Category Archive CiberDefensa

PorjLeonett

Gestionando la seguridad… con un enfoque militar

Dentro de las charlas a las cuales hemos asistido este año durante BlackHat, hay una que me resultó interesante pues presentó un enfoque muy interesante, basado en la estrategia militarsobre cómo gestionar la seguridad de la información en las empresas… ¡sí, con un enfoque militar!

Ya varias veces hemos escrito sobre qué es un análisis de riesgos, la importancia de la gestión para la seguridad del información e incluso sobre los beneficios de la aplicación efectiva de las políticas de seguridad, pero a pesar de todo esto pareciera que los cibercriminales tienen cierta ventaja sobre quienes gestionan la seguridad, pues tienen a su disposición muchas formas de atacar.

De lo militar a lo corporativo

En la charla The Library of Sparta, los autores plantearon algunos conceptos que desde lo militar pueden ayudar a gestionar la seguridad de la información en las empresas y hubo uno en particular que me llamó bastante la atención y quisiera compartir con ustedes.

Kill Chain es un modelo de ataque que data de los años noventa desarrollado por la Fuerza Aérea de los Estados Unidos. Esta estrategia conocida como F2T2EA se basa en seis pasos para llevar a cabo una operación militar:

  1. Encontrar (Find)
  2. Asegurar (Fix)
  3. Rastrear (Track)
  4. Elegir blanco (Target)
  5. Abordar (Engage)
  6. Evaluar (Assess)

A partir de esta secuencia de pasos se propuso lo que se conoce como Cyber Kill Chain, una cadena que describe cómo se lleva a cabo un ataque y por lo tanto la mejor manera de protegerse.

Cómo nos atacan los ciberdelincuentes

Si bien no es un concepto nuevo, pues fue planteado por primera vez en 2010, la idea subyacente que describe cómo es llevado a cabo un ataque dirigido nos puede ayudar a saber cómo proteger nuestra información.

  • Reconocimiento (Recoonnaissance)

Los atacantes inician por  la investigación, identificación y selección de objetivos. Esta información la obtienen a partir de sitios web, redes sociales, listas de correo electrónico y en general cualquier actividad que permita identificar el tipo de información que pueda ser útil.

  • Militarización (Weaponization)

Una vez que se conoce cómo funciona una empresa, qué tecnologías utiliza y quiénes trabajan allí,los atacantes deciden la forma en la que actuarán. Por ejemplo, utilizar un troyano que contenga un exploit para aprovechar una vulnerabilidad específica de los sistemas de la empresa.

  • Entrega (Delivery)

Una vez definido el método de ataque, los atacantes buscan la forma más conveniente de propagar su amenaza: archivos adjuntos de correo electrónico, sitios vulnerables, dispositivos USB, entre otros.

  • Explotación (Exploitation)

Una vez que se propaga la amenaza, el atacante espera que el código malicioso sea ejecutado y por lo  tanto explotar la vulnerabilidad elegida, en un sistema operativo o aplicación en particular.

  • Instalación (Installation)

Después de lograr explotar la vulnerabilidad, se la utiliza para acceder al sistema de la víctima para lograr la persistencia en el entorno y tener acceso a la información buscada.

  • Mando y Control (Command & Control)

Teniendo el control del sistema, el atacante establece los canales de comunicación que a distancia le van a permitir controlar el sistema vulnerado.

  • Acciones sobre Objetivos (Actions on Objectives)

Una vez se establecen dentro de los sistemas de las víctimas, los atacantes buscarán la mejor forma de obtener información, lograr accesos a aplicaciones específicas o seguir moviéndose dentro de la red para buscar otros objetivos.

Lo más importante de esta cadena, más allá del enfoque militar, es tener presente que entre más temprano logremos parar el ataque, menos información vamos a perder. Además, algunas de las fases que se describen pueden ocurrir en paralelo y no necesariamente de forma secuencial.

Defensa de nuestra información

Toda esta cadena de acciones lleva a la realidad los pasos que podría llevar a cabo un atacante para obtener información sensible de la empresa. Como se puede ver en cada una de las etapas, hay acciones por realizar. Por ejemplo, revisar el tipo de datos que están públicos en la red yla educación a los empleados son fundamentales para minimizar la información que puede obtener un atacante.

También contar con las soluciones de seguridad apropiadas para la realidad de la empresa, manteniéndolas actualizadas y correctamente gestionadas. Esto además se debe extender para todas las aplicaciones que se utilicen en la empresa.

Finalmente, hacer un monitoreo constante del estado de los sistemas, para garantizar que no existen intentos de acceso a la red que pongan en riesgo la seguridad de la información es una buena práctica para conocer la verdadera situación de la infraestructura.

Recordemos que entre menos logre un atacante avanzar en esta cadena, menor será el riesgo de perder información. Este tipo de enfoques nos pueden ayudar a enfocar nuestros esfuerzos en tareas específicas para proteger la seguridad de nuestra información. Recordemos que en elcampo de batalla de la seguridad, los atacantes siempre buscan obtener información a cualquier costo, y es nuestra tarea minimizar los daños o incluso tratar de impedirlos.

Créditos imagen: ©The U.S. Army/Flickr

Autor Camilo Gutiérrez Amaya, ESET

 

Fuente: welivesecurity

PorjLeonett

Uso de listas blancas para proteger infraestructuras críticas

La protección de los sistemas informáticos de las infraestructuras críticas contra el malware y las amenazas 0-Day es imprescindible porque proporcionan sistemas críticos para el bienestar del público, mediante el suministro de los recursos valiosos, tales como agua, gas y electricidad.

Este documento [PDF] publicado por SANS explica cómo las listas blancas sirven para proteger equipos que proporcionan una interfaz hombre-máquina en sistemas que controlan las operaciones de infraestructuras críticas. Se discuten en detalle el contenido de las listas blancas así como como se diferencia con las listas negras utulizadas por la industria antivirus. Además se discute el por qué

las listas blancas se prestan para el uso en equipos de infraestructura crítica y podrían ser más favorables que el software antivirus tradicional.

Este documento analiza también los malos entendidos en el uso de listas blancas apoyando y promoviendo el uso de ambos tipos de listas, cómo utilizarlas y cómo son un medio para incrementar la seguridad en los sistemas de infraestructuras críticas.

Cristian de la Redacción de Segu-Info

PorjLeonett

OEA y OWASP firman acuerdo sobre seguridad

La Organización de los Estados Americanos (OEA) firmó recientemente un Memorando de Entendimiento con la organización Open Web Application Security Project (OWASP por sus siglas en inglés) con el objetivo de aumentar la colaboración en el área de seguridad cibernética y permitir a ambas instituciones llegar a un público más amplio.

El acuerdo firmado permitirá a OWASP, una organización global sin fines de lucro enfocada en informar y educar a los usuarios sobre los riesgos y soluciones relacionadas con la programación de computadoras, incrementar su participación en las actividades de la OEA. Además, el acuerdo habilita a ambas organizaciones realizar eventos conjuntos y/o la edición de publicaciones conjuntas sobre temas relacionados con la seguridad informática y la programación de la seguridad. En el pasado, los representantes de OWASP en Costa Rica, Perú, Uruguay y Argentina han participado en eventos nacionales y regionales de la OEA.

El Secretario de Seguridad Multidimensional de la OEA, Adam Blackwell, destacó la importancia del acuerdo alcanzado: “estamos orgullosos de formalizar nuestra asociación con OWASP, que hasta la fecha ha sido muy productiva y beneficiosa para nuestros Estados Miembros. A medida que continuamos cultivando nuestra asociación con OWASP, esperamos que este acuerdo incremente el nivel de cooperación y permita que un número mayor de sus expertos y facilitadores participen en las sesiones de capacitación y talleres diseñadas para los funcionarios de los Estados Miembros de la OEA”.

El Secretario Blackwell afirmó que el acuerdo firmado es “otro ejemplo sencillo de cómo una organización pública como la OEA puede construir puentes de colaboración con actores de la sociedad civil”. El Embajador Blackwell hizo un llamado a los Estados Miembros de la OEA para que asuman un mayor compromiso con el sector privado sector y la sociedad civil, en especial con el desarrollo sostenible de estrategias de seguridad cibernética nacional y la protección de la infraestructura cibernética crítica.

Por su parte, Fabio Cerullo, en nombre de la junta directiva de OWASP, dijo, “estamos muy contentos de anunciar esta alianza estratégica con la OEA que permitirá la colaboración mutua en actividades de seguridad cibernética y ayudar a crear conciencia acerca de la seguridad de las aplicaciones en toda la región de América Latina”.

La OEA, a través de su Secretaría de Seguridad Multidimensional, tiene como objetivo establecer los grupos nacionales “de vigilancia y alerta”, conocidos como Equipos de Respuesta a Incidentes de Seguridad Informática (CSIRT). Entre sus objetivos en cada país de la región, se destacan: crear una red de vigilancia y alerta hemisférica integrada por los CSIRT que proporcione orientación y apoyo a los técnicos de seguridad informática de todo el continente americano; cultivar y apoyar el desarrollo de estrategias nacionales de seguridad cibernética; y promover una cultura y conciencia de seguridad cibernética en el sector privado y público que contribuye al fortalecimiento de la seguridad cibernética en las Américas. 

Fuente: OEA

PorjLeonett

China bloquea a Symantec y Kaspersky en equipos gubernamentales

China sigue su cruzada contra tecnológicas extranjeras y hoy toca el turno de dos de las compañías de seguridad más importantes del mercado.

De esta forma, las soluciones de seguridad de Symantec (líder del mercado chino) y Kaspersky no podrán usarse en los equipos de la administración aunque sí en equipos de consumo. A partir de ahora, sólo cinco firmas de soluciones de seguridad están autorizadas como suministradoras para el gobierno, todas chinas.

Según el diario estatal China Daily, la medida busca “fomentar el uso de soluciones de empresas locales” aunque a nadie se le escapa que el caso forma parte de la tensión existente por el ciberespionaje masivo de NSA y la presentación por Estados Unidos de cargos criminales por ciberespionaje contra cinco oficiales chinos. Más raro es el caso de Kaspersky  de origen ruso.

China ya prohibió el uso de Windows 8 en la administración por “ser una amenaza para la seguridad nacional” y más recientemente al iPhone de Apple y su sistema iOS porque permite rastrear y situar a los usuarios, lo que a juicio del gobierno puede servir como medio de recopilación de datos sensibles y revelar secretos de estado.

Además de Microsoft o Apple, China tuvo fuertes tensiones con Google en el pasado que puso en peligro el mantenimiento en China del gigante de Internet. 

Frente a ello, Estados Unidos hace años que acusa a Huawei y ZTE de “estar al servicio del gobierno chino” y de incluir puertas traseras en su productos para cibervigilancia.

Fuente: Muy Seguridad