Archivos del autor: Diego Ferruz

Tip 12. Aplicar restricciones en plataformas como NAC para asegurar el cumplimiento de los equipos que se conectan a la red.

Si hablamos de los distintos framework de seguridad, tales como PCI-DSS, NIST, CIS, ISO 27002 u otros, todos ellos establecen 6 puntos que son la base para abordar el acceso a los activos de las compañías #NAC:

  • Inventario y Control de Activos de Hardware
  • Inventario y Control de Activos de Software
  • Manejo continuo de vulnerabilidades
  • Control de Privilegios administrativos
  • Configuración segura de Hardware y software en móviles, portátiles, estaciones de trabajo y servidores
  • Mantenimiento, monitoreo y análisis de registros de auditoria.

#Genians, es un producto que nos puede ayudar a abordar estos 6 puntos, estableciendo el control de acceso a nuestros recursos de Red, aplicando políticas basadas en la identificación de los usuarios, dispositivos y las lineas bases de hardware y software definidas.

REFERENCIA: #Genians

Tip 11.Revisar de forma activa y periódicamente la creación, eliminación y modificación de Políticas (GPO) en los Controladores de dominio.

Hemos hablado de la importancia de la correcta identificación de los usuarios, y uno de los métodos más tradicionales es hacer uso del Active Directory (AD). Herramienta que cumple una función critica en toda compañía que la utiliza y no solo para el correcto reconocimiento de los usuarios, sino también los perfiles y políticas que los rodean..

El tip de hoy habla de una recomendación base, que consiste en tener el control del Dominio de nuestra empresa, en la creación, modificación y eliminación de políticas asociadas a usuarios. Mientras más ordenado está este repositorio de usuario, perfiles y políticas, nuestro trabajo de auditoria es más sencillo.

Siempre existen herramientas que nos pueden ayudar con estas tares que pueden tornarse un tanto tediosa, como es el caso de ADAudit Plus de #ManageEngine que busca justamente esto, ayudarnos con esta tarea de vital importancia. Con ello, tareas como:

  • Indicadores de posibles amenazas internas
  • Inicios de sesión de usuarios
  • Cumplimiento de regulaciones como SOX, PCI-DSS, etc..
  • Informes y alertas
  • Almacenamiento de datos (eventos auditados)
  • Configuración de GPO

Son factibles de auditar, ya sea con recursos propios o con ayudar de un auditor externo que pueda colaborar con esto.

REFERENCIA: #ManageEngine

Tip 10. Identidad Digital, Autenticación y como robustecer el quien es quien en un ámbito digital.

Siempre hemos escuchado que para reconocer o identificar correctamente a una persona en un ambiente digital se necesita conocer tres factores:

  • Algo que sabes
  • Algo que tienes
  • Algo que eres

Cuando hablamos de algo que sabes, nos referimos a incluir usuario, contraseña o preguntas frecuentes. A su vez, algo que tienes, es el uso de un token, softoken u contraseña de una única vez (OTP). Finalmente, cuando hablamos de algo que eres, nos referimos a sistemas de autenticación Biométrica (huella, retina, voz).

Hoy, en particular, ya no basta con manejar una de estas variables, tenemos que considerar múltiples (dos o mas), lo que se conoce con el nombre MFA (múlti-factor de autenticación). Anteriormente, se hablaba de 2FA, segundo factor de autenticación, pero siempre si dos es bueno, múltiples es mejor, de ahí el termino. Adicionalmente PCI DSS reemplazó el termino de 2FA por MFA.

#SecureEnvoy es una de las compañías preocupadas del adecuado reconocimiento de la identidad, hoy conocido como #IAM (Identity and Access Managment), que va emparejada con el concepto de #MFA y que son la piedra angular para hablar de temas como #PAM (Privileged Access Managment) y que en conjunto buscan una forma de evitar el robo de información o de identidad.

REFERNECIA: #SecureEnvoy

Tip 9. Modelo de Confianza Cero. Minimice la onda expansiva de los incidentes de seguridad.

Tal como comentamos en el Tip 8. El modelo de #ZeroTrust, se basa en tres pilares fundamentales:

  1. Siempre Autentique, autorice y contabilice.
  2. Limite el acceso de los usuarios con acceso justo a tiempo y estrictamente suficiente.
  3. Minimice la onda expansiva de los incidentes de seguridad al segmentar el acceso por red, usuario, dispositivos y conocimiento de las aplicaciones (#Genians para #NAC o #Guardicore para #microsegmentación)

De los cuales ya hemos comentado el primero y el segundo, a través de herramientas como #SecureEnvoy y #Centrify. Para el caso 3, según el ambiente que abordemos, Tradicional o Cloud, podemos comentar de herramientas como #Genians que nos ayudan a controlar el acceso a los recursos de RED, pasando obviamente por una adecuada segmentación de RED. Adicionalmente #Genians nos ayuda con el reconocimiento de los usuarios, dispositivos y aplicaciones para luego generar políticas de acceso.

En entornos más dinámicos #Cloud, hoy hablamos de #microsegmentación. Donde productos como #Guardicore, líder del mercado en este segmento, nos ayuda con las definiciones y la visualización del tráfico.

REFERENCIA: #SecureEnvoy #Centrify #Guardicore #Genians

Ciberdelincuentes han logrado robar código fuente y credenciales del servicio de Clave Única del estado de Chile.

Fuente: elmostrador

El Ministerio de Interior ha formalizado una denuncia ante el ministerio público por el robo del código fuente de clave única y bases de datos del servicio de Clave Única del estado.

Existen cientos de trámites realizables con clave única, dentro de los cuales se encuentran actividades tributarias, civiles y judiciales. El uso de estas credenciales robadas para acceder a estos trámites permite suplantar la identidad de la víctima y realizar fraudes tales como:

  • Emitir boletas/facturas en nombre de personas o empresas
  • Solicitar beneficios sociales
  • Modificación de antecedentes en tribunales

También existe otra arista de esta problemática y es que la clave única no es usada solo para que los ciudadanos accedan a servicios públicos, sino que también es utilizada por sistemas internos del estado, mediante los cuales los trabajadores pueden acceder y modificar información sensible, como lo es la información de salud de la población.

El futuro de las claves robadas
Hasta ahora no hay noticia de cuáles serán los siguientes pasos de los delincuentes que se hicieron de los datos, estas podrían ser vendidas en la #DeepWeb, utilizada por el mismo grupo de delincuentes para realizar fraudes, publicadas abiertamente en Internet o transformarse en material de extorsión para el gobierno de Chile.

Poca Información
La falta de información otorgada por los organismos públicos y el desconocimiento general de la gente sobre estos temas, deja al descubierto una enorme falta de leyes de protección de la información y la privacidad de la ciudadanía #GDPR . Sobre todo, en un país donde el R.U.T (número de identificación) es prácticamente público.

Los siguientes pasos para el gobierno
No basta con cambiar las contraseñas y solicitar crear nuevas claves únicas con el número de serie del carnet, es muy probable que los usuarios repitan sus contraseñas o utilicen credenciales similares, por lo tanto, es importante educar al usuario en el uso de contraseñas seguras y reforzar el sistema agregando tecnologías como múltiple factor de autenticación y monitoreo para la detección de accesos irregulares.

En #Makros creemos en un modelo robusto de ciberseguridad para facilitar la detección temprana de incidentes, la prevención y la contención de los mismos. Dentro de este modelo ofrecemos servicios que se integran con los flujos de #DevOps tales como #EthicalHacking, #RedTeaming, #AnálisisdeCódigo y #GestióndeVulnerabilidades. Esta combinación de servicios, en conjunto con nuestros productos nos permite entregar soluciones concretas a un problema que hoy en día no solo afecta a algunos negocios, sino que a todos los ciudadanos y empresas.

Tip 8. Modelo de Confianza Cero. Siempre autentique y autorice. Usar accesos con privilegios mínimos.

En los difíciles tiempos que corren, donde el cambio es constante y muy rápido, abordar los desafíos de una superficie de ataque más amplia se hace difícil con una estrategia de defensa tradicional basada en el perímetro, es por esto que hoy hablamos de una estrategia de confianza cero #ZeroTrust.

La implementación de este tipo de estrategia, no se basa en adquirir una herramienta y todo queda solucionado, sino más bien, de una implementación por etapas con una administración continua de mejoras. Preocuparse por evaluar el entorno a través de identidad, dispositivos, aplicaciones, datos, infraestructura y redes.

El primer punto a considerar es siempre autenticar, autorizar y Auditar, que va en linea con la administración de la identidad y acceso, para luego enfocarse en la administración de dispositivos.

En este sentido muchas herramientas nos pueden ayudar a abordar la tarea de la administración de la identidad basada en un repositorio de identidad, como puede ser AD/ADFS u otro, e incorporando soluciones como MFA (Multifactor de autenticación) #SecureEnvoy y soluciones para administrar los accesos a plataforma criticas #Centrify.

Este último punto esta incluido en la segunda recomendación del viaje de confianza cero, que corresponde a usar el acceso con privilegios mínimos: Limitar el acceso de los usuarios con acceso justo a tiempo y estrictamente suficiente.

REFERENCIA: #SecureEnvoy #Centrify

Auge del Teletrabajo hace recomendable la adopción de soluciones para endpoint

Este lunes, nuestro CEO @Marcelo Díaz, fue entrevistado en su calidad de experto en
Ciberseguridad, sobre este interesante tema.
A Continuación la entrevista completa y en el link la nota original: https://bit.ly/34YAzX0

¿Qué son las soluciones endpoint? ¿Qué tipos de soluciones endpoint existen?

Las soluciones de endpoint son aquellas que están destinadas a aplicar controles directamente sobre las estaciones de trabajo, servidores o todo aquel dispositivo que tenga la capacidad de instalar algún tipo de agente de seguridad. En esta linea hoy existen varias protecciones las cuales pueden ser independientes o en algunos casos soluciones totalmente completas, todas buscan cumplir una función de seguridad, y están enfocadas en poder aplicar los controles directamente en el origen de los datos. En esta linea podemos encontrar Antivirus, Antimalware, EDR, DLP, Firewall, Proxy de Endpoint, Seguridad Cloud, etc

¿En qué se diferencian a los tradicionales antivirus y firewall?

Las diferencias en realidad tienen que ver con buscar una protección mas proactiva sobre amenazas actuales que salen de lo tradicional. Un antivirus detecta por firma, un EDR por comportamiento, eso amplia la capacidad de detección frente a amenazas no detectadas. Sobre el Firewall, es una inspección basada en reglas de paso, pero también hay IDS o IPS de host lo que también tienen un carácter mas predictivo. Hay que recordar que la mayoría del malware hoy busca explotar vulnerabilidades que las empresas lamentablemente no están siempre al día en parchear

¿Por qué se han puesto de moda últimamente? ¿En qué deben fijarse las empresas antes de elegir una solución endpoint?

Mas que un tema de moda, es un tema de los niveles de ataques que existen actualmente, la verdad es que los enfoques tradicionales son poco efectivos, se requiere de tecnologías con capacidades predictivas

Las empresas deben fijarse en análisis independientes sobre las tecnologías, en ver si el partner que comercializa las soluciones tiene los niveles de competencia necesarios (cuantos años lleva en ciberseguridad), validar que otras organizaciones usan este tipo de tecnologías, y además validar si la empresa tiene el equipo necesario que se encargue de administrarlas o de darles soporte o si externalizaran este tipo de servicios

Tip 7. Evaluar riesgos derivados del desarrollo de aplicaciones, ya sea desarrollo interno o adquirido

El desarrollo de aplicaciones, ya sea web o móvil, es una parte relevante en el desarrollo de los negocios. La #TransformacionDigital, el cambio de comportamiento en la forma de comunicarse y de operar, hacer que las compañías necesiten invertir en este canal de comunicación y venta, pero la rapidez con que evoluciona, hace que la forma de establecer los procesos de desarrollo ya no sea en cascada, sino en paralelo. Así, se empiezan a implementar los métodos ágiles, y las compañías necesitan empezar a coordinar áreas que anteriormente no conversaban entre si, tales como las áreas del negocio, las áreas de seguridad y las áreas de desarrollo. Estas áreas empiezan a estar permanentemente en conflicto con un objetivo común, sacar rápidamente una actualización o un nuevo producto en un canal digital.

¿Cuál es el problema, si logramos sacar un producto en tiempo y no vemos la seguridad? El efecto de un probable ataque sobre un producto no seguro, puede ser mas nocivo que el beneficio de este.

#Veracode, líder en Gartner en AST “Application Security Testing”, nos habla de como trabajar en el Ciclo de Desarrollo (Integración Continua (CI), Entrega Continua (CD) y Despliegue) partiendo desde el análisis de código fuentes SAST (Static AST) hasta el análisis del código cuando este ya está compilado DAST (Dynamic AST)

REFERENCIAS: #Veracode

Tip 6. Monitorear y alertar modificaciones masivas de archivos en servidores.

El monitorear y alertar modificaciones tanto en archivos de configuración o archivos sensibles, presupone mas cosas de lo que uno imagina, ya que, el hecho de monitorear si algo cambia indica varias cosas:

  1. ¿Sabemos que hay?, Tenemos definida una linea base de que deben tener instalados nuestros servidores. (#Axonius,)
  2. Tener conocimiento de quien puede o no acceder a los servidores (#Centrify)
  3. Y finalmente, alertar las anomalías que pueden ocurrir, como modificación masiva de archivos. (#Sophos, #Qualys, #Tenable)

Este último punto es un concepto difundido como #FIM (File Integrity Monitoring), donde #Qualys particularmente ofrece una solución altamente escalable y centralizada en un entorno híbrido, encargado de monitoreas los eventos de cambio de archivos en tiempo real, según mandatos de diversos framework de seguridad, tales como PCI-DSS, HIPAA, GDPR, CCPA y FedRAMP.

REFERENCIAS: #Axonius #Centrify #sophos #Qualys #Tenable

Tip 5: Verificar tráficos desde y hacia Internet inusuales como dominios aleatorios.

La evolución de las amenazas es cada vez mas rápida y las herramientas tradicionales de prevención basadas en conocimiento anterior son incapaces de detectarlas. Esto sumado a los diferentes escenarios a que nos enfrentamos: Infraestructura tradicional, Cloud o hibrida, hace que la ciberseguridad se transforme en un foco de atención importante, ya que, como hemos visto en este tiempo, las compañías necesitan evolucionar a un ambiente cada día mas tecnológico (#transformacionDigital) o desaparecer.

Para nuestra tranquilidad, la evolución de las amenazas también lleva una evolución en las herramientas. Así, para ambientes mas tradicionales donde el control se hacer haciendo pasar el tráfico por un solo punto físico, soluciones como #Sophos nos pueden ayudar a visualizar las nuevas amenazas, pero en ambientes mas complejos, donde se agregan al tradicional, ambientes híbridos o definitivamente cloud #CoreNetworkInsight nos permite detectar, reaccionar y recuperarse en forma rápida, descubriendo amenazas avanzadas que no necesariamente están basadas en el comportamiento anterior sino en el monitorear el comportamiento y actividades amenazantes del trafico de la red.

REFERENCIAS: #Sophos #CoreNetworkInsight