Viernes, 18 Septiembre 2020

Resumen

Lumu ha encontrado un incremento de contactos relacionados con diversos malware, botnets y Ransomware en la región. Este documento contiene información actualizada y relevante acerca de estos casos.

Antecedentes

Se han encontrado múltiples contactos relacionados con las siguientes familias de Malware:

● Mylobot: Es un malware de diversos usos que es conocido por sus avanzadas técnicas de evasión.

● Andromeda: Distribuye Malware desde su centro de comando y control después de infectar las máquinas objetivo.

● Emotet: Inicialmente lanzado como un troyano bancario, actualmente es uno de las principales herramientas para distribución de ataques adicionales incluyendo los troyanos Trickbot, Qakbot y el ransomware Ryuk. Se propaga principalmente a través de correo electrónico.

● Maze: Ransomware descubierto en Mayo de 2019.

● Nueva herramienta de malware Lazarus: Malware con capacidad de realizar descarga de nuevos archivos y ejecutar comandos. Lazarus se trata de un grupo de cibercrimen también conocido como Hidden Cobra.

● Azolrut: Malware especializado en robo de información descubierto en el año 2016.

● Formbook: Malware con diversas capacidades desde robo de información hasta control del sistema infectado.

● Sodinokibi: Ransomware que tiene como objetivo sistemas Windows. Lumu ha detectado un incremento de contacto a IoCs relacionados con estos malware en todo latinoamérica lo que puede indicar ataques coordinados para afectar diversas industrias, en caso de estar presentando contactos a esta infraestructura un ataque de robo de información o ransomware puede ser inminente.

Jueves, 27 Agosto 2020

Resumen

La complejidad de los sistemas de seguridad informática es cada vez más amplia. Para contrarrestar el enorme escenario y la gran superficie que dinámicamente crece así como las plataformas que son susceptibles de vulnerabilidades y ataques cibernéticos, se conforma un largo listado de tecnologías que el proveedor de servicios de telecomunicaciones debe cubrir tanto para proteger su infraestructura crítica como para proteger la infraestructura de los clientes que confían en ellos no solo su conectividad, comunicación y datos, sino que también delegan en ellos la seguridad informática.

Miércoles, 26 Agosto 2020

Resumen

 

Una de las funciones fundamentales de los firewalls es realizar un control de acceso, teniendo encuenta que la  toda peticion de acceso inherentemente conlleva a un riesgo, el tener un control permanente ayuda a disminuirlo y a proporcionar una oportunidad de evaluarlo, frente a las necesidades comerciales. Sin embargo, se reduce el beneficio del control cuando se limitita el acceso que se ha otorgado, erosionando su capacidad para evaluar la justificación comercial de ese acceso y aumentando el costo asociado con la gestión de la seguridad. La complejidad en la política de firewall resulta en innecesarios, anticuados, inaplicables o conflictivas reglas que permiten un acceso excesivamente permisivo o niegan erróneamente el justificado, conducen riesgo innecesario y degradan el rendimiento de la red. Dado que una encuesta reciente encontró que el 94% de los profesionales de TI y seguridad, indican que los firewalls de hoy son más críticos que nunca, un status quo es claramente inaceptable. Sin embargo, solucionar estos problemas de firewall requiere actividades a corto plazo para mejorar su estado actual y  actividades a largo plazo para evitar que se repita en el futuro los mismos problemas de ahora. Este documento analiza las implicaciones en la complejidad en la política de firewall, ¿Por qué sigue siendo un problema en la actualidad?  y ¿Cómo resolverlo?

 

Jueves, 02 Noviembre 2017
  1. 1. Deshágase del fantasma de su antecesor

Uno de los problemas más comunes que se presentan en los esquemas de seguridad son las brechas que dejó un esquema de administración anterior; bien sea porque se cambió o porque cambiaron los responsables de la administración de los equipos, o los servicios de proveedores que nos prestaban servicios.

Quedan configurados en los equipos y en la infraestructura grandes cantidades de accesos, conexiones de acceso remoto e incluso cuentas con privilegios de administrador que no deberían existir permitiendo accesos a usuarios y/o empresas que no tienen que ver con la administración de los acceso de la compañía.

Estas configuraciones son tan peligrosas como se ven al vuelo y es responsabilidad de cada administrador eliminar esas puertas traseras que han dejado las necesidades pasadas de cada administrador que ha tocado la configuración de seguridad. Siendo realistas, estos accesos pueden incluso dejar fuera de servicio toda la plataforma de red simplemente por un apagado remoto de un equipo esencial dentro del core del negocio.

¿De verdad quiere tener esa responsabilidad a cuestas?

  1. 2. Construya un inventario de sus recursos haga un mapa actualizado

Cuando se presentan problemas en redes uno de los agravantes más grandes es que no tenemos visibilidad de lo que pasa en la red, no es posible identificar si uno de nuestros servidores está saturando los canales de comunicación, ralentizando la red en general; o si en cambio, corresponde a un atacante o a un equipo infectado.

La administración de inventarios de máquinas es compleja y difícil de manejar, pero supremamente necesaria para identificar posibles vectores de ataque, por otro lado, simplificar la administración, conociendo y definiendo esquemas de visibilidad de red que pueden diferenciarse en las máquinas generando un tráfico coherente en el lugar que tiene la infraestructura. 

Un ejemplo simple sería el recurrente tráfico de protocolos de correo de las máquinas de usuarios, hacia internet, directamente por las IPs públicas de navegación; (tráfico que por cierto no debería existir) generando reportes del esquema de direccionamiento en listas negras. Si no existe un inventario organizado identificar si este tipo de tráfico proviene de una máquina de usuario infectada o del servicio de relay de alguna nueva impresora o del esquema de reportes.

Mi recomendación en este caso es un esquema, un dibujo de la red que incluya los segmentos de red y los servicios importantes en cada uno de los segmentos, es supremamente útil; además si está a la vista de todo el área de IT puede ayudar a administrar fácilmente los servicios, aprovisionar nuevas máquinas y servicios, y por supuesto, identificar.

  1. 3. Informe debidamente a los usuarios de la red que se hace

Existe la práctica extendida de realizar cambios importantes sin informar a los usuarios finales, porque como administradores tenemos la idea irrelevante que ellos se enteren de procedimientos técnicos que no entienden pero esta actitud no es muy recomendable porque se actúa en contra del administrador de seguridad y los usuarios reclamaran por el funcionamiento de servicios que antes tenían y ya no, transformando la administración de servicios de red en batallas campales que debe funcionar la infraestructura de red, en especial con usuarios directivos o de áreas estratégicas.

Seamos sinceros, nadie quiere estar peleado con el área de nómina de la compañía, (especialmente cuando se acercan las fechas de pago) mucho menos por la filosofía que ambos tienen del funcionamiento de las redes de datos. Informar a los usuarios debidamente, en un lenguaje que puedan comprender y con la anticipación necesaria; puede convertir al molesto usuario que se queja por todo en un aliado que le va a colaborar en la solución de los inconvenientes en la implementación de cualquier cambio.

  1. 4. Verifique, elimine, verifique, elimine

La tarea de un administrador de seguridad es cíclica, debe procurar permanecer actualizado con un esquema de protección de un acceso a redes que cambia todos los días. Un esquema tan dinámico deja también mucha configuración “temporal” sobre los equipos, que al final lo único que logra es dar la sensación de que las cosas funcionan “raro” además de estar debilitando la seguridad de las zonas, con permisos muy abiertos o mal definidos.

La premisa de “no hay nada más definitivo que lo temporal” es la que debemos atacar a toda costa, los permisos de último momento resuelven rápidamente problemas puntuales, generan grandes cantidades de vulnerabilidades fácilmente aprovechables por vectores de ataque, sobre carga en el rendimiento de los equipos y recursos de la compañía (como los anchos de banda en canales de internet) y complicación del esquema de políticas en las que producimos efectos como solapamiento de reglas y perdida de visibilidad (por ende control) de los tráficos.

Es necesario estar atentos en cuanto a la necesidad de toda la configuración que esta implementada sobre las plataformas y definir que se necesita y que no; políticas, perfiles, grupos, objetos de red, usuarios, horarios y demás deben ser monitoreados para verificar cuando cumplen con una labor en la configuración de los equipos y cuando han pasado a mejor vida. 

Sé lo que está pensando, es una tarea supremamente ardua que desenfoca las tareas todos los días; sin embargo, asignarse un tiempo periódico para realizar esta tarea con frecuencia le dará frutos en el futuro, simplificando su administración y mejorando el rendimiento de las herramientas. Ahora bien, si su esquema de red es muy grande para lograr avances o si por otro lado nunca había afinado su configuración antes, la tarea se torna de ardua a imposible; ¡no se preocupe! existen en el mercado herramientas y servicios por demanda que le ayudan con estas tareas dándole las mejores recomendaciones y poniendo su entorno de red a la altura de los estándares de la industria.

  1. 5. Al crear comente, al eliminar documente

Una tarea simple que le puede salvar la vida. Así es, la mayoría de los casos en los que se presenten problemas para justificar una configuración del pasado, ya sea a un jefe, a un auditor externo o a un esquema de servicio técnico, fue la falta de documentación.

Muchas compañías han pospuesto sus certificaciones a nivel de calidad de procesos porque falto en algún equipo una explicación sobre el porqué de la configuración, los auditores no tienen la paciencia, ni el tiempo para que un administrador de plataforma revise en su cola de correos para encontrar la razón de una regla de seguridad que permite que toda la compañía llegue a un servidor muy importante; lamentablemente el dictamen será que su esquema de red no cumple con el protocolo de calidad evaluado, se llenara su informe de recomendaciones de mejora, que en últimas retrasaran los procesos.

Siempre que haga cambios sobre una configuración, documente debidamente el por qué, cuando adicione a su configuración aprovéchese de los campos de comentarios en casi todos los objetos que crea: fechas, solicitantes, razones, etc… le pueden dar una idea en el futuro sobre los cambios que se realizaron y en el momento que fueron creados, ayudando a dar luces de si dicha configuración sigue siendo relevante en cualquier momento.

Al eliminar documente siempre los cambios, para que en caso de necesitar retornar a una configuración anterior, pueda rehabilitar un servicio que debe funcionar de nuevo o para resolver problemas similares usted sepa qué y cómo hacerlo (no se olvide de los backups programados).

Viernes, 15 Septiembre 2017

En el 2016 y durante el 2017 ELLIPTICAL realizó una serie de evaluaciones de seguridad de los sistemas de Firewalls, de clientes de diferentes sectores del mercado.

Como resultado de estas evaluaciones, se generaron reportes que permitieron conocer el estado de cumplimiento de las políticas configuradas en la herramienta Firewall vs los 97 Controles de las Mejores Practicas de Seguridad del Mercado, detectándose que en promedio, los clientes tienen más del 33% de sus reglas de Firewall sin usar, y el 60% de sus servicios y objetos, también se encuentren sin uso.