Archivo mensual: Octubre 2021

CIS Control #16: Monitoreo y control de cuentas

Administre activamente el ciclo de vida de las cuentas de aplicaciones y sistemas (su creación, uso, inactividad, eliminación) para minimizar las oportunidades de que los atacantes las aprovechen.

La gestión de cuentas es un aspecto fundamental de la protección de los datos de las organizaciones. La rotación inadecuada de contraseñas, las cuentas que han ganado privilegios a medida que los usuarios cambian de roles y la validación de la cuenta y la revocación de privilegios son todas tareas críticas de administración de cuentas de usuario. Por ejemplo, las cuentas de usuario inactivas pero no eliminadas, pertenecientes a ex empleados o contratistas temporales, pueden ser utilizadas tanto por piratas informáticos externos como por personas internas deshonestas para disfrazarse de usuarios legítimos y llevar a cabo sus ataques.

Recomendaciones:

  • Revise todas las cuentas del sistema y deshabilite cualquier cuenta que no se pueda asociar con un proceso comercial y un propietario.
  • Asegúrese de que todas las cuentas tengan una fecha de vencimiento que se supervise y se cumpla.
  • Establezca y siga un proceso para revocar el acceso al sistema desactivando las cuentas inmediatamente después del despido de un empleado o contratista. Deshabilitar en lugar de eliminar cuentas permite la conservación de pistas de auditoría.
  • Supervise periódicamente el uso de todas las cuentas, desconectando automáticamente a los usuarios después de un período estándar de inactividad.

Herramientas que pueden ayudar

  1. Thycotic Centrify

Thycotic Centrify protege sus cuentas privilegiadas con una solución de gestión de acceso privilegiado (PAM) de nivel empresarial disponible tanto en las instalaciones como en la nube. Establezca una bóveda segura, descubra privilegios, Administre secretos, deniegue accesos y controle las sesiones.

  1. Axonius

Axonius es una plataforma que permite a las organizaciones dar una visibilidad total de los activos de TI y tomar acciones al respecto. Una solución simple para la gestión de activos de ciberseguridad. Vea todos sus activos en contexto, valide el cumplimiento de las políticas de seguridad y automatice la corrección. Administre todo en su entorno de TI, sin importar quién, qué o dónde, dentro de una plataforma integral. 

  1. SecurEnvoy

SecurEnvoy es un potente gestor de identidad y acceso combinado con prevención de pérdida de datos, que aborda desde un Multi-factor de autenticación (MFA) hasta un completo Identity and Access Management (IAM), permitiendo asegurar identidades, acceso, dispositivos y datos con un enfoque simple pero efectivo.

  1. Genians

Genians permite relacionar a los usuarios con los activos de TI, dando acceso según sus privilegios definidos, además de poder generar consultas dentro de la infraestructura para detectar anomalías de cumplimiento.

CIS Control #15: Control de acceso inalámbrico

Los procesos y herramientas utilizados para rastrear / controlar / prevenir / corregir el uso de seguridad de redes de área local inalámbricas (WLAN), puntos de acceso y sistemas de clientes inalámbricos.

Los puntos de acceso no seguros brindan a los atacantes puntos de entrada convenientes a su entorno de TI, sin pasar por los perímetros de seguridad. Los métodos de ataque incluyen comprometer los dispositivos inalámbricos de los empleados y usarlos para ingresar a su red, así como colocar puntos de acceso inalámbricos no autorizados en su organización, proporcionando acceso sin restricciones a los intrusos.

Recomendaciones:

  • Asegúrese de que los dispositivos inalámbricos conectados a la red coincidan con una configuración autorizada y un perfil de seguridad, con un propietario documentado de la conexión y una necesidad comercial definida. Denegar el acceso a dispositivos inalámbricos que carezcan de dicha configuración y perfil.
  • Configure herramientas de escaneo de vulnerabilidades de red para detectar puntos de acceso inalámbricos conectados a la red cableada. Concilie los dispositivos identificados con una lista de puntos de acceso inalámbricos autorizados. Desactive los puntos de acceso no autorizados.
  • Utilice sistemas de detección de intrusos inalámbricos (WIDS) para identificar dispositivos inalámbricos deshonestos y detectar intentos de ataque y compromisos exitosos. Todo el tráfico inalámbrico debe ser monitoreado por WIDS a medida que el tráfico pasa a la red cableada.

Herramientas que pueden ayudar

  1. Genians

La plataforma de Genians permite operar como un servidor radius generando portales cautivos para proteger el acceso de usuarios a la red. Adicionalmente permite establecer sensores inalámbricos para descubrir todos los usuarios que están accediendo a través de este medio.

  1. Sophos

Sophos Wireless y XG Firewall: sepa exactamente lo que está sucediendo con sus usuarios y su red inalámbrica con una mayor visibilidad y controles de Sophos Wireless. Proporcione acceso controlado a Internet para visitantes, contratistas y otros invitados en su red inalámbrica. Obtenga el estado de sus redes inalámbricas, puntos de acceso, clientes conectados e identifique problemas potenciales que requieran atención en un solo tablero.

CIS Control #14: Acceso controlado basado en la necesidad de saber

Los procesos y herramientas utilizados para rastrear / controlar / prevenir / corregir el acceso seguro a activos críticos (por ejemplo, información, recursos, sistemas) de acuerdo con la determinación formal de qué personas, computadoras y aplicaciones tienen la necesidad y el derecho de acceder a estos activos críticos. basado en una clasificación aprobada.

Las organizaciones deben identificar y separar cuidadosamente sus activos más sensibles y críticos de la información menos sensible y de acceso público en sus redes internas. En muchos entornos, los usuarios internos tienen acceso a todos o la mayoría de los activos críticos. Los activos sensibles también pueden incluir sistemas que brinden administración y control de sistemas físicos. Una vez que los atacantes han penetrado en una red de este tipo, pueden encontrar y exfiltrar fácilmente información importante, causar daños físicos o interrumpir las operaciones.

Recomendaciones:

  • Segmente la red según la etiqueta o el nivel de clasificación de la información almacenada en los servidores. Ubique toda la información confidencial en VLAN independientes con filtrado de firewall para garantizar que solo las personas autorizadas sólo puedan comunicarse con los sistemas necesarios para cumplir con sus responsabilidades específicas.
  • Toda la comunicación de información sensible a través de redes menos confiables debe estar encriptada. Siempre que la información fluya a través de una red con un nivel de confianza más bajo, la información debe estar encriptada.
  • Todos los conmutadores de red permitirán que las redes de área local virtual privadas (VLAN) para redes de estaciones de trabajo segmentadas limiten la capacidad de los dispositivos en una red para comunicarse directamente con otros dispositivos en la subred y limitar la capacidad de un atacante para moverse lateralmente para comprometer los sistemas vecinos.

Herramientas que pueden ayudar

  1. Genians

La plataforma de Genians conecta de forma segura personas con personas, personas con cosas y cosas con cosas, lo que garantiza la seguridad sin sacrificar el rendimiento. Genians escanea y controla los dispositivos de los usuarios a medida que se conectan a la red, en busca de datos y comportamientos que puedan afectar su negocio. Ya sea que las amenazas provengan de fuentes internas o externas, la detección y prevención en tiempo real mejorarán la integridad de los datos personales y de la empresa. 

  1. Sophos

Sophos XG Firewall: ofrece acceso controlado a los datos basado en la tecnología de identidad de usuario que gobierna todas las políticas y los informes del firewall, lo que permite el control de próxima generación sobre aplicaciones, navegación web, cuotas de ancho de banda y otros recursos de red por usuario / grupo.

Facilita la autenticación de dos factores para conexiones VPN, con integración granular RADIUS / TACACS.

  1. Check Point

La labor histórica de segmentar la red recae en el Firewall y quien mejor que Check Point para esta función. Check Point, permite el control granular del tráfico entre VLANs, pudiendo segmentar y disminuir la superficie de ataque, así como controlar el acceso a esta, indistinto que sea un dispositivo remoto o local.

  1. Guardicore

Guardicore es la empresa líder en seguridad de centros de datos y nube híbrida. Guardicore Centra, el producto insignia de micro segmentación basada en software, proporciona una opción menos costosa, más eficaz y más flexible que los firewalls tradicionales.

Centra ofrece una visibilidad profunda a nivel de proceso, políticas independientes al entorno y detección de brechas de seguridad en tiempo real para proteger los activos principales de su organización. A cambio, obtiene una forma rentable y más rápida de garantizar una seguridad constante y persistente, para cualquier aplicación, en cualquier entorno de IT. Cualquiera que sea su caso de uso, Guardicore ofrece seguridad cibernética en su máxima expresión.

  1. AppGate

AppGate permite que las personas adecuadas puedan acceder a los recursos correctos en el momento adecuado, haciendo que los recursos sean invisibles para quien no debe acceder a ellos, fortalezca los controles de acceso y simplifique la seguridad de la red con la solución ZTNA más completa y rica en funciones disponible.

CIS Control #13: Protección de Datos

Los procesos y herramientas utilizados para prevenir la filtración de datos, mitigar los efectos de la filtración de datos y garantizar la privacidad e integridad de la información confidencial.

Dado que los datos residen en muchos lugares, se requiere una combinación de cifrado, protección de integridad y técnicas (DLP) para defenderlos.

También se debe tener cuidado para garantizar que los productos utilizados dentro de una empresa implementen algoritmos criptográficos bien conocidos y examinados, identificados por NIST. También se recomienda la reevaluación anual de los algoritmos y tamaños de clave utilizados dentro de la empresa para garantizar que las organizaciones no se queden atrás en la fuerza de la protección aplicada a sus datos.

Recomendaciones:

  • Realice una evaluación de los datos para identificar información confidencial que requiera la aplicación de controles de encriptación e integridad.
  • Implemente software de cifrado de disco duro aprobado en dispositivos y sistemas móviles que contienen datos confidenciales.
  • Implemente una herramienta automatizada en los perímetros de la red que supervise la información confidencial (por ejemplo, información de identificación personal), palabras clave y otras características del documento para descubrir intentos no autorizados de exfiltrar datos a través de los límites de la red y bloquear dichas transferencias mientras alerta al personal de seguridad de la información.

Herramientas que pueden ayudar

  1. Netskope

Netskope Cloud Platform ofrece capacidades avanzadas de protección de datos, incorporando diferentes tecnologías de DLP para la identificación y control de datos sensibles asociados a datos de regulaciones, estándares o normativas, así como protección de datos de propiedad intelectual. Es así como la plataforma de Netskope permite la definición de perfiles de DLP haciendo uso de un gran número de identificadores predefinidos, así como clasificadores más sofisticados con tecnologías de fingerprint, EDM (Exact Data Match), Machine Learning, OCR, etc, permitiendo una detección con alto nivel de precisión de datos sensibles en movimiento o que puedan estar almacenados en la nube. 

  1. Sophos

Sophos aborda este control a través de las siguientes herramientas y/o módulos:

  • Protección de endpoints: las políticas de prevención de pérdida de datos evitan el uso indebido y la distribución de conjuntos de datos predefinidos.
  • SafeGuard Enterprise: protección de datos completa en múltiples plataformas y dispositivos, incluidos dispositivos móviles; protege los datos en reposo y en movimiento.
  • Sophos Mobile: ofrece protección de datos móviles cuando se integra con SafeGuard Enterprise para permitir el acceso a contenido cifrado en dispositivos móviles. El contenedor seguro de Sophos para correo electrónico, documentos y contenido garantiza que los datos protegidos permanezcan separados y puedan bloquearse o borrarse.
  • Sophos Email Appliance y XG Firewall: el cifrado SPX encapsula dinámicamente el contenido del correo electrónico y los archivos adjuntos en un PDF cifrado seguro para ayudar a garantizar el cumplimiento.
  1. Qualys

Qualys File Integrity Monitoring (FIM) monitorea y rastrea cambios en archivos críticos, incluidos cambios en configuraciones de seguridad importantes y atributos de archivo para ayudarlo a detectar y rastrear cambios e incidentes críticos, mientras monitorea la integridad de los datos confidenciales.

  1. Kriptos

Kriptos clasifica, ubica y etiqueta su información crítica de forma automática haciendo uso de su algoritmo con inteligencia artificial que analiza entre 800 y 1000 variables incluyendo el contexto de los documentos. Además, es compatible con DLPs, CASBs y más, para proteger millones de documentos etiquetados. Los cuales pueden encontrarse en PCs, servidores o la nube.

  1. Netwrix

Netwrix es una solución centrada en datos, que ayuda a organizar la seguridad de los datos de TI, permitiendo identificar y clasificar información confidencial con la máxima precisión; reducir la exposición al riesgo y detectar amenazas a tiempo, para evitar violaciones de datos.

CIS Control #12: Defensa Perimetral

Detectar / prevenir / corregir el flujo de información que transfiere redes de diferentes niveles de confianza con un enfoque en los datos que dañan la seguridad.

Los atacantes se centran en los sistemas a los que pueden acceder a través de Internet, aprovechan la configuración y las debilidades arquitectónicas para obtener acceso inicial a una organización y luego adentrarse más en el límite para robar información o establecer una presencia persistente para ataques posteriores. Los equipos de Seguridad TI deben controlar el flujo de tráfico a través del perímetro de la red buscando ataques y evidencia de máquinas comprometidas.

Recomendaciones:

  • Denegue las comunicaciones con (o limite el flujo de datos a) direcciones IP maliciosas conocidas (listas negras) o limite el acceso solo a sitios confiables (listas blancas). Las pruebas se pueden realizar periódicamente enviando paquetes desde direcciones IP de origen (direcciones IP no enrutables o no utilizadas) a la red para verificar que no se transmiten a través de los perímetros de la red. Las listas de direcciones están disponibles públicamente en Internet a partir de varias fuentes.
  • En las redes DMZ, configure los sistemas de monitoreo (que pueden estar integrados en los sensores IDS o implementados como una tecnología separada) para registrar al menos la información del encabezado del paquete y, preferiblemente, el encabezado completo del paquete y las cargas útiles del tráfico destinado o que pasa a través del borde de la red.
  • Este tráfico debe enviarse a un sistema de análisis de registros o gestión de eventos de información de seguridad (SIEM) configurado correctamente para que los eventos puedan correlacionarse desde todos los dispositivos de la red.

Herramientas que pueden ayudar

  1. Sophos

En la protección del perímetro sophos nos puede ayudar con:

  • Sophos Firewall / UTM: XG Firewall incluye IPS, APT, AV, Sandboxing con Deep Learning y Web Protection para monitorear y bloquear el tráfico malicioso, anómalo y explotador del acceso entrante o saliente.
  • Secure Email Gateway y Secure Web Gateway: análisis de amenazas las 24 horas del día para protegerse contra la naturaleza cambiante del correo electrónico y las amenazas basadas en la web.
  • Sophos Sandstorm: una tecnología de espacio aislado en la nube opcional que se puede integrar completamente en las soluciones de seguridad de Sophos para proporcionar una capa adicional de seguridad. Sandstorm inspecciona y bloquea los ejecutables y los documentos que contienen contenido ejecutable antes de que el archivo se envíe al dispositivo del usuario.
  1. Check Point

Uno de los líderes en el ámbito de la seguridad perimetral es Check Point que proporciona a los clientes de todos los tamaños la protección de seguridad de red y datos más reciente en plataformas integradas de prevención de amenazas de próxima generación, lo que reduce la complejidad y el costo total de propiedad. Ya sea que necesite seguridad de próxima generación para su centro de datos, empresa, pequeña empresa u oficina en casa, Check Point tiene la solución.

  1. Securonix

Basado en big data, Securonix Next-Gen SIEM combina la gestión de registros; análisis de comportamiento de usuarios y entidades (UEBA); y orquestación, automatización y respuesta de la seguridad en una plataforma completa de operaciones de seguridad de extremo a extremo. Recopila volúmenes masivos de datos en tiempo real, utiliza algoritmos de aprendizaje automático patentados para detectar amenazas avanzadas y proporciona capacidades de respuesta a incidentes de seguridad basadas en inteligencia artificial para una reparación rápida.

  1. Netskope

Los servicios de Netskope NG-SWG, Cloud Firewall y Private Access, permiten implementar diferentes controles de seguridad reduciendo la superficie de ataque cuando los usuarios consumen servicios en Internet y la nube. Es así como a través de las funcionalidades de NG-SWG se ofrece un control granular de las acciones que los usuarios pueden realizar en sitios de internet y aplicaciones nube (corporativas o de uso personal), aplicar perfiles de protección de amenazas en el acceso a sitios maliciosos, actividad de control & command, phishing, etc. De igual forma, Netskope Cloud Firewall permitirá un control del tráfico asociado a otros protocolos diferentes a HTTP-HTTPS, y por último Netskope Private Access garantizará el acceso remoto seguro hacia aplicaciones internas bajo un modelo de seguridad de Zero Trust Network Access, permitiendo consolidar una sólida estrategia de seguridad para los usuarios. 

  1. AppGate

Los métodos de autenticación y cifrado por VPN pueden ser evadidos con facilidad, permitiendo que actores maliciosos tomen control sobre las redes de una organización. AppGate, compañía de infraestructura segura, entrega detalles sobre los beneficios de adoptar un Perímetro Definido por Software (SDP), que brinda seguridad al momento de acceder a información sensible de las organizaciones.

CIS Control #11: Configuración segura para dispositivos de red, como firewalls, routers y switches

Establezca, implemente y administre activamente (rastree, informe, corrija) la configuración de seguridad de los dispositivos de infraestructura de red utilizando una administración de configuración rigurosa y un proceso de control de cambios para evitar que los atacantes exploten los servicios y configuraciones vulnerables.

Las configuraciones predeterminadas con las que los proveedores envían dispositivos de infraestructura de red están destinadas a implementaciones simples y facilidad de uso, no a la seguridad: servicios y puertos abiertos, cuentas o contraseñas predeterminadas, soporte para protocolos más antiguos (vulnerables), preinstalación de software innecesario.

Una vez implementados, estos dispositivos a menudo se vuelven menos seguros a medida que los usuarios solicitan excepciones de configuración. Cuando los atacantes aprovechan las fallas en estos dispositivos, obtienen acceso a las redes, redireccionan el tráfico en una red e interceptan información. Critical Security Control 11 establece pautas para proteger estos dispositivos.

Recomendaciones:

  • Compare las configuraciones del firewall, routers y switches con las configuraciones seguras estándar definidas para cada tipo de dispositivo de red en uso en la organización. La configuración de seguridad de los dispositivos debe ser documentada, revisada y aprobada por una junta de control de cambios de la organización. Cualquier desviación de la configuración estándar, o actualizaciones de la configuración estándar, debe documentarse y aprobarse en un sistema de control de cambios.
  • Todas las nuevas reglas de configuración más allá de una configuración reforzada de línea base que permiten que el tráfico fluya a través de los dispositivos de seguridad de la red, como firewalls e IP basadas en la red, deben documentarse y registrarse en un sistema de administración de la configuración, con una razón comercial específica para cada cambio, un el nombre específico de la persona responsable de esa necesidad comercial y la duración prevista de la necesidad.
  • Utilice herramientas automatizadas para verificar las configuraciones estándar de los dispositivos y detectar cambios. Todas las alteraciones de dichos archivos deben registrarse e informarse automáticamente al personal de seguridad.

Herramientas que pueden ayudar

  1. Sophos

Sophos Firewall/UTM: gestiona las políticas en forma unificada para web, IPS, control de aplicaciones, modelado de tráfico, WAF, VPN con plantillas de políticas predefinidas asignadas a las mejores prácticas.

  1. Security scorecard

Security scorecard, permite dar una visión general desde fuera para corregir posibles problemas de configuración, en los siguiente puntos:

  • Open Remote Desktop Protocol (RDP) ports found on the Network
  • Open Virtual Network Computing ports found on the Network
  • Redis Database Ports Found on the Network
  • Open rsync Ports Found on the Network
  • Exposed TCP Ports Discovered
  • Open FTP Data Ports Found on the Network
  • Open Telnet Ports Found on the Network

CIS Control 10: Capacidades de recuperación de datos

Los procesos y herramientas utilizados para respaldar adecuadamente la información crítica con una metodología probada para la recuperación oportuna de la misma.

Después de poner en peligro las máquinas, los atacantes a menudo realizan cambios significativos en las configuraciones y el software, y alteraciones sutiles en los datos, lo que potencialmente pone en peligro la efectividad de la organización con información contaminada. Una vez detectado el ataque, puede resultar extremadamente difícil para las organizaciones sin una capacidad de recuperación de datos confiable eliminar todos los aspectos de la presencia del atacante en la máquina. Critical Security Control 10 requiere la implementación de buenas prácticas de respaldo y recuperación para acelerar la recuperación de incidentes.

Recomendaciones:

  • Asegúrese de que se realice una copia de seguridad automática de cada sistema al menos una vez por semana y con mayor frecuencia para los sistemas que almacenan información confidencial. Para restaurar rápidamente un sistema desde la copia de seguridad, el sistema operativo, el software de la aplicación y los datos deben incluirse en el procedimiento general de copia de seguridad. Todas las políticas de respaldo deberían serlo.
  • Pruebe los datos en los medios de copia de seguridad de forma regular mediante un proceso de restauración de datos para asegurarse de que la copia de seguridad funcione correctamente.

Herramientas que pueden ayudar

  1. Faronics

Deep Freeze utiliza tecnología patentada para redirigir la información que se escribe en el disco duro a una tabla de asignaciones con el fin de mantener los datos originales intactos. Cuando se reinicia el equipo, no se vuelve a hacer referencia a la información redirigida a la tabla de asignaciones, por lo que se restaura íntegramente el estado original del equipo. Con esto se permite reducir las incidencias de TI en un 63%, se evitan los cambios de configuraciones y se eliminan las amenazas del tipo zero day, entre otros beneficios. 

  1. Commvault

Commvault presenta una solución de respaldo de datos para todo su entorno, dondequiera que residan sus datos, garantice la disponibilidad a través de una única interfaz dejando atrás los escenarios de pérdida de datos, silos segregados y SLA de recuperación faltantes.

Commvault permite hacer copias de seguridad de archivos simples y complejos (archivos, aplicaciones, bases de datos, virtual, contenedores, nube), dando así una cobertura integral automatizada de alto nivel de rendimiento. Además de proporcionar una recuperación rápida y granular de estos, proporcionando seguridad y protección anti ransomware.

CIS Control 9: Limitación y control de puertos, protocolos y servicios de red

Administre (rastree / controle / corrija) el uso operativo continuo de puertos, protocolos y servicios en dispositivos en red para minimizar las ventanas de vulnerabilidad disponibles para los atacantes.

Los hacker buscan constantemente servicios de red accesibles de forma remota vulnerables a la explotación, como servidores web, de correo, de archivos e impresión mal configurados, y servidores del sistema de nombres de dominio (DNS) instalados de forma predeterminada en una variedad de dispositivos, a menudo sin una necesidad comercial. Muchos paquetes de software instalan y activan servicios automáticamente sin alertar a los usuarios o administradores. Critical Security Control 9 exige limitar los servicios innecesarios para reducir las posibles exposiciones a ataques.

Recomendaciones:

  • Asegúrese de que solo se ejecuten en cada sistema puertos, protocolos y servicios con necesidades comerciales validadas.
  • Aplique firewalls basados en host o herramientas de filtrado de puertos en los sistemas finales, con una regla de denegación predeterminada que descarta todo el tráfico, excepto los servicios y puertos que están explícitamente permitidos.
  • Realice análisis de puertos automatizados de forma regular en todos los servidores clave y compárelos con una línea de base efectiva conocida. Si se descubre un cambio que no figura en la línea de base aprobada de la organización, se debe generar y revisar una alerta.
  • Verifique cualquier servidor que sea visible desde Internet o una red que no sea de confianza y, si no es necesario para fines comerciales, muévalo a una VLAN interna y asígnele una dirección privada.

Herramientas que pueden ayudar

  1. Sophos

Sophos permite a través de sus herramientas de Firewall/UTM bloquear el tráfico, los servicios, los puertos y los protocolos, excepto aquellos explícitamente permitidos y definidos como apropiados y necesarios para la organización. Adicionalmente con su solución Sophos Intercept X, Endpoint and Server Protection (HIPS) permite la detección de tráfico malicioso que ocurren en el host.

  1. Genians

Genians ofrece una solución de acceso que permite hacer un barrido de toda la infraestructura y detectar puertos, protocolos y dispositivos vulnerables con el objeto de permitir su acceso a la red.

  1. AppGate

AppGate a través de su solución de Software defined perimeter (SDP) permite reducir la superficie de ataque en los puertos, las cargas de trabajo y las aplicaciones que son invisibles a menos que estén autenticados y autorizados para acceder. Permite verificar la identidad, hacer ajustes dinámicos de acuerdo al contexto, el rol, la fecha, la hora, la ubicación y la postura del dispositivo. Evitando el movimiento lateral: la microsegmentación quirúrgica elimina la visibilidad y el acceso a recursos no autorizados.  Además, de dar seguridad en el tráfico este/oeste (control de las conexiones bidireccionales entre los recursos de la red).

  1. Guardicore

Guardicore permite disminuir la superficie de ataque, teniendo una visibilidad sin igual del tráfico, tanto este/oeste como norte/sur, además de puertos y protocolos. Así evita problemas de ataques laterales y permite establecer control de forma rápida.

  1. Netskope

Netskope Cloud Firewall uno de los más recientes lanzamientos de la plataforma de Netskope, permite implementar políticas de firewall para el tráfico de salida de los usuarios hacia Internet, explícitamente bloqueando o permitir tráfico de salida en puertos o protocolos específicos. 

  1. Checkpoint

CheckPoint Quantum Network Security proporciona protección ultra escalable contra ataques cibernéticos Gen V en su red, nube, centro de datos, IoT y usuarios remotos.  Combinando la prevención de amenazas SandBlast, redes de hiperescala, una plataforma de gestión unificada, acceso remoto a VPN y seguridad IOT para protegerlo contra los ataques cibernéticos más sofisticados.

CIS Control 8: Defensas contra malware

Controle la instalación, propagación y ejecución de código malicioso en múltiples puntos de la empresa, mientras optimiza el uso de la automatización para permitir una actualización rápida de la defensa, la recopilación de datos y la acción correctiva.

El malware es un componente clave de los ataques cibernéticos y continúa siendo una carrera armamentista entre los profesionales de la seguridad y los hackers. El malware se puede utilizar para comprometer una amplia variedad de activos de TI y se puede implementar a través de muchas vías diferentes, incluidos archivos adjuntos de correo electrónico, páginas web maliciosas, servicios en la nube y medios extraíbles (como dispositivos USB). Mantenerse al día con el cambio constante en la entrega de malware y las técnicas de ofuscación es un desafío importante que requiere la implementación de una variedad de controles como se define en Critical Security Control 8.

Recomendaciones:

  • Emplee herramientas automatizadas para monitorear continuamente estaciones de trabajo, servidores y dispositivos móviles con antivirus, antispyware, firewalls personales y funcionalidad IPS basada en host. Todos los eventos de detección de malware deben enviarse a las herramientas de administración antimalware de la empresa y a los servidores de registro de eventos.
  • Emplee software anti-malware que ofrezca una infraestructura centralizada que compile información sobre la reputación de los archivos o haga que los administradores envíen actualizaciones manualmente a todas las máquinas. Después de aplicar una actualización, los sistemas automatizados deben verificar que cada sistema haya recibido su actualización de firma.
  • Limite el uso de dispositivos externos a aquellos con una necesidad comercial documentada y aprobada. Supervise el uso e intento de uso de dispositivos externos. Configure computadoras portátiles, estaciones de trabajo y servidores para que no ejecuten automáticamente contenido de medios extraíbles, como tokens USB (es decir, “unidades de memoria USB”), discos duros USB, CD / DVD, dispositivos FireWire, dispositivos de conexión de tecnología avanzada en serie externos, y recursos compartidos de red montados. Configure los sistemas para que realicen automáticamente un análisis antimalware de los medios extraíbles cuando se inserten.

Herramientas que pueden ayudar

  1. Sophos

Sophos tiene una gran cantidad de soluciones que pueden ayudar a la defensa del malware, y que van desde el Anti-exploit, anti-ransomware a la protección de la ejecución de código malicioso en el endpoint.  Pasando por herramientas de threat intelligence en tiempo real, IPS, APT y Sandboxing. Las Soluciones de Sophos, que aplican a este control son:

  • Sophos Intercept X
  • Sophos Email Appliance
  • Sophos XG Firewall
  • Sophos Sandstorm
  • Sophos Mobile
  1. Qualys

Qualys aborda este control haciendo uso de sus módulos de WEB APPLICATION SCANNING (WAS), WEB APPLICATION FIREWALL (WAF), INDICATION OF COMPROMISE (IOC), POLICY COMPLIANCE (PC) y FILE INTEGRITY MONITORING (FIM). los cuales identifican hoyos de seguridad en aplicaciones web, servicios web y REST APIs. y son capaces de reportar infecciones de malware en forma detallada.

  1. Netskope

Netskope Cloud Platform ofrece capacidades avanzadas de Threat Protection incorporando diversas tecnologías como engines de detección en base a firmas, Netskope Threat Intelligence, engines de heurística avanzada, cloud sandboxing y UEBA (User Entity Behaviour Analytics) para la detección y bloqueo de amenazas conocidas y de dia cero a las cuales se pueden ver expuestos los usuarios al consumir servicios en Internet y la nube

  1. Faronics

El servicio Anti-Virus de Faronics ofrece protección contra amenazas de seguridad a través de un poderoso software antivirus, antirootkit, firewall y antispyware “todo en uno” que protege los equipos de las complejas amenazas de malware actuales.

  1. Security scorecard.

Security scorecard permite detectar desde una visión externa los siguientes puntos:

  • High Severity Vulnerabilities Found in Last Observation
  • High Severity CVEs Patching Cadence
  • Medium Severity Vulnerabilities Found in Last Observation
  • Medium Severity CVEs Patching Cadence
  • Low Severity Vulnerabilities Found in Last Observation
  • Low Severity CVEs Patching Cadence
  • Malware Events, Last Day
  • High, Medium and Low Severity Content Management System vulnerabilities identified
  1. Core Network Insight

Una vez que una amenaza ha sido detectada, Network Insight usa un sofisticado Case Analyzer (analizador de casos), que elimina los falsos positivos mediante el uso de inteligencia de amenazas de CoreLabs, para examinar la evidencia forense y poder detectar la infección de forma concluyente. Los equipos de Seguridad solo reciben una notificación cuando se confirma una infección, lo que reduce la sobrecarga de alertas y facilita la acción inmediata.

Esta semana en ciberseguridad – Octubre semana 3

Esta semana en ciberseguridad, nos ha llamado la atención 3 noticias que ahora te presentamos:

Las Principales familias de Ransomware

Según ha revelado un análisis exhaustivo de 80 millones de muestras relacionadas con ransomware realizado por VirusTotal, se han descubierto que, en 2020, hubo hasta 130 familias diferentes de ransomware activas y la primera mitad de 2021, con Israel, Corea del Sur, Vietnam, China, Singapur, India, Kazajstán, Filipinas, Irán y el Reino Unido emergiendo como los más afectados.

VirusTotal, atribuyó una parte significativa de la actividad al grupo de ransomware como servicio (RaaS) GandCrab (78,5%), seguido de Babuk (7,61%), Cerber (3,11%), Matsnu (2,63%), Wannacry (2,41%), Congur (1,52%), Locky (1,29%), Teslacrypt (1,12%), Rkor (1,11%) y Reveon (0,70%).

“Los atacantes están utilizando una variedad de enfoques, incluido las botnet y otros troyanos de acceso remoto (RAT) como vehículos para entregar su ransomware”…. “En la mayoría de los casos, utilizan muestras de ransomware nuevas o nuevas para sus campañas”.

dijo Vicente Díaz, de VirusTotal Threat Intelligence.

Algunos de los otros puntos clave descubiertos en el estudio son los siguientes:

  • GandCrab representó la mayor parte de la actividad de ransomware en los dos primeros trimestres de 2020, y la familia de ransomware Babuk generó un aumento de infecciones en julio de 2021.
  • El 95% de los archivos de ransomware detectados eran ejecutables basados​​en Windows o bibliotecas de vínculos dinámicos (DLL), mientras que el 2% estaban basados ​​en Android.
  • Alrededor del 5% de las muestras analizadas se asociaron con exploits relacionados con la elevación de privilegios de Windows, la divulgación de información de SMB y la ejecución remota.
  • Emotet, Zbot, Dridex, Gozi y Danabot fueron los principales artefactos de malware utilizados para distribuir ransomware.

Los hallazgos se producen a raíz de una ola implacable de ataques de ransomware dirigidos a la infraestructura crítica, con bandas de ciberdelincuentes que persiguen agresivamente a las víctimas en sectores críticos, incluidos los operadores de oleoductos e instalaciones de atención médica, incluso cuando el panorama ha sido testigo de un cambio continuo en el que los grupos de ransomware evolucionan, se dividen, se reorganizan con nuevos nombres, o desaparecer del radar para evadir el escrutinio.

En todo caso, la explosión de nuevas familias de malware ha atraído a nuevos actores a participar en estos lucrativos esquemas, convirtiendo el ransomware en un modelo de negocio criminal rentable.

“Si bien las grandes campañas van y vienen, existe una línea de base constante de actividad de ransomware de aproximadamente 100 familias de ransomware que nunca se detiene”, dice el informe. “En términos de distribución de ransomware, los atacantes no parecen necesitar exploits más que para la escalada de privilegios y la propagación de malware dentro de las redes internas”.

FUENTE: https://blog.segu-info.com.ar/2021/10/reporte-de-familias-activas-de.html

FreakOut Botnet convierte los DVR en criptomineros de Monero

El nuevo exploit Necro Python se dirige a los DVR de visual Tools que se utilizan en los sistemas de vigilancia. El botnet del grupo de amenazas FreakOut infecta los DVR y los transforma en criptomineros de Monero.

Los investigadores de Juniper Threat Labs han publicado un informe que detalla las nuevas actividades de FreakOut, también conocido como Necro Python y Python.IRCBot. A fines de septiembre, el equipo notó que las botnets comenzaron a apuntar a los modelos Visual Tools DVR VX16 4.2.28.0 con ataques de criptominería. Los dispositivos generalmente se implementan como parte de un sistema de vigilancia de calidad profesional.

“El script puede ejecutarse tanto en entornos Windows como Linux”, .. “El script tiene su propio motor polimórfico para transformar cada ejecución que puede eludir las defensas basadas en firmas. Esto funciona leyendo cada cadena de su código y cifrándola con una clave codificada “.

dijo el informe de Juniper

FreakOut ha estado en escena desde al menos enero, explotando vulnerabilidades identificadas recientemente y sin parchear para lanzar ataques distribuidos de denegación de servicio (DDoS) y criptominería. Juniper informa que los actores de amenazas han desarrollado varias iteraciones del bot Necro, logrando mejoras constantes en su rendimiento y persistencia durante los últimos meses.

La nueva funcionalidad DGA ayuda a evadir la detección
El nuevo exploit aún no se ha evaluado por completo para un CVE, según NIST, pero hay una prueba de concepto disponible a través de la base de datos de exploits.

Primero, el bot Necro busca el puerto de destino: [22, 80, 443, 8081, 8081, 7001]. Si se detecta, lanzará un XMRig, que es un minero Monero (XMR) de alto rendimiento, vinculado a esta billetera:

El equipo agregó que el bot también está intentando activamente explotar estas vulnerabilidades previamente identificadas:

  • CVE-2020-15568 – TerraMaster TOS antes de 4.1.29
  • CVE-2021-2900 – Genexis PLATINUM 4410 2.1 P4410-V2-1.28
  • CVE-2020-25494 – Xinuos (anteriormente SCO) Openserver v5 y v6
  • CVE-2020-28188 – TerraMaster TOS <= 4.2.06
  • CVE-2019-12725: Zeroshell 3.9.0

FUENTE: https://threatpost.com/freakout-botnet-dvrs-monero-cryptominers/175467/

Herramientas que pueden ayudar con los Controles de Seguridad de CIS

Este mes de octubre, mes de la Ciberseguridad, te presentamos un conjunto de herramientas que te pueden ayudar a cumplir con los controles de CIS V.7.1.

La idea es que todos los días estaremos posteando un CIS Control V7.1 y te indicaremos algunas herramientas que están dedicadas o que te pueden ayudar a llevar de mejor forma el control.

Esta semana llego hasta el control CIS #7.  Protecciones de correo electrónico y navegador web

Te dejamos el link en la fuente.

FUENTE: https://bit.ly/3vhBdvt