NextVision
0
Cuando se trata de ciberseguridad, el mundial lo jugamos todo el año.
¡Defiende tu portería y no dejes que los ciberdelincuentes sean los goleadores!
Presta especial atención a las comunicaciones que recibas. Los ciberdelincuentes aprovechan cualquier contexto y distracción para realizar sus ataques.
NextVision
0
Los cibercriminales se encuentran siempre al acecho de nuevas víctimas. En el caso particular de esta industria multimillonaria, los juegos se han convertido en una entidad con vida propia a través de lanzamientos, actualizaciones y comunidades en línea. Esto también los convierte en terreno fértil para crear estafas y engaños.
NextVision
0
Se acercan las Navidades y comienza la época de mayor consumo del año. La mayoría de las compras se realizan a través de plataformas e-commerce y los ciberdelincuentes aprovechan especialmente estas fechas para atacar a los usuarios
Debemos estar prevenidos y tener conciencia de los posibles riesgos a los que nos enfrentamos cuando tratamos de hacer una compra online.
Aquí te compartimos recomendaciones que es importante que tengamos en cuenta para comprar de manera segura:
Desde NextVision, creemos que es fundamental promover una cultura de la ciberseguridad para evitar vernos afectados por los ciberatacantes que aprovechan los despistes de los usuarios para robar información sensible o realizar estafas.
Ante la duda, ¡evita hacer clic!
NextVision
0
Ha sido detectada una vulnerabilidad critica (Apache Log4j Vulnerability) que afecta a la librería de registro Apache Log4j basada en Java.
Esta vulnerabilidad afecta a la librería de registro Java Apache log4j, herramienta desarrollada por Apache Foundation que ayuda a los desarrolladores de software a escribir mensajes de registros y cuyo fin es dejar una constancia de una determinada transacción en tiempo de ejecución. Log4j también permite filtrar los mensajes en función de su importancia.
El Zero-Day se encuentra en la librería de registro de Java Log4j (2.0 – 2.14.1) que permite realizar una ejecución remota de código (RCE) al crear un paquete de solicitud de datos.
El mecanismo de Apache Log4j utiliza las funciones JNDI de la configuración. Los mensajes de registro y los parámetros no protegen contra el protocolo LDAP controlado por atacantes y endpoints relacionados con JNDI.
Un atacante que puede controlar mensajes de registro o parámetros de mensajes de registro puede ejecutar código arbitrario cargado desde servidores LDAP cuando la sustitución de búsqueda de mensajes está habilitada.
1. Revisar ficheros de configuración buscando log4j2.formatMsgNoLookups y la variable de entorno LOG4J_FORMAT_MSG_NO_LOOKUPS. Deben estar en True.
2. Revisar aplicaciones de Java:
3. Revisar si se ha tenido un aumento de conexiones DNS: Los intentos se han focalizado en el uso de las POC que explotan la vulnerabilidad conectando con servidores de DNS. Un aumento fuera de lo habitual en las conexiones salientes a DNS puede ser indicativo de explotación exitosa.
4. Aplicar listas blancas en la salida de internet en caso de duda de estar usando la librería log4j.
5. Revisar si tiene uno de estos aplicativos.
6. Revisar en logs estos IOC.
7. En caso de sospechas revisar los logs de las aplicaciones para buscar “jndi” se pueden apoyar en los estos scripts.
8. Revisar si se está usando log4j.
1. Los usuarios deben actualizar a Apache Log4j 2.13.2, que soluciona el problema en LOG4J2-2819 al hacer que la configuración de SSL sea configurable para las sesiones de correos SMTPS.
2. En el caso de versiones anteriores, los usuarios pueden establecer prioridad del sistema mail.smtp.ssl.checkserveridentity en “true” para habilitar la verificación del nombre host SMTPS para todas las sesiones de correos SMTPS.
3. Por otra parte, los usuarios de Java7+ deben migrar a la versión 2.8.2 o evitar el uso de las claves de servidor de socket.
4. Los usuarios de Java 6 deben evitar el uso de las clases de servidores socket TCP o UDP.
A continuación, te compartimos las acciones de mitigación que deben implementar en tu organización en caso de contar con servicios de los siguientes vendors:
Fortinet ha creado una alerta para este incidente que permite realizar un seguimiento y aplicar protecciones contra el problema utilizando Fortinet Security Fabric.
Protección de firma IPS (FortiOS)
Fortinet ha lanzado la firma IPS Apache.Log4j.Error.Log.Remote.Code.Execution, con VID 51006 para abordar esta amenaza. Esta firma se lanzó inicialmente en el paquete IPS (versión 19.215). Hay que tener en cuenta que, dado que se trata de una versión de emergencia, la acción predeterminada para esta firma está configurada para aprobar y hay que modificar las acciones según las necesidades.
Cortafuegos de aplicaciones web (FortiWeb y FortiWeb Cloud)
Las firmas de aplicaciones web para prevenir esta vulnerabilidad se agregaron en la base de datos 0.00301 y se actualizaron en la última versión 0.00305 para una cobertura adicional.
Productos de Fortinet afectados
Para los productos afectados por Fortinet, consulte aquí para obtener más detalles. Este Aviso se actualizará a medida que se implementen las mitigaciones y se publiquen versiones modificadas.
SophosLabs
Han implementado una serie de reglas IPS para escanear en busca de tráfico que intente aprovechar la vulnerabilidad Log4J.
Dicha vulnerabilidad requiere una defensa en profundidad. Las organizaciones deben implementar reglas para bloquear el tráfico de explotación de todos los servicios conectados a Internet (Sophos IPS actualmente bloquea el tráfico que coincide con las firmas de explotación conocidas de Log4J). Pero la protección a largo plazo requerirá identificar y actualizar instancias de Log4J o mitigar el problema cambiando la configuración en Log4J.
Kaspersky
Kaspersky tiene conocimiento de las PoC en el dominio público y de la posible explotación de CVE-2021-44228 por parte de los ciberdelincuentes. Nuestros productos protegen contra ataques que aprovechan la vulnerabilidad, incluido el uso de PoC. Los posibles nombres de detección son:
UMIDS: Intrusion.Generic.CVE-2021-44228.
PDM: Exploit.Win32.Generic
Veredictos de KATA :
Exploit.CVE-2021-44228.TCP.C & C
Exploit.CVE-2021-44228.HTTP.C & C
Exploit.CVE-2021-44228.UDP.C & C
Mitigaciones para CVE-2021-44228
Los productos de Kaspersky no se ven afectados por la vulnerabilidad CVE-2021-44228.
Indicadores de compromiso (COI)
• 1cf9b0571decff5303ee9fe3c98bb1f1
• 194db367fbb403a78d63818c3168a355
• 18cc66e29a7bc435a316d9c292c45cc6
Forcepoint
Productos afectados
Descripción de la vulnerabilidad
Se ha identificado una vulnerabilidad crítica que permite a un atacante remoto no autenticado ejecutar código arbitrario que compromete el servicio de administración. El componente vulnerable se ha identificado como Java log4j. A esta vulnerabilidad se le ha asignado la identificación CVE-2021-44228.
Para obtener la lista completa de productos Forcepoint y su estado actual, consulte Vulnerabilidad de ejecución remota de código de día cero Apache log4j CVE-2021-44228.
Forcepoint Cloud
Forcepoint Cloud Security Gateway (CSG) como Cloud Web Security y Cloud Email no son vulnerables.
Forcepoint DLP
Forcepoint DLP Manager se considera vulnerable debido a la versión de log4j que se está utilizando y se recomienda aplicar los pasos de mitigación.
El siguiente artículo de la base de conocimientos describe los pasos de mitigación inmediatos para esta vulnerabilidad:
CVE-2021-44228 Mitigación de la vulnerabilidad de Java log4j con Forcepoint DLP
Forcepoint Security Manager (Web, correo electrónico y DLP)
Forcepoint Security Manager se considera vulnerable debido a la versión de log4j que se está utilizando; sin embargo, Forcepoint no ha podido replicar las vulnerabilidades conocidas de la vulnerabilidad. Sin embargo, es muy recomendable aplicar los pasos de mitigación.
El siguiente artículo de la base de conocimientos describe los pasos de mitigación inmediatos para esta vulnerabilidad:
CVE-2021-44228 Mitigación de la vulnerabilidad de Java log4j con Forcepoint Security Manager
Soluciones alternativas
Recomiendan implementar esta mitigación lo antes posible. Forcepoint también está trabajando para lanzar nuevas versiones con las bibliotecas log4j actualizadas incluidas.
El proveedor, proporcionará a los clientes un script que realizaría esta mitigación manual de manera automatizada. El script se publicará como una revisión a través del sitio web de soporte. El desarrollo de la secuencia de comandos ya está en progreso y proporcionaremos actualizaciones a medida que continuamos con nuestras pruebas.
F-Secure
Han identificado que esta vulnerabilidad también afecta a los siguientes productos:
Todas las versiones de estos productos están afectados.
El procedimiento para solventar esta vulnerabilidad es el siguiente:
1. Descargar el parche desde el servidor de F-Secure.
2. Comprobar el hash SHA256 del archivo, si es posible, para verificar su integridad. Debería ser 64f7e4e1c6617447a24b0fe44ec7b4776883960cc42cc86be68c613d23ccd5e0.
3. Detener el servicio Policy Manager Server.
4. Copiar el archivo descargado en:
• Administrador de políticas de Windows: C:\Program Files (x86)\F-Secure\Management Server 5\lib\
• Windows Endpoint Proxy: C:\Program Files\F-Secure\ElementsConnector\lib
• Linux (todos los productos): /opt/f-secure/fspms/lib
• Iniciar el servicio Policy Manager Server.
Tras el reinicio del servicio, el parche se aplicará automáticamente.
Security Scorecard
A medida que se desarrolla la situación, SecurityScorecard se compromete a ayudarlo a evaluar el impacto potencial en su organización y sus terceros. Siga los siguientes cinco pasos de inmediato:
1. Compruebe si su organización se ve afectada.
Es probable que cualquier activo se vea afectado si ejecuta una versión de Log4j posterior a la 2.0 y anterior a la 2.15.0, la versión fija. Revise los resultados del análisis de vulnerabilidades más recientes, que probablemente contengan la ubicación de cualquier instalación de Log4j activa en el entorno. También puede consultar los registros de aplicaciones en la nube en busca de cadenas que coincidan con la sintaxis jndi.ldap . Esto identificará cualquier instancia de escaneo o intentos de explotación activos.
Nota: Un sistema solo está potencialmente comprometido si la solicitud fue procesada por una versión vulnerable de Log4j. De lo contrario, la actividad no debe considerarse sospechosa.
2. Actualice a Log4j versión 2.15.0 inmediatamente.
Encuentre la última versión en la página de descarga de Log4j . La versión 2.15.0 requiere Java 8 o posterior, así que asegúrese de que Java esté ejecutando esta versión.
Importante: Verifique que no haya varias instalaciones de Log4j en una máquina afectada, ya que esto puede significar que existen varios archivos de configuración. Cada uno de estos puede contener una versión vulnerable de Log4j. Deberá corregir cada uno de ellos de forma independiente.
3. Envíe nuestro cuestionario Log4Shell a sus terceros con Atlas.
Una nueva plantilla de cuestionario titulada Preguntas Log4Shell ahora está disponible en Atlas. Si ya tiene Atlas, puede enviar este cuestionario a sus terceros de inmediato. Si no tiene Atlas, regístrese en atlas.securityscorecard.io o mire este video y aproveche los cinco créditos gratuitos que puede usar para enviar cuestionarios.
4. Haga cuatro preguntas a sus terceros:
5. Si la respuesta es sí…
Para más información ingresa aquí.
Symantec
Symantec protege contra los intentos de explotación de dicha vulnerabilidad con las siguientes detecciones:
Basado en archivos
Basado en aprendizaje automático
Basado en red
Basado en políticas
DCS proporciona una gama de protección para las cargas de trabajo del servidor contra esta vulnerabilidad:
En caso de usar SEPM, la versión 12 no contempla ninguna solución ya que ese complemento esta desactualizado y Apache ya no da soporte:
1. Botón derecho en Inicio e ir a System
2. Clic en Advanced System settings
3. Clic en Environment Variables
4. Clic en New y en la ventana que se nos abre agregar en el campo variable LOG4J_FORMAT_MSG_NO_LOOKUPS y en valor true.
Si cuentas con soporte de NextVision, contáctanos para darte mayor asesoramiento. En caso contrario, puedes comunicarte con el equipo comercial para más información sobre nuestros servicios de consultoría/soporte:
Desde ya, quedamos a disposición para cualquier consulta o inquietud.
Departamento de Tecnología de NextVision
NextVision
0
Cada 30 de noviembre conmemoramos el Día Mundial de la Ciberseguridad con nuestra visión de construir una cultura cibersegura. .
Por ello y para concienciar sobre los riesgos que existen en el mundo digital, aconsejamos implementar las siguientes recomendaciones de ciberseguridad para evitar ser víctimas de un ciberataque.
Una actualización de software puede incluir parches de seguridad, corrección de errores y solución de vulnerabilidades.
Es indispensable que mantengas actualizado tu sistema operativo, tus aplicaciones, tu navegador, etc.
Te recomendamos que nunca abras un archivo adjunto y no hagas clic en un enlace de remitentes no reconocidos o correos que no esperabas recibir.
En promociones, ofertas, sorteos o mensajes de remitentes conocidos que realizan solicitudes extrañas, confirma primero su veracidad.
Las huellas digitales son un conjunto de acciones digitales rastreables.
Es sumamente importante que compruebes tus actividades con regularidad y elimines las cuentas que no utilizas, a modo de detectar actividades sospechosas.
Restablece la contraseña de las cuentas a las que no ingresaste durante un largo tiempo.
Actualiza tus contraseñas periódicamente y no las reutilices en tus redes sociales ni en sitios potencialmente inseguros. Crea contraseñas fáciles de recordar y difíciles de adivinar.
Utiliza 8 caracteres como mínimo y combina, por ejemplo, mayúsculas, minúsculas, números y caracteres especiales.
En aplicaciones, plataformas, correos electrónicos, redes sociales y en todo software que lo permita, implementa el doble factor de autenticación para añadir una barrera más de seguridad.
Compartimos tutoriales para implementarlo en:
Contar con un backup de la información almacenada es una medida para minimizar el impacto de un ciberataque y asegurar la continuidad del trabajo.
Las copias de seguridad deberían estar cifradas y disponibles para restaurar en caso de ser necesario.
No conectes tus dispositivos a redes Wi-Fi públicas y recuerda utilizar una red privada virtual (VPN). Esto, garantizará que la conexión esté encriptada, dificultando el acceso de un atacante.
Comparte estas recomendaciones de ciberseguridad y fomentemos juntos la concientización para mantenernos más seguros y atentos, evitando caer en ciberataques.
NextVision
0
Hoy en día la sociedad invierte gran parte de su tiempo en el mundo online, no solo por ocio, trabajo y entretenimiento, sino que busca soluciones a problemas concretos en la red. Es por ello, que los delitos también se han adaptado a esta nueva actualidad.
Los fraudes, estafas o engaños por internet representan más del 80% de los ciberdelitos cometidos en 2021. Por esta razón, vamos a realizar un listado para detectar los fraudes online más comunes que usan los ciberdelincuentes para robar dinero y/o datos personales.
El comercio online ha aumentado, por ello, los estafadores han aprovechado este incremento de tráfico para la sustracción de datos haciéndose pasar por entidades de envío.
¡Cuidado con este tipo de emails! Suelen vincular una página web falsa para que introduzcas tu información personal. Asegúrate de que son páginas y correos oficiales.
En este tipo de fraude el estafador busca configurar en su teléfono cuentas de WhatsApp ajenas. Es recomendable no proporcionar códigos de confirmación a números desconocidos.
Los estafadores aprovechan la angustia de la población para difundir links o enlaces a páginas web fraudulentas y de este modo robar o sustraer datos personales. Para informarse sobre la vacunación y la actualidad de la pandemia, es recomendable visitar webs oficiales.
Puedes encontrar emails sobre confirmación de pedido y/o incluso emails donde aseguran que ha habido problemas o intentos de inicio con tu cuenta de Amazon, Mercado Libre. ¡Evítalos! Revisa directamente el estado de tu cuenta desde la web o App oficial.
Correos electrónicos donde se hacen pasar por bancos o servicios de pagos como PayPal. Para evitar este tipo de fraudes, accede a tu cuenta bancaria siempre siempre desde la aplicación o página web oficial.
Correos electrónicos donde los ciberdelincuentes declaran que tu cuenta de Instagram y/u otras RRSS va a ser eliminada, ha sido denunciada o ha habido un intento de sustracción. Encontraríamos un enlace a una web que simula la RRSS para dejar nuestros datos personales.
Anuncios fraudulentos donde se ofrecen servicios de inversión de monedas.
.
Correos electrónicos fraudulentos para acceder a tus cuentas de plataformas de streaming. Simulan ser páginas oficiales para acceder a los datos personales.
Cupones, sorteos, códigos de descuento… todo desde correos electrónicos o SMS que redirigen a una página web fraudulenta. Para confirmar estos sorteos o códigos, es conveniente dirigirse a la página oficial.
Como hemos podido comprobar, existen numerosas formas de cometer estafas online y es posible que sin darnos cuenta, hayamos caído en su trampa. ¿Cómo debemos reaccionar en el caso de que estemos afectados en uno de estos ciberdelitos?
Si has proporcionado tu número de teléfono en alguno de estos engaños o descargado alguna app, es conveniente vigilar la factura de teléfono y ver que todo está en orden. En numerosas ocasiones, te suscriben a servicios SMS premium.
La mayoría de estas estafas se hacen de manera involuntaria, para prevenir este tipo de situaciones lo ideal es ponerse en contacto con la compañía de telefónica, para desactivar la opción de suscribirse a servicios SMS premium.
De la misma manera, si has proporcionado sin ser consciente tu datos de cuenta bancaria en una página web fraudulenta, vigila los cargos posteriores y ponte en contacto con tu entidad bancaria. Es recomendable prevenir solicitando una nueva tarjeta y dar de baja la actual.
Principalmente, como usuario o empresa, debes evitar dar tu información personal en una llamada o mensaje no solicitado.
En el caso de realizar transferencias de dinero, procura enviar a alguien que conoces personalmente y en el caso de ser una gran suma, realizarlo de forma fraccionada.
Del mismo modo, es conveniente usar servicios confiables que ofrecen protecciones de seguridad.
En el caso de pago a proveedores habituales, también estate atento a cualquier correo que pueda aparentar ser de dicho proveedor solicitando un cambio en el pago del servicio. Dicho proveedor pudo haber sido hackeado para cometer fraudes a terceros.
Desde NextVision, promovemos la predicción, prevención, detección y respuesta temprana para evitar situaciones de fraude cibernético. Así mismo, creemos en la capacitación y la concientización en ciberseguridad con el objetivo de educar de manera particular y empresarial y fomentar la construcción de una cultura cibersegura.
NextVision
0
La ingeniería social es la práctica en donde los ciberdelincuentes obtienen información confidencial a través de la manipulación de los usuarios para que se salten todos los procedimientos de seguridad que deberían seguir para protegerse.
¿Has recibido alguna vez el mail de un supuesto banco que te alerta porque la cuenta fue cancelada y debes hacer clic para introducir tus datos y de esta forma reactivarla? Así como este, hay cientos de ejemplos y formas en que los criminales pueden obtener información que les ayude a robar información sensible para acceder a entornos más protegidos como los corporativos, infectar con malware, cometer fraudes, extorsionar o robar la identidad digital de la víctima.
También usan las redes sociales para entablar relaciones cercanas con sus víctimas, generar confianza y obtener así los datos con los que finalmente pueda concretar su objetivo, ya sea en contra de la persona o incluso de la empresa para la cual trabaja. Aquí es necesario preguntarse ¿Están informadas las empresas y los usuarios sobre este tipo de tácticas? y ¿sabemos cómo reaccionar ante ellas?
En la actualidad es más fácil engañar a una persona para que entregue su contraseña de ingreso que hacer el esfuerzo de hackear un sistema, el cual seguramente contará con controles y alertas de seguridad que impedirán el ataque.
Recordemos que la ingeniería social es equivalente al hacking personal, y de no contar con empleados y usuarios informados y capacitados, esta podría ser la mayor amenaza de seguridad para las organizaciones, por más actualizados que tengamos los sistemas operativos y por muy buenos software de seguridad que usemos.
Existen diferentes técnicas de ingeniería social, como:
El Spear Phishing puede ser uno de los más difíciles de identificar, pues el ciberdelincuente elige un objetivo dentro de la organización o a un usuario habitual de la red para realizar investigación sobre los temas, personajes, eventos de interés e información relacionada con el área, así puede enviarle emails segmentados y relevantes para que al final haga clic en un enlace malicioso infectando así su ordenador.
Por último, encontramos el Fraude del CEO/Suplantación del CEO que tiene lugar cuando es un alto directivo el blanco de ataque de los ciberdelincuentes. Estos ciberataques tratan de sustraer las credenciales de inicio de sesión o mail. De esta manera, podrían hacerse pasar por un directivo y autorizar una transferencia bancaria fraudulenta o acceder a información muy confidencial de la organización.
Como podemos comprobar, es fundamental que las compañías y la sociedad en general adopten una cultura cibersegura que brinde capacitación continua y para que mantenga la información actualizada acerca de las amenazas vigentes. Es recomendable que dentro de la estrategia de seguridad se considere:
Además es fundamental contar con programas que eliminen las infecciones y puedan rastrear su origen, que eviten descargas no deseadas en los equipos de la oficina, que detecten y eliminen virus, malware y también filtren el spam, para proteger a los más incautos.
Porque como hemos visto, la ingeniería social representa un riesgo muy alto y es más difícil protegerse frente a sus diversas tácticas, ya que el objetivo es llegar al sistema engañando a las personas. Por ello, la seguridad de la información debe considerarse también como un proceso cultural, más si tenemos en cuenta que el 80% de los ciberataques se originan por errores humanos.
Por todo ello, en NextVision hemos desarrollado NV Awareness, un programa único, integral y continuo centrado en las personas, para acompañar a tu empresa con estrategias integrales que incluyan la educación y transformación de los hábitos de los empleados. ¡Contáctenos!
NextVision
0
El ransomware, también conocido como el malware de rescate lleva años siendo una de las amenazas más importantes para la seguridad de las empresas, y continúa aumentando, utilizando técnicas que son cada vez más sofisticadas y específicas. Los líderes en seguridad y gestión de riesgos deben mirar más allá de los endpoints para ayudar a proteger a la organización del ransomware.
Los ataques recientes han evolucionado: desde los ataques de propagación automática, como Wannacry y NotPetya a ejemplos más específicos, que atacan a una organización, en lugar de a puntos finales individuales. Las campañas de ransomware recientes, como REvil y Ryuk, se han convertido en “ransomware operado por humanos” , donde el ataque está bajo el control de un operador, en lugar de propagarse automáticamente. Estos ataques a menudo se aprovechan de debilidades de seguridad conocidas para obtener acceso.
Según Gartner, en 2025 al menos el 75% de las organizaciones de TI se enfrentarán a uno o más ataques. Los investigadores documentaron un aumento dramático en los ataques de ransomware durante el año 2020 y esta cifra apunta a siete veces o mayores tasas de crecimiento. Las implicaciones de un ataque de ransomware pueden ser desde económicas, con costes de hasta 730.000 dólares de media a nivel mundial, hasta reputacionales y operacionales ( pérdida de datos, periodos largos de inactividad, archivos sensibles comprometidos…) para la compañía que lo sufre.
El avance de la tecnología y la modalidad reciente del teletrabajo está generando que cada vez los ataques sean mucho más inteligentes, sofisticados y por ende peligrosos. Por ello, es de suma importancia tener a disposición las soluciones y servicios necesarios para poder hacer frente a las ciberamenazas.
Desde NextVision con la finalidad de hacer frente al panorama actual y las necesidades que requieren tiempo, recursos y know how, contamos con NV CIBERDEFENSA una propuesta pensada para robustecer la seguridad de nuestros clientes y ayudarlos a gestionar eficazmente los riesgos gracias a un servicio gestionado, modular y competitivo que permite predecir, prevenir, detectar y mitigar las posibles amenazas de ciberseguridad en todo tipo de organizaciones, respaldado por tecnologías líderes en el mercado y por un equipo de consultores expertos.
Nuestros expertos los acompañarán con consultoría especializada, servicios gestionados y tecnologías líderes en el mercado, que les permitirá tener visibilidad de la superficie de ataque así como predecir, prevenir, detectar a tiempo y responder inmediatamente en caso sea necesario.
Para administradores:
1. Mantener actualizados sus productos de seguridad.
2. Asegurarse de que sus endpoints estén bien protegidos.
3.Adoptar políticas de grupo con políticas de GPO.Comprobar regularmente las exclusiones.
4. Configurar Informes diarios y revisarlos periódicamente.
5. Contar con una protección de endpoints que incluya:
-Detección y Respuesta ante amenazas avanzadas (EDR)
-Protección ante amenazas desconocidas de día cero (Zero Day)
-Detección de comportamiento
-Protección de exploits
-Prevención de Intrusiones de Host (HIPS)
-Nube de inteligencia de amenazas
-Rollback de acciones maliciosas ante posible ataque de Ransomware
Para CISOs:
1. Implemente protección en capas, ante el considerable aumento de las extorsiones y ataques, utilice protección en capas para bloquear a los atacantes en tantos puntos como sea posible a través de tu entorno.
2. Combine expertos y tecnología anti-ransomware. Es clave disponer de una defensa en profundidad que integretecnología dedicada anti-ransomware y gestión a cargo de especialistas.
3. Implemente un proceso de gestión de vulnerabilidades basado en riesgos que incluya inteligencia de amenazas. El ransomware a menudo se basa en sistemas sin parches para permitir el movimiento lateral.
4. La conciencia de seguridad para los usuarios también es esencial…Eduque constantemente a los empleados para construir una cultura cibersegura en la organización.
5. Cuente con una estrategia o servicio de manejo de incidentes. Siempre hay que estar preparados.
6. Si su organización se infecta, no pague el rescate.
7. Cuente con un buen proceso y estrategia de copia de seguridad, es la principal línea de defensa contra el ransomware.
¡Contacta ya con nosotros y déjate asesorar por un equipo de consultores!
NextVision
0
Debido a todos los distintos actores que forman parte del ecosistema digital en el que vivimos, la superficie de ataque ha crecido de manera exponencial en los últimos años. Algunos de estos actores son: hardwares, aplicaciones, endpoints, bases de datos, documentos, DNSs y las terceras partes.
A causa de esta amplitud de participantes en la superficie digital, es difícil disponer de información actualizada para hacer frente a las amenazas, nuevas y antiguas. La nueva normalidad ocasionada por la pandemia ha generado una mayor dependencia a la tecnología, facilitando con la enorme cantidad de nuevos usuarios la explotación de las vulnerabilidades a los ciberatacantes.
Las empresas que poseen una visibilidad completa de su superficie de ataque incluyendo a la cadena de suministros son aquellas que mejor protegidas están frente a los ataques.
Por otro lado, las organizaciones que planean trasladar sus datos compartimentados al interior del perímetro de la nube necesitan de liderazgo técnico así como de seguridad y requieren para que este cambio se desarrolle eficazmente la automatización para poder conseguir una correcta visibilidad de dicha superficie de ataque.
Disponer de un sistema adecuado de evaluación y monitorización de terceras partes facilitará el conocimiento de los riesgos y por ende mejorará su gestión. Este sistema debe incluir: la identificación y priorización de activos expuestos a internet, la definición de umbrales de seguridad en forma de ratings que permitan monitorizar la salud del ecosistema de la red y el Threat Intelligence, una herramienta que proporciona información acerca del escenario de amenazas.
Como hemos mencionado previamente, la automatización y la agilidad en los procesos son esenciales. Para conseguirlo, desde NextVision proponemos las siguientes recomendaciones:
1.Implementación de herramientas para el análisis de riesgos: mecanismos que simplifiquen el estudio de las amenazas potenciales y permitan comunicar esta información a los stakeholders mediante un lenguaje más comprensible. Un ejemplo sería el de SecurityScorecard que informan con grados que van de la A a la F el nivel de riesgo potencial de una manera objetiva y posibilitando la unificación de los criterios de evaluación.
2. Optimización de los equipos de seguridad: gracias a herramientas de automatización de alertas y acciones a eventos de seguridad.
3. Evaluación continua de la seguridad: mediante el empleo de herramientas de rating que monitoricen nuestra situación y la de los vendors.
Las herramientas de rating o scoring proporcionan una visibilidad 360º de la huella digital del ecosistema al que nuestra organización pertenece y establecen un lenguaje comprensible para especialistas y para el management general del negocio permitiendo establecer una comunicación estrecha con los proveedores o vendors a quienes evaluaremos y monitorizaremos bajo estos mismos estándares posibilitando también a su vez la creación de planes de acción conjuntos. Esta monitorización agilizará la gestión y comunicación entre áreas. Para lograrlo, recomiendo integrar herramientas de scoring transparentes a nuestro dashboard de seguridad.
Recientemente, la calificadora de riesgo Fitch utilizando la plataforma de scoring SecurityScorecard, ha publicado un trabajo donde relaciona el nivel de calificación de entidades crediticias con su performance en ratings de ciberseguridad. Aunque los grandes bancos suelen tener mejores calificaciones de riesgo crediticio, no pensemos que el tamaño de las compañías son un predictor de ciberhigiene. Aquellas que no lo abordan apropiadamente, sufren brechas que afectan su operatividad y calificación de riesgo.
Finalmente, podemos señalar como conclusión, la importancia fundamental de desarrollar una visibilidad continua de la superficie de ataque que concierne tanto a nuestra organización como a las terceras partes. Independientemente de la dimensión de la empresa y de su presupuesto en seguridad, únicamente aquellas compañías que saben analizar los riesgos y por ende el riesgo de la ciberseguridad de manera integral manifiestan una mejor postura en este ámbito de la ciberprotección.
Te invitamos a acceder a la revista completa Revista del Foro de la Ciberseguridad de ISMS Forum.
NextVision
0
Después de un año de trabajo, finalmente, hace unos días se publicó la GUÍA SOBRE CONTROLES DE CIBERSEGURIDAD EN SISTEMAS OT, elaborada por el Ministerio del Interior del Gobierno de España en colaboración con una serie de organismos públicos, sector académico y empresas privadas, entre las cuales estamos nosotros, NextVision.
El objetivo fundamental de esta guía es servir como instrumento de trabajo tanto a los CISOs de los sistemas de operación industrial como a consultores en ciberseguridad y a auditores con la finalidad de establecer unos estándares a la hora de identificar las carencias de seguridad de los sistemas de operación y la definición de las medidas compensatorias para enmendar las deficiencias encontradas en dicha seguridad.
En la actualidad, la gran mayoría de los servicios esenciales para la sociedad se encuentran en dependencia de las tecnologías de la información. La búsqueda de la eficiencia ha acelerado la transformación digital brindándonos tecnologías como cloud, big data, machine learning o la inteligencia artificial entre muchas otras.
Debido a la digitalización y conectividad actual, la visibilidad o superficie de exposición en las redes de entornos industriales (Operation Technology) se ha visto incrementada aumentando exponencialmente las probabilidades de sufrir incidentes de ciberseguridad, estableciéndose así al mismo nivel de exposición y riesgo que tiene lugar en el contexto de los sistemas IT (Information Technology). La integración de estos sistemas IT por parte de los sistemas OT ha provocado la aparición de nuevas vulnerabilidades en estas empresas procedentes de: la falta de formación del personal de los sistemas OT que hacen uso de estas tecnologías, el desconocimiento de los nuevos riesgos que supone el uso de las tecnologías IT en estos entornos y por último, la falta de medidas de seguridad y controles respecto de la ciberseguridad en los sistemas industriales.
Las organizaciones criminales poseen los conocimientos y habilidades para introducirse en los mecanismos de control de las instalaciones o sistemas industriales a través de malwares u otras técnicas especializadas. Stuxnet, el gusano informático que tomó el control de 1.000 máquinas, fue sin lugar a dudas el caso más conocido pero el número de esta clase de infraestructuras que sufren alguna intrusión de este tipo son cada vez más como ocurre en plantas de energía, gas, metalúrgicas y un largo etcétera.
Por ello, los organismos responsables de brindar servicios esenciales, de asegurar el correcto desarrollo de la I+D nacional o aquellos que velan por la seguridad de la ciudadanía, deben enfrentar también el gran desafío que supone el conocimiento y gestión de los riesgos derivados de la transformación digital.
La GUÍA SOBRE CONTROLES DE CIBERSEGURIDAD EN SISTEMAS OT desarrolla una lista de recomendaciones de medidas básicas de seguridad en Sistemas de Control Industrial y el Marco Regulatorio de aplicación correspondiente.
Descárgala ahora y descubre cómo proteger a tu organización de futuros ciberataques.
