Contacto: (+4) 560 05 80 - Email: soporte@softnet.com.co

 

Usuario Final como principal activo de la empresa

En estos últimos años algunas organizaciones continúan sin tener en cuenta el usuario final como principal activo de su información; hoy en día todavía nos encontramos con algunas áreas de TI enfocadas en plantear esquemas de seguridad, políticas de seguridad e infraestructura de seguridad, descuidando al Usuario final, quien realmente utiliza estas herramientas y maneja información sensible de la empresa. ¿Cómo desde nuestra perspectiva como Ingenieros podemos impactar al usuario final? independiente del tamaño de la organización, el área de TI debe tener unos mínimos requeridos para poder tener un funcionamiento adecuado dentro de la organización.

En el esquema anterior visualizamos dos ejemplos; el primero muestra una empresa pequeña, la cual cuenta con un servidor principal, que digamos alojaría en muchos clientes el tema de almacenamiento, DA servidor fireserver, aplicativo cliente servidor, dispositivo de almacenamiento y unos usuarios que acceden a este sistema.  

En el otro ejemplo, observamos un esquema más robusto donde se empiezan a dividir los servicios de forma más específica o se comienzan a ver un poco más de complementos a nivel de Seguridad. se ha adicionado un firewall perimetral que va de cara hacia internet y de cara hacia la parte interna de la empresa, un servidor de SQL, servidor antivirus, telefonía principal hipervisor donde tendría servicios de administración, temas de almacenamiento y usuarios que acceden a toda esta infraestructura.

Normalmente, las empresas tratan de llegar a un ideal de tener un esquema de seguridad a través de la definición de una política de seguridad, donde se establecen cuáles son los mínimos necesarios para poder llevar a cabo una infraestructura ideal, en muchos casos o en la mayoría, el limitante es el presupuesto, por eso es que se hace un escalamiento del abastecimiento de esta infraestructura.

Este esquema se enfoca para grandes empresas, donde se habla de planes de mejora, desde la gestión de TI se proponen las mejores prácticas o el mejor esquema que se puede adaptar de acuerdo al presupuesto designado. Podemos visualizar un Fortinet como firewall perimetral, observamos una segunda sede (Cali), un departamento gestión TI, swiches que están en alta disponibilidad, fíjese que ya estamos hablando de unos términos adicionales que hace compleja una infraestructura que se pueda presentar dentro de la empresa, como por ejemplo, en la sede remota deberíamos verificar que estamos conectados a través de un canal Site to Site o un MPLS y si tenemos algo de gestión de TI, en las grandes empresas ya se empieza a manejar un departamento completo de tecnología de la información que se encarga de orquestar todos los dispositivos que están dentro de la empresa y poderlos gestionar o hacer una gestión centralizada.

Se habla de temas de alta disponibilidad o tema de replicación de la información como por ejemplo de una NAS o una SAN que podemos realizar una replicación en Nube del backup de la información, manejamos servicios muy parecidos, es decir, es posible que manejemos un SQL a través de una ARP, muy importante tener temas de seguridad de antivirus, plantas telefónicas, servicios como en los otros ejemplos anteriores y por su puesto un plan de mejoramiento.

Para resumir las nuevas estrategias que se dan dentro de las organizaciones van enfocadas a una gestión de Infraestructura centralizada, es decir desde Centro de TI o departamento de informática poder tener información y gestión de todos los dispositivos que se nos conectan a nuestra red, hacia allá es donde uno debería apuntar y es donde se trabaja desde el departamento de tecnología de la información.

Llevar a cabo estos objetivos ameritan una política de seguridad, donde establezcamos procesos y procedimientos, definiendo buenas prácticas y los riesgos que estamos dispuestos a asumir, como les decía el limitante en la mayoría de las empresas es el presupuesto, obligando a trabajar con los recursos que se asignan, es normal comenzar con pocos dispositivos y con el tiempo generar un crecimiento en infraestructura.

Tipos de usuarios: Los podemos categorizar usuarios privilegiados (gerente, directivo), usuarios de carácter intermedio (TI o infraestructura) y usuarios básicos (usuarios finales equipos Endpoint).

Generar conciencia

Todas las empresas están enfocadas en realizar un trabajo de optimización de la plataforma y muchas veces nos olvidamos del activo principal, los USUARIOS, quienes son los que manejan la información que está dentro de la empresa, también son el eslabón más débil en la cadena de seguridad, ya que son al día de hoy el foco de los ataques malintencionados que pretenden o robar información o como esta popularmente el tema del Ransomware, que es simplemente secuestrar la información a través de un cifrado de la misma y cobrarte por el rescate. También son los que tienen poco conocimiento de riesgos informáticos.

Cuando le preguntas a los usuarios ¿qué tanto saben de Seguridad de la Información o Seguridad Informática? Normalmente responden, no yo sé que acá en la empresa hay un Ingeniero de Sistemas o un jefe de TI o un Departamento de TI, quienes son los encargados de manejar ese tema y desconocen que el foco de ataques, son ellos mismos.

Aquí ya estamos hablando de un tema de conciencia, aunque tengamos una infraestructura robusta, las mejores prácticas del mercado a través de políticas de seguridad, gestión de riesgos y demás, simplemente con que un usuario desconozca como le pueden vulnerar a él su seguridad a nivel de Endpoint, directamente a su equipo o por un correo electrónico que es lo más común, todo nuestro esquema de Seguridad se nos vendría abajo, esto es lo que está pasando hoy en día en las empresas.

Cuando realizamos revisiones de esquemas de seguridad, nos encontramos con empresas que cuentan con una gran infraestructura tecnológica, tienen firewall, replicación de backup, copia de seguridad en tiempo real, alta disponibilidad en algunos servicios, pero cuando se llega al tema de los usuario y se pregunta ¿qué se ha hecho para generar conciencia de Seguridad en los usuarios? la mayoría de los responsables de TI nos dicen que lo normal es enseñarles acerca de cómo manejar los correos, otros simplemente dicen, no realmente no hemos realizado un plan de trabajo para concientización de los usuarios por ejemplo a través de charlas de Seguridad o si se ha realizado no podemos medir si realmente los usuarios entendieron lo que se les explico. Ese es otro de los grandes errores que tenemos nosotros los administradores de TI, somo muy técnicos y no sabemos desmenuzar la información en términos básicos a un usuario que desconoce el uso de dichos recursos.

Si le dijéramos a un usuario básico, mire Señor o Señorita, por políticas de seguridad de la empresa nosotros tenemos que obligarlo/a a usted a que cambie las contraseñas de seguridad cada mes, a veces el usuario no lo entiende y dice no pero es que si cada mes la cambio se me olvida, pero lo que no entiende el usuario/a es que detrás de esa política hay un estudio, hay una gestión del riesgo, ¿cómo podemos hacer para que el usuario entienda que hay un riesgo? y que es parte importante dentro de la cadena de Seguridad de la empresa, no solo como un usuario del sistema del software, sino también como un activo.

Cuando generamos un esquema de Seguridad para los usuarios privilegiados, lo hacemos pensando en que son las personas que más debemos proteger o establecer controles, sin embargo son los que más nos desautorizan, por ejemplo si definimos un control para un Gerente de ingreso a páginas maliciosas y redes sociales, las respuestas que se podrían encontrar son “ yo soy el Gerente”, “necesito navegar en redes sociales”, “entrar a todas las paginas sin restricción”, sin analizar que con esa acción él mismo está vulnerando toda la posibilidad de protección que nosotros podemos plantear.

Conciencia ¿Qué tan capacitados pueden estar estos usuarios?  ¿Qué reacción pueden tener frente a una posible infección?

PHISHING

En caso de no tener correo corporativo, es común utilizar un correo personal, manejando allí parte de la información de la empresa; correos como hotmail o gmail son susceptible en mayor grado a posibles ataques.

En el ejemplo anterior podemos observar un correo que le puede llegar a un usuario, este tipo de correos donde el usuario no está preparado para saber cómo actuar por curiosidad y desconocimiento lee y descarga los anexos.

Si un usuario está capacitado para identificar o por lo menos saber mediante tips de seguridad, que si le llega un correo de alguien totalmente desconocido o información que no es relevante para la empresa sabe que la recomendación es eliminar el correo, en este caso este PDF en apariencia podría contener un Ransomware que nos cifre toda la información del equipo y si nuestro equipo dentro de la compañía tiene carpetas compartidas por dar un ejemplo, es posible que puedan ser cifradas, entonces por muy buen esquema de seguridad que tengamos, por mucha protección a nivel de correo un web Gateway o un servicio de nube o mucha protección perimetral, simplemente por este correo podríamos estar hablando de una posible infección a nivel empresarial y por lo tanto se nos está vulnerando todo el esquema de seguridad. Por eso es importante generar conciencia.

           

Otro ejemplo es el siguiente; posiblemente todos tenemos cuenta bancaria, algunos en Bancolombia en este caso recibimos alertas o notificaciones cada vez que realizamos una transacción y de forma adicional dentro del mismo correo se nos dan una serie de recomendaciones de Seguridad que en la mayoría de casos no vemos, porque realmente lo que nos interesa saber es el valor debitado.

Comparando el primer correo con el segundo detectamos que el dominio es el mismo, con la diferencia de unos números que podrían ser otra cuenta de correo; para un usuario que no tiene conciencia del esquema de seguridad el primer correo y el segundo son válidos a diferencia de un usuario que tenga cultura de seguridad quien detectaría las inconsistencias. 

Las personas que generan este tipo de correos maliciosos denominados phishing hacen un correo idéntico, inclusive con las mismas recomendaciones asociando enlaces como el famoso haga clic aquí, que te lleva a una página totalmente diferente al portal de transacciones del banco. Éste por ejemplo nos llevó a valvoline.kz/css/ así nos demuestra que fue un clon que hicieron de la página de Bancolombia para que el usuario pudiera acceder, normalmente solicita número de cédula, preguntas de seguridad, contraseña, usuario, etc…

Desde el área de TI podemos identificar claramente estos phishing, pero el foco son los usuarios básicos; esto forma parte de la conciencia o de la cultura de seguridad de la empresa la cual debe estar enmarcada dentro de las políticas de seguridad, repito es muy válido que tengamos esquemas robustos que nos permitan mitigar estos riesgos, pero realmente lo más importante es el usuario que siempre estará más susceptible al ataque.

Nos llega a la cuenta de Esta dirección de correo electrónico está protegida contra spambots. Necesita activar JavaScript para visualizarla. de la empresa, un correo indicando que nuestro dominio ha sido pirateado y tienen pleno acceso al dispositivo; si dentro de la empresa quien lea este correo no pertenece al área de TI o no conoce de seguridad de la Información, no solo puede preocuparse, ingresar a algún link con información maliciosa, sino escalar el caso a los Directivos, quienes puede empezar a cuestionarse sobre la inversión en infraestructura realizada, solo con el mal manejo de un correo se desbalancearía o desequilibraría todo el concepto de seguridad que podemos tener. Como recomendaciones al ver este tipo de correos se debe eliminar o remitir al área de TI o Seguridad de la empresa, quienes generarían un tiquet y realizarían las validaciones o revisiones del caso.

En términos de seguridad y en términos de políticas de Seguridad de la Información todos los usuarios deben tener un mínimo de estándar en términos de seguridad no importa que sea el Gerente o el Directivo, simplemente a ellos debemos generarles un tema de Cultura de Seguridad y conciencia frente al uso de las herramientas tecnológicas. Una manera de poderles vender esta idea es a través de analogías con servicios que nosotros utilizamos en el diario vivir como por ejemplo redes sociales.

Analogía de Facebook como Empresa

Hoy en día la gran mayoría, si es por no decir todos, tenemos una cuenta en Facebook, Instagram, whatsapp, youtube, etc.. en resumen manejamos redes sociales como parte de nuestro diario vivir y justamente esta es la manera más fácil de poder venderle a alguien la idea de Seguridad.

Lo que vamos a hacer es utilizar a Facebook como si fuese una empresa, planteando un esquema de seguridad con política, dispositivos, controles de una manera didáctica, haciendo una especie de  hacking ético.

En la imagen vemos que Facebook perfectamente puede ser una analogía de nuestra empresa, manejo mis usuarios que son mi grupo de amigos, tengo ciertos alertamientos que podría ser la analogía de los dispositivos que tenemos implementados: mi firewall, mis servicios como el DA, tema de fireserver, antivirus, todo lo puedo orquestar desde las notificaciones, puedo tener servicio de telefonía como en este caso Messenger.

Adicional, podemos generar unas políticas de seguridad o algunos esquemas básicos como procedimientos y procesos que nos puedan ayudar a minimizar los riesgos de seguridad, en este caso, en Facebook hay algo que se llama Seguridad y nos permite generar unos controles, por ejemplo ¿quién puede ver las publicaciones que hagas a partir de ahora?, una serie de ítems que a nivel de seguridad dentro de las empresas vendría siendo el firewall perimetral, el antivirus con su configuración de directivas para proteger los equipos, un tema de red, es decir, puede ser un control de vulnerabilidades para los equipos, un tema de WSUS, un tema de parchado de todos los equipos desde el SO.

Las Auditorías Internas y Externas también son un tema de Seguridad, este caso puede verse a través de un hacking ético, normalmente se realiza en 2 faces, la primera es conocer cómo está la empresa de cara a internet, la segunda cómo está la empresa a nivel interno, para está analogía me dedicó a buscar en internet el nombre de la empresa y que información hay, en el caso de Facebook es como buscar mi perfil, identificando en que redes sociales aparezco.

En Facebook no controlo que hacen mis amigos en términos de publicaciones o etiquetas o referencias de amistades, aunque tengamos un esquema de seguridad bastante alto, si la auditoria externa no me funciona para conocer mi perfil, el siguiente paso es hacer una auditoria interna y a través de herramientas poder identificar ciertas vulnerabilidades que tenga el esquema de seguridad, normalmente son los Usuarios.

Como conclusión es importante compartir a los usuarios tips de seguridad, difundirlos por diferentes medios, capacitarlos y formarlos en una Cultura de Seguridad para que sepan cómo utilizar las herramientas tecnológicas.

Publicado en Noticias Seguridad

Ciberseguridad: Amenazas y Defensas

Viernes, 30 Noviembre 2018 10:16

El rápido crecimiento y los efectos dañinos de las nuevas amenazas cibernéticas exigen defensas que pueden detectar nuevas amenazas a velocidades de máquina, aumentando el énfasis en el aprendizaje automático como un valioso componente de seguridad. Desafortunadamente, las máquinas funcionarán para cualquiera, alimentando una carrera armamentista en acciones respaldadas por parte de defensores y atacantes.

El trabajo en equipo humano-máquina se está convirtiendo en una parte esencial de la Ciberseguridad, ya vemos ataques de caja negra que buscan vulnerabilidades y no siguen ningún modelo anterior, lo que hace difícil de detectar.

Blockchain – Riesgos de Seguridad.

A finales de 2017, la criptomoneda Bitcoin llegó a los titulares de una gran manera. Su valor se disparó a casi US $20,000 por moneda, despertando los principales medios de comunicación y captando la atención de aspirantes a inversores.

Bitcoin, la criptodivisa líder, se basa en Blockchain, una nueva tecnología revolucionaria que registra las transacciones de forma descentralizada, ha comenzado a cambiar la forma en que consideramos el dinero y ofrece un camino para resolver viejos problemas comerciales de nuevas maneras.

Sin embargo, con las nuevas tecnologías surgen nuevas preocupaciones de seguridad. Los malos actores ya se han enfocado en muchas implementaciones de Blockchain, utilizando ingeniería social, malware y exploits. A medida que grupos adicionales comiencen a utilizar Blockchain y construyan herramientas a su alrededor, deben comprender los riesgos de seguridad.

  • Las estafas de phishing son los ataques Blockchain más familiares debido a su prevalencia y tasa de éxito. Consideren la criptomoneda Iota. Las víctimas perdieron $4 millones en una estafa de phishing que duró varios meses.
  • En 2016, las nuevas familias de Ransomware explotaron en número. Fueron la herramienta principal utilizada por los malos actores para adquirir criptomonedas. El Ransomware no era nuevo, pero se convirtió en un favorito debido a los beneficios de transferir y ocultar fondos a través de criptomonedas.
  • En 2017, los desarrolladores de Ransomware ampliaron su interés en las monedas. Los actores malintencionados comenzaron a experimentar con varias cryptos alternativas, también conocidas como altcoins. Monero fue una alternativa favorita, mientras que las monedas menos conocidas, como Dash, empezaron a llamar la atención.
    Hay ataques frecuentes contra Microsoft Internet Explorer y Adobe Flash Player a través de publicidad maliciosa.
  • Otro tipo de amenaza es un ataque contra la implementación de Blockchain en sí, así como sus herramientas de soporte. Sin embargo, cuanto más nos acercamos al núcleo de la tecnología Blockchain, más difícil es tener éxito con un ataque. En general, estas amenazas son mucho más como exploits del software tradicional y aplicaciones web.

Antes del lanzamiento de la primera implementación de Blockchain, no había una alternativa confiable para la banca descentralizada. Sin embargo, las preocupaciones de seguridad de construir tal sistema fueron estudiadas mucho antes. Años de investigación, incluida la cadena de bloques de Haber y Stornetta, establecieron la confianza en el concepto de Blockchain. Sin embargo, la seguridad de una cadena de bloques depende de ciertas suposiciones. Si esas no se cumplen, entonces la seguridad está en riesgo.

  1. Para un Blockchain es que la contribución a la red, la "tasa de hash" para Bitcoin, se distribuye. Específicamente, ninguna entidad o grupo colaborativo procesa más del 50% de la red en cualquier momento. Un ataque mayoritario ocurre cuando un actor posee más del 50% de la red.
  2. La mayoría de los nodos son "honestos", lo que significa que hay una alta probabilidad de que una conexión sea con un nodo legítimo. Si no se establece un vínculo con un nodo honesto, se permite un ataque de Sybil, en el cual el atacante obliga a la víctima a hablar solo con nodos maliciosos.
  3. Las colisiones hash son raras. Mientras un dueño tenga acceso único a una clave, entonces nadie más puede enviar transacciones desde esa billetera. Pero, ¿y si las colisiones no fueran raras? Un atacante u otra persona podría accidentalmente eliminar fondos de la billetera de alguien. La propiedad de billeteras y fondos sería difícil de probar porque desde el punto de vista de la red, ambas partes tendrían los mismos derechos. La buena noticia es que las colisiones hash que usan algoritmos estándar de industria parecen ser raras. Nadie ha sido capaz de intencionalmente o, involuntariamente, generar la clave de otra persona, al menos con Bitcoin, siempre que esas claves se hayan realizado correctamente.

Ransomware pivota hacia nuevos destinos

Recientemente ha comenzado una nueva campaña de ataques de Ransomware dirigidos. En lugar del modus operandi normal (ataques de phishing o dirigidos por descargas que llevan a la ejecución automática del Ransomware), los atacantes obtuvieron acceso persistente a la red de la víctima a través de explotación de vulnerabilidades y extendieron su acceso a cualquier sistema conectado. En cada sistema, se usaron varias herramientas para buscar, encriptar y eliminar los archivos originales, así como cualquier copia de seguridad. Estas herramientas incluyen utilidades de Microsoft Sysinternals y partes de proyectos de código abierto.

Después del cifrado de los archivos, aparece una nota de rescate que exige un pago en Bitcoins para recuperar los archivos. Al separar determinadas funciones del binario de Ransomware, ejecutando ciertas acciones a través de herramientas y scripts disponibles gratuitamente, los adversarios trataron de evitar la detección, tanto como fuera posible. Esto es diferente a la mayoría de los casos de Ransomware que se propagan.

Aplicaciones sin servidor: Nuevas oportunidades para amigos y enemigos

Las aplicaciones "sin servidor", el aspecto más reciente de la informática virtual, permiten un nuevo grado de abstracción en el desarrollo de aplicaciones, aprovechando funciones como servicio (FaaS) para sus requisitos de computación. Las funciones se facturan solo mientras se están ejecutando, incluida la facturación por segundo (cargos de AWS Lambda por 100 ms). Pagar solo por ejecutar la lógica comercial, en lugar de ejecutar un contenedor completo o una máquina virtual, puede reducir los costos por un factor de 10 en algunas operaciones. Pero, ¿qué pasa con la seguridad de estas llamadas a funciones? Son vulnerables de formas tradicionales, como la escalada de privilegios y las dependencias de las aplicaciones, pero también de formas nuevas, como el tráfico en tránsito y una mayor superficie de ataque.

Comencemos con las vulnerabilidades tradicionales. Las aplicaciones sin servidor que se implementan rápidamente pueden usar un nivel de privilegio inapropiado, dejando el entorno abierto a un ataque de escalada de privilegios. Lograr menos privilegios es más difícil con más componentes para proteger, contener y actualizar. De manera similar, la velocidad de implementación puede resultar en una función que depende de paquetes extraídos de repositorios externos que no están bajo el control de la organización y que no han sido evaluados adecuadamente.

Luego están los nuevos riesgos. Debido a que las aplicaciones sin servidor naturalmente se escalan y facturan en función del tráfico, los ataques distribuidos de denegación de servicio se pueden traducir más fácilmente directamente a la línea de fondo, dependiendo del número de ejecuciones simultáneas permitidas por la aplicación.

Otro riesgo son los datos que pueden ser aprovechados por múltiples funciones para procesar una transacción comercial. Debido a que una aplicación sin servidor puede incluir más componentes que las arquitecturas de aplicaciones anteriores, los datos pueden tener un mayor riesgo de interceptación o manipulación. Se debe aprovechar el uso amplio y ubicuo de la autenticación y autorización entre servicios y el cifrado de datos tanto en reposo como en tránsito.

Prevemos que la mayor granularidad de las aplicaciones sin servidor generará un aumento comparable en la superficie de ataque. Más funciones, en tránsito a uno o más proveedores, significan más área para que un atacante la explote o interrumpa. Asegúrese de que el proceso de desarrollo e implementación de funciones incluya los pasos de seguridad necesarios y que el tráfico esté protegido de forma adecuada mediante VPN o cifrado.

Cuando su hogar se convierte en el escaparate definitivo

Los especialistas en marketing corporativo tienen poderosos incentivos para observar y comprender las necesidades de compra y las preferencias de los propietarios de dispositivos domésticos conectados. Los dispositivos en red ya transmiten una gran cantidad de información sin el conocimiento de la abrumadora mayoría de los consumidores. Los clientes rara vez leen los acuerdos de privacidad y, sabiendo esto, es probable que las empresas tomen la iniciativa de cambiarlas con frecuencia luego de que los dispositivos y servicios se implementen para capturar más información y monetizarla.

Parece que cada producto, servicio o experiencia con el que interactuamos hoy crea algún tipo de registro digital, nos guste o no. Como adultos, gradualmente nos estamos reconciliando con este efecto y aprendiendo a manejar nuestras vidas digitales, pero ¿y nuestros hijos? Los empleadores ya están tomando decisiones de contratación influenciadas por los resultados de búsqueda. ¿Podría esto extenderse a las escuelas, la atención médica y los gobiernos? ¿Se les negará la entrada a la escuela a los niños debido a la cantidad de tiempo que pasaron viendo videos de manera compulsiva, o les resulta difícil postularse a un trabajo por un video hecho cuando tenían siete años?

Como padres, nuestro desafío es ayudar a nuestros niños a navegar en este nuevo mundo, en el cual pueden ser rastreados casi desde el momento de la concepción.

Para ayudar a nuestros hijos, debemos comprender los tipos de artefactos digitales que están capturando y almacenando contenido. Generalmente hay tres tipos: explícito, implícito e inadvertido.

El contenido explícito es todo lo que sucede después de hacer clic en el botón "Acepto" en los términos y condiciones o en el acuerdo de licencia del usuario final. Esta es un área en la que los padres (al menos inicialmente) tienen mucho control e influencia, y pueden enseñar y modelar buenos hábitos.

Contenido implícito es todo lo que hace o dice en un lugar que de otro modo sería público, que podría fotografiarse, grabarse o documentarse de algún modo. Esto va desde actuar tontamente hasta beber o tomar drogas, pero también incluye lo que la gente dice, publica, twittea, etc. en público o en línea.

El contenido inadvertido es el área de peligro. Este es información que se pretendía que permaneciera privada, o nunca se esperaba que fuera capturada. Desafortunadamente, el contenido inadvertido se está volviendo cada vez más común, ya que las organizaciones de todo tipo (accidentalmente o a propósito) doblan y rompen sus propios acuerdos de privacidad en una búsqueda para capturar más acerca de nosotros. Esta es la parte más desafiante del recorrido digital y una que debemos gestionar atentamente. ¡Preste atención a lo que compra e instala, desactive las funciones innecesarias y cambie las contraseñas predeterminadas a algo mucho más fuerte!

En el mundo corporativo, McAfee predice que la implementación en mayo de 2018 del Reglamento General de Protección de Datos (GDPR) de la Unión Europea podría desempeñar un papel importante al establecer reglas básicas sobre el manejo de los datos del consumidor y el contenido generado por los usuarios en los años venideros. Las empresas que miran hacia el futuro pueden aprovechar esto para establecer mejores prácticas que beneficien a los clientes que usan dispositivos de consumo, plataformas de aplicaciones generadoras de contenido y los servicios basados ​​en la nube que los respaldan en línea.

Escenarios de defensa

Para definir los escenarios ideales o propuestas del deber ser, consideraremos la necesidad de disponibilidad de los servicios partiendo desde una propuesta de topología física de la infraestructura, pasando por topología lógica, llegando en última instancia al sistema de los usuarios finales.

Iniciaremos con una topología de alta disponibilidad en infraestructura y servicios para el primer ambiente, y seguiremos con un ambiente que reduce disponibilidad y finalmente un ambiente donde, además, se reduce gestión perimetral.

Ambiente de alta disponibilidad con Infraestructura tolerante a fallos

La seguridad de la infraestructura parte del aseguramiento del suministro eléctrico, la mejor de las infraestructuras es inútil sin energía.

Querremos diferenciar el almacenamiento de nuestro ambiente de virtualización del almacenamiento de las copias de seguridad a fin de evitar punto único de falla.

La consolidación de servidores mediante virtualización de los distintos servicios, además de suponer un ahorro en costes de infraestructura y energía, así como en operación, reviste una capa de seguridad fundamental al reducir cómicamente los tiempos de recuperación ante desastres en relación con un modelo de recuperación tradicional de servidores, de manera que la disponibilidad se maximiza. Esto es especialmente importante en entornos donde el objetivo es una disponibilidad de 99,999%, más conocido como 5 nueves.

En nuestra red interna buscaremos redundancia en los switches a fin de que una falla física no interrumpa la operación ni siquiera parcialmente.

Desde el punto de vista perimetral, una excelente opción por su relación beneficio/costo, será un UTM, por sus siglas en inglés Gestión Unificada de Amenazas. Este tipo de dispositivos nos brindará múltiples funciones como antivirus, firewall, sistemas de detección/prevención de intrusos, NAT, VPN, Antispam, Antiphising, Antispyware y filtro de contenidos en la navegación, entre otros.

Y, por último, todo lo anterior, si la conectividad se pierde puede afectar la continuidad del negocio, por lo que utilizar 2 canales de Internet, idealmente de proveedores o ISPs diferentes, mitigará ese riesgo.

Ambiente de Semi/alta disponibilidad, tolerancia a fallos limitada

 

 

Si nuestro negocio no necesita una disponibilidad de 5 nueves, podemos reducir los costos en infraestructura obviando contingencia de canales, eliminando la redundancia de switching y UPS, y limitando el almacenamiento a una única SAN.

Las consideraciones anteriores respecto a perímetro seguirían vigentes, de igual manera la virtualización de servicios.

 

 

Ambiente sin alta disponibilidad y tolerancia a fallos mínima

 

 

Si nuestro negocio tiene una exposición a Internet mínima o limitada (navegación, correo, algún aplicativo en línea, como Office 365 por ejemplo) y no manejamos accesos remotos hacia el interior de nuestra red, podríamos limitar el alcance del perímetro obviando el UTM, sin embargo, ameritaría endurecer las directivas del software de seguridad a nivel de cada sistema.

La tolerancia a fallos quedaría restringida solamente al ambiente de virtualización por la naturaleza del servicio.

 
 
 Diseño de topología de red orientada a Seguridad Multicapa
 

El primer punto que deberíamos realizar al diseñar nuestra planificación de la red es la segmentación, destinando uno o más segmentos para cada particular, de acuerdo a nuestra necesidad. Según esta propuesta tendríamos:

  • Un segmento para servicios
  • Un segmento para telefonía
  • Un segmento para impresión y fax
  • Un segmento para la conectividad inalámbrica
  • Y un segmento para los equipos

Los segmentos anteriores serán, o no, visibles desde cualquiera de los otros, idealmente única y exclusivamente para los servicios a utilizar, prohibiendo el tráfico en los protocolos y puertos que no necesitemos entre las distintas VLANs. Esto reducirá mucho la superficie de ataque en caso de compromiso de cualquier activo, se encuentre en la VLAN que se encuentre.

Desde el punto de vista perimetral, y hacia el interior de la organización queremos prohibir por defecto cualquier tráfico en cualquier protocolo, estableciendo claramente los servicios accesibles utilizando protocolos seguros en cada caso (por ejemplo, para acceso remoto, utilizaremos VPN en lugar de escritorio remoto, LogmeIn, TeamViewer…etc.). Además, haremos uso de las funciones adicionales de seguridad del UTM como IDS/IPS para detectar y prevenir intrusos en la red, antispam, antivirus, filtrado de navegación…etc. Todas estas medidas, lo ideal es que, en paralelo a su uso, con cierta regularidad se realice supervisión de los registros que cada herramienta o función nos provee, a fin de identificar de manera precoz potenciales brechas de seguridad.
 
Soluciones empresariales de Seguridad para sistemas cliente y servidor
 
Como hemos tratado anteriormente, las amenazas en la actualidad cada vez son más sofisticadas, de tal manera que un simple antivirus “tradicional” o al uso resulta insuficiente. Para adoptar una postura de seguridad adecuada a los retos de hoy, necesitaremos una solución inteligente, con una arquitectura lo suficientemente poderosa para poder resolver cualquier ataque independientemente de la naturaleza del mismo.

Adicional, nuestra plataforma debería ser capaz de interrelacionarse con otros actores de nuestra infraestructura. Ni la protección de Endpoint es el único elemento de protección, ni está aislada del resto de la infraestructura.

Pongamos un ejemplo, si tenemos un perímetro con Fortinet, que por su IPS de red detecta un comportamiento que le dispara la firma X, ¿no sería estupendo que pudiera compartir la información sobre esa amenaza con nuestra protección de Endpoint? y al revés, en uno de nuestros equipos puede dispararse un bloqueo de un ejecutable malicioso X, amenaza de día cero, es decir, de la cual no hay firma. Si nuestra protección de Endpoint reconoce amenaza, y tiene la capacidad de avisar a otros actores como el citado Fortinet por seguir el ejemplo anterior, la siguiente vez que ese ejecutable vaya a llegar a nuestra red por una web maliciosa, por un correo etc…, estaría bloqueándose desde el mismo perímetro, dejando de penetrar a nuestra red en primer lugar.

 

Para avanzar en dirección a ese modelo, sugerimos, al menos, un esquema de seguridad de Endpoint que aglutine módulos obviamente de antivirus, pero también de prevención de exploits, cortafuegos, filtrado de navegación y una protección específica para amenazas avanzadas y de día cero, así como ataques de Ransomware.

Además, contaremos con una herramienta de gestión centralizada, encargada no solo de la distribución del software y sus firmas, sino también de generar inteligencia e informes sobre la salud del parque tecnológico objetivo, informes de amenazas, además de la posibilidad de automatizar respuestas ante eventos específicos.

 

 

Arrancábamos las propuestas de seguridad enfatizando un entorno de protección colaborativo. El esquema de seguridad de Endpoint puede escalarse un nivel más, e interrelacionarse con el ecosistema tecnológico que tengamos, de forma que realicen tareas complementarias, aprendiendo unos fabricantes de otros, de manera que nuestras distintas líneas de defensa se refuercen cada vez más entre sí

McAfee Active Response incluye capacidades de detección y respuesta (EDR) en los endpoints para identificar, buscar y remediar amenazas de forma proactiva. El monitoreo contínuo y los recopiladores personalizables buscan profundamente los indicadores de ataque que no solo se ejecutan o permanecen inactivos, sino que incluso se han eliminado para evitar la detección. La búsqueda integrada en tiempo real proporciona cronogramas de eventos para mejorar la búsqueda, y las respuestas automáticas brindan protección de seguridad en vivo sin intervención manual.

  • Controle de manera persistente los eventos críticos y los cambios de estado en los puntos finales
  • Ver alertas priorizadas y actuadas o consultas personalizadas y estándar
  • Use colectores continuos para buscar y visualizar todos los archivos: ejecutables, inactivos o incluso eliminados
  • Establecer trampas, activando respuestas automáticas o personalizadas
  • Analizar líneas de tiempo y búsquedas en vivo
  • Un solo clic para detener las amenazas y actualizar la protección en todos los endpoints.

Exponer amenazas con el monitoreo del riesgo conductual

Puntuación del comportamiento del proceso dinámico desde la ejecución previa hasta la ejecución posterior

 
 
Utilizaremos McAfee Active Response para responder preguntas clave, como:
  • ¿Qué sabemos sobre esta amenaza?
  • ¿En qué sistema comenzó?
  • ¿En qué sistema se está comportando peor?
  • ¿Qué pasó en el sistema en sí?
  • ¿Qué conductas riesgosas se han visto?
  • ¿Alguna vez se ha visto esto en otro lugar?
Use los valiosos datos del nivel del sistema para determinar el alcance completo de un ataque y remediarlo rápidamente con confianza.
 
 
 
 
Cace y responda rápidamente

Encuentre y resuelva amenazas potenciales en segundos en lugar de en días

 El área de trabajo de amenazas de McAfee Active Response hace que sea más fácil investigar y responder a las amenazas:

  • Panel izquierdo: se categorizan automáticamente eventos sospechosos según el comportamiento observado (trazado)
  • Central superior: explora las amenazas según categorías predefinidas
  • Gráfico de barras central: visualiza las tendencias de amenazas en toda la empresa
  • Lista central: se puede seleccionar una amenaza individual y consulte la lista de hosts donde se vio la amenaza.
  • Parte central inferior: seleccione un solo host, seleccione un proceso y vea la línea de tiempo real del evento (como se podía observar en la diapositiva anterior)
  • Panel superior derecho: nombre de la amenaza, nivel de riesgo y acciones (establecer como malicioso o bueno conocido, seleccionar uno o más de los sistemas infectados y detener el proceso o detener y eliminar)
  • Panel inferior derecho: Reputaciones de toda la empresa proporcionadas por el servidor TIE (Threat Intelligence Exchange) con la capacidad de ver y establecer reputación de amenazas potenciales en toda la empresa

 

Para finalizar, el gráfico presente nos mostraría un esquema resumido de la arquitectura de seguridad planteada.

ENS, la nueva generación de antivirus de McAfee estaría en conjunto con un servidor de intercambio de inteligencia de amenazas, que a su vez colabora con otros elementos de nuestra arquitectura para retroalimentarse mutuamente.

Active Response, brinda una visual de las amenazas con un continuo monitoreo de riesgos conductuales y nos permite automatizar acciones de remediación para un alcance tan granular como un solo sistema o para la organización completa.

Todo lo anterior de la mano de una herramienta de gestión centralizada, desde la que monitorear, desplegar productos y/o actualizaciones, pero también generar inteligencia, informes automatizados y respuestas automáticas.

Publicado en Noticias Seguridad

Recent Post

Soluciones de almacenamiento
El almacenamiento de datos es el fundamento de todos los…
Domingo, 03 Noviembre 2013 19:00

Software de Backup y recuperacion
El término backup o copia de seguridad en informática hace…
Domingo, 03 Noviembre 2013 19:00

PenTesting y Ethical Hacking
Todos habrán escuchado alguna vez sobre Penetration Testing (Pruebas de…
Domingo, 03 Noviembre 2013 19:00

Soluciones en la nube Saas
En este tipo de computación todo lo que puede ofrecer…
Domingo, 03 Noviembre 2013 19:00

Acerca de

Consultores, diseñadores y gestores de soluciones que apoyan la continuidad del negocio de nuestros clientes, en las áreas de seguridad, disponibilidad y uso de las tecnologías de la información, con el apoyo de aliados estratégicos expertos y de alto reconocimiento en el mercado.

Contáctenos

Queremos ser parte de la solución tecnológica de su empresa, contáctenos.

  Calle 5A # 43B-25 Oficina 610 Edificio Meridian - Poblado
  (+4) 560 05 80
  Esta dirección de correo electrónico está protegida contra spambots. Necesita activar JavaScript para visualizarla.

Newsletter