El rápido crecimiento y los efectos dañinos de las nuevas amenazas cibernéticas exigen defensas que pueden detectar nuevas amenazas a velocidades de máquina, aumentando el énfasis en el aprendizaje automático como un valioso componente de seguridad. Desafortunadamente, las máquinas funcionarán para cualquiera, alimentando una carrera armamentista en acciones respaldadas por parte de defensores y atacantes.
El trabajo en equipo humano-máquina se está convirtiendo en una parte esencial de la Ciberseguridad, ya vemos ataques de caja negra que buscan vulnerabilidades y no siguen ningún modelo anterior, lo que hace difícil de detectar.
Blockchain – Riesgos de Seguridad.
A finales de 2017, la criptomoneda Bitcoin llegó a los titulares de una gran manera. Su valor se disparó a casi US $20,000 por moneda, despertando los principales medios de comunicación y captando la atención de aspirantes a inversores.
Bitcoin, la criptodivisa líder, se basa en Blockchain, una nueva tecnología revolucionaria que registra las transacciones de forma descentralizada, ha comenzado a cambiar la forma en que consideramos el dinero y ofrece un camino para resolver viejos problemas comerciales de nuevas maneras.
Sin embargo, con las nuevas tecnologías surgen nuevas preocupaciones de seguridad. Los malos actores ya se han enfocado en muchas implementaciones de Blockchain, utilizando ingeniería social, malware y exploits. A medida que grupos adicionales comiencen a utilizar Blockchain y construyan herramientas a su alrededor, deben comprender los riesgos de seguridad.
- Las estafas de phishing son los ataques Blockchain más familiares debido a su prevalencia y tasa de éxito. Consideren la criptomoneda Iota. Las víctimas perdieron $4 millones en una estafa de phishing que duró varios meses.
- En 2016, las nuevas familias de Ransomware explotaron en número. Fueron la herramienta principal utilizada por los malos actores para adquirir criptomonedas. El Ransomware no era nuevo, pero se convirtió en un favorito debido a los beneficios de transferir y ocultar fondos a través de criptomonedas.
- En 2017, los desarrolladores de Ransomware ampliaron su interés en las monedas. Los actores malintencionados comenzaron a experimentar con varias cryptos alternativas, también conocidas como altcoins. Monero fue una alternativa favorita, mientras que las monedas menos conocidas, como Dash, empezaron a llamar la atención.
Hay ataques frecuentes contra Microsoft Internet Explorer y Adobe Flash Player a través de publicidad maliciosa. - Otro tipo de amenaza es un ataque contra la implementación de Blockchain en sí, así como sus herramientas de soporte. Sin embargo, cuanto más nos acercamos al núcleo de la tecnología Blockchain, más difícil es tener éxito con un ataque. En general, estas amenazas son mucho más como exploits del software tradicional y aplicaciones web.
Antes del lanzamiento de la primera implementación de Blockchain, no había una alternativa confiable para la banca descentralizada. Sin embargo, las preocupaciones de seguridad de construir tal sistema fueron estudiadas mucho antes. Años de investigación, incluida la cadena de bloques de Haber y Stornetta, establecieron la confianza en el concepto de Blockchain. Sin embargo, la seguridad de una cadena de bloques depende de ciertas suposiciones. Si esas no se cumplen, entonces la seguridad está en riesgo.
- Para un Blockchain es que la contribución a la red, la "tasa de hash" para Bitcoin, se distribuye. Específicamente, ninguna entidad o grupo colaborativo procesa más del 50% de la red en cualquier momento. Un ataque mayoritario ocurre cuando un actor posee más del 50% de la red.
- La mayoría de los nodos son "honestos", lo que significa que hay una alta probabilidad de que una conexión sea con un nodo legítimo. Si no se establece un vínculo con un nodo honesto, se permite un ataque de Sybil, en el cual el atacante obliga a la víctima a hablar solo con nodos maliciosos.
- Las colisiones hash son raras. Mientras un dueño tenga acceso único a una clave, entonces nadie más puede enviar transacciones desde esa billetera. Pero, ¿y si las colisiones no fueran raras? Un atacante u otra persona podría accidentalmente eliminar fondos de la billetera de alguien. La propiedad de billeteras y fondos sería difícil de probar porque desde el punto de vista de la red, ambas partes tendrían los mismos derechos. La buena noticia es que las colisiones hash que usan algoritmos estándar de industria parecen ser raras. Nadie ha sido capaz de intencionalmente o, involuntariamente, generar la clave de otra persona, al menos con Bitcoin, siempre que esas claves se hayan realizado correctamente.
Ransomware pivota hacia nuevos destinos
Recientemente ha comenzado una nueva campaña de ataques de Ransomware dirigidos. En lugar del modus operandi normal (ataques de phishing o dirigidos por descargas que llevan a la ejecución automática del Ransomware), los atacantes obtuvieron acceso persistente a la red de la víctima a través de explotación de vulnerabilidades y extendieron su acceso a cualquier sistema conectado. En cada sistema, se usaron varias herramientas para buscar, encriptar y eliminar los archivos originales, así como cualquier copia de seguridad. Estas herramientas incluyen utilidades de Microsoft Sysinternals y partes de proyectos de código abierto.
Después del cifrado de los archivos, aparece una nota de rescate que exige un pago en Bitcoins para recuperar los archivos. Al separar determinadas funciones del binario de Ransomware, ejecutando ciertas acciones a través de herramientas y scripts disponibles gratuitamente, los adversarios trataron de evitar la detección, tanto como fuera posible. Esto es diferente a la mayoría de los casos de Ransomware que se propagan.
Aplicaciones sin servidor: Nuevas oportunidades para amigos y enemigos
Las aplicaciones "sin servidor", el aspecto más reciente de la informática virtual, permiten un nuevo grado de abstracción en el desarrollo de aplicaciones, aprovechando funciones como servicio (FaaS) para sus requisitos de computación. Las funciones se facturan solo mientras se están ejecutando, incluida la facturación por segundo (cargos de AWS Lambda por 100 ms). Pagar solo por ejecutar la lógica comercial, en lugar de ejecutar un contenedor completo o una máquina virtual, puede reducir los costos por un factor de 10 en algunas operaciones. Pero, ¿qué pasa con la seguridad de estas llamadas a funciones? Son vulnerables de formas tradicionales, como la escalada de privilegios y las dependencias de las aplicaciones, pero también de formas nuevas, como el tráfico en tránsito y una mayor superficie de ataque.
Comencemos con las vulnerabilidades tradicionales. Las aplicaciones sin servidor que se implementan rápidamente pueden usar un nivel de privilegio inapropiado, dejando el entorno abierto a un ataque de escalada de privilegios. Lograr menos privilegios es más difícil con más componentes para proteger, contener y actualizar. De manera similar, la velocidad de implementación puede resultar en una función que depende de paquetes extraídos de repositorios externos que no están bajo el control de la organización y que no han sido evaluados adecuadamente.
Luego están los nuevos riesgos. Debido a que las aplicaciones sin servidor naturalmente se escalan y facturan en función del tráfico, los ataques distribuidos de denegación de servicio se pueden traducir más fácilmente directamente a la línea de fondo, dependiendo del número de ejecuciones simultáneas permitidas por la aplicación.
Otro riesgo son los datos que pueden ser aprovechados por múltiples funciones para procesar una transacción comercial. Debido a que una aplicación sin servidor puede incluir más componentes que las arquitecturas de aplicaciones anteriores, los datos pueden tener un mayor riesgo de interceptación o manipulación. Se debe aprovechar el uso amplio y ubicuo de la autenticación y autorización entre servicios y el cifrado de datos tanto en reposo como en tránsito.
Prevemos que la mayor granularidad de las aplicaciones sin servidor generará un aumento comparable en la superficie de ataque. Más funciones, en tránsito a uno o más proveedores, significan más área para que un atacante la explote o interrumpa. Asegúrese de que el proceso de desarrollo e implementación de funciones incluya los pasos de seguridad necesarios y que el tráfico esté protegido de forma adecuada mediante VPN o cifrado.
Cuando su hogar se convierte en el escaparate definitivo
Los especialistas en marketing corporativo tienen poderosos incentivos para observar y comprender las necesidades de compra y las preferencias de los propietarios de dispositivos domésticos conectados. Los dispositivos en red ya transmiten una gran cantidad de información sin el conocimiento de la abrumadora mayoría de los consumidores. Los clientes rara vez leen los acuerdos de privacidad y, sabiendo esto, es probable que las empresas tomen la iniciativa de cambiarlas con frecuencia luego de que los dispositivos y servicios se implementen para capturar más información y monetizarla.
Parece que cada producto, servicio o experiencia con el que interactuamos hoy crea algún tipo de registro digital, nos guste o no. Como adultos, gradualmente nos estamos reconciliando con este efecto y aprendiendo a manejar nuestras vidas digitales, pero ¿y nuestros hijos? Los empleadores ya están tomando decisiones de contratación influenciadas por los resultados de búsqueda. ¿Podría esto extenderse a las escuelas, la atención médica y los gobiernos? ¿Se les negará la entrada a la escuela a los niños debido a la cantidad de tiempo que pasaron viendo videos de manera compulsiva, o les resulta difícil postularse a un trabajo por un video hecho cuando tenían siete años?
Como padres, nuestro desafío es ayudar a nuestros niños a navegar en este nuevo mundo, en el cual pueden ser rastreados casi desde el momento de la concepción.
Para ayudar a nuestros hijos, debemos comprender los tipos de artefactos digitales que están capturando y almacenando contenido. Generalmente hay tres tipos: explícito, implícito e inadvertido.
El contenido explícito es todo lo que sucede después de hacer clic en el botón "Acepto" en los términos y condiciones o en el acuerdo de licencia del usuario final. Esta es un área en la que los padres (al menos inicialmente) tienen mucho control e influencia, y pueden enseñar y modelar buenos hábitos.
Contenido implícito es todo lo que hace o dice en un lugar que de otro modo sería público, que podría fotografiarse, grabarse o documentarse de algún modo. Esto va desde actuar tontamente hasta beber o tomar drogas, pero también incluye lo que la gente dice, publica, twittea, etc. en público o en línea.
El contenido inadvertido es el área de peligro. Este es información que se pretendía que permaneciera privada, o nunca se esperaba que fuera capturada. Desafortunadamente, el contenido inadvertido se está volviendo cada vez más común, ya que las organizaciones de todo tipo (accidentalmente o a propósito) doblan y rompen sus propios acuerdos de privacidad en una búsqueda para capturar más acerca de nosotros. Esta es la parte más desafiante del recorrido digital y una que debemos gestionar atentamente. ¡Preste atención a lo que compra e instala, desactive las funciones innecesarias y cambie las contraseñas predeterminadas a algo mucho más fuerte!
En el mundo corporativo, McAfee predice que la implementación en mayo de 2018 del Reglamento General de Protección de Datos (GDPR) de la Unión Europea podría desempeñar un papel importante al establecer reglas básicas sobre el manejo de los datos del consumidor y el contenido generado por los usuarios en los años venideros. Las empresas que miran hacia el futuro pueden aprovechar esto para establecer mejores prácticas que beneficien a los clientes que usan dispositivos de consumo, plataformas de aplicaciones generadoras de contenido y los servicios basados en la nube que los respaldan en línea.
Escenarios de defensa
Para definir los escenarios ideales o propuestas del deber ser, consideraremos la necesidad de disponibilidad de los servicios partiendo desde una propuesta de topología física de la infraestructura, pasando por topología lógica, llegando en última instancia al sistema de los usuarios finales.
Iniciaremos con una topología de alta disponibilidad en infraestructura y servicios para el primer ambiente, y seguiremos con un ambiente que reduce disponibilidad y finalmente un ambiente donde, además, se reduce gestión perimetral.
Ambiente de alta disponibilidad con Infraestructura tolerante a fallos
La seguridad de la infraestructura parte del aseguramiento del suministro eléctrico, la mejor de las infraestructuras es inútil sin energía.
Querremos diferenciar el almacenamiento de nuestro ambiente de virtualización del almacenamiento de las copias de seguridad a fin de evitar punto único de falla.
La consolidación de servidores mediante virtualización de los distintos servicios, además de suponer un ahorro en costes de infraestructura y energía, así como en operación, reviste una capa de seguridad fundamental al reducir cómicamente los tiempos de recuperación ante desastres en relación con un modelo de recuperación tradicional de servidores, de manera que la disponibilidad se maximiza. Esto es especialmente importante en entornos donde el objetivo es una disponibilidad de 99,999%, más conocido como 5 nueves.
Desde el punto de vista perimetral, una excelente opción por su relación beneficio/costo, será un UTM, por sus siglas en inglés Gestión Unificada de Amenazas. Este tipo de dispositivos nos brindará múltiples funciones como antivirus, firewall, sistemas de detección/prevención de intrusos, NAT, VPN, Antispam, Antiphising, Antispyware y filtro de contenidos en la navegación, entre otros.
Y, por último, todo lo anterior, si la conectividad se pierde puede afectar la continuidad del negocio, por lo que utilizar 2 canales de Internet, idealmente de proveedores o ISPs diferentes, mitigará ese riesgo.
Ambiente de Semi/alta disponibilidad, tolerancia a fallos limitada
Si nuestro negocio no necesita una disponibilidad de 5 nueves, podemos reducir los costos en infraestructura obviando contingencia de canales, eliminando la redundancia de switching y UPS, y limitando el almacenamiento a una única SAN.
Las consideraciones anteriores respecto a perímetro seguirían vigentes, de igual manera la virtualización de servicios.
Ambiente sin alta disponibilidad y tolerancia a fallos mínima
Si nuestro negocio tiene una exposición a Internet mínima o limitada (navegación, correo, algún aplicativo en línea, como Office 365 por ejemplo) y no manejamos accesos remotos hacia el interior de nuestra red, podríamos limitar el alcance del perímetro obviando el UTM, sin embargo, ameritaría endurecer las directivas del software de seguridad a nivel de cada sistema.
La tolerancia a fallos quedaría restringida solamente al ambiente de virtualización por la naturaleza del servicio.
El primer punto que deberíamos realizar al diseñar nuestra planificación de la red es la segmentación, destinando uno o más segmentos para cada particular, de acuerdo a nuestra necesidad. Según esta propuesta tendríamos:
- Un segmento para servicios
- Un segmento para telefonía
- Un segmento para impresión y fax
- Un segmento para la conectividad inalámbrica
- Y un segmento para los equipos
Los segmentos anteriores serán, o no, visibles desde cualquiera de los otros, idealmente única y exclusivamente para los servicios a utilizar, prohibiendo el tráfico en los protocolos y puertos que no necesitemos entre las distintas VLANs. Esto reducirá mucho la superficie de ataque en caso de compromiso de cualquier activo, se encuentre en la VLAN que se encuentre.
Adicional, nuestra plataforma debería ser capaz de interrelacionarse con otros actores de nuestra infraestructura. Ni la protección de Endpoint es el único elemento de protección, ni está aislada del resto de la infraestructura.
Pongamos un ejemplo, si tenemos un perímetro con Fortinet, que por su IPS de red detecta un comportamiento que le dispara la firma X, ¿no sería estupendo que pudiera compartir la información sobre esa amenaza con nuestra protección de Endpoint? y al revés, en uno de nuestros equipos puede dispararse un bloqueo de un ejecutable malicioso X, amenaza de día cero, es decir, de la cual no hay firma. Si nuestra protección de Endpoint reconoce amenaza, y tiene la capacidad de avisar a otros actores como el citado Fortinet por seguir el ejemplo anterior, la siguiente vez que ese ejecutable vaya a llegar a nuestra red por una web maliciosa, por un correo etc…, estaría bloqueándose desde el mismo perímetro, dejando de penetrar a nuestra red en primer lugar.
Para avanzar en dirección a ese modelo, sugerimos, al menos, un esquema de seguridad de Endpoint que aglutine módulos obviamente de antivirus, pero también de prevención de exploits, cortafuegos, filtrado de navegación y una protección específica para amenazas avanzadas y de día cero, así como ataques de Ransomware.
Además, contaremos con una herramienta de gestión centralizada, encargada no solo de la distribución del software y sus firmas, sino también de generar inteligencia e informes sobre la salud del parque tecnológico objetivo, informes de amenazas, además de la posibilidad de automatizar respuestas ante eventos específicos.
Arrancábamos las propuestas de seguridad enfatizando un entorno de protección colaborativo. El esquema de seguridad de Endpoint puede escalarse un nivel más, e interrelacionarse con el ecosistema tecnológico que tengamos, de forma que realicen tareas complementarias, aprendiendo unos fabricantes de otros, de manera que nuestras distintas líneas de defensa se refuercen cada vez más entre sí
McAfee Active Response incluye capacidades de detección y respuesta (EDR) en los endpoints para identificar, buscar y remediar amenazas de forma proactiva. El monitoreo contínuo y los recopiladores personalizables buscan profundamente los indicadores de ataque que no solo se ejecutan o permanecen inactivos, sino que incluso se han eliminado para evitar la detección. La búsqueda integrada en tiempo real proporciona cronogramas de eventos para mejorar la búsqueda, y las respuestas automáticas brindan protección de seguridad en vivo sin intervención manual.
- Controle de manera persistente los eventos críticos y los cambios de estado en los puntos finales
- Ver alertas priorizadas y actuadas o consultas personalizadas y estándar
- Use colectores continuos para buscar y visualizar todos los archivos: ejecutables, inactivos o incluso eliminados
- Establecer trampas, activando respuestas automáticas o personalizadas
- Analizar líneas de tiempo y búsquedas en vivo
- Un solo clic para detener las amenazas y actualizar la protección en todos los endpoints.
Exponer amenazas con el monitoreo del riesgo conductual
Puntuación del comportamiento del proceso dinámico desde la ejecución previa hasta la ejecución posterior
- ¿Qué sabemos sobre esta amenaza?
- ¿En qué sistema comenzó?
- ¿En qué sistema se está comportando peor?
- ¿Qué pasó en el sistema en sí?
- ¿Qué conductas riesgosas se han visto?
- ¿Alguna vez se ha visto esto en otro lugar?
Encuentre y resuelva amenazas potenciales en segundos en lugar de en días
El área de trabajo de amenazas de McAfee Active Response hace que sea más fácil investigar y responder a las amenazas:
- Panel izquierdo: se categorizan automáticamente eventos sospechosos según el comportamiento observado (trazado)
- Central superior: explora las amenazas según categorías predefinidas
- Gráfico de barras central: visualiza las tendencias de amenazas en toda la empresa
- Lista central: se puede seleccionar una amenaza individual y consulte la lista de hosts donde se vio la amenaza.
- Parte central inferior: seleccione un solo host, seleccione un proceso y vea la línea de tiempo real del evento (como se podía observar en la diapositiva anterior)
- Panel superior derecho: nombre de la amenaza, nivel de riesgo y acciones (establecer como malicioso o bueno conocido, seleccionar uno o más de los sistemas infectados y detener el proceso o detener y eliminar)
- Panel inferior derecho: Reputaciones de toda la empresa proporcionadas por el servidor TIE (Threat Intelligence Exchange) con la capacidad de ver y establecer reputación de amenazas potenciales en toda la empresa
Para finalizar, el gráfico presente nos mostraría un esquema resumido de la arquitectura de seguridad planteada.
ENS, la nueva generación de antivirus de McAfee estaría en conjunto con un servidor de intercambio de inteligencia de amenazas, que a su vez colabora con otros elementos de nuestra arquitectura para retroalimentarse mutuamente.
Active Response, brinda una visual de las amenazas con un continuo monitoreo de riesgos conductuales y nos permite automatizar acciones de remediación para un alcance tan granular como un solo sistema o para la organización completa.
Todo lo anterior de la mano de una herramienta de gestión centralizada, desde la que monitorear, desplegar productos y/o actualizaciones, pero también generar inteligencia, informes automatizados y respuestas automáticas.
Lo último de
Deja un comentario
Asegúrese de introducir toda la información requerida, indicada por un asterisco (*). No se permite código HTML.
