ESTRATEGIAS DE SEGURIDAD EFECTIVAS A TRAVÉS DE TU PLAN DE RESPUESTA A INCIDENTES

¿Cómo respondes a un incidente de seguridad? Si no cuentas con un plan, es posible que tu empresa no pueda recuperarse. Participa en esta Smartekh Talk estratégica el próximo Jueves 26 de Abril ¡Toma riesgos y capacítate para la prevención! Reserva tu lugar ahora, vacantes limitadas.
El detener los ataques hacia una red informática hoy en día requiere mucho más que tecnología de punta; esto derivado de los múltiples vectores de ataque y la basta tecnología empleada para optimizar un negocio.
Hoy el responsable de seguridad debe tener la mira en todos lados y a su vez poder reaccionar inmediatamente.
Ante el panorama de amenazas actual, un plan de respuesta a incidentes que permita detectar lo más importante en riesgos de seguridad, en el menor tiempo y mediante una mitigación automatizada; es primordial.

Diseñar un plan de respuesta a incidentes efectivo construye la base de una estrategia de seguridad integral.

Desarrollamos la Smartekh Talk Estrategias de Seguridad Efectivas a través de tu Plan de Respuesta a Incidentes para compartir contigo el próximo Jueves 26 de Abril  de 9am a 4pm, en nuestras salas de formación.
El objetivo es tener un ambiente de compartición de ideas y experiencias respecto a la detección de brechas de seguridad en las organizaciones y su mitigación oportuna.
La sesión dura aproximadamente 7 horas, en las cuales se revisarán casos de uso, aplicación a normativas o marcos de seguridad y ejemplos prácticos; que te  permitirán tener un conocimiento sólido de los beneficios de un plan de respuesta a incidentes.

¿Qué pasará en la Smartekh Talk?

Entenderás el por qué proteger la información va más allá de implementar tecnología y esperar lo mejor.

Te daremos tácticas para adoptar un enfoque proactivo que identifique y proteja los activos más importantes aprovechando tus herramientas de seguridad.

Aprenderás a utilizar tus herramientas de seguridad de una forma estratégica para un monitoreo eficaz.

Contarás con las bases para generar acciones a corto, mediano y largo plazo a fin de mejorar la detección y reacción.

Conocerás conceptos y elementos acerca de los riesgos de seguridad y la reacción para tu negocio que nadie te había enseñado.

Descubrirás los puntos clave para tener un Plan de Respuesta a Incidentes y así, reducir aún más la probabilidad de que tu organización se vea impactada en su reputación.

Saldrás inspirado, motivado y preparado para diseñar un plan enfocado en detectar y responder de forma eficaz a todo tipo de brechas, vulnerabilidades e intrusiones.

¡Tendrás una mejor técnica de defensa contra los atacantes!

 ¿Quién debería asistir?

Si eres Líder o Responsable de un equipo de Seguridad, Gerente TI o Director de Sistemas, este es el evento perfecto para ti. Mantendremos las discusiones accesibles y atractivas para que todos se lleven algo nuevo.

  • Gerente TI. Esta sesión es ideal para los gerentes de TI y/o responsables de la infraestructura tecnológica en organizaciones de cualquier tamaño, como complemento a las medidas de prevención que manejen actualmente.
  • Líder o Responsable de Seguridad. Los Líderes y Responsables del área se verán altamente beneficiados al participar en esta sesión,  pues aumentarán su nivel de protección ante el panorama de riesgos de forma tangible.
  • Director de Sistemas. Orientado a los directivos que  cada semana  se enfrentan con un reporte complejo de detección y monitoreo. La sesión es altamente efectiva para los encargados del área informática a fin de generar un plan de acción con su equipo de seguridad.

SMARTEKH TALKS & WORKSHOPS 2018

Grupo Smartekh está destinando una gran parte de su Personal Humano Especializado a diseñar sesiones de aprendizaje innovadoras, adaptativas y eficientes en donde se comparta un espacio teórico – práctico.

Para aprender y debatir sobre las herramientas y estrategias que debemos ejecutar para estar listos ante el panorama de amenazas de hoy en día.

A lo largo del año pasado, trabajando con ingenieros, administradores de sistemas, redes y seguridad, expertos y directivos de TI aprendimos que la estrategia de ciberseguridad debe evolucionar, ser adaptativa e integral.

Uno de los puntos importantes para que las empresas empiecen a adoptar una visión de seguridad adaptativa que pueda hacer frente al nuevo panorama de amenazas es el aprendizaje continuo.

Por ello, queremos que seas consciente de la importancia de tu participación en nuestra comunidad Smartekh Talks & Workshops 2018.

Invitamos a participar en estas sesiones a los administradores de Seguridad, Redes, Data Center, Nube, profesionales y  directivos de TI; a cualquiera que comparta nuestra pasión por la seguridad informática.

Serás parte de una comunidad de aprendizaje continuo sobre temas de ciberseguridad.

El objetivo: desarrollar tácticas y skills para una mejora continua en detección, prevención y protección adaptativa para enfrentar el panorama de riesgos y amenazas.

Como verás, eres una pieza clave en esta iniciativa y más aún para minimizar el riesgo de que tu empresa se vea comprometida.

Las vacantes son limitadas por lo cual tu reservación está sujeta a disponibilidad.

En pocos días iniciaremos con las primeras sesiones y queremos nos acompañes a la mayoría.

VPN´s Site to Site: Creación, Configuración y Optimización.

FEBRERO 27  Workshop

Conoce cómo crear VPN´s Site-to-Site en tu firewall Palo Alto Networks, configurar de manera óptima y aprovechar las ventajas de seguridad; confidencialidad, integridad y autenticación.

Digitalización v.s Ciberseguridad

MARZO 08  Talk

Diseña una estrategia de ciberseguridad efectiva y conoce el por qué debes considerar la Era de la Digitalización en tus objetivos y metas.

 

6 Pasos para un Ciberataque Efectivo con OfficeScan

ABRIL 12  Workshop Reserva aquí

Los riesgos de seguridad tienen varios componentes importantes empezando por los agentes de amenazas. ¿Cómo utilizas estos elementos para que los ciberataques sean efectivos?

Smartekh Talks & Workshops

 

¿QUÉ ES EL FILELESS MALWARE? LAS RAZONES POR LAS QUE ESTÁ CAUSANDO TANTOS AFECTADOS

Los fileless son un malware que no cuenta con soporte en fichero, lo que significa que realizan todo el proceso de ataque a través de la memoria RAM.

Como su nombre lo dice, esta amenaza no requiere de archivos  para infectar un host, si no que el código de malware se ejecuta en la RAM o se propaga a través del uso de scripts meticulosamente diseñados y ocultos en herramientas legítimas como PowerShell.

Hay cientos de nuevas amenazas que se enfocan en pasar desapercibidas por las herramientas tradicionales y cada vez hay más información sobre este tipo de malware y cómo funciona, pero sabes cómo nos afecta y de qué manera se pueden evitar.

Gracias a su desarrollo, este tipo de ataques actúan silenciosamente, robando todo tipo de información sensible y dejando la puerta abierta a amenazas que funcionen de forma similar. De tal forma que tal vez ya formas parte de la cifra de afectados y ¡no tienes ni idea!

Su foco principal son los servidores ya que por su naturaleza son máquinas encendidas las 24 horas del día y rara vez se apagan o reinician. Sin embargo, debemos tomar en cuenta que si el malware fileless ya ha afectado a nuestra máquina, puede volverlo a hacer si no se cierra el gap de seguridad por el que realizó su infección.

¿Por qué está siendo una amenaza similar a Ransomware?

Uno de los usos comunes de estos malware fileless es secuestrar ordenadores a través de un gap de seguridad, de tal forma que se cola en sistema pasando desapercibido y encripta los datos de acceso del usuario solicitando un rescate, igual que ransomware.

Fileless, el malware del que todos hablan. . . pero que pocos le toman la importancia que necesita.

Si nos detenemos un poco y lo analizamos, por mucho que escuchemos “nueva amenaza”, podemos comprobar que fileless forma parte del panorama de riesgos desde hace más de 3 años, solo que ahora está afectando a miles de usuarios gracias a que se aprovecha de powershell para lograr su objetivo.

Así que la pregunta obligada es ¿cómo le hago para protegerme?  Existen varias formas de evitar ser infectado por este nuevo malware y esto no significa que las herramientas de seguridad con las que cuentas no sirvan, si no que:

  • Primer paso debemos aplicar las buenas prácticas (Respaldos al día, Configuraciones Correctas).
  • Segundo paso siempre mantener actualizado nuestro antivirus.
  • Tercer paso aprovechar y tomar a nuestro favor el avance tecnológico para complementar nuestras herramientas de seguridad.

Cada vez nos damos cuenta de cómo los atacantes están ocupando su técnica “vieja y confiable” al utilizar amenazas tradicionales y solo modificarlas para que pasen desapercibidas ante las nuevas medidas de seguridad. La recomendación final es que a la hora de pensar en una solución de seguridad para complementar tu estrategia consideres una herramienta que incorpore tecnología de detección de comportamientos.

Es un hecho que aunque las herramientas de seguridad como el antivirus nos ayudan a disminuir la superficie de ataque, sin embargo para detectar actividades sospechosas a tiempo, conseguir un alto nivel de protección y cerrar los gaps de seguridad en el sistema existen herramientas que pueden detectar el comportamientos del malware, analizando los procesos que se van ejecutando en el sistema y aquellos que muestran cierto tipo de actividades que no son habituales.

Si estás cansado de pensar si serás víctima o no, o si tus herramientas son realmente eficaces para evitar ser afectado y quieres conocer cómo optimizar los esfuerzos de tu equipo de TI y optimizar tus soluciones de seguridad puedes hablar con uno de nuestros consultores expertos.

Aquí te compartimos un breve video con los 5 puntos por los que los ataques fileless se aprovechan de PowerShell de forma visual.

Ataques Fileless en Powershell
Ataques Fileless en Powershell

 

TODO LO QUE NECESITAS SABER DE MELTDOWN Y SPECTRE

Seguramente ya estás al tanto de las noticias sobre la liberación temprana de los parches de actualización de Microsoft debido a las primeras afectaciones de 2018.

Microsoft lanzó su boletín de seguridad mensual anticipadamente debido a defectos de seguridad de CPU y que son aprovechados por “Meltdown” y “Spectre”Los parches de windows modifican el acceso a llaves de registro por lo que ahora surgen nuevos requisitos para garantizar que el software de seguridad y antimalware sea compatible así como otras aplicaciones.

¿Por qué estas vulnerabilidades asociadas a Meltdown y Spectre deberían importarte?

Estas vulnerabilidades permiten a un atacante  aprovechar el cache básico el cual es utilizado por todas las CPU modernas para optimizar el rendimiento.

¿A quiénes afecta?

Son vulnerabilidades masivas que afectan a cientos de millones de usuarios de Windows, Linux, MacOS X y Google Android en todo el mundo.

¿Qué hacen?

Estos defectos de hardware(bugs), permiten a los programas robar datos que actualmente se procesan en la computadora. Este robo de datos puede incluir tus contraseñas almacenadas en un administrador de contraseñas o un navegador, fotos personales, correos electrónicos, mensajes instantáneos e incluso documentos críticos para el negocio.

¿Qué debo hacer?

Microsoft, Amazon, VMware, Google, entre otros proveedores de infraestructura  de TI están lanzando comunicados para ayudarte a minimizar impactos.

Microsoft ha implementado un nuevo requisito para una Clave del Registro que debe instalarse para habilitar las actualizaciones automáticas de Windows. El objetivo es garantizar que el software de seguridad de punto final instalado sea compatible con los parches.

Es importante mencionar que este no es un error de tus soluciones de ciberseguridad, es un error a nivel hardware (CPU). Los principales proveedores de soluciones tecnologías de protección se encuentran evaluando el impacto y las posibles alternativas ante esta amenaza.

¿Dónde puedo encontrar más información?

Aquí te compartimos algunos links de los sitios web que pueden servir como principales fuentes de información en torno a esta cuestión, los cuales se actualizarán a medida que se detecten las mejores soluciones.

En Grupo Smartekh creamos el apartado en donde encontrarás información actualizada e interesante sobre Meltdown y Spectre.

Meltdown-y-Spectre-que-tengo-que-hacer
Meltdown-y-Spectre-que-tengo-que-hacer

DIPLOMADO EN CIBERSEGURIDAD CON LA UNAM Y GRUPO SMARTEKH

¿Te gustaría conocer mejor, los niveles de seguridad de la información en tu empresa?

¿Y saber cómo fortalecer y complementar tu estrategia con la del negocio?

Si eres un:

  • Consultor freelance que quiera dar un empujón a la visión de negocio con la propia de cyber seguridad
  • Un apasionado de la cyber seguridad que quiera convertirse en experto en Seguridad de la Información
  • Un responsable del área de cyber seguridad en una PYME
  • Un formador de profesionales en T.I.
  • Un asesor de Cyber Seguridad en diversas empresas
  • Un gerente de cyber seguridad
  • Un administrador o supervisor de cyber seguridad

En general si eres un profesional de TI interesado en generar valor para tu área y buscas convertirte en el pilar estratégico para enfrentar los retos disruptivos de los avances tecnológicos, mediante el uso estratégico de herramientas de seguridad informática, este Diplomado en Ciberseguridad es para ti.

Diplomado en Ciberseguridad realizado con la Universidad No. 1 de Latinoamérica: la UNAM

Creado para que te conviertas en el profesional de T.I. experto en México.

UNAM- 184 HRS 16 MÓDULOS  [AGOSTO 2018- FEBRERO 2019]

¡TÚ PUEDES SER EL PRÓXIMO EXPERTO EN CIBERSEGURIDAD!

Este diplomado está pensado para todos aquellos que quieran convertirse en expertos en Ciberseguridad y gestionen el área de seguridad en su organización. Es ideal para personas que no tienen un perfil muy técnico pero cuentan con skills matemáticos y conocimientos básicos en T.I.; que quieren sumergirse en el mundo de la seguridad informática.

La ciberseguridad es un herramienta vital y utilizada por las organizaciones de todos tamaños que permite proteger los activos más importantes de la organización, las aplicaciones críticas para las empresas y ser un aliado de la inversión en el negocio.

Exclusivo Diplomado de Ciberseguridad (Presencial) para convertirte en el mejor Profesional de Seguridad Informática y llevar a tu organización al éxito.

Asesoría personal por parte de cada uno de los instructores de gran nivel en el Sector de Seguridad en México, todos ejerciendo puestos importantes en el área de Seguridad de grandes organizaciones.

  • •M.C. Leobardo Hernández Audelo.
  • •Dr. José de Jesús Vázquez Gómez.
  • •M.C. José María Campaña.
  • •Dr. Alfredo Alejandro Reyes Krafft.
  • •M.C. Dante Arturo Téllez Guevara.
  • •M. I. Gerardo Huerta Lozada.
  • •Ing. Luis Alberto Treviño Ramírez.

La actual versión 2.0 representa el inicio de la última actualización e incorpora temas como Forense, PenTest, Seguridad en Móviles, Seguridad en la Nube, Big Data y otros de gran demanda y actualidad.

  • Módulo 1: Criptografía (12 Hrs.)
  • Módulo 2: Aplicaciones de la Criptografía a la Seguridad (16 Hrs.)
  • Módulo 3: Modelos de Control de Acceso y Autenticación (12 Hrs.)
  • Módulo 4: Análisis y Administración de Riesgos (08 Hrs.)
  • Módulo 5: Seguridad en Redes (16 Hrs).
  • Módulo 6: Estándares y Marcos de Referencia (08 Hrs.)
  • Módulo 7: Seguridad en Bases de Datos y Big Data (08 Hrs.)
  • Módulo 8: Legislación Nacional e Internacional y Propiedad Intelectual (08 Hrs.)
  • Módulo 9: Sistemas de Detección, Prevención de intrusos y Monitoreo (16 Hrs.)
  • Módulo 10: Protección de Sistemas Operativos (12 Hrs.)
  • Módulo 11: Seguridad en Virtualización y Nube (12 Hrs.)
  • Módulo 12: Hackeo Ético y Pentest (12 Hrs.)
  • Módulo 13: Seguridad en Dispositivos Móviles (12 Hrs.)
  • Módulo 14: Administración de la Seguridad (08 Hrs.)
  • Módulo 15: Análisis y Cómputo Forense (12 Hrs.)
  • Módulo 16: Herramientas y Protocolos de Seguridad (12 Hrs.)

¿EN QUÉ CONSISTE EL DIPLOMADO?

Durante 6 meses estaremos viéndonos, los Viernes de las 05pm a 09pm y Sábados de 09am a 01pm presentando una nueva lección del Diplomado. A través de estas 46 sesiones bajo un curso con sus ejercicios y tareas especiales además de asesorías personales con los expertos.

Tendrás examen presencial por cada módulo cursado, para aprobar deberás alcanzar una calificación arriba de los 80 puntos y no deberás rebasar las inasistencias permitidas.

Durante cada sesión te ayudaremos a solucionar todas las dudas que tengas en relación al curso.

Si tienes un proyecto en ciberseguridad a tu cargo y quieres que sea exitoso, durante el mentoring te enseñaremos a conseguir las mejores tácticas y estrategias para aumentar el nivel de ciberseguridad en tu organización, aprovechar tus soluciones tecnológicas, alinear tus procesos y la estrategia del negocio con la propia de la seguridad en la información.

Todos los alumnos formaran parte de un grupo privado exclusivo en Linked In, ahí podrás exponer tus dudas, ayudar a tus compañeros y hacer networking.

Te acompañamos durante 6 meses para que tu formación esté respaldada por profesionales.

Nos implicamos al 100% con cada profesional porque queremos que aprendan al máximo.

Completamos cada módulo con ejercicios prácticos para que mejores en tu operación del día a día y no se te escape nada.

Contamos con gran experiencia en el mundo de la seguridad informática.

¿PARA QUÉ TE SERVIRÁ ESTE DIPLOMADO?

  • Para convertirte en un profesional experto en Seguridad de la Información
  • Para llevar la seguridad de tu negocio de forma autónoma
  • Para que te sea más fácil conseguir trabajo relacionado con el mundo de seguridad T.I.
  • Para diseñar una estrategia de seguridad exitosa
  • Para poder gestionar que las soluciones de seguridad están funcionando correctamente
  • Para crear estrategias de seguridad que funcionen

Hemos creado un Diplomado en Seguridad de la Información único para que te conviertas en el mejor profesional de T.I. en el sector de seguridad en México.

¿QUÉ ENCONTRARÁS EN ESTE DIPLOMADO?

Ejercicios Teórico prácticos enfocados a la seguridad de la información aplicable en el negocio. +

Casos prácticos de los temas en Seguridad que realmente importan en la organización

Acceso a la Comunidad Privada en Linked In de exalumnos y profesores.

6 meses de duración (184 hrs – 46 de Sesiones de 4hrs)

Diploma Certificado por parte de la UNAM al alcanzar el promedio requerido.

Constancia de participación si no alcanzas los requisitos de aprobación.

¿POR QUÉ DECIMOS QUE ES ÚNICO?

Ofrecemos un diplomado con asesorías personalizadas con cada instructor, con ejercicios en el entorno de seguridad en el negocio “real” porque sabemos que cada profesional de TI es único y se enfrenta a diferentes retos en su desarrollo diario.

¡INSCRÍBETE YA!

6 meses es el tiempo suficiente para dar un gran paso cualitativo en tu proyecto o en tu carrera laboral. En sólo 6 meses estarás mucho más cerca de convertirte en el experto en Ciberseguridad que puedes llegar a ser.

Este Diplomado te prepara para cualquier certificación de seguridad que quieras realizar incluyendo CISSP y CISA, no incluidas en el desarrollo del curso.

Si quieres triunfar con este curso tienes que empezar a hacer una cosa: trabajar duro. Los instructores te guiarán, pero el motor más importante para avanzar será tu propia implicación.

¡Invertir en conocimientos produce siempre los mejores beneficios!

-Benjamín Franklin

->RESERVA TU LUGAR YA <–

DIPLOMADO-EN-SEGURIDAD-DE-LA-INFORMACION-2017--UNAM

7 AMENAZAS IOT QUE DEBES TOMAR EN CUENTA

El ataque de denegación de servicio (DDoS) sufrido por el ISP Dyn el pasado 22 de Octubre donde se vieron involucradas millones de direcciones IP evidencia que la vulnerabilidad y utilización de dispositivos IoT en ataques dirigidos es un amenaza avanzada a tomar en cuenta. En este post revisaremos siete de estas tecnologías que son candidatas para ser utilizadas de nuevo en futuras ofensivas.

LAS SIETE AMENAZAS IOT

  1. Routers de redes caseras: De todos los dispositivos conectados a Internet en los hogares en estos días, el router de la red sigue siendo el mayormente atacado. Un estudio de 653 profesionales de TI y cerca de 1.000 empleados a distancia realizado por Tripwire, que mostró un 80% de los routers inalámbricos de mayor venta para pequeñas oficinas domésticas tiene vulnerabilidades de seguridad. Además más del 50% de todos los routers en todo el mundo tienen el usuario y contraseña por defecto o combinaciones básicas, como “admin” y “password”, mientras que un 25% adicional tenía como contraseña la dirección del usuario, cumpleaños o su nombre. No es sorprendente que los atacantes toman ventaja de los routers domésticos vulnerables para enviar spam, crear botnets y el lanzar ataques DDoS.
  2. Digital Video Recorder (DVR): Estos dispositivos utilizados comunmente en los hogares para grabar programas de televisión se han convertido en un blanco favorito de los atacantes y han sido utilizados en los ultimos ataques DDoS. Son entregados con mínimos o sin controles de seguridad, la mayoría estan conectados a internet con passwords por default y ya que la mayoria son integrados con partes de los mismos fabricantes por ende una falla de seguridad en un producto es altamente probable se replique en varios más.
  3. Dispositivos Smart (Refrigeradores, TV. etc.): En Enero de 2014 un investigador del fabricante Proofpoint que analizaba spam y otras amenazas descubrió que por lo menos un refrigerador conectado a Internet que era utilizado para entregar spam, este incidente fue la primera prueba de que estos dispositivos tienen el suficiente poder para ser utilizados en botnets o  aún mas preocupante como puntos de acceso a una red.
  4. Dispositivos Médicos Implantables: Las vulnerabilidades en dispositivos médicos implantables con capacidad inalámbrica tales como bombas de insulina, marcapasos y desfibriladores los convierten en blancos atractivos para los ataques maliciosos. En los últimos años, los investigadores de seguridad han demostrado cómo los atacantes pueden aprovechar los protocolos de comunicación sin cifrar y, en general débiles en este tipo de dispositivos para obtener el control remoto de ellos y conseguir que se comporten de una manera potencialmente letales.
  5. Sistemas SCADA: Pocas personas piensan que los sistemas SCADA (Supervisory Control and Data Acquisition) que se utilizan para gestionar los equipos de control industrial e infraestructura crítica son parte de IoT, lo son y poseen vulnerabilidades que los hacen blancos atractivos para el cibercrimen. Hasta hace relativamente poco no estaban conectados a Internet y por tanto no requerian el mismo tipo de controles de seguridad que otros sistemas conectados, pero ahora tienen esta capacidad activa  por lo que los ataques a estos sistemas podrían tener consecuencias físicas sustanciales. En 2007,  investigaciones del rubro han demostrado cómo los atacantes podrían destruir una red eléctrica a través de ellos ya que controlan los equipos pero el daño físico no es la única preocupación se puede utilizar sistemas SCADA comprometidos en ataques DDoS o de ransomware.
  6. Monitores de Bebé: Estos productos de consumo utilizados para monitorear bebes son vulnerables a ataques o ser comprometidos, poseen contraseñas propias de sistema imposibles de cambiar, comunicaciones no cifradas, elevación de privilegios, cuentas backdoor entre otras fallas de seguridad que pueden permitir a un atacante alterar su funcionamiento, tomar control total o interceptar el video transmitido. Incluso pueden ser utilizados como pivote para hacer movimientos laterales en una red no segmentada por ejemplo si alguien realiza trabajo desde casa conectandose a su red corporativa corre un alto riesgo.
  7. Automoviles conectados: Es una realidad que desde hace algunos años existen automoviles que poseen numerosos componentes que son accesables a través de la red por lo tanto estan expuestos y son blanco del cibercrimen.Los ejemplos más dramáticos siguen siendo parte de los investigadores de seguridad Chris Valasek y Charlie Miller de Centro de Tecnología Avanzada de Uber. Durante los últimos dos años, los investigadores han demostrado cómo podrían explotar las debilidades de un controlador de red en un Jeep Cherokee para obtener el control remoto de los sistemas de acelerador, freno y dirección del vehículo. Los investigadores han realizado tambien ataques prueba exitosos en modelos de Toyota y Ford.

LAS 4 CLAVES DE UN EXPLOIT KIT PARA ATACARTE Y CÓMO DEBES DEFENDERTE

Seguramente te has encontrado en situaciones donde tu equipo de cómputo se ha infectado con algún virus pero desconoces como fue que se dio esa infección. O te has encontrado con usuarios que tienen su equipo infectado pero te aseguran que ellos no ejecutaron ningún programa.

Tampoco abrieron documentos de dudosa procedencia, no bajan programas de internet y mucho menos entran a páginas de pornografía o juegos gratis. Si todo esto es cierto… ¿entonces cómo se infectaron?

Anteriormente la forma más utilizada de infección de un equipo de cómputo era mediante la ejecución  de un archivo, el cual en pocas palabras contenía el virus que infectaría tu equipo. Hoy en día ésta técnica no ha desaparecido del todo, pero sí ha disminuido notoriamente su utilización.

Una de las técnicas que ha aumentado notoriamente es el uso de Exploit Kits.

Pues, mediante los Exploit Kits el atacante no requiere que el usuario instale un programa, ejecute un archivo o que conecte una USB; para el usuario esta infección pasará completamente desapercibida y el ataque se produce solo.

Un Exploit Kit, se puede interpretar como un contenedor de programas que aprovechan vulnerabilidades de sistemas operativos o aplicaciones. Estos Exploit Kits se colocan detrás de un sitio web falso o legítimo y aprovechan la información que entregan los navegadores de los usuarios sobre los programas que tienen en sus equipos de cómputo.

Una vez que el Exploit Kit obtiene la información sobre los programas instalados con detalles completos como la versión que se está ejecutando, éste decide que programa es el ideal para aprovechar una vulnerabilidad o debilidad de código del sistema operativo o de alguno o varios de los programas instalados; para así realizar una infección completamente silenciosa y lograr adentrarse en la información de tu empresa.

¿Pero, cómo trabaja un atacante con el Exploit Kit?

Los atacantes realizan la infección en 4 principales fases:

1) Creación del sitio

Lo pueden hacer de la siguiente forma:

  • Crean un sitio web ocultando el Exploit Kit.
  • Agregan código a una página web legítima, para que cuando se acceda a ella se realice una redirección al sitio malicioso donde está alojado el Exploit Kit.
  • Generan anuncios en internet “banners” que al ser mostrados por los navegadores web, realizan una redirección hacia el sitio web malicioso donde se aloja el Exploit Kit.

2) Atracción del usuario

Una vez que los atacantes cuentan con su sitio web “víctima”, lo que necesitan es atraer al usuario:

  • Mediante el envío de correos electrónicos que traigan un link para acceder a la página. Intentado engañar a los usuarios para que den clic.
  • Mostrando anuncios en el buscador de google. Estos se muestran regularmente en los primeros resultados de búsqueda y son”identicos” a los originales.
  • Infectando sitios web legítimos para que el usuario acceda de forma natural y no sospeche de actividades desconocidas.

3) Aprovechamiento de una vulnerabilidad o debilidad en código

Una vez que el usuario ha sido re direccionado a un sitio web malicioso, el atacante ahora está interesado en conocer que aplicaciones y que versiones están instaladas en el equipo, aquí es donde comienza a jugar el Exploit Kit:

  • Mediante una vulnerabilidad del navegador web obtendrá información de aplicaciones instaladas y sus versiones como pueden ser: Java, Adobe Reader, Adobe Flash, Windows Media, etc…
  • Con la información anterior, el Exploit Kit elige de forma automática que información o secuencia de datos enviará al equipo para aprovechar alguna debilidad de código de las aplicaciones reconocidas o en el mismo sistema operativo.
  • Estas instrucciones realizarán actividades en el equipo, como descargar un programa de forma silenciosa, abrir algún puerto para establecer una conexión, o incluso comenzar el proceso de cifrado de Ransomware. Todo esto sucederá sin que el usuario lo percate.

4) Infección del equipo

El último paso es el cumplimiento del objetivo del atacante, tras:

  • Realizar conexiones a otros equipos de la red para obtener información importante.
  • Revisar los archivos y la información que existe en el equipo atacado y extraerla.
  • Cifrar todo la información que existe en el equipo y solicitar el paque de un rescate para recuperar el acceso.
  • Entorpecer las actividades del usuario ralentizando el equipo de cómputo.

Asegúrate de proteger a tus usuarios desde el principio con estas cinco recomendaciones que te ayudarán a cerrarle la puerta a los atacantes.

Este tipo de ataques han aumentado su popularidad en los últimos años, algunos de los más populares son: SweetOrange, Angler, Magnitude, Rig, Nuclear.

Actualmente se conocen más de 70 exploit kits con diferentes nombres.

Si quieres reducir la probabilidad de infección mediante este tipo de ataques, aquí te dejo 5 tips de seguridad que puedes aplicar para reducir la probabilidad de infección mediante Exploit Kits.

TIP 1) Mantén tu software actualizado con los últimos parches de seguridad.

No solo te enfoques en los parches del sistema operativo, también actualiza los programas instalados y sobre todo asegúrate de tener actualizados tus navegadores.

TIP 2) Define el uso de un solo navegador en tu institución.

Si te es posible, define el uso de un solo navegador en tu organización; de esta forma reducirás la probabilidad de ataques sobre un solo navegador y no aumentarás la superficie de riesgo al manejar múltiples navegadores.

TIP 3) Evita trabajar con sistemas operativos legacy.

Aquellos sistemas operativos ya no soportados por el fabricante son los más débiles, dado que ya no cuentan con parches de seguridad para nuevas vulnerabilidades que se detecten, por lo que estarás completamente desprotegido. Recuerda Windows XP y Windows 2003 ya no tienen soporte ni actualizaciones de seguridad por parte de Microsoft. Si es necesario que sigas trabajando con ellos busca una solución que te otorgue seguridad para esos ambientes.

TIP 4) Protege a nivel perímetro la navegación del usuario.

Instala en tu organización una solución de seguridad a nivel perímetro que escanee en tiempo real la navegación del usuario, identificando vulnerabilidades en protocolo y aplicaciones que serán aprovechadas por los Exploit Kits. Si logras contar con una solución que tenga firmas de detección de Exploit Kits impleméntala y podrás reducir aún más el ataque en sus primeras fases.

TIP 5) Bloquea los advertisements.

Uno de los métodos más comunes para llevar al usuario al sitio malicioso es mediante el uso de pop-ups de anuncios en internet; adquiere una solución para su bloqueo.

¿Qué esperas? ¡Es tiempo de cerrar el camino a los atacantes protegiendo a los usuarios de tu organización! Si tienes más consejos compartelos aquí.

No dejes de aplicar estas recomendaciones para disminuir el riesgo de ser infectado y nunca dejes de confirmar que los usuarios están siguiendo las mejores prácticas. Si tienes dudas de cómo empezar a complementar tu estrategia de seguridad con protección a nivel endpoint  o de que foma puedes implementar las herramientas de seguridad para alinearlas a los objetivos de negocio puedes agendar una asesoría gratuita conmigo aquí. 

cta-dummies

7 PUNTOS PARA REDUCIR EL RIESGO DE UNA BRECHA EN TU BASE DE DATOS

No es ningún secreto que las bases de datos son un terreno fértil para actividades maliciosas. En esta entrada hablaremos de siete puntos clave asociados a una brecha que te permitirán reducir el riesgo al identificarlos.

El ciberataque recientemente anunciado a Yahoo,  donde 500 millones de cuentas de usuarios se vieron comprometidas durante varios meses, es una prueba irrefutable de una realidad alarmante donde las bases de datos son un blanco atractivo para el cibercrimen y muchas organizaciones son incapaces de protegerlas.

Ya sea a través de una credencial de administrador de sistema robada, un exploit personalizado, un tercero irresponsable o personal interno, las bases de datos permanecen en riesgo inminente de un acceso no autorizado. A pesar de que estos repositorios contienen datos relacionados a salud, empleo, crédito, información financiera, educación, propiedad intelectual y demás información de gran valor, muchas organizaciónes son incapaces de identificar visitantes no deseados una vez que han obtenido acceso. Esta es la causa del porque la base de datos de Yahoo llevaba meses comprometida y sin haberse detectado la brecha.

Nadie esta exento, ya sea en un ataque dirigido o aleatorio los cibercriminales están conscientes que es de los recursos informáticos mas vulnerables y donde pocas empresas han invertido en seguridad.

LA ALARMANTE FALTA DE VISIBILIDAD Y MONITOREO

Una encuesta Osterman Research, llevada a cabo en aproximadamente 200 organizaciones con promedio total de 22,000 empleados revela una sorprendente falta de seguridad en el rubro. Entre las estadísticas más preocupantes del informe, sólo el 20% de los encuestados indicó que supervisan continuamente las bases de datos críticas para detectar actividades no autorizadas. En otras palabras, cuatro de cada cinco no realizan ningún tipo de vigilancia o lo hacen de forma intermitente.

El monitoreo de bases de datos es un proceso en el cual una organización capta de forma continua, analiza, prueba y verifica las transacciones, este el único mecanismo por el cual se puede detectar accesos no autorizados. Sin embargo un error común es considerar un programa de monitoreo poseer logs de la misma. Este tópico requiere enfásis ya que los logs son un componente crítico del proceso de seguimiento, pero la acumulación de datos de registro no tiene ningún sentido sin un análisis en curso, pruebas y verificación de la actividad del sistema que nos permita detectar e interrumpir ataques.

IMPLEMENTACION DE UNA ESTRATEGIA

Un elemento fundamental en un programa eficaz de supervisión es la implementación de un mecanismo de alerta automatizado. Sin un proceso para generar alertas en tiempo real, solo acumularemos un enorme volumen de transacciones donde el tráfico “usual” no permitirá centrarnos en el análisis profundo que nos permita identificar posibles brechas.

La alerta puede ser en forma de un correo electrónico, mensaje de texto o llamada telefónica automatizada para el auditor de seguridad de la información a cargo. Al recibir una alerta, es imperativo que el responsable posea un plan de respuesta a incidentes  ante cualquier posible amenaza. Hay ciertas condiciones identificadas como signos clave de un ataque y debemos tener conocimiento de ellos cuando ocurren, el proceso debe generar una alerta y proceder a una investigación en tiempo real; los signos son:

  • Modificación de una tabla, columna o fila: indicativo de un ataque de manipulación de datos;
  • Desactivación del log : usualmente precede a un ataque de la base de datos
  • Acceso a la base de datos desde una dirección IP no reconocida: indica acceso desde un lugar sospechoso.
  • Intento de acceder a un segmento restringido de la base de datos: indica elevación de privilegios
  • Acceso en horas y fechas no convencionales: indica una credencial de usuario robada utilizada en horarios sospechosos.
  • Copia de la información: indica intento de robo de la información
  • Intentos de transferir o exportar grandes cantidades de información: Esto indica el robo de datos.

Todos estos eventos son a menudo asociados con acceso no autorizado, por lo tanto, cada uno deben verficarse y analizarse.