Esta semana en ciberseguridad – Diciembre semana 1

Ojo con los servicios de Nginx que están siendo utilizado para el robo de datos de pago en los e-commerce.

Las plataformas de comercio electrónico en los EE. UU., Alemania y Francia han sido atacadas por una nueva forma de malware que apunta a los servidores Nginx en un intento de enmascarar su presencia y pasar la detección por soluciones de seguridad.

“Este nuevo código se inyecta en una aplicación Nginx host y es casi invisible”, “El parásito se usa para robar datos de servidores de comercio electrónico, también conocidos como ‘server-side Magecart ‘.”

dijo el equipo de Sansec Threat Research

Nginx es un servidor web libre de código abierto que también se puede usar como proxy inverso, balanceo de carga, proxy de correo y caché HTTP.
NginRAT, como se llama el malware avanzado, funciona secuestrando una aplicación Nginx de host para integrarse en el proceso del servidor web.

El troyano de acceso remoto se entrega a través de CronRAT, otra pieza de malware que la firma holandesa de ciberseguridad reveló la semana pasada. CronRAT se oculta en las cargas de trabajo que son ejecutados a través de tareas programadas y ser ejecutadas el 31 de febrero, un día calendario inexistente.

Tanto CronRAT como NginRAT están diseñados para proveer una forma remota de ser ejecutados en los servidores comprometidos, y el objetivo de las intrusiones es realizar modificaciones del lado del servidor a los sitios web de comercio electrónico comprometidos de manera de permitir la exfiltración de datos mediante skimming del formulario de pago en línea.

Los ataques, conocidos colectivamente como Magecart o web skimming, son el trabajo de un sindicato de delitos cibernéticos compuesto por docenas de subgrupos que están involucrados en el robo de tarjetas de crédito digitales mediante la explotación de vulnerabilidades de software para obtener acceso al código fuente de un portal en línea e insertar código JavaScript malicioso que extrae los compradores de datos en las páginas de pago.

“Los grupos Skimmer están creciendo rápidamente y apuntan a varias plataformas de comercio electrónico utilizando una variedad de formas de permanecer sin ser detectados”.
“Las últimas técnicas incluyen comprometer versiones vulnerables de plataformas de comercio electrónico, alojar scripts skimmer CDNs y servicios en la nube, y el uso de dominios recientemente registrados (NRD) léxicamente cercanos a cualquier servicio web legítimo o tienda de comercio electrónico específica para alojar scripts de skimmer maliciosos.”

según investigadores de Zscaler, en un análisis de las últimas tendencias de Magecart publicadas a principios de este año.

FUENTE: https://thehackernews.com/2021/12/new-payment-data-sealing-malware-hides.html

Aprovechan GCP (Google Cloud platform) para minar criptomonedas e infectar usuarios

Los actores de amenazas están explotando instancias de Google Cloud Platform (GCP) con seguridad inadecuada para descargar software de minería de criptomonedas en los sistemas comprometidos, además de abusar de su infraestructura para instalar ransomware, organizar campañas de phishing e incluso generar tráfico a videos de YouTube para manipular el recuento de vistas.

“Si bien los clientes de la nube continúan enfrentándose a una variedad de amenazas en las aplicaciones y la infraestructura, muchos ataques exitosos se deben a una falta de higiene y una falta de implementación de controles básicos”.

señaló el Equipo de Acción de Ciberseguridad (CAT) de Google como parte de su reciente informe Threat Horizons publicado la semana pasada.

De las 50 instancias de GCP comprometidas recientemente, el 86% de ellas se utilizaron para realizar minería de criptomonedas, mientras que el 10% de las instancias se explotaron para realizar escaneos de otros hosts de acceso público en Internet para identificar sistemas vulnerables, y el 8% de las instancias se utilizaron para atacar a otras entidades. Aproximadamente el 6% de las instancias de GCP se utilizaron para alojar software malicioso.

En la mayoría de los casos, el acceso no autorizado se atribuyó al uso de contraseñas débiles o nulas para cuentas de usuario o conexiones API (48%), vulnerabilidades en software de terceros instalado en las instancias en la nube (26%) y fuga de credenciales en proyectos de GitHub (4%).

Otro ataque notable fue una campaña de phishing de Gmail lanzada por APT28 (también conocido como Fancy Bear) hacia fines de septiembre de 2021 que implicó el envío de un correo electrónico masivo a más de 12.000 titulares de cuentas principalmente en los EE.UU., Reino Unido, India, Canadá, Rusia y Brasil con el objetivo de robar sus credenciales.

Además, Google CAT dijo que observó a los adversarios abusando de los créditos gratuitos de la nube mediante el uso de proyectos de prueba y haciéndose pasar por startups falsas para generar tráfico en YouTube.

En otro incidente, un grupo de atacantes respaldado por el gobierno de Corea del Norte se hizo pasar por reclutadores de Samsung para enviar oportunidades de trabajo falsas a los empleados de varias empresas de seguridad de Corea del Sur que venden soluciones antimalware.

“Los correos electrónicos incluían un PDF que supuestamente afirmaba ser una descripción de trabajo para un puesto en Samsung; sin embargo, los PDF tenían un formato incorrecto y no se abrían en un lector de PDF estándar”, “Cuando los objetivos respondieron que no podían abrir la descripción del trabajo, los atacantes respondieron con un enlace malicioso a malware que pretendía ser un ‘lector de PDF seguro’ almacenado en Google Drive que ahora ha sido bloqueado”.

dijeron los investigadores.

Google conectó los ataques al mismo actor de amenazas que previamente puso su mirada en los profesionales de seguridad que trabajaban en investigación y desarrollo de vulnerabilidades a principios de este año para robar exploits y organizar más ataques contra objetivos vulnerables de su elección.

Si bien los recursos alojados en la nube agilizan las operaciones de la fuerza laboral, los delincuentes pueden intentar aprovechar la naturaleza omnipresente de la nube para comprometer los recursos de la nube. A pesar de la creciente atención pública a la ciberseguridad, las tácticas de ingeniería social y el spear-phishing suelen tener éxito.

FUENTE: https://blog.segu-info.com.ar/2021/11/aprovechan-google-cloud-para-minar.html

Avanzando a la Identidad Digital

La semana pasada hicimos una pequeña introducción sobre identidad digital y algunas siglas que aparecen al referirnos a este tema, tales como IAM (identity and access management). Hoy trataremos de profundizar en algunos algunos conceptos basandonos en el Gartner Hyper Cycle para Identity and Access Management Technologies.

Cuando hablamos de acceso, normalmente hablamos de preguntar una de 3 opciones: algo que yo sé, algo que yo tengo o algo que yo soy. Estas 3 preguntas hacen referencias a usuario y password, que es algo que yo sé. un token o soft-token que es algo que yo tengo y finalmente la biometría que es algo que yo soy.

Con el paso del tiempo, nos hemos dado cuenta que un password no es tan útil y requiere de administración ya que al incluir un password simple, este es fácilmente descifrable, por lo que hoy hablamos de administradores de password (bóvedas de seguridad, donde guardo los password) o múltiples factores de autenticación (2FA/MFA).

Si vemos el esquema dado por Gartner en su hyper cycle, el cual nos presenta distintas tecnologias agrupadas por la expectativas que producen y el tiempo asociado a la asimilación de estas tecnologias por el mercado (*1 – les dejo un link donde se puede entender mas de este modelo de Gartner), podemos ver que en la meseta de productividad (al lado derecho de gráfico) encontramos las soluciones del tipo PAM (Privileged Access Management), soluciones orientadas al manejo de credenciales de plataformas criticas y de usuarios administradores. @Makros recomienda Thycotic/Centrify (*2) como solución de PAM. Los invito a conoce un poco mas de PAM en el link 2 de referencias.

Luego, ya dentro de los productos maduro podemos ver distintas tecnologias asociadas al uso de tokens por Hardware o autenticaciones biométricas. El uso de las autenticaciones por token o vía software (soft-token) es ampliamente difundido en la Banca donde para poder acceder a hacer transferencias debemos hacer uso de algo que tengo (tarjeta de coordenadas, distintos tipos de token, u hoy en día, nuestros propios dispositivos móviles. En general, @Makros no recomienda el uso de mensajes de texto como autenticador, ya que este no refleja ninguna de las 3 preguntas anteriores, el recibir un mensaje no asegura la fuente del mensaje, por lo que no hablamos de algo que yo tengo, sino algo que recibí.

Cuando comenzamos a hablar de la autenticación de nuestros clientes, se abre un mundo particular y se produce una diferencia en las tecnologias. Cuando hablamos de IAM, normalmente hablamos del acceso a nuestras plataformas (@Makros recomienda ver securenvoy *3), por parte de nuestros usuarios. Cuando hablamos de PAM, hablamos del acceso a plataformas pero por parte de nuestros usuarios administradores, pero cuando hablamos del acceso de nuestros clientes a nuestras plataformas (por ejemplo para hacer transacciones) empezamos a hablar de CIAM (customer identity and Access Managment). Acá, la seguridad del acceso empieza a mezclarse con la capacidad de permitirle a nuestros clientes el acceso en forma fácil y expedita a nuestro recursos y comenzamos a hablar de fricción y de experiencia del usuario.

A quien no le ha pasado, que necesita hacer una transferencia rápida o comprar algo que esta en oferta solo por 5 minutos y necesito crear una cuenta y para esto me pide una password que debe tener x caracteres, mas números, mas mayusculas, mas símbolos y que uno normalmente se equivoca al ingresar y luego por nuestro error, nos manda a la validación donde sale una imagen y nos dices cuales son los semáforos o bicicletas … lo que normalmente nunca podemos identificar claramente y luego de una proeza épica, nos logramos autenticar, pero ya han pasado los 5 minutos de la oferta y el producto que querías comprar esta a precio normal.. cuando hablamos de fricción hablamos justamente de eso.

En este sentido @Makros te recomienda ver tecnologías como @transmitsecurity (*4) enfocada en el acceso sin fricción. Para comenzar a hablar del concepto de Passwordless, es decir, poder acceder a plataformas sin la necesidad de ingresar un password. Este tipo de conceptos comienzan a suponer el uso de protocolos distintos como es el caso de FIDO que podemos ver en el hyper cycle mas al centro, llegando al pick de las expectativas. De esto hablaremos en el próximo “esta semana en ciberseguridad…”

Referencias:
(1) https://www.gartner.es/es/metodologias/hype-cycle
(2) https://thycotic.com/resources/privileged-access-management/
(3) https://securenvoy.com/identity-access-management/
(4) https://www.transmitsecurity.com/why-transmit

Esta semana en ciberseguridad – Noviembre semana 4

Se exponen datos de 1,2 millones de clientes de GoDaddy con WordPress

La empresa de hosting GoDaddy ha declarado que alrededor de 1,2 millones de usuarios se han visto afectados por una filtración de datos en su servicio de hosting gestionado para WordPress. El hackeo habría dejado al descubierto direcciones de correo electrónico, números de clientes, credenciales de acceso administrativo y, en algunos casos, claves privadas SSL.

El fabricante de complementos de seguridad de WordPress, Wordfence, confirmó que el hack se ha extendido a estos servidores web y publicó una cita de Dan Rice, vicepresidente de comunicaciones corporativas de GoDaddy, sobre el alcance del ataque:

GoDaddy dice haber descubierto que un intruso accedió a su entorno de alojamiento gestionado de WordPress el 17 de noviembre, según declaró en una presentación ante la autoridad estadounidense de valores y seguros, SEC. El intruso utilizó una contraseña robada para acceder al sistema de aprovisionamiento del servicio.

El hacker obtuvo así hasta los datos de 1,2 millones de usuarios activos y antiguos del servicio gestionado de la empresa. Las contraseñas administrativas originales de las cuentas gestionadas de WordPress también quedaron a disposición del hacker, lo que ponía en peligro las propias cuentas si las credenciales seguían en uso.

También quedaron expuestos los nombres de usuario y las contraseñas de sFTP y de la base de datos, y un número no revelado de usuarios también tenía expuestas sus claves privadas de SSL.

GoDaddy descubrió que el intruso había estado dentro del sistema desde el 6 de septiembre, lo que significa que el hacker tuvo acceso a los datos durante más de dos meses. La empresa dice haber contratado una empresa forense al descubrir el incidente, y que ha tomado medidas para salvaguardar sus sistemas, incluyendo el cambio de las contraseñas administrativas originales que todavía estaban en uso, el restablecimiento de las contraseñas sFTP y de la base de datos, y la instalación de nuevos certificados digitales para los clientes afectados.

“Lamentamos sinceramente este incidente y la preocupación que causa a nuestros clientes”, “Nosotros, la dirección y los empleados de GoDaddy, nos tomamos muy en serio nuestra responsabilidad de proteger los datos de nuestros clientes y nunca queremos defraudarlos. Aprenderemos de este incidente y ya estamos tomando medidas para reforzar nuestro sistema de aprovisionamiento con capas adicionales de protección.”

dijo la compañía en su presentación

FUENTE: https://blog.segu-info.com.ar/2021/11/brecha-en-godaddy-expone-datos-de-12.html

Las Aseguradoras reducen la cobertura por Ransomware

La agencia Reuters informa que aseguradoras europeas y estadounidenses están reduciendo a la mitad la cantidad de cobertura de ciberseguro que ofrecen frente a ataques de ransomware.

Hasta ahora, el sector ha estado cobrando primas más altas para cubrir los rescates, las reparaciones de las redes pirateadas, las pérdidas por interrupción del negocio e incluso los costes de relaciones públicas para reparar el daño a la reputación.

“Las aseguradoras están cambiando sus preferencias, límites, coberturas y precios”, “Los límites de cobertura se han reducido a la mitad”.

dijo a Reuters Caspar Stops, responsable de ciberseguros de la aseguradora Optio Group Ltd.

La tendencia tampoco es necesariamente nueva. American International Group Inc. anunció en agosto que estaba endureciendo las condiciones de sus seguros cibernéticos. Esos recortes incluían la reducción de los pagos y el aumento de las condiciones para presentar reclamaciones. La compañía citó en ese momento “las crecientes tendencias de pérdidas cibernéticas, la creciente amenaza asociada al ransomware y la naturaleza sistémica del riesgo cibernético en general”.

Reuters, citando fuentes del sector señala que Lloyd’s of London, que cubre alrededor de una quinta parte del mercado mundial de los ciberseguros, está desaconsejando a sus miembros sindicados aceptar cualquier nuevo negocio cibernético el próximo año. La causa sería en parte que el aumento de los seguros cibernéticos podría estar impulsando el aumento del ransomware. Se afirma que las bandas de ransomware pueden comprobar si las víctimas potenciales tienen pólizas que les hagan más propensos a pagar.

“Los pagos por ransomware están fuera de control y los seguros son uno de los factores que impulsan esta nueva fase de ataque a las empresas”, “Cuando se realizan los pagos, el ciclo de negocio del ransomware continúa e incluso se acelera, lo que significa que más empresas serán inevitablemente atacadas”.

declaró a TechRadar Jake Moore, especialista en ciberseguridad de ESET

El mes pasado, un análisis de la Red de Ejecución de Crímenes Financieros del Departamento del Tesoro de Estados Unidos estimó que las empresas habían pagado rescates por valor de 580 millones de dólares en los primeros seis meses de este año.

FUENTE: https://diarioti.com/las-aseguradoras-reducen-cobertura-por-ransomware/118045

Avanzando a la Identidad Digital.

Cuando hablamos de acceso en nuestros tiempos, salen muchas siglas que debemos considerar: IAM es una de ellas, identity and access management, PAM es otra, privileged access management y una serie de siglas mas.

La verdad, en nuestros tiempos, con la proliferación del “cloud” o de la infraestructura en nube, el acceso es uno de los puntos a tener muy presente y el como puedo acceder a los recursos, basados en Riesgo (RBA – Risk based Authentication), basados en identidad (IdP) o simplemente en usuario y password pero con un doble factor de autenticación (2FA /MFA)

Si vemos Gartner y analizamos tendencias, empezamos a percatarnos que algunas soluciones que trabajaban en forma independiente, hoy por hoy, hacen grupo o forman parte de un concepto mayor y muchos fabricantes de un tipo de tecnología avanzan a este concepto mayor incluyendo otras tecnologias.

Por ejemplo si hablamos de Securenvoy, hablamos de 2FA, pero hoy se habla de una solución de IAM, que incluye este 2FA/MFA pero también incluye un repositorio de usuarios (IdP – Identity provider) o SSO (single sign on).

Es bueno tener presente algunos términos básicos que se terminaran utilizando cuando hablemos de una solución de acceso:

  • La gestión de accesos (access management) se utiliza para supervisar y controlar el acceso a la red.
  • El context-aware network access control es un método basado en directrices para acceder a los recursos de la red, que tiene en cuenta el contexto del usuario.
  • La administración del ciclo de vida de la identidad (identity lifecycle management) abarca todos los procesos y tecnologías utilizados para almacenar, eliminar y mantener los datos de identidad digitales.
  • La sincronización de la identidad (identity synchronisation) garantiza que los diferentes sistemas reciban información coherente sobre una identidad digital determinada.
  • La autenticación de múltiples factores(AMF) se produce cuando se requiere más de un factor (contraseña y nombre de usuario) para la identificación, como en el caso de la autenticación de dos factores.
  • La autenticación basada en riesgos (RBA) es una variante flexible de la autenticación, que permite, por ejemplo, que un usuario se conecte a la red desde una nueva ubicación.
  • El sistema de información de seguridad y gestión de eventos (SIEM) permite obtener una visión de conjunto de la seguridad informática, que incluye los incidentes sospechosos y los ataques más recientes.
  • El análisis de comportamiento de usuario (UBA o user behavior analytics) sirve para analizar el comportamiento del usuario con el fin de detectar riesgos de seguridad

Incluso si empezamos a hablar de passwordless o de FIDO o de la identidad del Cliente (CIAM). Hoy, también empezamos a conversar de identidad distribuida y si vemos el hyperciclo de Gartner de gestión de identidad y acceso, veremos muchos de los conceptos que hemos visto acá

Es importante para las compañías entender como se ha avanzado en estos temas y tener alguna postura, ya sea a través de políticas o haciendo uso de tecnologias mas avanzada. Pero siempre tener una postura y abordar el tema del acceso.

Kriptos – Búsqueda y evaluación de Datos sensibles

Webinar – Jueves 18 de Noviembre 2021

Resumen del Webinar

Kriptos es una compañía, que a través del uso de inteligencia Artificial (IA) nos ayuda con la clasificación, localización y etiquetado de la información sensible no estructurada. (doc, xls, ppt, pdf)

En este webinar puedes revisar los siguientes puntos:

  • Inicio – 0:00
  • Esquema actual de Protección – 0:00
  • Preocupaciones – 6:50
  • Principales factores de fuga de información – 11:17
  • Data Classification – 21:54
  • Beneficios de la clasificación – 26:42
  • Nuevo esquema de Ciberseguridad – 39:14
  • Como puedo clasificar – 40:30
    • Manualmente
    • Consultoría
  • Conclusiones – 43:20
  • Cometarios – 46:14
  • Agradecimientos – 53:25
  • Fin – 1:04

Video del Webinar

Agradecimientos a Kriptos, @LauraSalazar, @EmmanuelLepoutre y @AlejandroSalvatori

Esta semana en ciberseguridad – Noviembre semana 3

URGENTE: Nueva actualización de seguridad para Windows Server.

Microsoft a liberado una nueva actualización de seguridad fuera de banda para Windows Server, lo que ya nos pone sobre la pista de cuan urgente resulta su instalación por parte de todos los administradores que gestiones infraestructuras con el servidor de Microsoft.
Aunque, eso sí, en este caso pese a estar relacionado con la seguridad, no plantea problemas relacionados con el acceso no autorizado por parte de terceros, sino la imposibilidad de acceder por aquellos usuarios legítimos y que lo hagan de manera controlada. Un problema que, claro, puede suponer una enorme merma en la productividad de las empresas en las que se emplea Windows Server para la autenticación de sus trabajadores y, por lo tanto, algo que debe ser solventado a la mayor brevedad.

Recomendaciones de Microsoft:
En los sistemas afectados, los usuarios finales no pueden iniciar sesión en servicios o aplicaciones mediante el inicio de sesión único (SSO) en entornos de Active Directory locales o híbridos. Estos problemas afectan a los sistemas que ejecutan Windows Server 2019 y versiones inferiores, incluidos Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 SP1 y Windows Server 2008 SP2

Sobre los parches, «Soluciona un problema conocido que podría causar errores de autenticación relacionados con los vales kerberos que adquirió del Servicio para usuario a uno mismo (S4U2self). Este problema se produce después de instalar las actualizaciones de seguridad del 9 de noviembre de 2021 en controladores de dominio (DC) que se ejecutan en Windows Server.»

Según podemos leer en la web de Micrososft

Por lo tanto, si aplicaste dicha actualización, es posible que tus usuarios estén teniendo problemas a la hora de intentar iniciar sesión en sus sistemas. Pero, como ya hemos mencionado, Microsoft ya ha publicado las actualizaciones necesarias:

  • Windows Server 2019: KB5008602
  • Windows Server 2016: KB5008601
  • Windows Server 2012 R2: KB5008603
  • Windows Server 2012: KB5008604
  • Windows Server 2008 R2 SP1: KB5008605
  • Windows Server 2008 SP2: KB5008606

Como puedes ver, Microsoft ha asignado un KB distinto para cada versión de su servidor. Es curioso que no hayan unido todas en una única entrada, si bien este sistema sin duda puede resultar más cómodo a la hora de buscar y descargar el parche correspondiente a cada versión.

Sea como fuere, la urgencia para la aplicación de este parche es similar a la de los destinados a eliminar problemas de seguridad. Y es que tan malo es que se produzcan accesos ilegítimos y malintencionados como que los trabajadores y colaboradores de las organizaciones no puedan acceder a sus sistemas para desarrollar sus actividades legítimas.

FUENTE: https://www.muyseguridad.net/2021/11/17/windows-server-nueva-actualizacion/

Vulnerabilidad Crítica de Palo Alto Networks.

El 10 de noviembre de 2021, Palo Alto Networks (PAN) proporcionó una actualización que parcheó CVE-2021-3064 (CVSS 9.8) que fue descubierto y revelado por la empresa Randori. Esta vulnerabilidad afecta a los firewall PAN que utilizan GlobalProtect Portal VPN y permite la ejecución remota de código no autenticado en instalaciones vulnerables del producto.

Aaron Portnoy, científico principal de Randori, explicó a ZDNet que en octubre de 2020, su equipo tenía la tarea de investigar las vulnerabilidades con GlobalProtect Portal VPN. En noviembre de 2020, su equipo descubrió el Zero-Day CVE-2021-3064, comenzó la explotación autorizada de los clientes de Randori y lo envió con éxito a uno de sus clientes, a través de Internet, no solo en un laboratorio. Las acciones de Randori han causado una reacción considerable de algunos en la comunidad de ciberseguridad, quienes argumentan que la compañía no debería haber esperado 12 meses antes de revelarlo a Palo Alto Networks. Portnoy ha publicado múltiples declaraciones en Twitter defendiendo a la empresa de las críticas.

El problema afecta a múltiples versiones de PAN-OS 8.1 antes de la 8.1.17 y Randori ha encontrado numerosas instancias vulnerables expuestas en activos conectados a Internet, más de 10.000 activos.

El equipo desarrolló un exploit que permite obtener una shell en el objetivo afectado, acceder a datos de configuración confidenciales, extraer credenciales y mucho más. Una vez que un atacante logra el control sobre el firewall, tendrá visibilidad de la red interna y podrá moverse lateralmente.

CVE-2021-3064 es un desbordamiento de búfer que se produce mientras se analiza la entrada proporcionada por el usuario en una ubicación de longitud fija en la pila. El código problemático no es accesible externamente sin utilizar una técnica de smuggling HTTP. La explotación de estos juntos produce la ejecución remota de código bajo los privilegios del componente afectado en el dispositivo de firewall.

El smuggling de solicitudes HTTP es una técnica para interferir con la forma en que un sitio web procesa secuencias de solicitudes HTTP que se reciben de los usuarios. Este tipo de vulnerabilidades son a menudo de naturaleza crítica, lo que permite a un atacante eludir los controles de seguridad, obtener acceso no autorizado a datos confidenciales y comprometer directamente a otros usuarios de la aplicación.

Para aprovechar esta vulnerabilidad, un atacante debe tener acceso de red al dispositivo en el puerto de servicio GlobalProtect (puerto predeterminado 443). Como el producto afectado es un portal VPN, a menudo se puede acceder a este puerto a través de Internet. En dispositivos con ASLR habilitado (que parece ser el caso en la mayoría de los dispositivos de hardware), la explotación es difícil pero posible.

En dispositivos virtualizados (firewalls de la serie VM), la explotación es significativamente más fácil debido a la falta de ASLR y se espera que pronto surjan exploits públicos.

  • La cadena de vulnerabilidades consiste en un método para eludir las validaciones realizadas por un servidor web externo HTTP smuggling y un desbordamiento de búfer basado en la pila.
  • Afecta a los firewalls de Palo Alto que ejecutan la serie 8.1 de PAN-OS con GlobalProtect habilitado (específicamente versiones <8.1.17).
  • Se ha probado la explotación de la cadena de vulnerabilidades y permite la ejecución remota de código en productos de firewall tanto físicos como virtuales.
  • El código de explotación disponible públicamente no existe en este momento pero es probable que el código de explotación pública aparezca pronto
  • Los parches están disponibles en el proveedor.

En un esfuerzo por evitar permitir el uso indebido, los detalles técnicos relacionados con CVE-2021-3064 no se divulgarán públicamente durante un período de 30 días a partir de la fecha de esta publicación. En ese momento se dará a conocer más información.

FUENTE: (1) https://blog.segu-info.com.ar/2021/11/vulnerabilidad-critica-en-alto-networks.html
(2) https://www.randori.com/blog/cve-2021-3064/

Los cinco principales problemas de la gestión de terminales.

PROBLEMA 1: SEGURIDAD
La máxima prioridad para cualquier persona que trabaje en la gestión de equipos y tabletas en una empresa, escuela, universidad o cualquier otro lugar es protegerlos de las amenazas que los acechan. Es necesario tener la certeza de que se es inmune a las artimañas de los virus, ransomware, hackers y phishers. La lista de peligros ha aumentado exponencialmente desde que la Covid-19 aceleró el cambio al teletrabajo y todos los espacios de trabajo son mucho más vulnerables a los ataques.

PROBLEMA 2: PARCHES DE WINDOWS Y ACTUALIZACIONES DE SOFTWARE
Muchos responsables de TI se encuentran con que no tienen suficiente control sobre las actualizaciones de Windows y de todo su software, a menudo no están seguros de qué versiones tienen instaladas y no pueden detener las actualizaciones que se publican. Las actualizaciones de software son cada vez más frecuentes y Windows 11 es un motivo de preocupación para muchos. Lo ideal es mantener todos los dispositivos actualizados de orma constante sin interrupciones para los usuarios, pero esto no siempre es fácil.

PROBLEMA 3: GESTIÓN DEL INVENTARIO
Si gestiona un gran número de estaciones de trabajo, puede resultar difícil hacer un seguimiento de dónde se encuentra todo el hardware, así como estar al día de todas las licencias de software. Podría tratar de imponer una estructura mediante hojas de cálculo, pero puede que actualizarlas le resulte tan pesado que acabe dándose por vencido. Intentar añadir información simple, como la fecha de vencimiento de la garantía de todos los terminales, puede llevarle días y semanas de trabajo, cuando debería ser un momento.

PROBLEMA 4: DETERIORO DEL HARDWARE
Un hardware decente es caro. Por eso, es frustrante cuando sus terminales funcionan con lentitud porque están llenos de basura. Quiere optimizar el rendimiento de sus equipos, pero cada vez es más difícil detener su inevitable deterioro.

PROBLEMA 5: ESCALA
Si gestiona una propiedad grande, puede tener la sensación de estar librando una batalla perdida para intentar que todo funcione correctamente en todas partes. Es posible que le falte información esencial o que pierda demasiado tiempo intentando recopilarla de varias fuentes, por lo que la gestión se vuelve compleja cuando preferiría que fuera fluida y sin problemas.

FUENTE: https://www.faronics.com/es/news/blog/top-5-problems-with-endpoint-management?redirect

Esta semana en ciberseguridad – Noviembre semana 1

Vulnerabilidades en productos Cisco podrían dar acceso “root” a Hackers.

Cisco Systems ha publicado actualizaciones de seguridad para abordar las vulnerabilidades en varios productos de Cisco que un atacante podría aprovechar para iniciar sesión como usuario “root” y tomar el control de los sistemas vulnerables.
Denominada como CVE-2021-40119, la vulnerabilidad ha sido calificada con una severidad de 9.8 sobre un máximo de 10 en el sistema de puntuación CVSS y se debe a una debilidad en el mecanismo de autenticación SSH de Cisco Policy Suite.

“Un atacante podría aprovechar esta vulnerabilidad conectándose a un dispositivo afectado a través de SSH”… “un exploit exitoso podría permitir que el atacante inicie sesión en un sistema afectado como usuario root”.

explicó el especialista en redes.

Las versiones 21.2.0 y posteriores de Cisco Policy Suite también crearán automáticamente nuevas claves SSH durante la instalación, al tiempo que requieren un proceso manual para cambiar las claves SSH predeterminadas para los dispositivos que se actualizan desde 21.1.0.

Cisco también aborda múltiples vulnerabilidades críticas que afectan la interfaz de administración basada en web de la Terminal de red óptica (ONT) de switches de la serie Cisco Catalyst Passive Optical Network (PON) que podrían permitir que un atacante remoto no autenticado inicie sesión utilizando una cuenta de depuración inadvertida existente en el dispositivo y tome el control, realice una inyección de comando y modifique la configuración de este.
Las vulnerabilidades afectan a los siguientes dispositivos:

  • Conmutador PON de catalizador CGP-ONT-1P
  • Conmutador PON de catalizador CGP-ONT-4P
  • Conmutador PON de catalizador CGP-ONT-4PV
  • Conmutador PON de catalizador CGP-ONT-4PVC
  • Conmutador PON de catalizador CGP-ONT-4TVCW

Marco Wiorek de Hotzone GmbH ha recibido el crédito de informar las tres vulnerabilidades a las que se les han asignado los identificadores CVE-2021-34795 (puntuación CVSS: 10,0), CVE-2021-40113 (puntuación CVSS: 10,0) y CVE-2021-40112 (puntuación CVSS: 8.6).

Por último, Cisco ha corregido dos fallas más de alta gravedad en los switches Cisco Small Business Series y Cisco AsyncOS que podrían permitir que adversarios remotos no autenticados obtengan acceso no autorizado a la interfaz de administración basada en web de los switches y lleven a cabo una denegación de servicio (DoS ):

  • CVE-2021-34739 (puntuación CVSS: 8.1) – Vulnerabilidad de reproducción de credenciales de sesión de los switches Cisco Small Business Series
  • CVE-2021-34741 (puntuación CVSS: 7.5) – Vulnerabilidad de denegación de servicio del dispositivo de seguridad de correo electrónico de Cisco (ESA)

FUENTE: https://thehackernews.com/2021/11/hardcoded-ssh-key-in-cisco-policy-suite.html

Google advierte sobre una nueva vulnerabilidad de día 0 de Android que esta bajo ataque

Google ha implementado sus parches de seguridad mensuales para Android con correcciones para 39 fallas, incluida una vulnerabilidad de día cero que, según dijo, se está explotando activamente.
Denominada como CVE-2021-1048, el error de día cero se describe como una vulnerabilidad del tipo “use-after-free” en el kernel que puede explotarse para escalar privilegios. Los problemas de este tipo de vulnerabilidad son peligrosos, ya que podrían permitir que un hacker acceda o haga referencia a la memoria después de que se haya liberado, lo que lleva a una condición del tipo “write-what-where” que da como resultado la ejecución de código arbitrario para obtener el control de un sistema de la víctima.

“Hay indicios de que CVE-2021-1048 puede estar bajo una explotación limitada y dirigida”,la compañía señaló en su aviso de noviembre sin revelar detalles técnicos de la vulnerabilidad, la naturaleza de las intrusiones y las identidades de los atacantes que pueden haber abusado de la falla.

También se corrigen en el parche de seguridad dos vulnerabilidades críticas de ejecución remota de código (RCE), CVE-2021-0918 y CVE-2021-0930, en el componente del sistema que podrían permitir a los adversarios remotos ejecutar código malicioso dentro del contexto de un proceso privilegiado por enviar una transmisión especialmente diseñada a dispositivos específicos.
Dos fallas críticas más, CVE-2021-1924 y CVE-2021-1975, afectan a los componentes de código cerrado de Qualcomm, mientras que una quinta vulnerabilidad crítica en Android TV (CVE-2021-0889) podría permitir a un atacante cercano emparejarse silenciosamente con un televisor y ejecutar código arbitrario sin privilegios o interacción del usuario requerido.
Con la última ronda de actualizaciones, Google ha abordado un total de seis Vulnerabilidades de día cero en Android desde el comienzo del año:

  • CVE-2020-11261 (puntuación CVSS: 8.4) – Validación de entrada incorrecta en el componente de gráficos Qualcomm
  • CVE-2021-1905 (Puntaje CVSS: 8.4) – Use-after-free en el componente Qualcomm Graphics
  • CVE-2021-1906 (puntaje CVSS: 6.2) – Detección de condición de error sin acción en el componente Qualcomm Graphics
  • CVE-2021-28663 (puntaje CVSS: 8.8) – Mali GPU Kernel Driver permite operaciones incorrectas en la memoria de GPU
  • CVE-2021-28664 (puntuación CVSS: 8.8) – Mali GPU Kernel Driver eleva las páginas de CPU RO a escritura.

FUENTE: https://thehackernews.com/2021/11/google-warns-of-new-android-0-day.html

Por qué no es seguro usar SMS como segundo factor de autenticación

Siempre es una buena idea activar un segundo factor de autenticación en todos los servicios a los que tienes acceso. Más allá de una contraseña fuerte, esta capa de seguridad adicional es mucho más efectiva a la hora de garantizar que solo tú puedes acceder a tus datos. La clave está en requerir un segundo factor (2FA) para poder confirmar la identidad del usuario: algo que se sabe, algo que se tiene o algo que se es.

Los mensajes de texto suelen ser el paso más débil en la verificación en dos pasos, son fáciles de interceptar y nunca debería asumirse su seguridad. Con simple ingeniería social un tercero malintencionado puede convencer a tu operador de re-dirigir tus mensajes a una tarjeta SIM diferente interceptando todos tus códigos de acceso. Ha pasado antes.

A día de hoy se obliga, en multitud de servicios, a la utilización de un segundo factor de autenticación, siendo entre ellos el más común y cómodo el SMS. Pero este método no es tan seguro como pueda parecer, como ya se comprobó tras el incidente de seguridad de Reddit en 2018, en el que la vía principal de ataque fue interceptando los SMS de autenticación de sus empleados.

Un SMS no es algo que tienes, es algo que te envían”

Este tipo de autenticación por medio de SMS conlleva riesgos, ya que puede ser superada por los atacantes de diversas y sofisticadas formas:

  • A través de ingeniería social se puede conseguir un cambio de tarjeta SIM.
  • Descarga de aplicaciones maliciosas en el dispositivo que realicen la lectura de los SMS recibidos.
  • Si el atacante consigue el dispositivo móvil, y este está con la configuración por defecto en la que las notificaciones se pueden previsualizar sin desbloquear el dispositivo, el atacante puede llegar a obtener el código SMS.

Aunque utilizar los SMS como un segundo paso es mejor que nada, en realidad no puede clasificarse como un factor correcto para ser considerado verificación en dos pasos. Un SMS no es ni algo que el usuario sabe, ni algo que tiene, ni algo que es. Es solo información que llega a un dispositivo que posee, siempre y cuando el operador los envíe a la persona correcta.

De hecho, a mediados de 2016, el Instituto Nacional de Estándares y Tecnología de los Estados Unidos declaró inseguros a los SMS como método de autenticación en dos pasos y dicen que deberían ser prohibidos en el futuro debido a varias preocupaciones.

Es muy fácil para cualquiera obtener un teléfono y el operador de un sitio web no tiene forma de verificar que quien recibe el código a través de SMS sea la persona correcta. No solo eso, sino que la autenticación en dos factores basada en SMS también es susceptible de ser secuestrada si el individuo utiliza un servicio VoIP.

Todo esto sin contar el grave defecto en Signaling System Number 7 (SS7), el protocolo que utilizan la mayoría de los operadores de telecomunicaciones para conectarnos unos a otros cuando hacemos llamadas, enviamos mensajes o compartimos datos por internet. Su infraestructura desactualizada hace fácil que los hacekrs pueden redirigir llamadas y mensajes a sus propios dispositivos.

Esto no quiere decir que haya que evitar usar el doble factor de autenticación por SMS, de hecho, es una muy buena opción, si no existe otra alternativa más segura, ya que muchos servicios aún no disponen de otros métodos de 2FA.
La alternativa más segura y que realmente podemos recomendar para mantener tus cuentas seguras, es reemplazar el segundo factor de autenticación de SMS por aplicaciones tales como Authy, Microsoft Authenticator o Google Authenticator.

FUENTE: https://blog.segu-info.com.ar/2021/10/por-que-no-es-seguro-usar-sms-como.html

CIS Control #19: Respuesta y gestión de incidentes

Proteger la información de la organización, así como su reputación, mediante el desarrollo e implementación de una infraestructura de respuesta a incidentes (por ejemplo, planes, roles definidos, capacitación, comunicaciones, supervisión administrativa) para descubrir rápidamente un ataque y luego contener efectivamente el daño, erradicando la presencia del atacante. y restaurar la integridad de la red y los sistemas.

Las organizaciones deben asumir que en algún momento tendrán que lidiar con un ataque que rompa con éxito sus defensas. Es por eso que necesitan tener un plan para responder y gestionar un incidente de este tipo. El plan debe incluir detalles sobre procedimientos, informes, recopilación de datos, responsabilidad de la gestión, protocolos legales y estrategia de comunicación. De esa manera, la organización podrá comprender, administrar y recuperarse. La falta de un plan de respuesta a incidentes podría resultar en que un ataque no sea detectado o en una respuesta que no sea efectiva.

Recomendaciones:

  • Asegúrese de que se hayan escrito procedimientos de respuesta a incidentes que incluyan una definición de los roles del personal para el manejo de incidentes. Los procedimientos deben definir las fases del manejo de incidentes.
  • Asigne títulos de trabajo y deberes para manejar incidentes informáticos y de red a personas específicas.
  • Definir la voluntad del personal de administración para apoyar el proceso de manejo de incidentes actuando en roles clave de toma de decisiones.

Herramientas que pueden ayudar

Si bien este control habla fundamentalmente de generar procedimientos y asignar recursos idóneos frente a un eventual problema de ciberseguridad. Existen herramientas fuertemente enfocadas a poder detectar y hacer seguimiento a estos eventos. Los EDR (Endpoint detection and response) o XDR (Extended detection and response) presenta una gran ayuda para enfrentar esta problemática, obviamente la planificación, los procedimientos y la asignación de recursos son el pilar fundamental.

  1. Sophos

Sophos XDR va más allá del endpoint y el servidor y se sirve del firewall, el correo electrónico y otras fuentes de datos, Obteniendo una visión holística de la posición de ciberseguridad de la compañía con capacidad de profundizar en detalles granulares cuando sea necesario. Esto trae como beneficio mayor visibilidad y contexto. Gracias a los datos que cada producto aporta a Sophos Data Lake, podrá encontrar rápidamente información crítica y asegurarse de que dispone de la visión más completa de su red.

  1. Check Point

A través de SandBlast Agent de Check Point, las organizaciones podrán mejorar su visibilidad, Investigar rápidamente, automatizar las respuestas y buscar amenazas contextualizadas. Adicionalmente se puede integrar con la solución de EPP (Endpoint protection platforms) que tiene como objetivo brindar protección a nivel de dispositivos, ya que identifica archivos maliciosos, detecta actividad potencialmente maliciosa y proporciona herramientas para la investigación y la respuesta a incidentes.

  1. Netskope

La plataforma nube de Netskope permite la centralización de eventos e incidentes de seguridad relacionados al consumo de servicios en Internet y nube en una consola de administración unificada, facilitando el análisis, detección, investigación y remediación de incidentes de seguridad a través de tecnologías de analítica avanzada. Adicionalmente, la plataforma permite la definición de un workflow para la gestión y remediación de incidentes de acuerdo al proceso de respuesta a incidentes de cada organización.

CIS Control #18: Seguridad del software de aplicación

Administre el ciclo de vida de la seguridad de todo el software desarrollado y adquirido internamente para prevenir, detectar y corregir las debilidades de seguridad.

Los ataques a menudo aprovechan las vulnerabilidades que se encuentran en el software de aplicación basado en la web y de otro tipo. Las vulnerabilidades pueden estar presentes por muchas razones, incluidos errores de codificación, errores lógicos, requisitos incompletos y fallas al probar condiciones inusuales o inesperadas. Los atacantes están en sintonía con el flujo constante de divulgaciones de vulnerabilidades porque, cuando no se reparan, cada una de ellas representa una oportunidad para violar un sistema mediante la inyección de exploits específicos.

Recomendaciones:

  • Para todo el software de aplicación comercial, verifique que la versión que está utilizando todavía sea compatible con el proveedor. Si no es así, actualice a la versión más actual e instale todos los parches relevantes y las recomendaciones de seguridad de los proveedores.
  • Proteja las aplicaciones web mediante la implementación de firewalls de aplicaciones web (WAF) que inspeccionan todo el tráfico en busca de ataques comunes, incluidos los scripts entre sitios, la inyección de SQL, la inyección de comandos y los ataques transversales de directorio. Para las aplicaciones que no están basadas en la web, se deben implementar firewalls de aplicaciones específicas si dichas herramientas están disponibles para el tipo de aplicación dado.
  • Para el software desarrollado internamente, asegúrese de que se realice y documente la verificación explícita de errores para todas las entradas, incluido el tamaño, el tipo de datos y los rangos o formatos aceptables.

Herramientas que pueden ayudar

  1. Veracode

Con Veracode las organizaciones pueden administrar todo su programa de seguridad de aplicaciones en una sola plataforma, ofreciendo una forma holística y escalable de administrar el riesgo de seguridad en toda su cartera de aplicaciones. Proporcionando visibilidad sobre el estado de la aplicación en todos los tipos de pruebas comunes en una sola vista (SAST, DAST, SCA). Con esto Veracode ayuda a las organizaciones a superar los desafíos de DevSecOps con una combinación única de análisis de aplicaciones automatizado en proceso y experiencia para desarrolladores y profesionales de seguridad, todo entregado a través de una plataforma escalable SaaS.

  1. Sophos

Con su módulo de WAF (firewall de aplicaciones web), Sophos intercepta el tráfico a sus servidores para protegerlos de intentos de manipulación y piratería. Protege sus aplicaciones web contra más de 350 patrones de ataque, incluida la SQL injection, cross-site scripting y directory traversal.

También escaneamos todos los archivos entrantes y su contenido con nuestros agentes antivirus duales para mantener el contenido infectado fuera de la red.

  1. Security scorecard

Security scorecard permite detectar problemas en sus aplicaciones web, tales como:

  • High, Medium and Low Severity Content Management System vulnerabilities identified
  • Content Security Policy (CSP) Missing
  • Cookie Missing ‘Secure’ Attribute
  • Session Cookie Missing ‘HttpOnly’ Attribute
  • Website does not implement X-Content-Type-Options Best Practices, X-Frame-Options Best Practices, HSTS Best Practices
  • Content Security Policy Contains ‘unsafe-*’ Directive and Broad Directives
  • Object Storage Bucket with Risky ACL
  • Server with Expired Certificate Contacted

CIS Control #17 y #20: Implementar un programa de capacitación y concientización sobre seguridad (17) y Pruebas de penetración y ejercicios de “Red Team” (20).

Para todos los roles funcionales en la organización (priorizando aquellos de misión crítica para el negocio y su seguridad), identifique los conocimientos, habilidades y habilidades específicas necesarias para respaldar la defensa de la empresa; desarrollar y ejecutar un plan integrado para evaluar, identificar brechas y remediar a través de políticas, planificación organizacional, capacitación y programas de concientización.

Pruebe la fuerza general de la defensa de una organización (la tecnología, los procesos y las personas) simulando los objetivos y acciones de un atacante.

CSC 17. Uno de los elementos más importantes en seguridad: el comportamiento humano y su impacto en la seguridad. Asegurarse de que las personas sepan lo que se espera de ellas mientras participan en el diseño, implementación, operación, uso y supervisión del sistema, es fundamental para las buenas prácticas de seguridad de la información. Los desarrolladores, los profesionales de operaciones de TI, los analistas de seguridad, los usuarios finales y los ejecutivos deben conocer las mejores prácticas de seguridad, las políticas corporativas y los procesos de notificación de incidentes. Si no han recibido la educación y la formación adecuadas, podrían poner en peligro inadvertidamente la seguridad de su entorno de TI de diversas formas.

CSC 20. Para determinar qué tan efectivas son sus estrategias y prácticas de seguridad, debe someter sus defensas a pruebas estrictas que imitan los ataques del mundo real a través de pruebas de penetración y ejercicios de “Red Team”.

Recomendaciones:

Las recomendaciones para el control CIS #17 incluyen:

  • Realice un análisis de brechas para ver qué habilidades necesitan los empleados para implementar los otros controles y qué comportamientos no están siguiendo. Utilice esta información para construir una hoja de ruta de capacitación y concientización de referencia para todos ellos.
  • Brinde capacitación para llenar el vacío de habilidades. Si es posible, utilice personal de mayor jerarquía para impartir la formación. O bien, pida a profesores externos que proporcionen esta formación utilizando ejemplos que sean directamente relevantes. Si tiene que capacitar a un pequeño número de personas, utilice conferencias o capacitación en línea para llenar estos vacíos.
    Implementar un programa de concientización sobre seguridad que:
  • Se centre en los métodos comúnmente utilizados de intrusión que pueden bloquearse mediante acciones individuales
  • Se entregue en breves módulos en línea, convenientes para los empleados.
  • Se actualice con frecuencia (al menos una vez al año) para representar las últimas técnicas de ataque
  • Que sea obligatorio que todos los empleados lo completen al menos una vez al año.
  • Que sea supervisado.
  • Que incluya un mensaje personal del equipo de liderazgo senior. La participación en la capacitación y la responsabilidad a través de métricas de desempeño.

Las recomendaciones para el control CIS #20 incluyen:

  • Llevar a cabo pruebas de penetración externas e internas periódicas para identificar vulnerabilidades y vectores de ataque que se pueden utilizar para explotar los sistemas empresariales con éxito. Las pruebas de penetración deben realizarse desde fuera del perímetro de la red, así como desde dentro de sus límites.
  • Todas las cuentas de usuario o sistema utilizadas para realizar pruebas de penetración deben controlarse y supervisarse para asegurarse de que solo se utilicen con fines legítimos y se eliminen o restablezcan su funcionamiento normal una vez finalizadas las pruebas.
  • Realizar ejercicios periódicos de “Red Team” para probar la preparación de la organización en identificar y detener ataques o para responder de manera rápida y efectiva.

Herramientas que pueden ayudar

  1. Sophos Phish Threat

Con más de 30 módulos formativos de concienciación sobre la seguridad que abarcan temas tanto de cumplimiento como de seguridad. Sophos Phish Threat integra la formación y la realización de pruebas en campañas sencillas y fáciles de usar que ofrecen formación automatizada inmediata a los empleados según sea necesario.

  1. Ridgesecurity

Ridge Security permite automatizar los ethical hacking con RidgeBot®, un robot de pentest automatizado para lograr una gestión de vulnerabilidades basada en el riesgo. Los RidgeBot® actúan como un atacante humano, localizan implacablemente los exploits y documentan sus hallazgos. Los RidgeBot®, a diferencia de los humanos, vienen armados con una dinámica de estrategias de ataque que prueban antes de pasar al siguiente objetivo. Los RidgeBot® hacen que las pruebas de penetración sean asequibles y se ejecuten a escala empresarial.

CIS Control #16: Monitoreo y control de cuentas

Administre activamente el ciclo de vida de las cuentas de aplicaciones y sistemas (su creación, uso, inactividad, eliminación) para minimizar las oportunidades de que los atacantes las aprovechen.

La gestión de cuentas es un aspecto fundamental de la protección de los datos de las organizaciones. La rotación inadecuada de contraseñas, las cuentas que han ganado privilegios a medida que los usuarios cambian de roles y la validación de la cuenta y la revocación de privilegios son todas tareas críticas de administración de cuentas de usuario. Por ejemplo, las cuentas de usuario inactivas pero no eliminadas, pertenecientes a ex empleados o contratistas temporales, pueden ser utilizadas tanto por piratas informáticos externos como por personas internas deshonestas para disfrazarse de usuarios legítimos y llevar a cabo sus ataques.

Recomendaciones:

  • Revise todas las cuentas del sistema y deshabilite cualquier cuenta que no se pueda asociar con un proceso comercial y un propietario.
  • Asegúrese de que todas las cuentas tengan una fecha de vencimiento que se supervise y se cumpla.
  • Establezca y siga un proceso para revocar el acceso al sistema desactivando las cuentas inmediatamente después del despido de un empleado o contratista. Deshabilitar en lugar de eliminar cuentas permite la conservación de pistas de auditoría.
  • Supervise periódicamente el uso de todas las cuentas, desconectando automáticamente a los usuarios después de un período estándar de inactividad.

Herramientas que pueden ayudar

  1. Thycotic Centrify

Thycotic Centrify protege sus cuentas privilegiadas con una solución de gestión de acceso privilegiado (PAM) de nivel empresarial disponible tanto en las instalaciones como en la nube. Establezca una bóveda segura, descubra privilegios, Administre secretos, deniegue accesos y controle las sesiones.

  1. Axonius

Axonius es una plataforma que permite a las organizaciones dar una visibilidad total de los activos de TI y tomar acciones al respecto. Una solución simple para la gestión de activos de ciberseguridad. Vea todos sus activos en contexto, valide el cumplimiento de las políticas de seguridad y automatice la corrección. Administre todo en su entorno de TI, sin importar quién, qué o dónde, dentro de una plataforma integral. 

  1. SecurEnvoy

SecurEnvoy es un potente gestor de identidad y acceso combinado con prevención de pérdida de datos, que aborda desde un Multi-factor de autenticación (MFA) hasta un completo Identity and Access Management (IAM), permitiendo asegurar identidades, acceso, dispositivos y datos con un enfoque simple pero efectivo.

  1. Genians

Genians permite relacionar a los usuarios con los activos de TI, dando acceso según sus privilegios definidos, además de poder generar consultas dentro de la infraestructura para detectar anomalías de cumplimiento.

CIS Control #15: Control de acceso inalámbrico

Los procesos y herramientas utilizados para rastrear / controlar / prevenir / corregir el uso de seguridad de redes de área local inalámbricas (WLAN), puntos de acceso y sistemas de clientes inalámbricos.

Los puntos de acceso no seguros brindan a los atacantes puntos de entrada convenientes a su entorno de TI, sin pasar por los perímetros de seguridad. Los métodos de ataque incluyen comprometer los dispositivos inalámbricos de los empleados y usarlos para ingresar a su red, así como colocar puntos de acceso inalámbricos no autorizados en su organización, proporcionando acceso sin restricciones a los intrusos.

Recomendaciones:

  • Asegúrese de que los dispositivos inalámbricos conectados a la red coincidan con una configuración autorizada y un perfil de seguridad, con un propietario documentado de la conexión y una necesidad comercial definida. Denegar el acceso a dispositivos inalámbricos que carezcan de dicha configuración y perfil.
  • Configure herramientas de escaneo de vulnerabilidades de red para detectar puntos de acceso inalámbricos conectados a la red cableada. Concilie los dispositivos identificados con una lista de puntos de acceso inalámbricos autorizados. Desactive los puntos de acceso no autorizados.
  • Utilice sistemas de detección de intrusos inalámbricos (WIDS) para identificar dispositivos inalámbricos deshonestos y detectar intentos de ataque y compromisos exitosos. Todo el tráfico inalámbrico debe ser monitoreado por WIDS a medida que el tráfico pasa a la red cableada.

Herramientas que pueden ayudar

  1. Genians

La plataforma de Genians permite operar como un servidor radius generando portales cautivos para proteger el acceso de usuarios a la red. Adicionalmente permite establecer sensores inalámbricos para descubrir todos los usuarios que están accediendo a través de este medio.

  1. Sophos

Sophos Wireless y XG Firewall: sepa exactamente lo que está sucediendo con sus usuarios y su red inalámbrica con una mayor visibilidad y controles de Sophos Wireless. Proporcione acceso controlado a Internet para visitantes, contratistas y otros invitados en su red inalámbrica. Obtenga el estado de sus redes inalámbricas, puntos de acceso, clientes conectados e identifique problemas potenciales que requieran atención en un solo tablero.