17
Oct

Entre bastidores

Escrito por jorgehierro. Blogueado por Actualidad, Clases

En el repaso de la seguridad de la información, las empresas buscan soluciones y minimizar el riesgo ante las redes abiertas y la implantación de un protocolo de comunicación basado en un Plan de Acción que busque disminuir las vulnerabilidades de los sistemas

Entre bastidores

Los test de vulnerabilidad y de intrusión se pueden pactar para conocer los puntos débiles de un sistema de información. Una empresa vive de cara a los clientes, a sus trabajadores y a las entidades a las que tiene que responder, por lo que la seguridad, y no sólo las normas y certificaciones correspondientes, es el papel protagonista de un largometraje que se cuenta en tiempo real, sin dejar de lado a la exposición constante en la que vivimos en la actualidad. No sólo es una Web, Blog, perfiles de redes sociales, el servidor, la nube, el espacio contratado, los archivos que manejamos o las conversaciones que tenemos en una herramienta de terceros, sino la protección del modelo de negocio, las relaciones con los clientes y la organización de los procesos con los trabajadores, que son la esencia de una organización cada vez más dependiente de soluciones en las que confiamos y a veces no responden ante un criterio formulado en un test de vulnerabilidad. Los Centros de Operaciones, los llamados SOC, que se han adaptado a la nube, han logrado descentralizar el análisis y la vigilancia de las empresas y entidades, delegando una serie de funciones que antes eran impensables. Pero, como es lógico, ha aparecido el riesgo, la amenaza y qué tipo de contratos hemos firmado para detectarlos y conocer el tiempo de respuesta y la adecuada adaptación a unos procesos en los que la información (documentos, archivos, mensajes, etc) y los datos, que forman parte de los valores de las estructuras, son el motor de la economía. La ingeniería social en materia de ciberseguridad pone de manifiesto el análisis de envío de correos electrónicos, qué tipo de consultas realizamos en una Intranet Corporativa, la clonación de Webs, distribución de memorias USB, envío de ficheros por mail, código QR, los puntos de acceso WiFi o las llamadas de teléfono forman parte de un conjunto de preocupaciones que han entrado en las nuevas especialidades de profesionales que forman parte de las principales empresas de seguridad. Por otro lado, en la descentralización, hemos pasado de lo presencial a lo virtual, de lo tangible a lo intangible y las consecuencias han cambiado el acceso a los datos, información y manera de trabajar, ajustando un modelo global a la hora de participar en proyectos a corto, medio o largo plazo. Sin embargo, los crecientes ataques al perímetro, la proliferación del malware, ransomware (secuestro de datos), la suplantación de identidad (Phishing) o la manipulación del tráfico de red han logrado un aumento de la inversión en seguridad que nos lleva al estudio de un ecosistema de servicios que no puede quedarse en un segundo plano.

Los incidentes que están arraigados a un problema en materia de seguridad en las organizaciones tienen un protocolo, pero hay que hacer un Plan de Acción y concienciar a los trabajadores de qué tipo de actuación debe de seguir ante una amenaza y riesgo. Sin embargo, según los datos de los principales informes, estamos ante “descuidos” costosos y sitúan la acción del trabajador en uno de los primeros puestos cuando buscamos responsabilidades. Si una amenaza viene por un correo electrónico, una suplantación, o bien, por medio de una intrusión en la red hay que activar el sentido común y comunicar en tiempo y forma una sospecha que puede lograr una reducción de los costes que las empresas dedican en materia de protección, aunque la demanda de servicios, auditorías y la contratación de soluciones se haya disparado desde el inicio de la crisis económica. El Instituto Sans propone las siguientes etapas:

 

  • Preparación: La organización educa a los usuarios y al personal de TI sobre la importancia de actualizar las medidas de seguridad y les capacita para responder a los incidentes de seguridad de la computadora y la red de manera rápida y correcta. Estamos hablando de consultoría y formación y de saber qué es lo que podemos hacer en un sistema de información. En este aspecto, hay que señalar la importancia de la trasmisión de los valores de la cultura organizativa, que lleva a los responsables a determinar algunas de las posibles acciones en materia de comunicación.

 

  • Identificación: El equipo de respuesta se activa para decidir si un evento en particular es, de hecho, un incidente de seguridad. El equipo puede ponerse en contacto con el Centro de Coordinación CERT, que realiza un seguimiento de la actividad de seguridad en Internet y tiene la información más actualizada sobre virus y gusanos. El Centro Criptológico Nacional (CCN-CERT) cuenta con un sistema de incidencias y alertas, como lo realizan la mayor parte de países que forman parte de la UE, que informan de las vulnerabilidades en el acceso a los sistemas de información. En este cambio, se trabaja en la nube, la detección de API´s, auditorías de los principales SO o en la publicación de un informe del Estado de la Seguridad siguiendo los parámetros del Esquema Nacional.

 

  • Contención: El equipo determina hasta dónde se ha diseminado el problema y contiene el problema desconectando todos los sistemas y dispositivos afectados para evitar más daños. Wanna Cry o WannaCrypt0r 2.0 es un software malicioso que se detectó en mayo de 2017. Una de las primeras reacciones fue dejarlo todo, es decir, no seguir. Una vulnerabilidad en Windows consiguió centrar los ataques dirigidos a empresas españolas (Telefónica, Iberdrola o Gas Natural) e instituciones (servicio de salud británico), lo que llevó al caos en numerosas organizaciones que buscaron soluciones tardías ante la actualización de sus sistemas a un parche creado por Microsoft en marzo de 2017. El pago de unos 300 dólares era la solución para poder “salvar” los archivos del secuestro, aunque los expertos, en la mayor parte de las ocasiones, siempre dicen que “no hay que pagar cantidad alguna”.

 

  • Erradicación: El equipo investiga para descubrir el origen del incidente. La causa raíz del problema y todos los rastros de código malicioso se eliminan. En ocasiones aparecen las colaboraciones de terceros, que se ponen manos a la obra para resolver problemas que afectan a las empresas, organizaciones públicas o entidades sin ánimo de lucro. El código malicioso de cualquier ransomware es analizable y hay que saber cómo solventar el problema analizando el lugar por dónde se ha llevado a cabo el ataque, qué tipo de ordenadores y servidores han quedado afectados, y cómo gestionar un parche para poder desplazarlo, eliminarlo y erradicarlo, sin que afecta a los sistemas de información.

 

  • Recuperación: los datos y el software se restauran de los archivos de copia de seguridad limpios, asegurando que no queden vulnerabilidades. Los sistemas son monitorizados para detectar cualquier signo de debilidad o recurrencia.

 

  • Lecciones aprendidas: El equipo analiza el incidente y cómo fue manejado, haciendo recomendaciones para una mejor respuesta futura y para prevenir una recurrencia.

 

El Security Operations Center (SOC) es una infraestructura que monitoriza la actividad de los sistemas informáticos de una compañía en tiempo real con el objetivo de prevenir incidentes de seguridad o, en el caso de que ocurran, ofrecer una respuesta rápida y adecuada. La redacción de la vulnerabilidad, cómo se ha solucionado y la propuesta de cambios forma parte de la gestión del conocimiento de las empresas en busca de solucionar los casos reales.

 

Fuentes de información de interés:

 

-Curso Alumni CEU:

http://servicios.ceu.es/CEU-Alumni-Gestion/emailings/imagenes/Folleto%20Ciberseguridad%20Alumni.pdf

 

-Centro Criptológico Nacional (CCN-CERT):

https://www.ccn-cert.cni.es/

 

-Computer Emergency Response Team (CERT-UE):

https://cert.europa.eu/cert/filteredition/en/CERT-LatestNews.html

 

-Información sobre WannaCry:

https://www.xataka.com/seguridad/wanna-decryptor-asi-funciona-el-supuesto-ransomware-que-se-ha-usado-en-el-ciberataque-a-telefonica

 

-GitHub: plataforma para la creación de soluciones y desarrollo de aplicaciones bajo una comunidad de usuarios que trabajan sobre código abierto y en distintos lenguajes de programación (Java, Phython, JavaScript, PHP, C, Shell, HTML, C#, Ruby, C++).

https://github.com/

 

-Kaspersky CyberMap:

https://cybermap.kaspersky.com/

 

-Fuentes de información, medios de comunicación y Blogs de interés:

https://www.xataka.com/

http://www.ituser.es/

https://www.securitymagazine.com

https://www.technewsworld.com/perl/section/cyber-security/

http://www.securityweek.com/cybercrime

https://hacking-etico.com/

http://www.elladodelmal.com/

http://www.securitybydefault.com/

https://debianhackers.net/

http://www.seguridadjabali.com/

http://foro.elhacker.net/

https://luisiblogdeinformatica.com/

http://searchdatacenter.techtarget.com

 

Con el paso de los días iremos añadiendo una serie de conceptos que forman parte del vocabulario actual que analiza los conceptos de ciberseguridad y que hace que detengamos la mirada a cómo puede penetrar un ataque en una empresa:

 

  • Red y datos.
  • Dispositivos externos.
  • Herramientas de comunicación.
  • Plataformas de terceros.
  • Descarga o actualizaciones de parches de sitios no seguros y verificados.
  • Por medio de aprovechar las vulnerabilidades de sistemas de confianza sobre los que sostenemos el intercambio de datos, información o gestión documental.

 

En este caso, en materia de red de comunicaciones, el Spoofing hace referencia al uso de técnicas a través de las cuales un atacante se hace pasar por una entidad distinta a través de la falsificación de datos en una comunicación. IP, ARP, DNS, Email o GPS son protocolos que pueden verse alterados, teniendo en cuenta los conocimientos suficientes para ello. Por otro lado, uno de los términos de moda es el llamado Pharming, que es la explotación de una vulnerabilidad en el software de los servidores DNS o en el de los equipos de los propios usuarios. Un atacante consigue redirigir un nombre de dominio a otra máquina distinta. El usuario, una vez que introduce el dominio, accederá por medio de su explorador y navegador a la página web creada por el atacante. De la misma manera, encontramos en XSS o Cross-site scripting un tipo de agujero de seguridad típico de aplicaciones Web, que permite a una persona introducir código JavaScript y puede robar información delicada, secuestrar sesiones de usuario o comprometer al navegador.

 

A lo largo del mes de octubre actualizaremos una serie de contenidos relacionados con Internet de las Cosas (IoT), así como a los contenidos más actuales en materia de ciberseguridad.

 

-Programa de Internet de las Cosas (IoT) de Las Palmas de Gran Canaria:

http://www.eldiario.es/canariasahora/sociedad/Incyde-SPEGC-Internet-Palmas-Canaria_0_685582132.html

 

-Cámara Oficial de Comercio, Industria, Navegación y Servicios de Las Palmas de Gran Canaria:

http://www.camaragrancanaria.org/es/programa-de-formacion-en-internet-de-las-cosas-iot

 

-Fundación INCYDE:

http://www.incyde.org/ficha/internet-de-las-cosas-iot/las-palmas

 

-Sociedad de Promoción Económica de Gran Canaria (SPEGC):

http://www.spegc.org/event/internet-de-las-cosas-iot/

 

-Blog de Jorge Rodríguez Nagy:

https://rodrigueznagy.es/formacion-internet-las-cosas-iot/

 

-Programa de ciberseguridad:  

http://www.spegc.org/2017/09/29/cabildo-de-gran-canaria-e-incyde-ponen-en-marcha-el-segundo-programa-sobre-ciberseguridad-y-emprendimiento/

 

Jorge Hierro Álvarez

Trackback from your site.

Leave a comment

*

Subscríbete

Introduce tu email:

Twitter

Historial

Validates to XHTML 1.0 and CSS 3. Copyright © 2011 - Web Design by GRT Mundo Digital

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies