Honeypot: averigua como te pueden atacar
Ya en la antigua China, el célebre estratega militar Sun Tzu dejó escrito en su libro “El arte de la guerra” aquello de “conoce a tu enemigo y conócete a ti mismo y serás invencible”. En el ámbito de la ciberseguridad, vemos cómo cada día se libra una batalla virtual entre empresas y ciberdelincuentes. Los primeros se presentan en el campo de batalla equipados con numerosas herramientas orientadas al bastionado de aplicaciones, infraestructuras y servicios. Los segundos, por su parte, no cejan en el empeño de asaltar el “castillo” mediante ataques cada vez más sofisticados. En esta guerra cibernética la estrategia juega un papel fundamental. Al igual que los ciberatacantes realizan labores de reconocimiento mediante escaneos para averiguar las fallas en el sistema de seguridad, los que están al otro lado despliegan algunas trampas con el fin de detectar pautas y comportamientos de los atacantes. ¿Qué es un honeypot? Estos cebos o trampas no son nuevos. Desde hace tiempo, los honeypots (tarros de miel en su traducción literal) se utilizan como mecanismo de atracción de intrusos para obtener información sobre las técnicas que utilizan en su intento de acceder a los sistemas de información y, llegado el caso, para alertar de un ataque que se esté produciendo. Los honeypots son servidores expuestos a Internet (también se pueden ubicar en la red interna) con diversos servicios abiertos y sin seguridad habilitada que los hacen atractivos para los atacantes. Son máquinas que están esperando ser atacadas. Con la nueva generación de herramientas SIEM, es posible integrar los honeypots como una fuente de datos más que reporta los eventos que allí se generan, aportando información de gran valor a los analistas que están al frente de la detección de amenazas. Los honeypots se pueden desplegar tanto en una máquina física como en una virtual y pueden convivir tantos como se desee. Dependiendo de la complejidad de su configuración nos podemos encontrar con diversos tipos de honeypots. Aquellos más complejos pueden llegar a replicar un entorno de producción, con múltiples servicios expuestos y configurados con datos falsos. Sin embargo, no son éstos los que de forma más habitual nos encontraremos en los entornos de producción. Son los denominados de baja interacción los elegidos para ser desplegados en estos entornos. Se caracterizan porque alojan unos pocos servicios y son fáciles de configurar y de mantener. Conclusión En definitiva, podemos concluir que los honeypots, además de su función principal como cebo para atraer a los atacantes, cumplen con otros tres roles: Sirven de altavoz para alertar de un posible ataque. Aquí resulta fundamental la integración con el SIEM ya que a través de éste se recibirá la alerta de que algo está pasando de forma inmediata. Pueden ralentizar la acción de los atacantes al estar éstos enfrascados en comprometer esa máquina, dando tiempo para reaccionar y adoptar las medidas de respuesta oportunas. El tiempo que se ganará dependerá del grado de complejidad con el que se haya configurado el honeypot. Por último, se podrá utilizar el honeypot como instrumento de entrenamiento para los equipos de ciberseguridad. Éstos podrán lanzar escaneos para poner a prueba la detección de intrusiones y entrenar la respuesta ante situaciones similares en un entorno real. El coste de implementación de un honeypot suele ser reducido. Incluso, algunas soluciones SIEM lo incorporan dentro de su paquete de herramientas. El retorno que ofrecen en comparación con la inversión que requieren lo convierten en una herramienta muy interesante. El equipo de analistas del SOC de Global Technology tiene amplia experiencia en el despliegue y configuración de estas herramientas. Global Technology puede ayudarte a implementar el honeypot que mejor se adapte al entorno de tu organización. José Antonio Barrio PuyoResponsable de SOC en Global Technology
El Tsunami IoT, ¿estamos preparados?
El Internet de las Cosas o IoT, hace referencia a los miles de millones de dispositivos físicos en todo el mundo que están conectados a Internet, recopilando y compartiendo datos. Sí, has leído bien, miles de millones de dispositivos. Según un estudio de la consultora especializada IOT Analytics, la cifra de este tipo de dispositivos que se estima estarán desplegados en 2025 por todo el mundo rondará los 27.500 millones. Incluso, otros estudios predicen que para 2023 ya se habrá superado con creces esta cifra. Esta red de objetos físicos está integrada por sensores, software y otras tecnologías con el fin de conectar e intercambiar datos entre sí y con personas de todo el mundo. Estos dispositivos los podemos encontrar en diversos ámbitos: Industrial Agrícola Sanitario Transporte Doméstico A la vista de este escenario, podríamos concluir que un tsunami de dispositivos IoT está invadiendo de manera creciente nuestro día a día. La adopción de estos “cacharritos” se está realizando, en la mayoría de los casos, sin aplicar las medidas de seguridad adecuadas, lo cual pone en riesgo, no solo al propio dispositivo, sino también a otros activos que estén conectados a la red y, como consecuencia, a toda la organización. Los riesgos aumentan cuando hablamos de infraestructuras críticas (puertos, aeropuertos, centrales de energía, de abastecimiento de agua, etc.). Bien es sabido que han sido muchas las infraestructuras de este tipo que en los últimos tiempos han sido objeto de sabotajes aprovechando vulnerabilidades existentes en dispositivos IoT. Estos ataques son especialmente graves cuando las consecuencias que de ellos se derivan pueden afectar, incluso, a la vida de las personas. Las cifras en este sentido también son reveladoras. Las estadísticas reflejan que a lo largo de 2021 los dispositivos IoT recibieron más de 2.000 millones de ataques. Lo llamativo es que en más de la mitad de estos ataques estuvo implicado el protocolo Telnet, el cual está prácticamente erradicado en entornos IT para la gestión remota de dispositivos dado que no implementa medidas de seguridad. Es evidente que las empresas tienen dificultades para dotar de la seguridad adecuada a los dispositivos IoT. Los factores que condicionan esta situación son variados. Por un lado, está la diversidad de fabricantes y dispositivos, por otro el coste de la implementación de esas medidas, así como la escasez de personal especializado en seguridad IoT y, en ocasiones, la incompatibilidad con las soluciones de seguridad. Si comparamos el mundo IT con el IoT, observamos que las vulnerabilidades que con mayor frecuencia se detectan en el segundo ya han sido debidamente gestionadas en el primero. Por ejemplo, es raro encontrar sistemas IT expuestos a Internet que permitan el acceso a través del protocolo Telnet. Este es un ejemplo del amplio camino que queda por recorrer a nivel de seguridad en el mundo IoT que se suma al de otras vulnerabilidades que de forma recurrente afectan a estos dispositivos: Credenciales de acceso configuradas por defecto y que, en ocasiones, no se pueden modificar Cifrado inseguro o inexistente en las comunicaciones entre el dispositivo y el usuario. Ausencia de actualizaciones periódicas del software y el firmware para corregir fallos de seguridad. Ausencia de interfaz que permita modificar parámetros de seguridad. El crecimiento de la tecnología IoT es imparable, más aún con la llegada de las redes 5G que van a permitir la interconexión de dispositivos a gran velocidad independientemente de dónde estén ubicados. Ante esta situación, la industria IoT y sus clientes, conscientes de la necesidad de adoptar la ciberseguridad en este ámbito, están realizando importantes esfuerzos para aplicar medidas a todos los niveles que pongan a estos dispositivos a salvo de los ciberataques. Al igual que sucede en el mundo IT, la monitorización de la infraestructura juega un papel fundamental para detectar las amenazas que puedan acechar a los dispositivos y para realizar una adecuada gestión de las vulnerabilidades. Es aquí donde Global Technology puede ayudar a las empresas mediante el despliegue de tecnología de monitorización específica para entornos IoT gestionada por el equipo de analistas expertos del Centro de Operaciones de Seguridad. Gracias a esta tecnología, sin necesidad de desplegar un agente, podrá: Identificar nuevos elementos conectados a la red y mantener un inventario automatizado Detectar vulnerabilidades Identificar comportamientos anómalos Recibir alertas en tiempo real José Antonio Barrio PuyoResponsable de SOC en Global Technology
Vigilancia Digital: Rastreando la Dark Web
La sociedad que vivimos está inmersa en un proceso en el que sus miembros permanecen hiperconectados con otros semejantes y con multitud de aplicaciones y servicios, todo ello gracias a Internet, lo que ha hecho de esta red un elemento imprescindible en nuestras vidas. En el ámbito de las empresas, el impulso de la transformación digital está consiguiendo que, independientemente del tamaño de la organización, y por muy pequeña que ésta sea, todas operen en Internet. Este gigantesco mundo paralelo que se ha creado en Internet es cada vez más complejo y no está privado de la presencia de actores maliciosos que, con diferentes propósitos, ponen en riesgo activos, tanto de particulares como de empresas. A pesar de la magnitud de Internet, sin embargo, únicamente tenemos acceso a una pequeña parte de los sitios que aloja. En base al tipo de acceso que se requiere para visualizar los contenidos de estos sitios, se puede estructurar Internet en tres zonas: La web abierta o superficial. Esta web supone un porcentaje muy pequeño de toda la red. Son sitios web a disposición del público a los que se accede utilizando los navegadores tradicionales. Gracias a la indexación, el acceso es muy rápido. La Deep Web es la gran porción de la tarta de Internet. Es allí donde se aloja la mayor parte de la información disponible en la Red. Es la zona en la que se encuentra la información de empresas e instituciones. La Dark Web forma parte de la Deep Web. Ocupa una mínima parte de ésta. Esta zona oscura ha estado rodeada desde sus inicios de un halo de misterio, estando considerada como un espacio en el que se gestan actos ilícitos. Sin embargo, dada su opacidad y sus restricciones para acceder, también se ha utiliza para alojar contenido legal. Se trata de una zona donde no existe la indexación, donde no pueden acceder los navegadores tradicionales y que requiere de accesos virtuales para llegar hasta allí. Paralelamente a la transformación digital que están abordando las empresas, en el ámbito de la ciberdelincuencia se está produciendo un salto exponencial en la actividad maliciosa a nivel global. La Dark Web está siendo protagonista de este nuevo escenario pues, al cobijo del anonimato que se obtiene formando parte de ella, se fraguan numerosas acciones ilícitas. En la Dark Web se cobijan actores maliciosos que debaten en foros sobre asuntos ilícitos y trafican en mercados con bienes obtenidos de manera ilegal. Asuntos relacionados con acciones terroristas, tráfico de drogas y armas, extorsiones, ataques a la reputación de las marcas, fraudes, software malicioso o fuga de información forman parte de la actividad que se genera en la Dark Web. Las consecuencias que sufren las organizaciones que se ven afectadas por acciones gestadas en la Dark Web son múltiples y, en su mayoría, tienen una traducción económica: En el ámbito de las telecomunicaciones, en la Dark Web se trafica con el “sim swapping” o suplantación de las tarjetas SIM de los teléfonos móviles. En entornos bancarios, los actos ilícitos habituales tienen que ver con la falsificación de tarjetas de crédito. Son especialmente sensibles las amenazas a las que están sometidas las infraestructuras críticas y esenciales, generalmente asociadas a acciones terroristas y sabotajes. De forma genérica, se pueden organizar acciones que atenten contra la reputación de marcas comerciales o de los directivos de las compañías. Así mismo, la Dark Web está sirviendo para traficar con grandes bases de datos de información robadas a las organizaciones. En particular, están siendo de sumo interés para los ciberdelincuentes las que albergan credenciales de cuentas de usuarios. Disponer de los datos de acceso a servicios o aplicaciones de una empresa les facilita enormemente la ejecución de ciberataques basados, por ejemplo, en ransomware. Ante este escenario, la estrategia que deben seguir las organizaciones se debe centrar en anticiparse a estas amenazas emergentes. Es aquí donde Global Technology puede colaborar con las organizaciones aportando herramientas con capacidad para realizar investigaciones con las que obtener visibilidad continua y en tiempo real de lo que acontece en la zona oscura de Internet. Los analistas del Centro de Operaciones de Seguridad (SOC) de Global Technology pueden acceder a fuentes y foros cerrados y realizar investigaciones encubiertas. Las tecnologías que implementan estas herramientas permiten abordar una amplia gama de escenarios: Detección en tiempo real de credenciales comprometidas. Es posible detectar la filtración y el compromiso de credenciales de empleados que hayan aparecido en la web profunda u oscura. Monitorización de amenazas dirigidas contra los equipos directivos. Se puede hacer seguimiento de posibles amenazas cibernéticas o físicas de las que sean objeto directivos de la organización (estafa del CEO, doxing, spear-phising, etc…). Protección de la marca. Detección de amenazas que prevengan de ataques contra la marca empresarial y sus activos críticos. Análisis del fraude. Permite investigar fugas de tarjetas de crédito, suplantación de tarjetas SIM y otros muchos tipos de fraude. Investigaciones de amenazas terroristas. Se puede acceder a docenas de foros y canales relacionados con el terrorismo. Investigaciones sobre armas y drogas. Igualmente, es posible acceder a numerosos mercados relacionados con el tráfico de drogas y armas. Referencias genéricas. El alcance de las investigaciones incluye todos los dominios pertenecientes a la organización. La operación de este servicio la realiza el equipo de analistas del SOC, con la colaboración de la organización que solicita el servicio, definiendo los parámetros de búsqueda de amenazas que se desee investigar en estas redes con el fin de establecer las alertas que prevengan de las acciones fraudulentas que se estén gestando o que hayan podido llegar a materializarse. El servicio de Vigilancia Digital y Fraude de Global Technology reporta beneficios manifiestos para las organizaciones que optan por él. Además del evidente ahorro económico que puede suponer anticiparse a una amenaza que atente contra la organización, se pueden evitar daños físicos para las personas y materiales en las instalaciones, así como, afecciones a la reputación de la marca. José Antonio Barrio PuyoResponsable de SOC en Global Technology
La ciberinteligencia, instrumento de la ciberseguridad
Cuando se realiza una primera aproximación al ámbito de la seguridad en el ciberespacio se aprecia con cierta frecuencia cómo se utilizan indistintamente los términos ciberinteligencia y ciberseguridad. Esta circunstancia es fruto de la vinculación que existe entre ambas disciplinas. En este artículo revisamos algunos conceptos que ayudan a comprender en consisten cada una de ellas y como están vinculadas. El diccionario de la Real Academia Española cuando define el término “servicio de inteligencia” se refiere a la inteligencia como la capacidad de proporcionar análisis e información para mejorar la toma de decisiones estratégicas orientadas a prevenir o neutralizar amenazas y a defender los intereses nacionales. Siguiendo esa misma línea, si tomamos como referencia las aportaciones que en el campo de la inteligencia estratégica realizó Sherman Kent y que plasmó en su libro “Strategic Intelligence for Amercican World Policy”, se podría considerar la ciberinteligencia como el producto resultante de la adquisición y el análisis de información para identificar y predecir ciberataques, detectar indicios que puedan significar riesgos y derivar en amenazas y actividades que faciliten la toma de decisiones. Por tanto, y de forma resumida, podemos concluir que la ciberinteligencia es una variante específica de la inteligencia que aporta información específica dentro del ámbito del ciberespacio. En el proceso requerido para la obtención de la información puede ser necesario la realización de diversas tareas, si bien, son dos las consideradas esenciales: la adquisición de datos a través de diferentes fuentes: humanas, geoespaciales, técnicas y otras basadas en fuentes abiertas. Estas últimas, conocidas como OSINT (Open Source Intelligence), son ampliamente utilizadas en ciberseguridad y hacen referencia a la recolección de información en fuentes accesibles al público, como redes sociales, foros, blogs, congresos… el procesamiento humano de los datos y de la información que se han obtenido con el fin de obtener un resultado útil para la toma de decisiones. Es aquí donde entran en juego las unidades de analistas de ciberinteligencia. Procesados los datos es el momento de la entrega del resultado. Dependiendo de la necesidad de información que vaya a satisfacer el trabajo de inteligencia, el producto resultante podrá adoptar diferentes formatos: Difusión a través de informes, boletines, alertas, que podrán tener una determinada periodicidad o ser consecuencia de una demanda concreta ante una situación de crisis, por ejemplo. Una característica de los informes de ciberinteligencia es la mayor rapidez con la que habitualmente deben ser generados respecto a otros, fruto de la necesidad a la que deben dar respuesta. En el ámbito de la inteligencia de amenazas, el objetivo sería obtener las Tácticas, Técnicas y Procedimientos (TTP) que utilizan los ciberatacantes con el fin de poder elaborar una estrategia de defensa. Vigilancia Digital y Fraude. Mediante la ciberinteligencia se realizan investigaciones en foros ocultos de Internet o en redes sociales que permiten detectar campañas de desprestigio a empresas o a sus ejecutivos o la venta de fraudulenta de información o productos, así como, cualquier otra actividad que atente contra los activos de la compañía. Todo este conjunto de información que se puede llegar a obtener adquiere un valor incuestionable a la hora de afrontar futuras amenazas y de elaborar una estrategia de seguridad. Además, a este repositorio habrá que sumar lo generado por una fuente adicional y muy valiosa como es la de los equipos de respuesta a incidentes de cada organización, los conocidos como CSIRT. Una vez revisado el concepto de ciberinteligencia, es momento de realizar una aproximación al de ciberseguridad. A diferencia de lo que suele suceder con el término ciberinteligencia, sí existe un mayor consenso entre los expertos sobre el significado de ciberseguridad, no habiendo apenas hueco para la ambigüedad. Una de las definiciones que, quizás, mejor establece el significado de este concepto es la que realiza la Agencia de Ciberseguridad de Estados Unidos (CISA) en su Security Tip ST04-001 en donde dice que “la ciberseguridad es el arte de proteger redes, dispositivos y datos del acceso no autorizado o uso delictivo y la práctica de garantizar la confidencialidad, integridad y disponibilidad de la información”. Esa ingente tarea de protección se alcanza mediante un proceso que, en su fase operativa, aplica un conjunto de técnicas valiéndose de herramientas y procedimientos. La protección debe abarcar todo el ciclo de vida de la información, desde que se genera y procesa, hasta su transporte, almacenamiento y eliminación. Dentro de ese conjunto de herramientas se incluyen todas aquellas que tienen que ver con la seguridad perimetral y de las redes, con las que hacen frente al malware y, aquellas que realizan la correlación en tiempo real todos los eventos registrados por esas y otras herramientas. También forman parte de este proceso los equipos de analistas que conforman los Centros de Operaciones de Seguridad (SOC). En el día a día estamos observando el creciente número de ciberataques que se producen contra todo tipo de objetivos, públicos y privados. Observamos, también, cómo la sofisticación de esos ataques va en aumento. Los grupos de ciberdelincuentes están cada vez más organizados, con estructuras internas plenamente especializadas. Sus miembros poseen conocimientos técnicos muy elevados y las técnicas de ataque que utilizan son cada vez más complejas. Pues bien, es aquí donde entra en juego la ciberinteligencia, convirtiéndose en un instrumento clave, siendo la perfecta aliada para la ciberseguridad, consiguiendo que aumenten sus capacidades de prevención, detección y respuesta ante ciberamenazas. La información generada por la ciberinteligencia facilita la toma de decisiones tácticas y estratégicas de las organizaciones frente a los ciberataques. En resumen, se podría concluir que la ciberseguridad se sirve de la ciberinteligencia como instrumento para anticiparse a posibles ciberataques y frustrarlos. José Antonio Barrio PuyoResponsable de SOC en Global Technology
Mantenerse seguro en un conflicto cibernético global
El escenario de crisis que se ha suscitado en Ucrania tras la invasión rusa, ha traído aparejado un aumento de los riesgos de ataques e incidentes de ciberseguridad, ya sea como desbordamiento de los ataques cibernéticos dirigidos contra Ucrania o debido a ataques directos contra los actores que apoyan a Ucrania. Tras el análisis de la situación podemos deducir los tipos de ataques que las organizaciones pueden sufrir. A continuación, recopilamos las principales amenazas y las medidas para su mitigación: Malware: como siempre, la mejor prevención de malware es evitar la infección, un riesgo que podemos minimizar garantizando que los activos estén actualizados, que dispongan de una herramienta antimalware con capacidades avanzadas y que se utilicen controles de acceso sólidos. Ataques de Denegación de Servicio Distribuido (DDoS): las mitigaciones pueden incluir la reducción del área de superficie de ataque a través de redes de distribución de contenido o equilibradores de carga, así como el uso de listas de control de acceso y firewalls para eliminar el tráfico proveniente de los nodos atacantes. Campañas de phishing: hay que asegurarse de que exista un fuerte filtrado de spam y escaneo de archivos adjuntos. Educar a los usuarios finales sobre los peligros del phishing y ejecutar regularmente campañas de phishing también ayudará a mitigar este problema. Ataques de fuerza bruta: la mejor mitigación para este tipo de ataques es habilitar el múltiple factor de autenticación (MFA) en todos los sistemas. Se debe minimizar el número de sistemas expuestos al exterior y asegurar que los necesarios estén completamente parcheados. Ataques a los sitios web: estos ataques suelen tener éxito como resultado de la utilización de contraseñas débiles para cuentas de administrador o el uso de complementos vulnerables. Todo ello se puede mitigar limitando el nivel de acceso que tienen las cuentas, aplicando contraseñas seguras y actualizando el software. Ransomware: en el escenario en el que nos encontramos, el ransomware puede buscar la destrucción y, no tanto, lograr un objetivo lucrativo. No obstante, pueden surgir grupos de atacantes oportunistas que puedan aprovecharse de la situación para chantajear a las organizaciones. Adicionalmente, más que nunca, se deben revisar las medidas que se deberían estar ya aplicando como parte de nuestra estrategia de seguridad: Monitorización continua de activos. Plan de respuesta a incidentes. Copias de seguridad. Si bien consideramos que las organizaciones no deben entrar en una situación de pánico, sí que se debe prestar especial atención y ser más prudente en la gestión de la ciberseguridad. Además, conviene mantenerse informado y seguir lo foros oficiales sobre el tema. José Antonio Barrio PuyoResponsable de SOC en Global Technology
Protección del Active Directory. Es la Joya de la Corona
Active Directory – Objetivo: proteger la joya de la Corona A medida que las organizaciones crecen en tamaño y su infraestructura de TI se vuelve más compleja, la utilización de sistemas de autenticación de usuarios seguros se convierte en un elemento indispensable. Para tal fin, las organizaciones implementan los servicios de directorio, siendo los más utilizados Active Directory (AD) de Microsoft y OpenLDAP. A nivel mundial, son numerosas las empresas que eligen Active Directory como servicio de directorio. Su diseño se basa en una estructura jerárquica que almacena información sobre los objetos de una red (estaciones de trabajo, políticas, cuentas de usuario…) en una base de datos centralizada, aportando una gran facilidad para administrar el entorno y aplicar políticas. Además, proporciona servicios de autenticación y autorización. Los servidores que albergan el Active Directory se denominan controladores de dominio. Dadas las características de este servicio, resulta evidente situar a Active Directory en el centro neurálgico de la red de las organizaciones, convirtiéndose en la “joya de la Corona” de la infraestructura de TI. Este papel tan relevante que juega el AD viene llamando poderosamente la atención a los ciberdelincuentes. En los últimos tiempos, gran parte de los ataques dirigidos contra las organizaciones se focalizan en los AD, buscando la manera de acceder a los controladores de dominio con el fin de tomar el control del servicio de directorio. Un usuario malintencionado que logre el acceso con privilegios a un controlador de dominio podrá realizar cualquier tarea de gestión sobre la base de datos del AD y, por extensión, sobre todos los sistemas y cuentas administrados por el AD. Una vez comprometido el servicio de directorio, el tiempo que tarde el atacante en causar daños irreparables será escaso, cuestión de minutos u horas. Normalmente, los atacantes consiguen acceder al directorio mediante cuentas de usuario robadas, escalando después hasta adquirir un rol con privilegios de administrador. Uno de los ataques más devastadores que puede sufrir un AD es el conocido como “Golden Ticket”. Mediante este ataque el ciberdelincuente obtiene el control sobre una cuenta de servicio de distribución de claves de Active Directory (KRBTGT) y la utiliza para falsificar tickets de concesión de tickets Kerberos (TGT) válidos. Con esto consigue el acceso a cualquier recurso asociado a un dominio de Active Directory. Un ataque del tipo ”Golden Ticket” que tenga éxito y no sea identificado permite que el atacante resida en la red de manera indefinida haciéndose pasar por un usuario administrador válido. Por otra parte, en el caso de que un AD se vea comprometido, la vuelta a un estado seguro deberá realizarse de forma cuidadosa, partiendo de copias de seguridad cuya integridad esté asegurada y mitigando las brechas de seguridad que permitieron el acceso del atacante. Por todo ello, resulta esencial dedicar nuestros esfuerzos a bastionar el entorno que conforma el servicio de AD. Por un lado, deberemos abordar la protección física, deberemos asegurarnos de que los servidores que alojan los controladores de dominio, bien sean virtuales o bien sean físicos, están en una ubicación debidamente protegida y con acceso restringido a los usuarios administradores. Respecto a éstos, limitaremos al máximo su número. Así mismo, deberemos tener en cuenta lo establecido en los principios y recomendaciones proporcionados por el fabricante y que están diseñados para ayudar a proteger el entorno contra atacantes externos y usuarios internos malintencionados o que comentan errores. Los análisis realizados a servicios de directorio que se han visto comprometidos revelan que las organizaciones tienen una visión limitada sobre el estado de la configuración de su AD. La detección de los posibles riegos a los que esté sometido el AD fruto de configuraciones erróneas o incompletas no suele ser una tarea sencilla y, en muchas ocasiones, la identificación no se produce hasta que se materializa el peligro. Microsoft, en su documento sobre Procedimientos recomendados para proteger Active Directory, identifica algunas de las vulnerabilidades que son aprovechadas por los atacantes para comprometer el servicio de directorio: Brechas en las implementaciones de antivirus y antimalware Aplicación de parches incompleta Aplicaciones y sistemas operativos obsoletos Errores de configuración Concesión de privilegios excesivos Permitir la instalación de aplicaciones no autorizadas Estandarización de credenciales de administrador local Más allá de que se tengan en cuenta las recomendaciones para una adecuada configuración del AD, la operación del servicio requiere de un robusto sistema de supervisión de eventos. Este es uno de los aspectos fundamentales que se deben contemplar a la hora de implementar Active Directory. Los eventos nos pueden revelar riesgos en una fase inicial, permitiéndonos abordarlos y mitigarlos. Es cierto que realizar un seguimiento de los eventos requiere esfuerzo y dedicación, siendo éstas las causas, en muchas ocasiones, de que esta fase de las implementaciones no se llegue a completar. Para facilitar las tareas de supervisión, además de la herramienta de auditoría que incorpora Active Directory, existen en el mercado otras muy interesantes que se revelan como unas grandes aliadas para que los administradores y los equipos de seguridad puedan conocer en todo momento de manera automatizada, el estado del servicio de directorio. Son herramientas que incorporan capacidades para identificar vulnerabilidades, para ofrecer medidas de mitigación, para detectar ataques y enviar alertas por varias vías. Además, tienen la posibilidad de integrarse con otro tipo de herramientas como los SIEM, de forma que la información se centralice en un único punto. No olvidemos que nuestro Active Directory es la “joya de la Corona” de la infraestructura informática de la organización y que, por tanto, merece nuestra máxima atención. José Antonio Barrio PuyoResponsable de SOC en Global Technology
Soluciones CASB (Cloud Access Security Brokers)
Un Cloud Access Security Brokers (CASB) es una aplicación de seguridad que ayuda a las organizaciones a gestionar y proteger los datos almacenados en la nube. Las soluciones CASB podríamos decir que son un mix entre filtro, proxy y firewall entre los usuarios y los sistemas cloud. Tienen capacidades para detectar aplicaciones en la nube no sancionadas así como datos sensibles en tránsito. Constituyen un punto de visibilidad y control de políticas que se sitúa entre los usuarios y los proveedores de la nube; proporcionan visibilidad de los usuarios no autorizados en la red y bloquean accesos malintencionados a los recursos de la red. Los Cloud Access Security Brokers o CASBs son una de las capacidades clave que conforman una solución SASE completa (Secure Access Service Edge, arquitectura de seguridad en la nube para la convergencia entre las distintas tecnologías de seguridad y de conectividad de una organización). Al servir como puntos de aplicación de políticas de seguridad que se sitúan entre un proveedor de servicios en la nube y sus usuarios, los CASB ayudan a una organización a descubrir dónde se encuentran sus datos a través de las distintas aplicaciones de software como servicio (SaaS) en entornos en la nube, centros de datos locales y trabajadores en movilidad. Un CASB también aplica las políticas de seguridad, gobernanza y cumplimiento de una organización, permitiendo a los usuarios autorizados acceder y consumir recursos en la nube, al tiempo que les permite proteger sus datos de forma eficaz y coherente en múltiples ubicaciones. Puntos fuertes de una solución CASB Podemos decir que los CASB tienen 4 pilares fundamentales: Visibilidad: Proporcionan una ventana al tráfico entre las organizaciones y sus proveedores de la nube. Con CASB, puede ver a qué sistemas en la nube sancionados y no sancionados acceden los usuarios. El ejemplo clásico de cómo un CASB puede ayudar a los CIO es informándoles del número de GB de datos de la empresa que los usuarios suben a la nube a repositorios no supervisados. Cumplimiento de la normativa: Las soluciones CASB tienen algunas funcionalidades para clasificar los datos que permiten apoyar los programas de cumplimiento relacionados con el RGPD. Seguridad de los datos: Relacionado con el punto anterior, muchas soluciones CASB tienen capacidades para detectar datos sensibles, encriptar o tokenizar datos y controlar el acceso a los mismo. (aunque no son sistemas completos de seguridad, sino una pieza más para complementar a otras soluciones de seguridad). Detección de amenazas: Los CASB tienen capacidades de análisis de comportamiento de los usuarios (UEBA, User and Entity Behavior Analytics) para detectar amenazas internas y cuentas comprometidas. ¿Otras ventajas de una solución CASB? Descubrimiento de aplicaciones en la nube y clasificación de riesgos Control de acceso adaptable Prevención de pérdida de datos Análisis del comportamiento de usuarios y entidades Protección contra amenazas Cifrado de cara al cliente (incluida la integración con la gestión de derechos digitales) Cifrado previo a la nube y tokenización Gestión de claves de cifrado Supervisión y gestión de registros Gestión de las políticas de seguridad en la nube ¿Cómo se despliega un CASB? Además de la facilidad de uso, una de las principales ventajas del CASB es la sencillez de su despliegue. Sin embargo, hay que tener en cuenta, por un lado, si se realizará on-premise o en la nube. Actualmente, la versión SaaS es la más popular, y la mayoría de las implementaciones de CASB están basadas en ella. Por otra parte, se deben considerar los 3 modelos diferentes de despliegue de CASB a tener en cuenta: Control de la API: Ofrece visibilidad de los datos y las amenazas en la nube, así como un despliegue más rápido y una cobertura completa. Proxy inverso: Ideal para dispositivos generalmente fuera del ámbito de la seguridad de la red. Proxy directo: Suele funcionar junto con clientes VPN o protección de puntos finales. Gartner sugiere a las empresas que consideren productos CASB que ofrezcan una variedad de opciones de arquitectura para cubrir todos los escenarios de acceso a la nube. La flexibilidad que ofrece un CASB multimodo garantiza que las empresas puedan ampliar su seguridad en la nube a medida que sus necesidades sigan evolucionando. Global TechnologySomos una compañía especializada en Seguridad, Ciberseguridad e Inteligencia empresarial, que mediante los últimos avances tecnológicos, garantizamos la seguridad y confianza que nuestros clientes necesitan. globalt4e.com
SOC y SIEM: Monitorización continua frente a ciberataques
Monitorización continua frente a los ataques avanzados: qué pueden hacer los SOC y sistemas SIEM por la seguridad de tu empresa A lo largo de los últimos años una cosa está clara: la ciberseguridad (y los ciberataques) continuarán teniendo un impacto cada vez mayor en los negocios. En la mano de cada empresa está en que ese impacto sea para bien o para mal, aprovechando las oportunidades que ofrece la tecnología y los avanzados métodos de monitorización de amenazas. Y es que todas las organizaciones, independientemente de su tamaño o sector, son susceptibles de convertirse en la próxima víctima de un ciberataque, que cada vez son más sofisticados cuando se trata de acceder a los recursos confidenciales de las empresas. De acuerdo a un reciente informe de Forrester sobre el estado de las Operaciones de Seguridad, el 79% de las empresas han sufrido un ciberataque en el último año. Y es que los negocios están en el punto de mira del cibercrimen, prueba de ello es que sus departamentos de seguridad reciben una media de 11.000 alertas de seguridad al día, según este mismo informe. La situación actual no ayuda en este sentido, más bien al contrario: durante los últimos meses y debido a la pandemia mundial y el auge del teletrabajo los ataques a las empresas han aumentado y evolucionado. Los cibercriminales han aprovechado la pandemia para lanzar amenazas relacionadas con COVID-19, y el objetivo están siendo las empresas de todo el mundo. Estos ataques se dirigen hacia los puntos débiles de la organización, que ahora se encuentran en casi cualquier parte. Con el trabajo remoto el perímetro se expande hasta no tener prácticamente límites. De hecho, el último informe de Ciberamenazas y Tendencias de 2020 publicado por el CCN-CERT indica que se ha detectado una “mejora significativa de las capacidades técnicas y operativas de actores ligados a la delincuencia económica”. Para hacer frente a todos estos desafíos de seguridad afortunadamente las organizaciones cuentan con la tecnología y herramientas a su alcance que tienen como objetivo la protección de la información, monitorización continua y la detección de alertas de forma temprana. Aquí es donde entran en juego los sistemas SIEM y los SOC. SOC: un antes y un después en la protección de tu información Los Centros de Operaciones de Seguridad o Security Operations Center (SOC) tienen la misión de realizar un minucioso seguimiento de la actividad digital de toda la compañía: desde las redes, servidores, bases datos o cualquier otro sistema. Se monitorizan las veinticuatro horas del día para detectar incidentes de seguridad o actividades inusuales que pueden ser síntoma de que se ha podido comprometer la seguridad de la información. No solamente se monitoriza, sino que también identifica las amenazas, las analiza y genera alertas, de forma que ante una amenaza se puede reaccionar de la forma más rápida posible reduciendo los posibles daños. La velocidad a la hora de responder ante ciberataques es crucial, ya que ese tiempo impactará directamente en el coste económico y reputacional de la propia compañía. Entre los beneficios de contar con estos centros de seguridad se encuentran la detección de actividad maliciosa, reducción de tiempo de respuesta, mejora en la comunicación, reducción de costes asociados a incidentes de seguridad, mejor reputación frente a clientes y mayor control de la ciberseguridad corporativa. Características y beneficios de los sistemas SIEM Los sistemas SIEM (Security Information and Event Management) son herramientas de gestión de eventos de seguridad de la información que permiten analizar e interpretar los datos relacionados con la seguridad de las compañías. Se trata de un término acuñado por Gartner que hace alusión a la combinación de los términos SEM y SIM, Security Event Management y Security Information Management, respectivamente. Esta es una de las principales herramientas usadas en los SOC para detectar y dar una respuesta temprana a los incidentes de seguridad. Uno de los beneficios añadidos de estos sistemas es su capacidad de análisis forense, ya que gracias a que puede almacenar la información sobre los incidentes resulta más sencillo investigar la procedencia de las amenazas. Otro de sus puntos fuertes es la simplificación del cumplimiento normativo, ya que los SIEM pueden automatizar esa recolección de los datos para elaborar los informes necesarios en función de las normativas aplicables. ¿Cómo pueden implementarlos las empresas? Las empresas no necesitan contar con un equipo de SOC propio sino que pueden contratar esta solución como un servicio gestionado, obteniendo el máximo retorno de la inversión y reduciendo la complejidad. De hecho, según el informe del Estado de la Seguridad en el 2019 de Deloitte, aproximadamente la mitad de las empresas disponen de un SOC de forma externalizada. Estas soluciones permiten además escalabilidad para poder aumentar o reducir los recursos en función de las necesidades de la empresa. En definitiva, a través de la monitorización y análisis constante, los SOC junto a los sistemas SIEM mantienen una vigilancia continua de la seguridad de la compañía, 24/7 contando con ventajas que van más allá de la detección de las amenazas, al mejorar también un aspecto clave como es la capacidad de respuesta ante un ataque. Todos los datos e informes parecen indicar la misma dirección a la que los departamentos de seguridad de las empresas deben mirar los próximos meses: una continua y creciente sofisticación de los ciberataques que seguirán adaptándose a las circunstancias. Adaptarse al mismo ritmo e ir un paso por delante de ellos puede marcar la diferencia en la ciberseguridad corporativa. Global TechnologySomos una compañía especializada en Seguridad, Ciberseguridad e Inteligencia empresarial, que mediante los últimos avances tecnológicos, garantizamos la seguridad y confianza que nuestros clientes necesitan. globalt4e.com
Monitorización y gestión de vulnerabilidades
Hoy en día, en cualquier organización (independientemente de su tamaño) la complejidad de los entornos de IT no deja de crecer, aumentando y cambiando constantemente lo que hace que los activos a proteger sean cada vez más numerosos. De hecho, hay estudios que afirman que entre 2018 y 2023 la media de dispositivos que maneja un CIO se multiplicará por más de 3. Como consecuencia de ello, a medida que aumenta el número de activos, también aumenta (casi de manera exponencial) el número de potenciales problemas y errores en los mismos, por lo que la necesidad de tener un adecuado sistema de gestión de vulnerabilidades se hace cada vez más necesario. Si contamos con un sistema de detección constante de vulnerabilidades que, mediante escaneos automatizados, nos facilite el control de nuestros activos, estaremos reduciendo nuestra superficie de exposición y, por tanto, la posibilidad de sufrir una fuga de información o un ciberataque que comprometa nuestro negocio. Pero, antes de seguir, veamos un par de conceptos básicos ¿Qué es una vulnerabilidad? Es una debilidad en los procedimientos de seguridad de un sistema de información. Puede, además, ser explotada (tanto accidental en un procedimiento rutinario, como intencionadamente mediante un ciberataque) y comprometer así los controles o la política de seguridad de dicho sistema. ¿Cómo nos puede ayudar un monitor de vulnerabilidades? Tener monitorizados los activos de una organización nos permite detectar vulnerabilidades, errores de configuración y otros problemas de seguridad que puedan comprometer la seguridad de la infraestructura de IT. Cuando hablamos de activos (o assets) nos referimos cualquier hardware o software que utilicemos dentro del entorno IT (no solamente PCs o puestos de usuario, sino también, móviles, tablets, aplicaciones que utilicemos, software tanto propio como de terceros,…). Gestión de vulnerabilidades La gestión de vulnerabilidades es un proceso continuo: Todo ellos con un único fin: proteger TODA la superficie de ataque de nuestra organización Ventajas de una solución de gestión de vulnerabilidades Al ser soluciones cloud (o mayoritariamente cloud, vaya, que normalmente tienen un agente instalado en los activos) son fáciles de implementar y de mantener; son escalables y ampliables, al poder incorporar de una manera nuevas características y medidas de seguridad mejoradas a medida que cambian las necesidades de la organización. Precisamente por lo anterior, nos proporcionan una gran flexibilidad a la hora de administrar los gastos: suelen tener un menor coste inicial y, por lo general, tienen menos gastos recurrentes. Nos ofrecen una visión total sobre cuáles son los puntos débiles de la seguridad de la organización, dónde se encuentran y cuál es la facilidad con la que pueden ser explotados. Incluso algunas herramientas nos informan de las capacidades y conocimientos necesarios para ser explotados. Y es que, como vemos en la siguiente encuesta sobre los tipos de riesgos a los que se enfrenta una organización del Instituto SANS, las vulnerabilidades ocupan el punto más alto en el orden de importancia de los riesgos. Otras ventajas añadidas de un sistema de gestión y monitorización de vulnerabilidades: Como hemos dicho antes, a medida que aumenta el número de vulnerabilidades, la necesidad de una detección constante de vulnerabilidades es cada vez más importante. Es por ello que ser capaces de realizar escaneos automatizados nos ayudará a reducir nuestro riesgo de exposición Además, si integramos nuestra herramienta dentro del sistema de monitorización constante tendremos información casi en tiempo real sobre nuestra superficie de exposición a medida que evoluciona. Como punto final, podemos decir que, idealmente, deberíamos complementarlo con Patch Manager o cualquier otra herramienta automatizada de gestión de parches para que el software, las aplicaciones y los sistemas operativos críticos para el negocio estén actualizados y protegidos de vulnerabilidades. Fases de una correcta gestión de vulnerabilidades Identificación de cada activo a lo largo de toda la infraestructura de la empresa. Recogida de información, en la que realiza una evaluación completa tanto de vulnerabilidades como de errores de configuración. Análisis y comparación, alineando las vulnerabilidades detectadas con los objetivos de seguridad y de negocio, de tal manera que podamos priorizar las medidas a tomar en base a la criticidad de los activos, el tipo de amenazas y la gravedad de las vulnerabilidades. Detección, ordenación y corrección, que, en casi todas las herramientas de gestión de vulnerabilidades son realizadas de manera prácticamente automatizada, llegando a determinar qué vulnerabilidades pueden tener mayor probabilidad de ser explotadas e incluso el tipo de atacante que podría hacerlo y priorizar el orden en que deben ser abordadas y corregidas. Y, finalmente, Medición y elaboración de indicadores, para poder comprobar que las medidas adoptadas han conseguido su objetivo y nos sea más sencillo comunicar internamente las bondades del sistema de gestión de vulnerabilidades implementado. Global TechnologySomos una compañía especializada en Seguridad, Ciberseguridad e Inteligencia empresarial, que mediante los últimos avances tecnológicos, garantizamos la seguridad y confianza que nuestros clientes necesitan. globalt4e.com
5 razones para contratar un sistema de monitorización
Si estás leyendo este artículo es que te has planteado implementar un sistema de monitorización de Ciberseguridad para tu infraestructura tecnológica, pero… ¿Para qué lo necesitas? Aquí tenéis 5 razones por las que necesitas un sistema de monitorización de Ciberseguridad: 1. Volumen de información inmanejable A la hora de establecer contramedidas efectivas, una de las barreras que encuentran CISOs y CIOs, es el volumen de datos que deben manejar. Simplemente es demasiada información, demasiados equipos generando logs, demasiadas alertas, demasiados falsos positivos… Demasiado de todo. Los sistemas de monitorización, basados en herramientas de correlación de eventos, nos ayudan a: Ordenar toda esa información, todos esos logs. Presentar la información en un formato más entendible, un formato más humano. Cuadros de mando, indicadores, etc. Tener accesible la información relevante en caso de tener que realizar una investigación forense o un simple troubleshooting. A modo de broma, pero con un poco de verdad entre líneas: Quien sabe, igual, entre los 1.743 emails que te ha mandado esta semana tu firewall, hay 1 que te alertaba de un ataque persistente dirigido a tu CEO. 2. Es difícil poner puertas al campo Cuando pensamos en cómo proteger nuestros sistemas de información, lo primero que nos viene a la cabeza es desplegar alguna solución o herramienta, quizás un firewall de última de generación, un WAF, o cualquier otra tecnología. Todo esto está muy bien, y seguro que son contramedidas que nos hacen falta, pero… ¿Es suficiente? Yo creo que no. La experiencia nos ha demostrado que por muchos sistemas de protección de los que dispongamos, siempre hay alguna variable que no hemos contemplado, un “check” que no está habilitado, o una actualización que no hemos instalado. Proteger la información es algo parecido a poner puertas al campo, es difícil, el escenario sobre el que trabajamos es muy grande. Dicho esto, en el mundo de la protección física, ya dieron con una solución parecida a la monitorización de Ciberseguridad: la videovigilancia. Cuando no podemos levantar un muro impenetrable, lo mejor es conocer y alertar que alguien o algo se lo está saltando. Planteado de otra manera, como no podemos proteger todos nuestros sistemas al 100%, lo mejor es monitorizarlos en busca posibles amenazas. 3. Falta de personal cualificado En el sector de la Ciberseguridad, especialmente en los últimos años, hemos detectado una gran dificultad a la hora de encontrar personal cualificado. ¿Cómo salvar esta dificultad? Propongo 3 soluciones: Formar a nuestro equipo. Automatizar procesos con herramientas como, por ejemplo, un SIEM. Contratar un Centro de Operaciones de Seguridad (SOC) 24×7. Además, hay que tener en cuenta que un sistema de monitorización basado en una buena herramienta, simplifica la detección y gestión de incidentes. Esto quiere decir que no dependeremos (tanto) de la formación y experiencia de nuestro equipo técnico. 4. Necesitamos medir Para mejorar, necesitamos medir. ¿Cómo podemos medir la eficiencia y eficacia de nuestros sistemas de protección? Monitorizando. Una vez tengamos en marcha nuestro servicio de monitorización, y hayamos configurado unos cuadros de mando seremos capaces de medir muchas cosas: Número de ataques recibidos Intentos de autenticación fallidos Vulnerabilidades descubiertas Malware en la red, equipos y servidores Usuarios con comportamiento anómalo … Todos estos indicadores podremos presentarlos en un cuadro de mando, y presentarlo a todos los niveles de la organización: técnico, responsable o ejecutivo. ¿Y si nos preguntan en que estamos gastando el presupuesto de Ciberseguridad? Si tenemos un sistema de monitorización bien configurado, seremos capaces de generar informes entendibles y fáciles de leer, que demuestren la efectividad de las soluciones implementadas mediante indicadores de rendimiento. A todos nos gustan los gráficos bonitos. 5. Cumplimiento normativo Si hablamos de medir, no podemos obviar el cumplimiento normativo. Muchos de los controles que definen las normas (ISO 27001, GDPR, PCI DSS,…) nos instan a medir, y sobe todo a que nuestros procesos críticos participen en el ciclo de mejora continua. Debemos ser capaces de responder preguntas como: ¿Cuántos incidentes has tenido el último mes?, ¿Cuál ha sido tu tiempo de respuesta?, ¿tienes más o menos ataques que el mes pasado? Por supuesto, todas estas preguntas pueden ser respondidas en minutos si tenemos un sistema de monitorización. Son muchas las herramientas (AlienVault, Splunk, LogRhythm, etc) que integran cuadros de mando específicos para el cumplimiento normativo. Conclusión Hoy por hoy los sistemas de monitorización son una pieza muy importante del puzzle de la Ciberseguridad, sobre todo si están integrados en un SOC. Sin ellos nos resultará muy difícil: Manejar el volumen de información que generan nuestros sistemas de protección. Identificar amenazas antes de que se materialicen. Ayudar a nuestro equipo técnico a ser más eficiente, y sobre todo, más efectivo. Medir para mejorar Dar soporte al cumplimiento normativo Enrique Polanco AbarcaDirector General de Global Technology globalt4e.com