestión de los diferentes servicios de ciberseguridad. Esta estructura debe ser adaptable al tamaño y recursos de cada organización. Integración de los procesos de gestión para la gobernanza de la ciberseguridad, prestando especial atención a los orientados a la prevención. Entre todos ellos destacan los siguientes: la adecuación normativa la gestión de riesgos la monitorización de activos las auditorías de seguridad la respuesta a incidentes Identificación de los servicios prestados por los suministradores y proveedores de la organización y establecimiento de los requisitos de cumplimiento que les serán exigidos.   Comité de seguridad TIC A estas premisas que sustentan el marco propuesto por el CCN se puede sumar la necesidad de garantizar la debida prestación por parte de las organizaciones de sus obligaciones en relación con los destinatarios de los servicios que prestan (clientes, usuarios…). Como se puede apreciar en el modelo propuesto por el CCN, la gobernanza de la ciberseguridad requiere de un órgano superior que se responsabilizará de la gestión de todo el proceso. Este órgano será el Comité de Seguridad TIC que estará integrado por el personal de la organización especializado en las diferentes áreas de competencia de la seguridad de la información con capacidad para la toma de decisiones. A este órgano se podrán sumar representantes de otras áreas de la organización por motivos estratégicos u operativos. La figura visible de este órgano para la ejecución de sus funciones es el Responsable de la Seguridad de Información, también conocido por sus siglas en inglés como CISO. Su ubicación dentro del organigrama de la organización debería ser relevante.   Funciones y responsabilidades del Comité de Seguridad TIC La lista de funciones y responsabilidades que debe asumir el Comité de Seguridad TIC puede llegar a ser muy amplia, si bien se debe poner el foco sobre algunas consideradas esenciales: El proceso de gestión de la ciberseguridad debe estar imbuido por una metodología basada en la mejora continua. Definir y mantener la normativa de aplicación y la estructura organizativa que guiará el proceso de gestión de la ciberseguridad. Proponer, mantener y dar a conocer la Política de Seguridad de los sistemas de información. Gestionar los riesgos, haciendo especial hincapié en el análisis y tratamiento de las amenazas. Auditar periódicamente la seguridad de la organización y alinearla con la normativa aplicable. Formar y concienciar en materia de ciberseguridad a todos los miembros de la organización, realizando acciones periódicas y adaptadas a las amenazas vigentes en cada momento. Implementar un proceso de monitorización continua de amenazas y de gestión de las vulnerabilidades de los activos de la organización. Gestionar los incidentes de seguridad que afecten a los sistemas de información atendiendo a lo establecido en la normativa vigente.   La seguridad gestionada a través del SOC Como se ha indicado, una de las funciones esenciales en materia de seguridad de la información es la monitorización de los activos.  Mediante la tecnología existente y a través de los servicios que la gestionan es posible automatizar y delegar la gestión de este proceso. Esta delegación recae, fundamentalmente, en el Centro de Operaciones de Seguridad (SOC), convirtiéndose de este modo en instrumento operativo clave dentro del proceso de gobernanza de la ciberseguridad. La seguridad gestionada a través del SOC sitúa a estos centros en un lugar neurálgico dentro de la organización, ya que a través de ellos se conoce el estado de situación de la seguridad de los sistemas de información. El SOC debe prestar sus servicios de manera transversal a toda la organización. Desde allí será posible integrar las siguientes tareas: Conciliar el riesgo, la política, la gobernanza, la seguridad y los objetivos de negocio de la organización. Identificar, a través del análisis de un equipo de expertos, las herramientas, los controles, la automatización y los métodos más adecuados para monitorizar y proteger los activos. Trabajar en la investigación y respuesta a incidentes, proponer mejoras en la ejecución de procesos y en la configuración de sistemas y, en última instancia, remediar el riesgo para la organización. Una vez que se ha identificado una amenaza, el SOC será el responsable de escalar el problema al órgano correspondiente para solucionarlo. La información reportada debería alimentar los sistemas de conocimiento de la empresa para poder

Seguridad en el ciclo de vida del desarrollo de software

SOC

Son diversos los motivos por los que las organizaciones están tomando conciencia de la importancia de asumir la seguridad como un elemento esencial en los procesos de negocio. Unos tienen que ver con el incremento de servicios expuestos en Internet, la utilización de plataformas en la nube, la globalización y la movilidad que llevan aparejados nuevos riesgos para los sistemas de información, mientras que otros están asociados al cumplimiento normativo. En ambos casos pueden tener impacto económico para la organización si no se adopta una adecuada estrategia de seguridad de la información. Los entornos de desarrollo son muy sensibles a estos nuevos retos y para afrontarlos se está apostando por la adopción de nuevos modelos y metodologías de trabajo orientados a la introducción de la cultura de la seguridad en todo el proceso de desarrollo.   Modelo de desarrollo seguro de aplicaciones Uno de los modelos que más aceptación está obteniendo es el del Ciclo de Vida de Desarrollo Seguro de Software, conocido por sus siglas en inglés como S-SDLC. Se trata de un conjunto de principios y buenas prácticas tendentes a detectar, prevenir y corregir defectos de seguridad en el desarrollo de aplicaciones, de forma que se obtenga software de confianza y robusto frente a ataques maliciosos, que realice solo las funciones para las que fue diseñado, que esté libre de vulnerabilidades y asegure cumplir con los tres pilares sobre los que se asienta la seguridad de la información: integridad, disponibilidad y confidencialidad. Fue Microsoft quien definió el modelo SDL (Security Development Lifecycle), introduciendo la seguridad y la privacidad en todas las fases del desarrollo. Posteriormente, surgieron otros como el Modelo de Madurez para el Aseguramiento de Software, más conocido como SAMM por sus siglas en inglés. Se trata de un marco de trabajo abierto y flexible que facilita la implementación de una estrategia de seguridad para el desarrollo de software diseñado por OWASP.   Estos modelos tienen su traslación en la metodología de trabajo DevSecOps que surge para integrar la seguridad en el proceso de desarrollo de software. De esta manera, los equipos de seguridad pasan a trabajar de forma conjunta con los de desarrollo y operaciones desde que se inicia el proceso de desarrollo hasta que se produce el despliegue. DevSecOps adopta los principios y buenas prácticas de seguridad para fomentar una cultura de seguridad, a la vez que introduce, como novedad, la utilización de herramientas para automatizar la ejecución de pruebas de seguridad. El esfuerzo requerido para resolver problemas de seguridad aumenta a medida que se avanza en el proceso de desarrollo de una aplicación. Mitigar una vulnerabilidad en una fase inicial del proyecto tiene un impacto mucho menor sobre su coste que si se intenta abordar una vez alcanzada la puesta en producción.   Tipos de herramientas para testear las aplicaciones Dependiendo de la fase en la que se aborde el análisis de las aplicaciones, las herramientas para automatizar este proceso se dividen en dos tipos: Herramientas SAST (Static Application Security Testing): estas permiten revisar el código fuente durante la fase de desarrollo de la aplicación y prevenir problemas de seguridad futuros. Herramientas DAST (Dynamic Application Security Testing): este tipo de herramientas permiten realizar el escaneo tras desplegar la aplicación, no necesitando tener acceso al código fuente. Se caracterizan por tener un menor número de falsos positivos, si bien su eficacia es menor según aumenta la complejidad de la arquitectura o las funcionalidades de la aplicación. Así mismo, la velocidad de escaneo es menor respecto a las herramientas SAST. Son muchas las ventajas que aporta la utilización de este tipo de herramientas. Por un lado, se consiguen acelerar los tiempos de entrega y se incrementa el nivel de seguridad. Por otro, gracias a estas herramientas se consigue alcanzar un mayor nivel de calidad en el producto final y, se evita incurrir en costes sobrevenidos tras su entrega motivados por la detección de incidencias de seguridad abordables en la fase de desarrollo.   Global Technology dispone de la tecnología y el equipo técnico experto para ayudar a las organizaciones a completar el ciclo de vida del desarrollo de software de forma segura a través de la realización de análisis SAST y DAST. Contacta con un especialista. José Antonio Barrio PuyoResponsable de SOC en Global Technology

Monitorización de activos en entornos OT

monitorizacon activos entornos ot

Parecerá una obviedad, pero plantear un proyecto de monitorización de activos, ya sea en entornos OT o en el ámbito IT, requiere necesariamente conocer el alcance, es decir, se deberán identificar todos los elementos que componen la infraestructura a monitorizar. Para ello, es necesario elaborar un inventario. En los entornos IT están muy extendidas las herramientas que permiten alimentar la CMDB (Configuration Management Data Base) en la que se almacenan los datos relevantes de cada activo e incluso las relaciones existentes entre ellos. En entornos OT la presencia de estos inventarios también es habitual, si bien se centran en el hardware y no tanto en el software, más allá de las configuraciones que se puedan almacenar en el sistema SCADA. La extensión de las CMDB de IT al entorno OT es una buena práctica que muchas empresas están adoptando, si bien hay que tener en cuenta que estas bases de datos no suelen disponer de los mismos modelos de datos que las específicas para entornos OT ni los activos a gestionar tienen las mismas características. La identificación de activos OT se puede abordar mediante la realización de escaneos de dos tipos: activos y pasivos. Para ello, se podrán utilizar herramientas tanto comerciales como basadas en fuentes abiertas. No obstante, hay que tener presente que los equipos y dispositivos OT poseen características distintas frente a los IT y que ante el envío de paquetes y tramas distintos a los del propio proceso pueden presentar comportamientos impredecibles, pudiendo provocar, incluso, el fallo del sistema. Elementos como los PLCs o los RTUs, por ejemplo, poseen recursos de hardware limitados que si se sobrepasan pueden provocar una denegación de servicio. El escaneo pasivo es menos invasivo, no tiene impacto en las comunicaciones y permite una rápida detección, si bien el nivel de detalle de inventario no alcanza el que se consigue con el escaneo activo.  Por todo ello, es aconsejable abordar la tarea de inventario con herramientas específicas compatibles con este tipo de dispositivos. Este inventario resulta fundamental para alimentar la plataforma SIEM con la que se gestionarán los eventos asociados a cada activo. La gestión de vulnerabilidades en entornos IT forma parte de la estrategia que las organizaciones adoptan dentro del ámbito de la ciberseguridad. Está plenamente consolidada y existen numerosas herramientas que ayudan a su implantación. Sin embargo, en entornos OT todavía queda mucho camino por recorrer. Mientras tanto, se observa cómo aumenta el número de incidentes que las industrias están sufriendo como consecuencia de la explotación de vulnerabilidades conocidas y no parcheadas. Las nuevas soluciones de análisis de vulnerabilidades específicas para estos entornos o las diseñadas para el ámbito IT que ha sido adaptadas al mundo OT se demuestran cómo un instrumento muy eficaz para verificar la salud de las infraestructuras y detectar las anomalías que puedan poner en riesgo los activos. El tercer elemento clave de la monitorización de activos OT es el análisis de los logs y eventos de seguridad generados por el sistema. Todo elemento que forma parte de un sistema informático o industrial tiene la capacidad de generar algún tipo de log. En el ámbito OT, los sistemas de control SCADA se apoyan en tecnología Windows o Linux, lo cual favorece el acceso a sus respectivos registros de eventos. Los dispositivos de campo como los PLCs y los RTUs también han evolucionado, de tal manera, que ahora también tiene capacidad de generar algún tipo de log. Todos los logs generados deben ser almacenados y gestionados de manera centralizada con el fin de que puedan ser tratados. Siguiendo los modelos implementados en entornos IT, se presenta como una herramienta fundamental el SIEM (Security Information and Events Management) con la que se podrá correlar toda la información enviada por las diferentes fuentes. El SIEM tiene la capacidad de parsear e indexar esa información y favorecer la realización de búsquedas de manera ágil. Así mismo, incorpora la función de definición de reglas específicas para el entorno gestionado con el fin de determinar de forma precisa la información que se considera relevante. A su vez, el Centro de Operaciones de Seguridad (SOC) será el encargado de operar esta plataforma y alertará de las anomalías que se detecten. Adicionalmente, otra de las tareas que desarrollará el SOC será la implementación de casos de uso, a través de los cuales se podrán identificar los ataques o incidentes que más impacto puedan tener en la organización. Para la definición de estos casos se deberá tener en cuenta el análisis de riesgos que la organización haya realizado previamente, así como documentación validada por organizaciones de referencia como, por ejemplo, la matriz MITRE ATT&CK. Global Technology dispone de herramientas específicas para la realización de una adecuada monitorización de activos en entornos OT, con capacidad de integrarla con la monitorización IT, apoyándose en el equipo de expertos del SOC. José Antonio Barrio PuyoResponsable de SOC en Global Technology

Honeypot: averigua como te pueden atacar

honeypot que es | global technology

Ya en la antigua China, el célebre estratega militar Sun Tzu dejó escrito en su libro “El arte de la guerra” aquello de “conoce a tu enemigo y conócete a ti mismo y serás invencible”. En el ámbito de la ciberseguridad, vemos cómo cada día se libra una batalla virtual entre empresas y ciberdelincuentes. Los primeros se presentan en el campo de batalla equipados con numerosas herramientas orientadas al bastionado de aplicaciones, infraestructuras y servicios. Los segundos, por su parte, no cejan en el empeño de asaltar el “castillo” mediante ataques cada vez más sofisticados. En esta guerra cibernética la estrategia juega un papel fundamental. Al igual que los ciberatacantes realizan labores de reconocimiento mediante escaneos para averiguar las fallas en el sistema de seguridad, los que están al otro lado despliegan algunas trampas con el fin de detectar pautas y comportamientos de los atacantes. ¿Qué es un honeypot? Estos cebos o trampas no son nuevos. Desde hace tiempo, los honeypots (tarros de miel en su traducción literal) se utilizan como mecanismo de atracción de intrusos para obtener información sobre las técnicas que utilizan en su intento de acceder a los sistemas de información y, llegado el caso, para alertar de un ataque que se esté produciendo. Los honeypots son servidores expuestos a Internet (también se pueden ubicar en la red interna) con diversos servicios abiertos y sin seguridad habilitada que los hacen atractivos para los atacantes. Son máquinas que están esperando ser atacadas. Con la nueva generación de herramientas SIEM, es posible integrar los honeypots como una fuente de datos más que reporta los eventos que allí se generan, aportando información de gran valor a los analistas que están al frente de la detección de amenazas. Los honeypots se pueden desplegar tanto en una máquina física como en una virtual y pueden convivir tantos como se desee. Dependiendo de la complejidad de su configuración nos podemos encontrar con diversos tipos de honeypots. Aquellos más complejos pueden llegar a replicar un entorno de producción, con múltiples servicios expuestos y configurados con datos falsos. Sin embargo, no son éstos los que de forma más habitual nos encontraremos en los entornos de producción. Son los denominados de baja interacción los elegidos para ser desplegados en estos entornos. Se caracterizan porque alojan unos pocos servicios y son fáciles de configurar y de mantener. Conclusión En definitiva, podemos concluir que los honeypots, además de su función principal como cebo para atraer a los atacantes, cumplen con otros tres roles: Sirven de altavoz para alertar de un posible ataque. Aquí resulta fundamental la integración con el SIEM ya que a través de éste se recibirá la alerta de que algo está pasando de forma inmediata. Pueden ralentizar la acción de los atacantes al estar éstos enfrascados en comprometer esa máquina, dando tiempo para reaccionar y adoptar las medidas de respuesta oportunas. El tiempo que se ganará dependerá del grado de complejidad con el que se haya configurado el honeypot. Por último, se podrá utilizar el honeypot como instrumento de entrenamiento para los equipos de ciberseguridad. Éstos podrán lanzar escaneos para poner a prueba la detección de intrusiones y entrenar la respuesta ante situaciones similares en un entorno real. El coste de implementación de un honeypot suele ser reducido. Incluso, algunas soluciones SIEM lo incorporan dentro de su paquete de herramientas. El retorno que ofrecen en comparación con la inversión que requieren lo convierten en una herramienta muy interesante. El equipo de analistas del SOC de Global Technology tiene amplia experiencia en el despliegue y configuración de estas herramientas. Global Technology puede ayudarte a implementar el honeypot que mejor se adapte al entorno de tu organización. José Antonio Barrio PuyoResponsable de SOC en Global Technology