Contacto: (+4) 560 05 80 - Email: soporte@softnet.com.co

¿Cómo bloquear dispositivos inalámbricos USB - DLP 11?

 

En versiones DLP 9.4 o superiores ya no nos sirve definir una plantilla de dispositivo especificando clase de dispositivo: adaptador de red y nombre que contenga wlan o 802.11 o Wireless.

Esto es porque vienen clases de dispositivos no gestionadas por defecto, y toca habilitarlos para la directiva donde vayan a aplicar. 

Para el caso de los dispositivos WiFi, haríamos lo siguiente:

 

 

 

  1. Inicie sesión en la consola de administración
  2. Ingrese a Catálogo de Directivas, producto Data Loss Prevention 11.1, categoría de DLP y edite la directiva en uso (My Default DLP Policy), como se muestra a continuación:

3. Ingrese a la pestaña configuración, seleccione el nombre de dispositivo, gestionar, y lo añadimos con filtro superior:

4. Guarde la directiva.

una vez realizado este procedimiento puede utilizar esa clase de dispositivo en una regla de bloqueo de dispositivos plug&play común y corriente.

 

Grooming ¿Cómo prevenir el acoso a menores en la red?

 

15 de mayo de 2018 – Capturado en Cali por la Dijin alias “Willy” de 32 años, quien tenia un perfil en Facebook y Whatsapp de un niño de 14 años, engañaba a sus víctimas (Menores de 14 años) y los llevaba a su casa para accederlos sexualmente y tomarles fotografías. Se conoce de una sola víctima.

 

Caso Vale Parra

Durante el 2006 se dío a conocer uno de los casos que más han generado impacto. Un Ingeniero Industrial en la ciudad de Cali, utilizaba las fotos de su hija de 11 años para engañar a otras niñas, dos madres denunciaron que sus hijas atentaron contra su vida.

En la captura el hombre tenía en su poder fotos íntimas de más de 50 niñas entre los 5 y 13 años de edad.

 

A mayo de 2018 se han procesado más de 4.352 reportes, siendo el 60% material de abuso sexual (pornografía infantil).

En el análisis de los comportamientos ilegales a través de internet o de medios digitales móviles, también se identifica que el 64% de los padres no acompañan a sus hijos durante el uso de redes y medios virtuales, factor determinante para que prosperen casos de Grooming.

“Ese groomer va a tratar de alejarlos de esas personas que más quieren, va a tratar de aislarlos con frases como, no le cuentes a tu mamá, tu papá no te va a entender, no le cuentes esto a nadie”.

Según los expertos, lo más importante es identificar los perfiles falsos a partir del contacto con sujetos que no conocen en persona y evitar que se genere un tipo de confianza que permita el intercambio de fotos y otro tipo de datos. El acompañamiento permanente a los menores de edad es fundamental para evitar la consumación de delitos como el Grooming.

Escenarios de defensa

 

 

Como medidas de defensa los padres de familia pueden implementar los siguientes controles:

 

Ingresando al Centro de Seguridad de Windows Defender:

  • Restricciones de contenido
  • Eligiendo cuándo y cuánto puede estar su hijo frente a la pantalla

 

 

Ingresando App Play Store:Controlando las descargas que realizan sus hijos según su edad.

 

 

Desde las empresas la responsabilidad es mayor, dado que o bien pueden ser un repositorio de imágenes de pornografía infantil o tener los productores de dicha pornografía. Para identificar es necesario contar con una herramienta que alerte y bloquee ambos temas.

 

 

¿Qué es Ransomware?

Ransomware (del inglés ransom, rescate, y ware, abreviatura de software) es un tipo de Malware, que restringe el acceso a determinadas partes del sistema operativo o a determinados ficheros, y que para devolver el control y acceso al usuario, extorsiona mediante la exigencia de un rescate.

Normalmente un Ransomware se transmite como un troyano o como un gusano, infectando el sistema operativo, por ejemplo, con un archivo descargado o explotando una vulnerabilidad de software. En este punto, el Ransomware se iniciará, cifrará los archivos del usuario con una determinada clave, que sólo el creador del Ransomware conoce, e instará al usuario a que la reclame a cambio de un pago, normalmente un pago que se realizará mediante criptodivisas.

Si bien existen muchísimas cepas diferentes de Ransomware, habitualmente son variaciones de otras principales, como Reveton, CryptoLocker, CryptoLocker.F y TorrentLocker, CryptoWall, TeslaCrypt, WannaCry, Petya…entre otros.

 

¿De dónde procede el Ransomware?

El atacante camufla el código malicioso dentro de otro archivo o programa apetecible para el usuario, que invite a hacer clic. Algunos ejemplos de estos camuflajes serían:

  • Archivos adjuntos en correos electrónicos. Este es el más recurrente de los casos con diferencia. Pero también, vídeos de páginas de dudoso origen o reputación.

  • Actualizaciones de sistemas desde orígenes no oficiales o desconocidos.

  • Programas, que, en principio, son fiables como Windows o Adobe Flash. Esto puede suceder por ejemplo usando servicios del tipo softonic, en lugar de usar la descarga del sitio oficial de Adobe.

Luego, una vez que ha penetrado en el computador, el Ransomware se activa y provoca en ocasiones incluso el bloqueo de todo el sistema operativo, lanza el mensaje de advertencia con la amenaza y el importe del rescate que se ha de pagar para recuperar toda la información. Además, en ocasiones incluyen en la amenaza la dirección IP, la compañía proveedora de Internet y hasta una fotografía captada desde la cámara web.

¿Cómo evitar el Ransomware?

Lo primero que se recomienda es desconfiar de cualquier correo electrónico sospechoso, correo inesperado, correos que aparecen con su propia dirección como remitente… Desconfíe y obvie esos mensajes, repórtelos a su área de TI, o elimínelos, si es su equipo no corporativo o doméstico.

Igual de importante o más que lo anterior, haga Backup. Realice Backup, programe y ejecute Backup, tenga varios Backups. ¿Dije ya Backup? Ojalá nunca deba hacer uso de una copia de seguridad, pero en una eventualidad, es lo único que le garantiza la integridad y disponibilidad de su información. Ejemplo rápido, un disco duro de 1Tb USB cuesta alrededor de $180.000, cuánto le costó el viaje de novios, donde realizó esas fotos irrepetibles (bueno, puede casarse otra vez y viajar nuevamente, pero aun así no será nunca la misma foto). Una NAS de 4Tb puede costarle entre 3 y 5 millones de pesos, incluso menos, pero, ¿cuánto vale toda la información de su empresa?, puede usted permitirse perder toda su información contable, información sensible de sus empleados, de sus clientes… Asumiendo que lo pueda soportar ¿Quiere usted asumir el daño reputacional que eso supondría? Haga backups.

Lógicamente hay muchas otras recomendaciones que se pueden dar, y que, en realidad, parten del sentido común y de autoconservación:

  • Empecemos por el principio, use soluciones confiables de seguridad. Puede usar ESET, Sophos, TrendMicro, F-Secure… nosotros utilizamos este día McAfee, usted elija la que prefiera, pero no es un mito para saquear su bolsillo, como se pudo comprobar en la demostración, sirve, tanto la protección como las copias cifradas de seguridad. Prevenga en lugar de tratar de mitigar después.
  • Y como decíamos al inicio, si recibe correo que es de un remitente desconocido, o no lo espera, omítalo
  • Su banco no le va a enviar software por correo electrónico para arreglar algo con su cuenta
  • Evite el software pirata, si el bypass de la protección del software lo realiza un cibercriminal qué le hace pensar que no pueda estar “regalándole” otras cosas menos deseables junto con el software pirateado
  • Revise que las páginas que visita son confiables (por ejemplo, revise el certificado SSL, el candadito de que la página sí es segura), si va a visitar Bancolombia, no haga clic desde un correo que recibió, escriba la dirección en la barra de direcciones del navegador.
  • Desconfíe de absolutamente todos y cada uno de los archivos adjuntos de un correo que no esperaba, exactamente igual de los enlaces que pueda contener el email.
  • Si en algún momento hace usted clic en algún sitio que sospecha no debía hacer y aún no se le cifró la información, rápidamente desconecte el cable de red, y apague la conexión WiFi, llame a su área de TI o consultor de confianza para revisar su equipo. Una reacción rápida podría salvarle muchos dolores de cabeza.

¿Ya me infecté, ahora qué?

Lo primero siempre será desconectar de la red cableada y/o inalámbrica el computador, a fin de evitar propagación a terceros en nuestro ambiente. Respaldada la información cifrada que amerite, reinstale el sistema operativo, aplicaciones de seguridad, y restaure el último Backup de que disponga.

Si usted fue víctima de Ransomware, y ya tiene su información cifrada, en ocasiones la cepa atacante puede ser antigua y a lo mejor se dispone de herramienta de descifrado al efecto. Para validar este extremo puede dirigirse a la página http://nomoreransom.org, y subir un archivo cifrado y la nota de rescate. La plataforma le indicará si existe utilidad para recuperar su información.

En todo caso, y si su información no es descifrable en ese momento, puede hacer una copia de seguridad para revisar el recurso anterior periódicamente.

Es muy importante destacar que nunca debemos pagar el rescate, pagar no nos garantiza que nos brindarán la herramienta para descifrar, incentiva el cibercrimen, y puede ser víctima de ataques adicionales en el proceso.

El rápido crecimiento y los efectos dañinos de las nuevas amenazas cibernéticas exigen defensas que pueden detectar nuevas amenazas a velocidades de máquina, aumentando el énfasis en el aprendizaje automático como un valioso componente de seguridad. Desafortunadamente, las máquinas funcionarán para cualquiera, alimentando una carrera armamentista en acciones respaldadas por parte de defensores y atacantes.

El trabajo en equipo humano-máquina se está convirtiendo en una parte esencial de la Ciberseguridad, ya vemos ataques de caja negra que buscan vulnerabilidades y no siguen ningún modelo anterior, lo que hace difícil de detectar.

Blockchain – Riesgos de Seguridad.

A finales de 2017, la criptomoneda Bitcoin llegó a los titulares de una gran manera. Su valor se disparó a casi US $20,000 por moneda, despertando los principales medios de comunicación y captando la atención de aspirantes a inversores.

Bitcoin, la criptodivisa líder, se basa en Blockchain, una nueva tecnología revolucionaria que registra las transacciones de forma descentralizada, ha comenzado a cambiar la forma en que consideramos el dinero y ofrece un camino para resolver viejos problemas comerciales de nuevas maneras.

Sin embargo, con las nuevas tecnologías surgen nuevas preocupaciones de seguridad. Los malos actores ya se han enfocado en muchas implementaciones de Blockchain, utilizando ingeniería social, malware y exploits. A medida que grupos adicionales comiencen a utilizar Blockchain y construyan herramientas a su alrededor, deben comprender los riesgos de seguridad.

  • Las estafas de phishing son los ataques Blockchain más familiares debido a su prevalencia y tasa de éxito. Consideren la criptomoneda Iota. Las víctimas perdieron $4 millones en una estafa de phishing que duró varios meses.
  • En 2016, las nuevas familias de Ransomware explotaron en número. Fueron la herramienta principal utilizada por los malos actores para adquirir criptomonedas. El Ransomware no era nuevo, pero se convirtió en un favorito debido a los beneficios de transferir y ocultar fondos a través de criptomonedas.
  • En 2017, los desarrolladores de Ransomware ampliaron su interés en las monedas. Los actores malintencionados comenzaron a experimentar con varias cryptos alternativas, también conocidas como altcoins. Monero fue una alternativa favorita, mientras que las monedas menos conocidas, como Dash, empezaron a llamar la atención.
    Hay ataques frecuentes contra Microsoft Internet Explorer y Adobe Flash Player a través de publicidad maliciosa.
  • Otro tipo de amenaza es un ataque contra la implementación de Blockchain en sí, así como sus herramientas de soporte. Sin embargo, cuanto más nos acercamos al núcleo de la tecnología Blockchain, más difícil es tener éxito con un ataque. En general, estas amenazas son mucho más como exploits del software tradicional y aplicaciones web.

Antes del lanzamiento de la primera implementación de Blockchain, no había una alternativa confiable para la banca descentralizada. Sin embargo, las preocupaciones de seguridad de construir tal sistema fueron estudiadas mucho antes. Años de investigación, incluida la cadena de bloques de Haber y Stornetta, establecieron la confianza en el concepto de Blockchain. Sin embargo, la seguridad de una cadena de bloques depende de ciertas suposiciones. Si esas no se cumplen, entonces la seguridad está en riesgo.

  1. Para un Blockchain es que la contribución a la red, la "tasa de hash" para Bitcoin, se distribuye. Específicamente, ninguna entidad o grupo colaborativo procesa más del 50% de la red en cualquier momento. Un ataque mayoritario ocurre cuando un actor posee más del 50% de la red.
  2. La mayoría de los nodos son "honestos", lo que significa que hay una alta probabilidad de que una conexión sea con un nodo legítimo. Si no se establece un vínculo con un nodo honesto, se permite un ataque de Sybil, en el cual el atacante obliga a la víctima a hablar solo con nodos maliciosos.
  3. Las colisiones hash son raras. Mientras un dueño tenga acceso único a una clave, entonces nadie más puede enviar transacciones desde esa billetera. Pero, ¿y si las colisiones no fueran raras? Un atacante u otra persona podría accidentalmente eliminar fondos de la billetera de alguien. La propiedad de billeteras y fondos sería difícil de probar porque desde el punto de vista de la red, ambas partes tendrían los mismos derechos. La buena noticia es que las colisiones hash que usan algoritmos estándar de industria parecen ser raras. Nadie ha sido capaz de intencionalmente o, involuntariamente, generar la clave de otra persona, al menos con Bitcoin, siempre que esas claves se hayan realizado correctamente.

Ransomware pivota hacia nuevos destinos

Recientemente ha comenzado una nueva campaña de ataques de Ransomware dirigidos. En lugar del modus operandi normal (ataques de phishing o dirigidos por descargas que llevan a la ejecución automática del Ransomware), los atacantes obtuvieron acceso persistente a la red de la víctima a través de explotación de vulnerabilidades y extendieron su acceso a cualquier sistema conectado. En cada sistema, se usaron varias herramientas para buscar, encriptar y eliminar los archivos originales, así como cualquier copia de seguridad. Estas herramientas incluyen utilidades de Microsoft Sysinternals y partes de proyectos de código abierto.

Después del cifrado de los archivos, aparece una nota de rescate que exige un pago en Bitcoins para recuperar los archivos. Al separar determinadas funciones del binario de Ransomware, ejecutando ciertas acciones a través de herramientas y scripts disponibles gratuitamente, los adversarios trataron de evitar la detección, tanto como fuera posible. Esto es diferente a la mayoría de los casos de Ransomware que se propagan.

Aplicaciones sin servidor: Nuevas oportunidades para amigos y enemigos

Las aplicaciones "sin servidor", el aspecto más reciente de la informática virtual, permiten un nuevo grado de abstracción en el desarrollo de aplicaciones, aprovechando funciones como servicio (FaaS) para sus requisitos de computación. Las funciones se facturan solo mientras se están ejecutando, incluida la facturación por segundo (cargos de AWS Lambda por 100 ms). Pagar solo por ejecutar la lógica comercial, en lugar de ejecutar un contenedor completo o una máquina virtual, puede reducir los costos por un factor de 10 en algunas operaciones. Pero, ¿qué pasa con la seguridad de estas llamadas a funciones? Son vulnerables de formas tradicionales, como la escalada de privilegios y las dependencias de las aplicaciones, pero también de formas nuevas, como el tráfico en tránsito y una mayor superficie de ataque.

Comencemos con las vulnerabilidades tradicionales. Las aplicaciones sin servidor que se implementan rápidamente pueden usar un nivel de privilegio inapropiado, dejando el entorno abierto a un ataque de escalada de privilegios. Lograr menos privilegios es más difícil con más componentes para proteger, contener y actualizar. De manera similar, la velocidad de implementación puede resultar en una función que depende de paquetes extraídos de repositorios externos que no están bajo el control de la organización y que no han sido evaluados adecuadamente.

Luego están los nuevos riesgos. Debido a que las aplicaciones sin servidor naturalmente se escalan y facturan en función del tráfico, los ataques distribuidos de denegación de servicio se pueden traducir más fácilmente directamente a la línea de fondo, dependiendo del número de ejecuciones simultáneas permitidas por la aplicación.

Otro riesgo son los datos que pueden ser aprovechados por múltiples funciones para procesar una transacción comercial. Debido a que una aplicación sin servidor puede incluir más componentes que las arquitecturas de aplicaciones anteriores, los datos pueden tener un mayor riesgo de interceptación o manipulación. Se debe aprovechar el uso amplio y ubicuo de la autenticación y autorización entre servicios y el cifrado de datos tanto en reposo como en tránsito.

Prevemos que la mayor granularidad de las aplicaciones sin servidor generará un aumento comparable en la superficie de ataque. Más funciones, en tránsito a uno o más proveedores, significan más área para que un atacante la explote o interrumpa. Asegúrese de que el proceso de desarrollo e implementación de funciones incluya los pasos de seguridad necesarios y que el tráfico esté protegido de forma adecuada mediante VPN o cifrado.

Cuando su hogar se convierte en el escaparate definitivo

Los especialistas en marketing corporativo tienen poderosos incentivos para observar y comprender las necesidades de compra y las preferencias de los propietarios de dispositivos domésticos conectados. Los dispositivos en red ya transmiten una gran cantidad de información sin el conocimiento de la abrumadora mayoría de los consumidores. Los clientes rara vez leen los acuerdos de privacidad y, sabiendo esto, es probable que las empresas tomen la iniciativa de cambiarlas con frecuencia luego de que los dispositivos y servicios se implementen para capturar más información y monetizarla.

Parece que cada producto, servicio o experiencia con el que interactuamos hoy crea algún tipo de registro digital, nos guste o no. Como adultos, gradualmente nos estamos reconciliando con este efecto y aprendiendo a manejar nuestras vidas digitales, pero ¿y nuestros hijos? Los empleadores ya están tomando decisiones de contratación influenciadas por los resultados de búsqueda. ¿Podría esto extenderse a las escuelas, la atención médica y los gobiernos? ¿Se les negará la entrada a la escuela a los niños debido a la cantidad de tiempo que pasaron viendo videos de manera compulsiva, o les resulta difícil postularse a un trabajo por un video hecho cuando tenían siete años?

Como padres, nuestro desafío es ayudar a nuestros niños a navegar en este nuevo mundo, en el cual pueden ser rastreados casi desde el momento de la concepción.

Para ayudar a nuestros hijos, debemos comprender los tipos de artefactos digitales que están capturando y almacenando contenido. Generalmente hay tres tipos: explícito, implícito e inadvertido.

El contenido explícito es todo lo que sucede después de hacer clic en el botón "Acepto" en los términos y condiciones o en el acuerdo de licencia del usuario final. Esta es un área en la que los padres (al menos inicialmente) tienen mucho control e influencia, y pueden enseñar y modelar buenos hábitos.

Contenido implícito es todo lo que hace o dice en un lugar que de otro modo sería público, que podría fotografiarse, grabarse o documentarse de algún modo. Esto va desde actuar tontamente hasta beber o tomar drogas, pero también incluye lo que la gente dice, publica, twittea, etc. en público o en línea.

El contenido inadvertido es el área de peligro. Este es información que se pretendía que permaneciera privada, o nunca se esperaba que fuera capturada. Desafortunadamente, el contenido inadvertido se está volviendo cada vez más común, ya que las organizaciones de todo tipo (accidentalmente o a propósito) doblan y rompen sus propios acuerdos de privacidad en una búsqueda para capturar más acerca de nosotros. Esta es la parte más desafiante del recorrido digital y una que debemos gestionar atentamente. ¡Preste atención a lo que compra e instala, desactive las funciones innecesarias y cambie las contraseñas predeterminadas a algo mucho más fuerte!

En el mundo corporativo, McAfee predice que la implementación en mayo de 2018 del Reglamento General de Protección de Datos (GDPR) de la Unión Europea podría desempeñar un papel importante al establecer reglas básicas sobre el manejo de los datos del consumidor y el contenido generado por los usuarios en los años venideros. Las empresas que miran hacia el futuro pueden aprovechar esto para establecer mejores prácticas que beneficien a los clientes que usan dispositivos de consumo, plataformas de aplicaciones generadoras de contenido y los servicios basados ​​en la nube que los respaldan en línea.

Escenarios de defensa

Para definir los escenarios ideales o propuestas del deber ser, consideraremos la necesidad de disponibilidad de los servicios partiendo desde una propuesta de topología física de la infraestructura, pasando por topología lógica, llegando en última instancia al sistema de los usuarios finales.

Iniciaremos con una topología de alta disponibilidad en infraestructura y servicios para el primer ambiente, y seguiremos con un ambiente que reduce disponibilidad y finalmente un ambiente donde, además, se reduce gestión perimetral.

Ambiente de alta disponibilidad con Infraestructura tolerante a fallos

La seguridad de la infraestructura parte del aseguramiento del suministro eléctrico, la mejor de las infraestructuras es inútil sin energía.

Querremos diferenciar el almacenamiento de nuestro ambiente de virtualización del almacenamiento de las copias de seguridad a fin de evitar punto único de falla.

La consolidación de servidores mediante virtualización de los distintos servicios, además de suponer un ahorro en costes de infraestructura y energía, así como en operación, reviste una capa de seguridad fundamental al reducir cómicamente los tiempos de recuperación ante desastres en relación con un modelo de recuperación tradicional de servidores, de manera que la disponibilidad se maximiza. Esto es especialmente importante en entornos donde el objetivo es una disponibilidad de 99,999%, más conocido como 5 nueves.

En nuestra red interna buscaremos redundancia en los switches a fin de que una falla física no interrumpa la operación ni siquiera parcialmente.

Desde el punto de vista perimetral, una excelente opción por su relación beneficio/costo, será un UTM, por sus siglas en inglés Gestión Unificada de Amenazas. Este tipo de dispositivos nos brindará múltiples funciones como antivirus, firewall, sistemas de detección/prevención de intrusos, NAT, VPN, Antispam, Antiphising, Antispyware y filtro de contenidos en la navegación, entre otros.

Y, por último, todo lo anterior, si la conectividad se pierde puede afectar la continuidad del negocio, por lo que utilizar 2 canales de Internet, idealmente de proveedores o ISPs diferentes, mitigará ese riesgo.

Ambiente de Semi/alta disponibilidad, tolerancia a fallos limitada

 

 

Si nuestro negocio no necesita una disponibilidad de 5 nueves, podemos reducir los costos en infraestructura obviando contingencia de canales, eliminando la redundancia de switching y UPS, y limitando el almacenamiento a una única SAN.

Las consideraciones anteriores respecto a perímetro seguirían vigentes, de igual manera la virtualización de servicios.

 

 

Ambiente sin alta disponibilidad y tolerancia a fallos mínima

 

 

Si nuestro negocio tiene una exposición a Internet mínima o limitada (navegación, correo, algún aplicativo en línea, como Office 365 por ejemplo) y no manejamos accesos remotos hacia el interior de nuestra red, podríamos limitar el alcance del perímetro obviando el UTM, sin embargo, ameritaría endurecer las directivas del software de seguridad a nivel de cada sistema.

La tolerancia a fallos quedaría restringida solamente al ambiente de virtualización por la naturaleza del servicio.

 
 
 Diseño de topología de red orientada a Seguridad Multicapa
 

El primer punto que deberíamos realizar al diseñar nuestra planificación de la red es la segmentación, destinando uno o más segmentos para cada particular, de acuerdo a nuestra necesidad. Según esta propuesta tendríamos:

  • Un segmento para servicios
  • Un segmento para telefonía
  • Un segmento para impresión y fax
  • Un segmento para la conectividad inalámbrica
  • Y un segmento para los equipos

Los segmentos anteriores serán, o no, visibles desde cualquiera de los otros, idealmente única y exclusivamente para los servicios a utilizar, prohibiendo el tráfico en los protocolos y puertos que no necesitemos entre las distintas VLANs. Esto reducirá mucho la superficie de ataque en caso de compromiso de cualquier activo, se encuentre en la VLAN que se encuentre.

Desde el punto de vista perimetral, y hacia el interior de la organización queremos prohibir por defecto cualquier tráfico en cualquier protocolo, estableciendo claramente los servicios accesibles utilizando protocolos seguros en cada caso (por ejemplo, para acceso remoto, utilizaremos VPN en lugar de escritorio remoto, LogmeIn, TeamViewer…etc.). Además, haremos uso de las funciones adicionales de seguridad del UTM como IDS/IPS para detectar y prevenir intrusos en la red, antispam, antivirus, filtrado de navegación…etc. Todas estas medidas, lo ideal es que, en paralelo a su uso, con cierta regularidad se realice supervisión de los registros que cada herramienta o función nos provee, a fin de identificar de manera precoz potenciales brechas de seguridad.
 
Soluciones empresariales de Seguridad para sistemas cliente y servidor
 
Como hemos tratado anteriormente, las amenazas en la actualidad cada vez son más sofisticadas, de tal manera que un simple antivirus “tradicional” o al uso resulta insuficiente. Para adoptar una postura de seguridad adecuada a los retos de hoy, necesitaremos una solución inteligente, con una arquitectura lo suficientemente poderosa para poder resolver cualquier ataque independientemente de la naturaleza del mismo.

Adicional, nuestra plataforma debería ser capaz de interrelacionarse con otros actores de nuestra infraestructura. Ni la protección de Endpoint es el único elemento de protección, ni está aislada del resto de la infraestructura.

Pongamos un ejemplo, si tenemos un perímetro con Fortinet, que por su IPS de red detecta un comportamiento que le dispara la firma X, ¿no sería estupendo que pudiera compartir la información sobre esa amenaza con nuestra protección de Endpoint? y al revés, en uno de nuestros equipos puede dispararse un bloqueo de un ejecutable malicioso X, amenaza de día cero, es decir, de la cual no hay firma. Si nuestra protección de Endpoint reconoce amenaza, y tiene la capacidad de avisar a otros actores como el citado Fortinet por seguir el ejemplo anterior, la siguiente vez que ese ejecutable vaya a llegar a nuestra red por una web maliciosa, por un correo etc…, estaría bloqueándose desde el mismo perímetro, dejando de penetrar a nuestra red en primer lugar.

 

Para avanzar en dirección a ese modelo, sugerimos, al menos, un esquema de seguridad de Endpoint que aglutine módulos obviamente de antivirus, pero también de prevención de exploits, cortafuegos, filtrado de navegación y una protección específica para amenazas avanzadas y de día cero, así como ataques de Ransomware.

Además, contaremos con una herramienta de gestión centralizada, encargada no solo de la distribución del software y sus firmas, sino también de generar inteligencia e informes sobre la salud del parque tecnológico objetivo, informes de amenazas, además de la posibilidad de automatizar respuestas ante eventos específicos.

 

 

Arrancábamos las propuestas de seguridad enfatizando un entorno de protección colaborativo. El esquema de seguridad de Endpoint puede escalarse un nivel más, e interrelacionarse con el ecosistema tecnológico que tengamos, de forma que realicen tareas complementarias, aprendiendo unos fabricantes de otros, de manera que nuestras distintas líneas de defensa se refuercen cada vez más entre sí

McAfee Active Response incluye capacidades de detección y respuesta (EDR) en los endpoints para identificar, buscar y remediar amenazas de forma proactiva. El monitoreo contínuo y los recopiladores personalizables buscan profundamente los indicadores de ataque que no solo se ejecutan o permanecen inactivos, sino que incluso se han eliminado para evitar la detección. La búsqueda integrada en tiempo real proporciona cronogramas de eventos para mejorar la búsqueda, y las respuestas automáticas brindan protección de seguridad en vivo sin intervención manual.

  • Controle de manera persistente los eventos críticos y los cambios de estado en los puntos finales
  • Ver alertas priorizadas y actuadas o consultas personalizadas y estándar
  • Use colectores continuos para buscar y visualizar todos los archivos: ejecutables, inactivos o incluso eliminados
  • Establecer trampas, activando respuestas automáticas o personalizadas
  • Analizar líneas de tiempo y búsquedas en vivo
  • Un solo clic para detener las amenazas y actualizar la protección en todos los endpoints.

Exponer amenazas con el monitoreo del riesgo conductual

Puntuación del comportamiento del proceso dinámico desde la ejecución previa hasta la ejecución posterior

 
 
Utilizaremos McAfee Active Response para responder preguntas clave, como:
  • ¿Qué sabemos sobre esta amenaza?
  • ¿En qué sistema comenzó?
  • ¿En qué sistema se está comportando peor?
  • ¿Qué pasó en el sistema en sí?
  • ¿Qué conductas riesgosas se han visto?
  • ¿Alguna vez se ha visto esto en otro lugar?
Use los valiosos datos del nivel del sistema para determinar el alcance completo de un ataque y remediarlo rápidamente con confianza.
 
 
 
 
Cace y responda rápidamente

Encuentre y resuelva amenazas potenciales en segundos en lugar de en días

 El área de trabajo de amenazas de McAfee Active Response hace que sea más fácil investigar y responder a las amenazas:

  • Panel izquierdo: se categorizan automáticamente eventos sospechosos según el comportamiento observado (trazado)
  • Central superior: explora las amenazas según categorías predefinidas
  • Gráfico de barras central: visualiza las tendencias de amenazas en toda la empresa
  • Lista central: se puede seleccionar una amenaza individual y consulte la lista de hosts donde se vio la amenaza.
  • Parte central inferior: seleccione un solo host, seleccione un proceso y vea la línea de tiempo real del evento (como se podía observar en la diapositiva anterior)
  • Panel superior derecho: nombre de la amenaza, nivel de riesgo y acciones (establecer como malicioso o bueno conocido, seleccionar uno o más de los sistemas infectados y detener el proceso o detener y eliminar)
  • Panel inferior derecho: Reputaciones de toda la empresa proporcionadas por el servidor TIE (Threat Intelligence Exchange) con la capacidad de ver y establecer reputación de amenazas potenciales en toda la empresa

 

Para finalizar, el gráfico presente nos mostraría un esquema resumido de la arquitectura de seguridad planteada.

ENS, la nueva generación de antivirus de McAfee estaría en conjunto con un servidor de intercambio de inteligencia de amenazas, que a su vez colabora con otros elementos de nuestra arquitectura para retroalimentarse mutuamente.

Active Response, brinda una visual de las amenazas con un continuo monitoreo de riesgos conductuales y nos permite automatizar acciones de remediación para un alcance tan granular como un solo sistema o para la organización completa.

Todo lo anterior de la mano de una herramienta de gestión centralizada, desde la que monitorear, desplegar productos y/o actualizaciones, pero también generar inteligencia, informes automatizados y respuestas automáticas.

Microsoft ha publicado el boletín de seguridad mensual correspondiente a febrero de 2015, que incluye nueve actualizaciones de software para resolver diversas vulnerabilidades y exposiciones comunes, tres de ellas críticas.

Las consecuencias potenciales de estas vulnerabilidades van desde la ejecución remota de código, elevación de privilegios, toma de control de equipos, evitar la protección ASLR, saltar restricciones de seguridad o la denegación de servicios. Los parches de seguridad pueden descargarse automáticamente desde Windows Update o mediante instalación individual desde los enlaces. Se recomienda actualizar equipos informáticos a la mayor brevedad. El boletín de seguridad mensual de febrero incluye:

  • MS15-009 – (3034682) – Crítica – Actualización masiva para Internet Explorer que resuelve 41 vulnerabilidades de todo tipo incluyendo ejecución remota de código. Afecta a todas las versiones del navegador web desde la 6 a la 11. 
  • MS15-010 – (3036220) – Esta actualización de seguridad resuelve seis vulnerabilidades en Microsoft Windows. La más grave podría permitir la ejecución remota de código si un atacante convence a un usuario para que abra un documento especialmente diseñado o visita un sitio web de confianza que contiene fuentes TrueType incrustadas.
  • MS15-011 – (3000483) – Crítica – Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft Windows. La vulnerabilidad podría permitir la ejecución remota de código si un atacante convence a un usuario conectarse a una red controlado por el atacante. Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado. Un atacante podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario.
  • MS15-012 – (3032328) – Importante – Esta actualización de seguridad resuelve tres vulnerabilidades en Microsoft Office. Las vulnerabilidades podrían permitir la ejecución remota de código si un usuario abre un archivo de Microsoft Office especialmente diseñado. Un atacante que aprovechara la vulnerabilidad podría obtener los mismos derechos de usuario que el usuario actual. 
  • MS15-013 – (3033857) – Importante – Esta actualización de seguridad resuelve una vulnerabilidad de Microsoft Office que podría permitir ejecución remota de código para ejecutar código arbitrario, evitando la protección ASLR (Address Space Layout Randomization). 
  • MS15-014 – (3004361) – Importante – Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft Windows. La vulnerabilidad podría permitir eludir las restricciones de seguridad en las políticas de grupo. Afecta a Windows Server 2008 y 2012, Windows 7 y Windows 8.1. 
  • MS15-015 – (3031432) – Importante – Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft Windows. La vulnerabilidad podría permitir a un atacante aprovechar la falta de controles de seguridad y adquirir credenciales de administrador utilizados para elevar los privilegios.
  • MS15-016 – (3029944) – Importante – Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft Windows. La vulnerabilidad podría permitir la divulgación de información si un usuario visita un sitio web que contiene una imagen TIFF especialmente diseñado. 
  • MS15-017 – (3035898) – Importante – Esta actualización de seguridad resuelve una vulnerabilidad en Virtual Machine Manager (VMM). La vulnerabilidad podría permitir la elevación de privilegios si un atacante inicia sesión en un sistema afectado.
Página 2 de 3

Recent Post

Soluciones de almacenamiento
El almacenamiento de datos es el fundamento de todos los…
Domingo, 03 Noviembre 2013 19:00

Software de Backup y recuperacion
El término backup o copia de seguridad en informática hace…
Domingo, 03 Noviembre 2013 19:00

PenTesting y Ethical Hacking
Todos habrán escuchado alguna vez sobre Penetration Testing (Pruebas de…
Domingo, 03 Noviembre 2013 19:00

Soluciones en la nube Saas
En este tipo de computación todo lo que puede ofrecer…
Domingo, 03 Noviembre 2013 19:00

Acerca de

Consultores, diseñadores y gestores de soluciones que apoyan la continuidad del negocio de nuestros clientes, en las áreas de seguridad, disponibilidad y uso de las tecnologías de la información, con el apoyo de aliados estratégicos expertos y de alto reconocimiento en el mercado.

Contáctenos

Queremos ser parte de la solución tecnológica de su empresa, contáctenos.

  Calle 5A # 43B-25 Oficina 610 Edificio Meridian - Poblado
  (+4) 560 05 80
  Esta dirección de correo electrónico está protegida contra spambots. Necesita activar JavaScript para visualizarla.

Newsletter