Archivos del autor: Diego Ferruz

CIS Control #11: Configuración segura para dispositivos de red, como firewalls, routers y switches

Establezca, implemente y administre activamente (rastree, informe, corrija) la configuración de seguridad de los dispositivos de infraestructura de red utilizando una administración de configuración rigurosa y un proceso de control de cambios para evitar que los atacantes exploten los servicios y configuraciones vulnerables.

Las configuraciones predeterminadas con las que los proveedores envían dispositivos de infraestructura de red están destinadas a implementaciones simples y facilidad de uso, no a la seguridad: servicios y puertos abiertos, cuentas o contraseñas predeterminadas, soporte para protocolos más antiguos (vulnerables), preinstalación de software innecesario.

Una vez implementados, estos dispositivos a menudo se vuelven menos seguros a medida que los usuarios solicitan excepciones de configuración. Cuando los atacantes aprovechan las fallas en estos dispositivos, obtienen acceso a las redes, redireccionan el tráfico en una red e interceptan información. Critical Security Control 11 establece pautas para proteger estos dispositivos.

Recomendaciones:

  • Compare las configuraciones del firewall, routers y switches con las configuraciones seguras estándar definidas para cada tipo de dispositivo de red en uso en la organización. La configuración de seguridad de los dispositivos debe ser documentada, revisada y aprobada por una junta de control de cambios de la organización. Cualquier desviación de la configuración estándar, o actualizaciones de la configuración estándar, debe documentarse y aprobarse en un sistema de control de cambios.
  • Todas las nuevas reglas de configuración más allá de una configuración reforzada de línea base que permiten que el tráfico fluya a través de los dispositivos de seguridad de la red, como firewalls e IP basadas en la red, deben documentarse y registrarse en un sistema de administración de la configuración, con una razón comercial específica para cada cambio, un el nombre específico de la persona responsable de esa necesidad comercial y la duración prevista de la necesidad.
  • Utilice herramientas automatizadas para verificar las configuraciones estándar de los dispositivos y detectar cambios. Todas las alteraciones de dichos archivos deben registrarse e informarse automáticamente al personal de seguridad.

Herramientas que pueden ayudar

  1. Sophos

Sophos Firewall/UTM: gestiona las políticas en forma unificada para web, IPS, control de aplicaciones, modelado de tráfico, WAF, VPN con plantillas de políticas predefinidas asignadas a las mejores prácticas.

  1. Security scorecard

Security scorecard, permite dar una visión general desde fuera para corregir posibles problemas de configuración, en los siguiente puntos:

  • Open Remote Desktop Protocol (RDP) ports found on the Network
  • Open Virtual Network Computing ports found on the Network
  • Redis Database Ports Found on the Network
  • Open rsync Ports Found on the Network
  • Exposed TCP Ports Discovered
  • Open FTP Data Ports Found on the Network
  • Open Telnet Ports Found on the Network

CIS Control 10: Capacidades de recuperación de datos

Los procesos y herramientas utilizados para respaldar adecuadamente la información crítica con una metodología probada para la recuperación oportuna de la misma.

Después de poner en peligro las máquinas, los atacantes a menudo realizan cambios significativos en las configuraciones y el software, y alteraciones sutiles en los datos, lo que potencialmente pone en peligro la efectividad de la organización con información contaminada. Una vez detectado el ataque, puede resultar extremadamente difícil para las organizaciones sin una capacidad de recuperación de datos confiable eliminar todos los aspectos de la presencia del atacante en la máquina. Critical Security Control 10 requiere la implementación de buenas prácticas de respaldo y recuperación para acelerar la recuperación de incidentes.

Recomendaciones:

  • Asegúrese de que se realice una copia de seguridad automática de cada sistema al menos una vez por semana y con mayor frecuencia para los sistemas que almacenan información confidencial. Para restaurar rápidamente un sistema desde la copia de seguridad, el sistema operativo, el software de la aplicación y los datos deben incluirse en el procedimiento general de copia de seguridad. Todas las políticas de respaldo deberían serlo.
  • Pruebe los datos en los medios de copia de seguridad de forma regular mediante un proceso de restauración de datos para asegurarse de que la copia de seguridad funcione correctamente.

Herramientas que pueden ayudar

  1. Faronics

Deep Freeze utiliza tecnología patentada para redirigir la información que se escribe en el disco duro a una tabla de asignaciones con el fin de mantener los datos originales intactos. Cuando se reinicia el equipo, no se vuelve a hacer referencia a la información redirigida a la tabla de asignaciones, por lo que se restaura íntegramente el estado original del equipo. Con esto se permite reducir las incidencias de TI en un 63%, se evitan los cambios de configuraciones y se eliminan las amenazas del tipo zero day, entre otros beneficios. 

  1. Commvault

Commvault presenta una solución de respaldo de datos para todo su entorno, dondequiera que residan sus datos, garantice la disponibilidad a través de una única interfaz dejando atrás los escenarios de pérdida de datos, silos segregados y SLA de recuperación faltantes.

Commvault permite hacer copias de seguridad de archivos simples y complejos (archivos, aplicaciones, bases de datos, virtual, contenedores, nube), dando así una cobertura integral automatizada de alto nivel de rendimiento. Además de proporcionar una recuperación rápida y granular de estos, proporcionando seguridad y protección anti ransomware.

CIS Control 9: Limitación y control de puertos, protocolos y servicios de red

Administre (rastree / controle / corrija) el uso operativo continuo de puertos, protocolos y servicios en dispositivos en red para minimizar las ventanas de vulnerabilidad disponibles para los atacantes.

Los hacker buscan constantemente servicios de red accesibles de forma remota vulnerables a la explotación, como servidores web, de correo, de archivos e impresión mal configurados, y servidores del sistema de nombres de dominio (DNS) instalados de forma predeterminada en una variedad de dispositivos, a menudo sin una necesidad comercial. Muchos paquetes de software instalan y activan servicios automáticamente sin alertar a los usuarios o administradores. Critical Security Control 9 exige limitar los servicios innecesarios para reducir las posibles exposiciones a ataques.

Recomendaciones:

  • Asegúrese de que solo se ejecuten en cada sistema puertos, protocolos y servicios con necesidades comerciales validadas.
  • Aplique firewalls basados en host o herramientas de filtrado de puertos en los sistemas finales, con una regla de denegación predeterminada que descarta todo el tráfico, excepto los servicios y puertos que están explícitamente permitidos.
  • Realice análisis de puertos automatizados de forma regular en todos los servidores clave y compárelos con una línea de base efectiva conocida. Si se descubre un cambio que no figura en la línea de base aprobada de la organización, se debe generar y revisar una alerta.
  • Verifique cualquier servidor que sea visible desde Internet o una red que no sea de confianza y, si no es necesario para fines comerciales, muévalo a una VLAN interna y asígnele una dirección privada.

Herramientas que pueden ayudar

  1. Sophos

Sophos permite a través de sus herramientas de Firewall/UTM bloquear el tráfico, los servicios, los puertos y los protocolos, excepto aquellos explícitamente permitidos y definidos como apropiados y necesarios para la organización. Adicionalmente con su solución Sophos Intercept X, Endpoint and Server Protection (HIPS) permite la detección de tráfico malicioso que ocurren en el host.

  1. Genians

Genians ofrece una solución de acceso que permite hacer un barrido de toda la infraestructura y detectar puertos, protocolos y dispositivos vulnerables con el objeto de permitir su acceso a la red.

  1. AppGate

AppGate a través de su solución de Software defined perimeter (SDP) permite reducir la superficie de ataque en los puertos, las cargas de trabajo y las aplicaciones que son invisibles a menos que estén autenticados y autorizados para acceder. Permite verificar la identidad, hacer ajustes dinámicos de acuerdo al contexto, el rol, la fecha, la hora, la ubicación y la postura del dispositivo. Evitando el movimiento lateral: la microsegmentación quirúrgica elimina la visibilidad y el acceso a recursos no autorizados.  Además, de dar seguridad en el tráfico este/oeste (control de las conexiones bidireccionales entre los recursos de la red).

  1. Guardicore

Guardicore permite disminuir la superficie de ataque, teniendo una visibilidad sin igual del tráfico, tanto este/oeste como norte/sur, además de puertos y protocolos. Así evita problemas de ataques laterales y permite establecer control de forma rápida.

  1. Netskope

Netskope Cloud Firewall uno de los más recientes lanzamientos de la plataforma de Netskope, permite implementar políticas de firewall para el tráfico de salida de los usuarios hacia Internet, explícitamente bloqueando o permitir tráfico de salida en puertos o protocolos específicos. 

  1. Checkpoint

CheckPoint Quantum Network Security proporciona protección ultra escalable contra ataques cibernéticos Gen V en su red, nube, centro de datos, IoT y usuarios remotos.  Combinando la prevención de amenazas SandBlast, redes de hiperescala, una plataforma de gestión unificada, acceso remoto a VPN y seguridad IOT para protegerlo contra los ataques cibernéticos más sofisticados.

CIS Control 8: Defensas contra malware

Controle la instalación, propagación y ejecución de código malicioso en múltiples puntos de la empresa, mientras optimiza el uso de la automatización para permitir una actualización rápida de la defensa, la recopilación de datos y la acción correctiva.

El malware es un componente clave de los ataques cibernéticos y continúa siendo una carrera armamentista entre los profesionales de la seguridad y los hackers. El malware se puede utilizar para comprometer una amplia variedad de activos de TI y se puede implementar a través de muchas vías diferentes, incluidos archivos adjuntos de correo electrónico, páginas web maliciosas, servicios en la nube y medios extraíbles (como dispositivos USB). Mantenerse al día con el cambio constante en la entrega de malware y las técnicas de ofuscación es un desafío importante que requiere la implementación de una variedad de controles como se define en Critical Security Control 8.

Recomendaciones:

  • Emplee herramientas automatizadas para monitorear continuamente estaciones de trabajo, servidores y dispositivos móviles con antivirus, antispyware, firewalls personales y funcionalidad IPS basada en host. Todos los eventos de detección de malware deben enviarse a las herramientas de administración antimalware de la empresa y a los servidores de registro de eventos.
  • Emplee software anti-malware que ofrezca una infraestructura centralizada que compile información sobre la reputación de los archivos o haga que los administradores envíen actualizaciones manualmente a todas las máquinas. Después de aplicar una actualización, los sistemas automatizados deben verificar que cada sistema haya recibido su actualización de firma.
  • Limite el uso de dispositivos externos a aquellos con una necesidad comercial documentada y aprobada. Supervise el uso e intento de uso de dispositivos externos. Configure computadoras portátiles, estaciones de trabajo y servidores para que no ejecuten automáticamente contenido de medios extraíbles, como tokens USB (es decir, “unidades de memoria USB”), discos duros USB, CD / DVD, dispositivos FireWire, dispositivos de conexión de tecnología avanzada en serie externos, y recursos compartidos de red montados. Configure los sistemas para que realicen automáticamente un análisis antimalware de los medios extraíbles cuando se inserten.

Herramientas que pueden ayudar

  1. Sophos

Sophos tiene una gran cantidad de soluciones que pueden ayudar a la defensa del malware, y que van desde el Anti-exploit, anti-ransomware a la protección de la ejecución de código malicioso en el endpoint.  Pasando por herramientas de threat intelligence en tiempo real, IPS, APT y Sandboxing. Las Soluciones de Sophos, que aplican a este control son:

  • Sophos Intercept X
  • Sophos Email Appliance
  • Sophos XG Firewall
  • Sophos Sandstorm
  • Sophos Mobile
  1. Qualys

Qualys aborda este control haciendo uso de sus módulos de WEB APPLICATION SCANNING (WAS), WEB APPLICATION FIREWALL (WAF), INDICATION OF COMPROMISE (IOC), POLICY COMPLIANCE (PC) y FILE INTEGRITY MONITORING (FIM). los cuales identifican hoyos de seguridad en aplicaciones web, servicios web y REST APIs. y son capaces de reportar infecciones de malware en forma detallada.

  1. Netskope

Netskope Cloud Platform ofrece capacidades avanzadas de Threat Protection incorporando diversas tecnologías como engines de detección en base a firmas, Netskope Threat Intelligence, engines de heurística avanzada, cloud sandboxing y UEBA (User Entity Behaviour Analytics) para la detección y bloqueo de amenazas conocidas y de dia cero a las cuales se pueden ver expuestos los usuarios al consumir servicios en Internet y la nube

  1. Faronics

El servicio Anti-Virus de Faronics ofrece protección contra amenazas de seguridad a través de un poderoso software antivirus, antirootkit, firewall y antispyware “todo en uno” que protege los equipos de las complejas amenazas de malware actuales.

  1. Security scorecard.

Security scorecard permite detectar desde una visión externa los siguientes puntos:

  • High Severity Vulnerabilities Found in Last Observation
  • High Severity CVEs Patching Cadence
  • Medium Severity Vulnerabilities Found in Last Observation
  • Medium Severity CVEs Patching Cadence
  • Low Severity Vulnerabilities Found in Last Observation
  • Low Severity CVEs Patching Cadence
  • Malware Events, Last Day
  • High, Medium and Low Severity Content Management System vulnerabilities identified
  1. Core Network Insight

Una vez que una amenaza ha sido detectada, Network Insight usa un sofisticado Case Analyzer (analizador de casos), que elimina los falsos positivos mediante el uso de inteligencia de amenazas de CoreLabs, para examinar la evidencia forense y poder detectar la infección de forma concluyente. Los equipos de Seguridad solo reciben una notificación cuando se confirma una infección, lo que reduce la sobrecarga de alertas y facilita la acción inmediata.

Esta semana en ciberseguridad – Octubre semana 3

Esta semana en ciberseguridad, nos ha llamado la atención 3 noticias que ahora te presentamos:

Las Principales familias de Ransomware

Según ha revelado un análisis exhaustivo de 80 millones de muestras relacionadas con ransomware realizado por VirusTotal, se han descubierto que, en 2020, hubo hasta 130 familias diferentes de ransomware activas y la primera mitad de 2021, con Israel, Corea del Sur, Vietnam, China, Singapur, India, Kazajstán, Filipinas, Irán y el Reino Unido emergiendo como los más afectados.

VirusTotal, atribuyó una parte significativa de la actividad al grupo de ransomware como servicio (RaaS) GandCrab (78,5%), seguido de Babuk (7,61%), Cerber (3,11%), Matsnu (2,63%), Wannacry (2,41%), Congur (1,52%), Locky (1,29%), Teslacrypt (1,12%), Rkor (1,11%) y Reveon (0,70%).

“Los atacantes están utilizando una variedad de enfoques, incluido las botnet y otros troyanos de acceso remoto (RAT) como vehículos para entregar su ransomware”…. “En la mayoría de los casos, utilizan muestras de ransomware nuevas o nuevas para sus campañas”.

dijo Vicente Díaz, de VirusTotal Threat Intelligence.

Algunos de los otros puntos clave descubiertos en el estudio son los siguientes:

  • GandCrab representó la mayor parte de la actividad de ransomware en los dos primeros trimestres de 2020, y la familia de ransomware Babuk generó un aumento de infecciones en julio de 2021.
  • El 95% de los archivos de ransomware detectados eran ejecutables basados​​en Windows o bibliotecas de vínculos dinámicos (DLL), mientras que el 2% estaban basados ​​en Android.
  • Alrededor del 5% de las muestras analizadas se asociaron con exploits relacionados con la elevación de privilegios de Windows, la divulgación de información de SMB y la ejecución remota.
  • Emotet, Zbot, Dridex, Gozi y Danabot fueron los principales artefactos de malware utilizados para distribuir ransomware.

Los hallazgos se producen a raíz de una ola implacable de ataques de ransomware dirigidos a la infraestructura crítica, con bandas de ciberdelincuentes que persiguen agresivamente a las víctimas en sectores críticos, incluidos los operadores de oleoductos e instalaciones de atención médica, incluso cuando el panorama ha sido testigo de un cambio continuo en el que los grupos de ransomware evolucionan, se dividen, se reorganizan con nuevos nombres, o desaparecer del radar para evadir el escrutinio.

En todo caso, la explosión de nuevas familias de malware ha atraído a nuevos actores a participar en estos lucrativos esquemas, convirtiendo el ransomware en un modelo de negocio criminal rentable.

“Si bien las grandes campañas van y vienen, existe una línea de base constante de actividad de ransomware de aproximadamente 100 familias de ransomware que nunca se detiene”, dice el informe. “En términos de distribución de ransomware, los atacantes no parecen necesitar exploits más que para la escalada de privilegios y la propagación de malware dentro de las redes internas”.

FUENTE: https://blog.segu-info.com.ar/2021/10/reporte-de-familias-activas-de.html

FreakOut Botnet convierte los DVR en criptomineros de Monero

El nuevo exploit Necro Python se dirige a los DVR de visual Tools que se utilizan en los sistemas de vigilancia. El botnet del grupo de amenazas FreakOut infecta los DVR y los transforma en criptomineros de Monero.

Los investigadores de Juniper Threat Labs han publicado un informe que detalla las nuevas actividades de FreakOut, también conocido como Necro Python y Python.IRCBot. A fines de septiembre, el equipo notó que las botnets comenzaron a apuntar a los modelos Visual Tools DVR VX16 4.2.28.0 con ataques de criptominería. Los dispositivos generalmente se implementan como parte de un sistema de vigilancia de calidad profesional.

“El script puede ejecutarse tanto en entornos Windows como Linux”, .. “El script tiene su propio motor polimórfico para transformar cada ejecución que puede eludir las defensas basadas en firmas. Esto funciona leyendo cada cadena de su código y cifrándola con una clave codificada “.

dijo el informe de Juniper

FreakOut ha estado en escena desde al menos enero, explotando vulnerabilidades identificadas recientemente y sin parchear para lanzar ataques distribuidos de denegación de servicio (DDoS) y criptominería. Juniper informa que los actores de amenazas han desarrollado varias iteraciones del bot Necro, logrando mejoras constantes en su rendimiento y persistencia durante los últimos meses.

La nueva funcionalidad DGA ayuda a evadir la detección
El nuevo exploit aún no se ha evaluado por completo para un CVE, según NIST, pero hay una prueba de concepto disponible a través de la base de datos de exploits.

Primero, el bot Necro busca el puerto de destino: [22, 80, 443, 8081, 8081, 7001]. Si se detecta, lanzará un XMRig, que es un minero Monero (XMR) de alto rendimiento, vinculado a esta billetera:

El equipo agregó que el bot también está intentando activamente explotar estas vulnerabilidades previamente identificadas:

  • CVE-2020-15568 – TerraMaster TOS antes de 4.1.29
  • CVE-2021-2900 – Genexis PLATINUM 4410 2.1 P4410-V2-1.28
  • CVE-2020-25494 – Xinuos (anteriormente SCO) Openserver v5 y v6
  • CVE-2020-28188 – TerraMaster TOS <= 4.2.06
  • CVE-2019-12725: Zeroshell 3.9.0

FUENTE: https://threatpost.com/freakout-botnet-dvrs-monero-cryptominers/175467/

Herramientas que pueden ayudar con los Controles de Seguridad de CIS

Este mes de octubre, mes de la Ciberseguridad, te presentamos un conjunto de herramientas que te pueden ayudar a cumplir con los controles de CIS V.7.1.

La idea es que todos los días estaremos posteando un CIS Control V7.1 y te indicaremos algunas herramientas que están dedicadas o que te pueden ayudar a llevar de mejor forma el control.

Esta semana llego hasta el control CIS #7.  Protecciones de correo electrónico y navegador web

Te dejamos el link en la fuente.

FUENTE: https://bit.ly/3vhBdvt

CIS Control 7: Protecciones de correo electrónico y navegador web

Minimice la superficie de ataque y las oportunidades para que los atacantes manipulen el comportamiento humano a través de su interacción con navegadores web y sistemas de correo electrónico.

Los hackers hacen todo lo posible para convertir los navegadores web y los clientes de correo electrónico en trampas para engañar a los usuarios finales para que realicen acciones que les ayudarán a obtener acceso a su entorno de TI. Por ejemplo, a través de métodos de phishing e ingeniería social, los piratas informáticos intentan engañar a los destinatarios de correo electrónico para que abran archivos adjuntos cargados de malware y hagan clic en enlaces de apariencia legítima que llevan a los usuarios a sitios maliciosos y, sin darse cuenta, proporcionan datos confidenciales en el proceso.

También intentan poner en peligro los navegadores web de múltiples formas, como mediante el uso de kits de explotación de autoactualización automatizados para comprometer los puntos finales y estar detrás del perímetro de su red.

Por lo tanto, es crucial para los equipos de Seguridad asegurar estos dos vectores de riesgo probable.

Recomendaciones

  • Usar solo navegadores web y clientes de correo electrónico totalmente compatibles e, idealmente, sólo la última versión de los navegadores, porque tienen las últimas funciones y correcciones de seguridad de los proveedores.
  • Desinstalar o deshabilitar complementos innecesarios o no autorizados del navegador o del cliente de correo electrónico. Cada complemento utilizará la lista blanca de aplicaciones / URL y solo permitirá el uso de la aplicación para dominios preaprobados.
  • Limitar los lenguajes de secuencias de comandos innecesarios en navegadores web y clientes de correo electrónico, incluidos ActiveX y JavaScript en sistemas que no necesitan tales capacidades.

Herramientas que pueden ayudar

  1. Netskope

Netskope Next-Gen Secure Web Gateway (SWG) permite proteger a los usuarios de las diversas amenazas a las cuales se ven expuestos cuando consumen servicios en Internet y aplicaciones nube. De esta forma, la plataforma nube de Nestkope la cual está diseñada en una arquitectura SASE (Secure Access Service Edge), permite proporcionar diferentes microservicios de seguridad en la nube que permiten la identificación y control de actividades hacia sitios y aplicaciones nube, inspeccionar y bloquear diferentes amenazas como malware, ransomware, phishing, exfiltración de datos, usuarios comprometidos, exploits de vulnerabilidades en componentes de software como navegadores,  etc. 

  1. Sophos

Sophos a través de un conjunto de herramientas puede monitorear y bloquear el acceso a sitios web de infecciones de malwares, manteniendo una base actualizada de inteligencia de amenazas. Adicionalmente permite el cifrado del correo electrónico y la capacidad de bloquear a los usuarios para no visitar URL restringidas.

  1. Proofpoint

Proofpoint ayuda a proteger aplicaciones como Microsoft Office 365, Google Workspace, Box y más, brindando visibilidad y control centrados en las personas. Además, ayudan a otorgar los niveles correctos de acceso a los usuarios y aplicaciones complementarias de terceros en función de los factores de riesgo que le importan.

  1. Security Scorecard

Security Scorecard permite la visualización de:

  • Outdated Web Browser Observed
  • IMAP Service Observed
  • POP3 Service Observed
  • SPF Record Missing
  • Malformed SPF Record
  • SPF Record Contains Wildcard
  • SPF Record Contains a Softfail without DMARC
  • Phishing Infrastructure
  • SMTP Server on Unusual Port
  1. Guardicore

Guardicore ayuda a descubrir las dependencias de las aplicaciones para reducir la superficie de ataque, proteger las aplicaciones críticas y garantizar el cumplimiento de las normas.

CIS Control 6: Mantenimiento, seguimiento y análisis de registros de auditoría

Recopile, administre y analice registros de auditoría de eventos que podrían ayudar a detectar, comprender o recuperarse de un ataque.

Otro elemento de seguridad crítico son los registros de auditoría, porque a menudo proporcionan la única evidencia clara de ataques internos o sigilosos. Por esta razón, los equipos de seguridad deben asegurarse de activar las capacidades de registrar eventos que vienen con la mayoría de los sistemas operativos, servicios de red y tecnologías de firewall. Estos registros deben ser lo más completos posibles, precisos y almacenados de manera centralizada, para que puedan ser analizados para obtener información, auditorías, y, cuando sea necesario, respuesta a incidentes. El Control #6 define los requisitos para la gestión de los  registros de auditoría.

Recomendaciones

  • Incluya al menos dos fuentes de tiempo sincronizadas de las cuales todos los servidores y equipos de red recuperan información de tiempo de forma regular para que las marcas de tiempo en los registros sean consistentes
  • Valide la configuración del registro de auditoría para cada dispositivo de hardware y el software instalado en él, asegurándose de que los registros incluyan una fecha, marca de tiempo, direcciones de origen, direcciones de destino y otros elementos de cada paquete y/o transacción. Asegúrese de que los sistemas registren los registros en un formato estandarizado y, si esto es imposible, implemente herramientas de normalización de registros.
  • Asegúrese de que todos los sistemas que almacenan registros tengan el espacio de almacenamiento adecuado. Archive y firme digitalmente los registros periódicamente.

Herramientas que pueden ayudar

  1. General

En general todos los Productos o Soluciones tienen herramientas que permiten generar auditorías de logs de sus propias plataformas e integrarlas a herramientas especializadas que permiten consolidar y correlacionar estos eventos. Algunas de estas, por la naturaleza de su funcionalidad pueden ser más globales que otras.

  1. Securonix

Basado en big data, Securonix Next-Gen SIEM combina la gestión de registros; análisis de comportamiento de usuario y entidad (UEBA); y orquestación de seguridad, automatización y respuesta en una plataforma completa de operaciones de seguridad de extremo a extremo. Recopila volúmenes masivos de datos en tiempo real, utiliza algoritmos patentados de aprendizaje automático para detectar amenazas avanzadas y proporciona capacidades de respuesta a incidentes de seguridad basadas en inteligencia artificial para una remediación rápida.

CIS Control 5: Configuración segura de hardware y software en dispositivos móviles, computadoras portátiles, estaciones de trabajo y servidores

Establezca, implemente y administre activamente (rastree, informe, corrija) la configuración de seguridad de dispositivos móviles, computadoras portátiles, servidores y estaciones de trabajo mediante un riguroso proceso de administración de configuración y control de cambios para evitar que los atacantes exploten servicios y configuraciones vulnerables.

El Control CIS #5 trata de prevenir la exposición debido a una mala configuración. Configuraciones de seguridad débiles, tales como valores predeterminados en contraseñas, puertos abiertos inadvertidamente, privilegios de administrador excesivos, certificados mal configurados, procesos de autenticación defectuosos, etc., son en general explotados por los ciberatacantes y dan como resultado fuertes sanciones por parte de los reguladores.

Recomendaciones

  • Establecer configuraciones estándar seguras tanto de sistemas operativos, como de  aplicaciones. Las imágenes estandarizadas deben representar versiones reforzadas del sistema operativo subyacente y las aplicaciones instaladas en el sistema. Estas imágenes deben ser actualizadas periódicamente incluyendo las remediciones de vulnerabilidades recientes y vectores de ataque.
  • Siga una gestión de configuración estricta, creando una imagen segura que se utiliza para construir todos los sistemas nuevos que se implementan en la empresa. Cualquier sistema existente que se vea comprometido debe volver a la imagen con la configuración segura. Actualizaciones periódicas o excepciones a esta imagen debe integrarse en los controles de cambio de la organización y los procesos de gestión. Se deben crear imágenes para estaciones de trabajo, servidores y otros tipos de sistemas utilizados por la organización, puntos de acceso inalámbricos, y otros sistemas para tener valores consistentes con las cuentas a nivel de administración.

Herramientas que pueden ayudar

  1. Faronics

El servicio Deep Freeze ayuda a eliminar los daños de los computadores al hacer que las configuraciones de la computadora sean indestructibles. Una vez que Deep Freeze se  instala en un computador, los cambios realizados, ya sea accidentales o maliciosos, nunca son permanentes.

  1. Security Scorecard

Security Scorecard permite detectar:

  • Outdated Operating System Observed
  • Outdated Web Browser Observed
  • Adware Installation
  1. Qualys

Qualys a través de su módulo de Policy Compliance (PC) permite evaluar la seguridad de las configuraciones, evitando cambios y permitiendo cumplir con una variedad de requisitos reglamentarios. 

  1. Tenable

Tenable permite monitorear los archivos de sistema y aplicaciones para identificar cambios sospechosos y comparar los archivos modificados con malware conocido.

Esta semana en ciberseguridad – Octubre semana 2

Esta semana en ciberseguridad, nos ha llamado la atención 3 noticias que ahora te presentamos:

Apple lanza actualizaciones urgentes de iPhone y iPad para parchear la nueva vulnerabilidad de día cero

Apple lanzó el lunes una actualización de seguridad para iOS y iPad para abordar una vulnerabilidad crítica que, según dice, está siendo explotada, lo que la convierte en la decimoséptima falla de día cero que la compañía ha abordado en sus productos desde principios de año.

La debilidad, al que se le asignó el identificador CVE-2021-30883, se refiere a un problema de corrupción de memoria en el componente “IOMobileFrameBuffer” que podría permitir que una aplicación ejecute código arbitrario con privilegios del kernel. Al acreditar a un investigador anónimo por informar sobre la vulnerabilidad, Apple dijo que “está al tanto de un informe de que este problema puede haber sido explotado activamente”.

Los detalles técnicos sobre la falla y la naturaleza de los ataques aún no están disponibles, al igual que la identidad del actor de la amenaza, para permitir que la mayoría de los usuarios apliquen el parche y evitar que otros adversarios utilicen la vulnerabilidad como arma. El fabricante del iPhone dijo que abordó el problema mejorando el manejo de la memoria.“

El investigador de seguridad Saar Amar compartió detalles adicionales y un exploit de prueba de concepto (PoC), y señaló que “esta superficie de ataque es muy interesante porque se puede acceder desde la zona de pruebas de la aplicación (por lo que es excelente para los jailbreak) y muchos otros procesos, lo que lo convierte en un buen candidato para exploits LPE en cadenas “.

CVE-2021-30883 es también el segundo IOMobileFrameBuffer de impacto de día cero después de que Apple abordara un problema similar de corrupción de memoria informado de forma anónima (CVE-2021-30807) en julio de 2021, lo que plantea la posibilidad de que las dos fallas puedan estar relacionadas. Con la última solución, la compañía ha resuelto un récord de 17 días cero hasta la fecha solo en 2021:

  • CVE-2021-1782 (Kernel) – A malicious application may be able to elevate privileges
  • CVE-2021-1870 (WebKit) – A remote attacker may be able to cause arbitrary code execution
  • CVE-2021-1871 (WebKit) – A remote attacker may be able to cause arbitrary code execution
  • CVE-2021-1879 (WebKit) – Processing maliciously crafted web content may lead to universal cross-site scripting
  • CVE-2021-30657 (System Preferences) – A malicious application may bypass Gatekeeper checks
  • CVE-2021-30661 (WebKit Storage) – Processing maliciously crafted web content may lead to arbitrary code execution
  • CVE-2021-30663 (WebKit) – Processing maliciously crafted web content may lead to arbitrary code execution
  • CVE-2021-30665 (WebKit) – Processing maliciously crafted web content may lead to arbitrary code execution
  • CVE-2021-30666 (WebKit) – Processing maliciously crafted web content may lead to arbitrary code execution
  • CVE-2021-30713 (TCC framework) – A malicious application may be able to bypass Privacy preferences
  • CVE-2021-30761 (WebKit) – Processing maliciously crafted web content may lead to arbitrary code execution
  • CVE-2021-30762 (WebKit) – Processing maliciously crafted web content may lead to arbitrary code execution
  • CVE-2021-30807 (IOMobileFrameBuffer) – An application may be able to execute arbitrary code with kernel privileges
  • CVE-2021-30858 (WebKit) – Processing maliciously crafted web content may lead to arbitrary code execution
  • CVE-2021-30860 (CoreGraphics) – Processing a maliciously crafted PDF may lead to arbitrary code execution
  • CVE-2021-30869 (XNU) – A malicious application may be able to execute arbitrary code with kernel privileges

Se recomienda encarecidamente a los usuarios de Apple iPhone y iPad que actualicen a la última versión (iOS 15.0.2 y iPad 15.0.2) para mitigar la vulnerabilidad de seguridad.

FUENTE: https://thehackernews.com/2021/10/apple-releases-urgent-iphone-and-ipad.html

Twitch fue hackeado.

El sitio web de transmisión Twitch ha sido atacado por un delincuentes anónimo, y los datos confidenciales pertenecientes a varias áreas del sitio y sus usuarios se han compartido en línea.

El delincuente compartió un enlace magnet (Torrent) de 125.89 GB en 4chan (/g/), el miércoles, según informó VGC. El propósito de la filtración era “fomentar la competencia en el espacio de transmisión de video en línea”, ya que “su comunidad es un asqueroso pozo negro tóxico”.

Una fuente anónima de la empresa le dijo a VGC que la filtración es legítima y que Twitch está al tanto de la violación de seguridad. Se filtraron datos, incluido el código fuente del sitio, y detalles sobre los pagos de los creadores, así como información sobre los clientes móviles, de escritorio y de consola de la empresa.

Dentro del contenido del Torrent se encuentran datos como: 

  • La totalidad del código fuente de Twitch con historial de comentarios “que se remonta a sus inicios”
  • Detalles de pagos realizados por la plataforma desde 2019
  • Clientes de Twitch para dispositivos móviles, de escritorio y de consola
  • SDK propietarios y servicios de AWS internos utilizados por Twitch
  • Herramientas internas de “Red Team” de Twitch (diseñadas para mejorar la seguridad haciendo que el personal ejecute tareas simulando actividad de delincuentes (sic).
  • Herramientas utilizadas por el SOC interno de Twitch

El Torrent muestra cuánto han ganado los mejores streamers de la plataforma a través de pagos entre agosto de 2019 y septiembre de 2021, y algunos canales ganaron hasta U$S 9,6 millones durante el período.

También se compartió información relacionada con las otras propiedades de Twitch, incluidos IGDB y Curseforge, y un competidor de Steam inédito que, según se informa, está fabricando Amazon, conocido como Vapor.

Es posible que las contraseñas también se hayan visto comprometidas como parte de la filtración, por lo que se insta a los usuarios a que las cambien lo antes posible.

La filtración se da en medio de los esfuerzos de Twitch para reforzar la seguridad en la plataforma agregando verificación telefónica al chat y opciones de seguridad de correo electrónico más granulares. Las funciones se agregaron para combatir el problema continuo del sitio con ataques de odio.

FUENTES: (1) https://blog.segu-info.com.ar/2021/10/twitch-hackeado-cambia-tu-contrasena.html
(2) https://www.videogameschronicle.com/news/the-entirety-of-twitch-has-reportedly-been-leaked/

Herramientas que pueden ayudar con los Controles de Seguridad de CIS

Este mes de octubre, mes de la Ciberseguridad, te presentamos un conjunto de herramientas que te pueden ayudar a cumplir con loc controles de CIS V.7.1.

La idea es que todos los días estaremos posteando un CIS Control V7.1 y te indicaremos algunas herramientas que están dedicadas o que te pueden ayudar a llevar de mejor forma el control.

Esta semana le toco partir al control CIS #4. Uso controlado de privilegios administrativos

Te dejamos el link en la fuente.

FUENTE: https://bit.ly/3FFSsLW

CIS Control 4: Uso controlado de privilegios administrativos

Los procesos y herramientas utilizados para rastrear / controlar / prevenir / corregir el uso, asignación y configuración de privilegios administrativos en computadoras, redes y aplicaciones.

dLos usuarios con privilegios administrativos son particularmente atractivos para los hackers. Conocer una cuentas con estos privilegios, brindan a los intrusos un amplio acceso dentro del dispositivo y la red, lo que aumenta su capacidad para hacer daño. En consecuencia, los equipos de seguridad deben monitorear de cerca estas cuentas. El Control CIS #4 habla de minimizar el uso de privilegios administrativos.

Recomendaciones

  • Minimizar los privilegios administrativos. Usar estas cuentas solo cuando sea necesario y auditarlas y dar seguimiento a comportamientos anómalos.
  • Usar herramientas automatizadas para inventariar cuentas administrativas y validar que los usuarios con privilegios de administrador en equipos de escritorio, portátiles y servidores están autorizados por un ejecutivo senior.
  • Antes de implementar cualquier dispositivo nuevo en un entorno de red, cambie todos los contraseñas para aplicaciones, sistemas operativos, enrutadores, cortafuegos, puntos de acceso inalámbricos, y otros sistemas para tener valores consistentes con las cuentas a nivel de administración.

Herramientas que pueden ayudar

  1. ThycoticCentrify

TycoticCentrify ayuda a mitigar el malware y las amenazas modernas de seguridad de la explotación de aplicaciones eliminando los derechos administrativos locales y haciendo cumplir el “menor privilegio” en los puntos finales

  1. Qualys

Qualys a través del módulo de Qualys Policy Compliance (PC) brindan visibilidad completa de las cuentas con privilegios administrativos, para que pueda validar que se estén utilizando sólo cuando sea necesario.

  1. Security Scorecard

Security Scorecard permite, desde un punto de vista externo, visualizar que cuentas pueden estar expuestas.

  1. Genians

Desde una perspectiva de acceso, Genians permite acceder a recursos basado en los roles y perfiles del usuario.