Ser Compliance - Magazcitum año 5, numero4, pág 16
32
-
Upload
fabian-descalzo -
Category
Technology
-
view
125 -
download
2
Transcript of Ser Compliance - Magazcitum año 5, numero4, pág 16
¿Sabías que
es el únicoCentro de Entrenamientoautorizado en México?
Por lo que ahora puedes:1.- Tomar el Seminario Oficial CISSP de (ISC)2 del 13 al 17 de
abril de 2015, en Scitum a un precio de US$1,900.00 más IVA (precio regular en E.E.U.U.: $2,599.00).
2.- Presentar el examen de certificación con costo de US$599.00 a través de uno de los centros autorizados.
Más informes, comuníquense al 9150.7496, lunes a viernes de 9:00 a 18:00 hrs. o bien al correo electrónico: [email protected]
La fecha límite de inscripciones es el 30 de marzo de 2015.
32014 - 2015
contenido
» opinión
» editorial
6 Gobierno del Ciber-riesgo
16 Ser "compliance" o pagar más
20 Las cosas de la vida y el Internet de las cosas: nuevos retos para la seguridad
10 Ciberseguridad:¿Verdaderamente estamos en un escenario más riesgoso?
4 EditorialHéctor Acevedo Juárez
Manolo Palao
Fabián Descalzo
Esteban San Román
Marcos Polanco Velasco
» conexiones
¿Windows guarda mi contraseña en texto plano?
14
10
6
4Dirección General
Ulises Castillo Hernández
Editor en jefeHéctor Acevedo Juárez
Consejo EditorialUlises Castillo Hernández
Priscila Balcázar HernándezHéctor Acevedo JuárezElia Fernández Torres
ColaboradoresHéctor Acevedo Juárez
Víctor David CasaresFabián Descalzo
Imelda Flores MonterrosasManolo Palao
Marcos Polanco VelascoEsteban San Román Canseco
Eduardo P. Sánchez Díaz
Marketing y ProducciónKarla Trejo Cerrillo
Sofía Méndez Aguilar
Correctora de estiloAdriana Gómez López
DiseñoSilverio Ortega Reyes
Magazcitum, revista trimestral de Scitum S.A. de C.V. Año 6, número 1, 2015 Editor responsable: Héctor Acevedo Juárez. Número de Certificado de Reserva otorgado por el Instituto de Derechos de Autor: 04-2013-032212560400-102. Número de certificado de Licitud de Título y Contenido: 14900, Exp.: CCPRI/3/TC/10/18827. Domicilio de la Publicación: Av. Insurgentes Sur 3500, piso 2, col. Peña Pobre, C.P. 14060, México, D.F x. Impreso en: Rouge & 21 S.A. de C.V. Av. Rómulo O’Farril # 520 int 5 Col. Olivar de los Padres México DF. Distribuida por Editorial Mexicana de Impresos y Revistas S.A. de C.V: Oaxaca 86-402 Col. Roma. México D.F. Magazcitum, revista especializada en temas de seguridad de la información para los profesionales del medio. Circula de manera controlada y gratuita entre los profesionales de la seguridad de la información. Tiene un tiraje de 5,000 ejemplares trimestrales. El diseño gráfico y el contenido propietario de Magazcitum son derechos reservados por Scitum S.A. de C.V. y queda prohibida la reproducción total o parcial por cualquier medio, sin la autorización por escrito de Scitum S.A. de C.V. Fotografías e ilustraciones son propiedad de thinkstock.com, bajo licencia, salvo donde esté indicado. Marcas registradas, logotipos y servicios mencionados son propiedad de sus respectivos dueños. La opinión de los columnistas, colaboradores y articulistas, no necesariamente refleja el punto de vista de los editores.
Para cualquier asunto relacionado con esta publicación, favor de dirigirse a [email protected]
17AÑO 6, NÚMERO 1, 2015
14 Conexiones
24 En el pensar de...La respuesta a incidentes en la época de amenazas avanzadas (primera parte)
Eduardo P. Sánchez Díaz
28 Tips
Habilidades tradicionales vs malware
Víctor David Casares
Imelda Flores
¿Sabías que
es el únicoCentro de Entrenamientoautorizado en México?
Por lo que ahora puedes:1.- Tomar el Seminario Oficial CISSP de (ISC)2 del 13 al 17 de
abril de 2015, en Scitum a un precio de US$1,900.00 más IVA (precio regular en E.E.U.U.: $2,599.00).
2.- Presentar el examen de certificación con costo de US$599.00 a través de uno de los centros autorizados.
Más informes, comuníquense al 9150.7496, lunes a viernes de 9:00 a 18:00 hrs. o bien al correo electrónico: [email protected]
La fecha límite de inscripciones es el 30 de marzo de 2015.
»
4
editorial
Mucho se habla en todas partes del Internet de las cosas (IoT por sus siglas en inglés), que promete conectar casi cualquier aparato a la red, buscando el tan largamente acariciado sueño de un mundo interconectado con la presencia casi ubicua de Internet. Aunque sin duda tendremos múltiples ventajas y oportunidades a partir del IoT, también es cierto que se multiplicarán las vulnerabilidades y amenazas al aumentar la “superficie de contacto” del ciberespacio, lo que nos lleva a un nuevo paradigma
de seguridad: la ciberseguridad.
¿Y qué cambia entre lo que ya empieza a conocerse como “seguridad tradicional” y ciberseguridad? Creo que puede resumirse así: en el modelo anterior se busca evitar a toda costa un incidente de seguridad, mientras que en el nuevo paradigma damos por hecho que este va a ocurrir y por ello tenemos todo un ciberecosistema de gente, procesos y tecnología (con recursos propios y asociaciones con otras entidades) que trabaja constantemente para evitar afectaciones a la seguridad de la información pero, y aquí el cambio importante, está mejor preparado para contrarrestar sus efectos cuando se materialice el riesgo.
Así pues, dada la relevancia del tema, a partir de esta edición hemos incluido una nueva sección
llamada Ciberseguridad, en la que nuestros colaboradores estarán escribiendo sobre el tema.
Por favor no dejen de visitarnos en nuestro sitio Web (www.magazcitum.com.mx) pues para nosotros es relevante saber qué
temas les resultan interesantes.
Como siempre, muchas gracias por su atenta lectura.
Ciberseguridad e Internet de las cosas
CISSP, CISA, CGEIT, ITIL y [email protected]
Héctor Acevedo
Atentamente
Héctor Acevedo JuárezEditor en jefe
6
Gobierno del Ciber-riesgo Manolo Palao
En el iTTi (Innovation & Technology Trends Institute) prestamos atención preferente al gobierno de las tecnologías (sobre todo informáticas) por quien tiene, en las empresas, la obligación y responsabilidad de realizarlo: el Consejo de Administración1.
‘Gobierno corporativo de las TI’ (GCTI)…
«… definido como el proceso de toma de decisiones en torno al uso de las TI; o, en palabras de la Organización Internacional
de Normalización (ISO), como “el sistema mediante el cual se dirige y controla el uso actual y futuro de las TI”.
… es el conjunto de mecanismos de alto nivel (estructuras y relaciones, normas y procesos de toma de decisiones) dirigidos a determinar el por qué, el para qué y el cómo de la aplicación y uso de las TI; y a evitar oportunamente, y superar resilientemente, las consecuencias no deseadas del referido uso”.
El Consejo de Administración… evalúa el estado de la empresa y las necesidades de los diferentes grupos de interés, fija la orientación estratégica y supervisa los resultados…
… conlleva dos ámbitos principales -a veces antagónicos: el rendimiento [desempeño] y la conformidad…»2.
opinión
Optimizar el rendimiento o desempeño supone, entre otras cosas, optimizar el riesgo corporativo.
Hace poco, la prestigiosa Asociación Nacional de Consejeros de Administración de Empresa (National Association of Corporate Directors –NACD3) de EE.UU. ha publicado un interesante documento sobre supervisión del ciber-riesgo4.
Si bien el título del documento se refiere a supervisión, su contenido abarca también temas de orientación, y cubre así las dos grandes funciones del consejo -orientación (establecer la dirección) y supervisión- señaladas en nuestra cita más arriba.
Por otro lado, el uso en el título del término ‘riesgo’ frente a ‘ciberseguridad’ (este último, sin embargo, profusamente usado en el documento) nos parece un acierto, por cuanto no es la ciberseguridad como tal el objetivo a lograr, sino la administración de los riesgos, el “equilibrio idóneo entre rentabilidad y seguridad” en toda la empresa, aunque alcanzar ese óptimo exige que “la ciberseguridad esté entretejida en todos los procesos empresariales” (NACD 2014, pp. 5 ss.).
Aunque el documento de la NACD ofrece muchas herramientas como listas de preguntas, unos interesantes cuadros de mando (dashboards) y numerosas referencias, que hacen recomendable un estudio más detallado del mismo, a continuación presento cinco grandes principios que propone para los consejeros y el Consejo5:
72014 - 2015
1. Los consejeros deben concebir y abordar la ciberseguridad como un tema de gestión del riesgo de toda la empresa, no como una cuestión de TI. No solo ‘toda la empresa’ en sentido estricto, sino “también respecto al ecosistema más amplio en que la empresa opera”; y “considerando no solo los ataques y defensas de máxima probabilidad, sino también ataques de baja probabilidad y alto impacto que pudieran ser catastróficos” (NACD 2014, p. 8).
2. Los consejeros deberían entender las implicaciones legales de los ciber-riesgos, en lo que respecta a las circunstancias específicas de su empresa. Las implicaciones legales de los ciber-riesgos son un tema en rápida evolución, que no es en absoluto convergente en una o unas pocas escuelas, ni lo hace al mismo ritmo, en el mundo global en que opera un creciente número de empresas. Las implicaciones legales dependen obviamente de las distintas jurisdicciones y pueden afectar de forma muy distinta a la empresa, al Consejo en colectivo y a sus consejeros. El Consejo, aparte de tratar monográfica y específicamente estos temas, debe prestar atención a reflejarlo de modo adecuado en sus actas –en prevención de acusaciones de negligencia. Otro aspecto a considerar es “determinar qué [y cómo] desvelar, en caso de que ocurra un incidente”. La legislación, “normas, orientación regulatoria, los requisitos formales siguen evolucionando [sobre todo en EE.UU.], por lo que consejeros y directivos/ejecutivos debieran disponer ser informados periódicamente por un asesor legal”. (NACD 2014, p.11).
3. Los Consejos deberían tener acceso adecuado a pericia sobre ciberseguridad; y en las agendas de sus reuniones debería habilitarse con periodicidad adecuada para debates sobre gestión de la misma. Además del asesoramiento legal ya mencionado, “algunas empresas están considerando añadir directamente al Consejo experiencia en ciberseguridad y en seguridad TI”, decisión a sopesar cuidadosamente, para no perjudicar la necesidad de otras pericias: “experiencia en el sector industrial, conocimiento financiero, experiencia global u otros conjuntos de pericias deseables”. Hay otras formas de lograr ese acceso, mediante “inmersiones en profundidad con terceros expertos como tutores”; “utilización de asesores independientes ya disponibles, tales como auditores externos”; o “participación en programas de formación de consejeros pertinentes”. La mejora en la forma, contenido y frecuencia de los “informes de la dirección ejecutiva al Consejo” puede contribuir también a esa mayor familiarización; aunque debe considerarse que pueden estar sesgados. (NACD 2014, p. 12).
4. Los consejeros deberían establecer la expectativa de que la dirección ejecutiva (los gestores) establecerán un marco de gestión del ciber-riesgo que –extendido a toda la empresa– esté dotado del personal y presupuesto adecuados. Aquí se desarrolla el principio No. 1 y su traslado a la dirección ejecutiva. Para ello propone el “enfoque integral” de la Internet Security Alliance (ISA)6,7, que puede resumirse en:
» Asignar la propiedad del tema de modo multidepartamental, transversal (como las funciones financiera o de recursos humanos) –¡pero NO al CIO!-.
» Crear un equipo con participación de todas las partes interesadas.
» Celebrar reuniones periódicas e informar al Consejo. » Establecer una estrategia y un plan de gestión del ciber-
riesgo de ámbito empresarial. » Dotarlo de los recursos necesarios y de un
presupuesto no asociado a un solo departamento, para proteger así su naturaleza transversal.
Recomienda también el uso del Marco de Mejora de la Ciberseguridad de Infraestructuras Críticas8 del NIST–que resultará familiar al lector especializado–, si bien advierte que sus especificaciones pueden rebasar la habilidad práctica de una mayoría de organizaciones.
8
5. Los debates del Consejo sobre ciber-riesgos deberían incluir la identificación de los riesgos a evitar, aceptar, mitigar o transferir mediante seguros, así como planes específicos relativos a cada uno de esos enfoques. Propone que se debatan, al menos, las cuestiones siguientes:
» ¿Qué datos y cuántos estamos dispuestos a perder o a que los comprometan? » ¿Cómo distribuir entre defensas básicas y avanzadas nuestro presupuesto de inversiones en mitigación
de ciber-riesgos? » ¿De qué opciones disponemos que nos ayuden a transferir ciertos ciber-riesgos? » ¿Cómo debiéramos evaluar el impacto de los cibereventos?
Estos debates debieran ser, por un lado, monográficos –un punto del orden del día en algunas reuniones-; y por otro, debieran “integrarse en los debates de todo el Consejo sobre nuevos planes de negocio y ofertas de productos, fusiones y adquisiciones, entrada en nuevos mercados, despliegue de nuevas tecnologías, grandes inversiones de capital…” (NACD 2014, p.9).
Llegados a este punto, tenemos unas preguntas para usted, estimado lector. No es necesario que nos las conteste, respóndaselas usted mismo, aunque nosotros le estaríamos muy agradecidos si quisiera responder a una breve encuesta, un poco más amplia, que encontrará en la versión en línea de este artículo (www.magazcitum.com.mx): ¿Le parecen esos 5 principios …
… razonables?… muy incompletos y que requieren de otros muchos?… abstractos y por tanto inaplicables?
¿En la empresa de usted se aplican …… plenamente?… en gran medida?… muy poco?… bastante, pero no es el Consejo/Junta quien lo hace, sino la Dirección Ejecutiva/Gerencia?
1Como el lector sabe, el máximo órgano de gobierno de una empresa se denomina en español de diversas formas, según la costumbre y la legislación de cada país. Aquí usamos ‘Consejo de Administración’ o ‘Consejo’, equivalente a ‘Junta’ o ‘Directorio’, como traducción de Board of Directors; y ‘Consejero de Administración’ o ‘Consejero’, como traducción de Director.
2De “El Manifiesto iTTi sobre el Gobierno Corporativo de las Tecnologías de la Información”.3http://www.nacdonline.org/index.cfm. [Consulta 20140825].4NACD. 2014. Cyber-Risk Oversight. NACD Director’s Handbook Series 2014. http://www.nacdonline.org/Store/ProductDetail.cfm?ItemNumber=10687. [Consulta 20140825].5Traducidos libremente, a continuación. Se ha optado por no entrecomillarlos, para facilitar la lectura.6http://www.isalliance.org/ [Consulta 20140826].7ISA-ANSI. 2010. The Financial Management of Cyber Risk: An Implementation Framework for CFOs http://isalliance.org/publications/1B.%20The%20Financial%20Management%20of%20Cyber%20Risk%20-%20An%20Implementation%20Framework%20for%20CFOs%20-%20ISA-ANSI%202010.pdf, pp. 14 ss. [Consulta 20140826].
8NIST. 2014. Framework for Improving Critical Infrastructure Cybersecurity. National Institute of Standards and Technology. February 12, 2014. Version 1.0 http://www.nist.gov/cyberframework/upload/cybersecurity-framework-021214.pdf
ESTÁ APAGANDO LA INSPECCIÓN DEL TRÁFICOENCRIPTADO PARA MANTENER EL RENDIMIENTO?
Presentamos el más rápido que nunca
TENEMOS UNA MEJOR IDEA
El tráco encriptado se está expandiendo en todo el mundo. Es por eso que WatchGuard ha lanzado dos nuevos dispositivos de seguridad que ofrecen una velocidad sin precedentes:
el y .Firebox M400 M500De hecho, el M500 es 61% más rápido que la competencia con todos los niveles de seguridad encendido. Y 149% más rápido para una alta capacidad de inspección HTTPS.* Ahora usted tiene el poder de amplicar el rendimiento de la red sin sacricar la fortaleza de su Seguridad.
Copyright © 2015 WatchGuard Technologies, Inc. All Rights Reserved
* Report TB141118, Miercom, 2014, http://bit.ly/1yBAXGV
Nunca comprometa la Seguridad.Adquiera los nuevos Firebox.
Llámenos al +52 55 5347 6 063
o escríbanos un email:
0
5
25
75
95
100
ESTÁ APAGANDO LA INSPECCIÓN DEL TRÁFICOENCRIPTADO PARA MANTENER EL RENDIMIENTO?
Presentamos el más rápido que nunca
TENEMOS UNA MEJOR IDEA
El tráco encriptado se está expandiendo en todo el mundo. Es por eso que WatchGuard ha lanzado dos nuevos dispositivos de seguridad que ofrecen una velocidad sin precedentes:
el y .Firebox M400 M500De hecho, el M500 es 61% más rápido que la competencia con todos los niveles de seguridad encendido. Y 149% más rápido para una alta capacidad de inspección HTTPS.* Ahora usted tiene el poder de amplicar el rendimiento de la red sin sacricar la fortaleza de su Seguridad.
Copyright © 2015 WatchGuard Technologies, Inc. All Rights Reserved
* Report TB141118, Miercom, 2014, http://bit.ly/1yBAXGV
Nunca comprometa la Seguridad.Adquiera los nuevos Firebox.
Llámenos al +52 55 5347 6 063
o escríbanos un email:
0
5
25
75
95
100
10
Ciberseguridad: ¿Verdaderamente estamos en un escenario más riesgoso?
Marcos Polanco Velasco CISSP, CISM y CISA
Constantemente escuchamos acerca de los riesgos a los que estamos expuestos hoy en día en el ciberespacio y de la relevancia que está tomando la ciberseguridad, esto reforzado por diversas noticias sobre incidentes (hackeo, fugas de información, robos de identidad y otros ataques).
El perfil de los atacantes ha cambiado y por consecuencia el panorama de amenazas. La pregunta es si este nuevo contexto en realidad implica un escenario de mayor riesgo para nuestras organizaciones. En este breve artículo pretendo explicar y ejemplificar por qué la respuesta, desde mi punto de vista, es un rotundo SÍ.
Iniciemos recordando que la seguridad informática tiene que ver con la administración de riesgos, y que riesgo se define como la probabilidad de que una amenaza explote una vulnerabilidad ocasionando un impacto en la organización. De esta definición, podemos identificar los tres elementos clave del riesgo: amenaza, vulnerabilidad e impacto.
Si no hay amenaza no hay riesgo; si no hay vulnerabilidades, aunque haya amenaza tampoco hay riesgo; y aunque haya amenazas y vulnerabilidades, si no hay impacto tampoco hay riesgo.
Ahora revisemos cada uno de los tres elementos con más detalle:
Análisis de las amenazas
El nivel de amenaza al que una organización está expuesta tiene que ver con las capacidades e intenciones de los ciberactores1 de perpetrar un ataque. Es muy importante entender quiénes son los atacantes relevantes para una organización específica, de acuerdo a su presencia geográfica, al sector al que se dedica y a los activos que maneja (transacciones financieras, sistemas de control industrial, infraestructura crítica para una nación, estrategias de seguridad nacional, propiedad intelectual, etc.).
Al ser sobre todo grupos organizados de delincuentes o financiados por los gobiernos, e incluso los propios gobiernos, los que están detrás de la mayor parte de los incidentes recientes, es claro que los recursos con los que cuentan son abundantes, por lo tanto podemos decir que la capacidad de los atacantes es mayor ahora.
En relación a su capacidad técnica, sabemos que hoy están empleando métodos mucho más complejos y nuevos vectores para lograr su objetivo. Dicha capacidad técnica se determina principalmente por:
» Los métodos que utilizan, es decir, las técnicas de evasión, infraestructura, tecnología y codificación de los artefactos o arsenal cibernético.
» Los recursos empleados, tales como gente experta, herramientas tecnológicas y entrenamiento.
A continuación menciono algunos ejemplos que demuestran cómo la capacidad de los atacantes se ha incrementado: » Dragonfly es una campaña dirigida a comprometer sistemas de control industrial. Utiliza tres componentes de
malware conocidos como remote access tools (RAT) en tres vectores de ataques: 1) Spearphishing, 2) Water Hole attack, es decir, la infección de sitios de interés para las víctimas, de tal forma que redirecciona a los visitantes a otro sitio que contiene el kit de explotación, el cual posteriormente instala el RAT y 3) Trojanized software, modificación del software oficial de los sitios de actualización de las plataformas de sistemas de control con RAT para que cuando los sistemas realicen la descarga de dichas actualizaciones también se contaminen con el malware.
» En noviembre de 2014 Symantec dio a conocer su reporte acerca de un malware denominado Regin, software que está diseñado para múltiples propósitos de obtención de inteligencia de largo plazo, manteniéndose indetectable. Está dirigido a gobiernos, operadores de infraestructura crítica (energía, telecomunicaciones, salud y aerolíneas), pequeñas empresas, investigadores y personas.
El nivel de complejidad de este malware es muy alto, ya que es modular y permite la carga de funciones y objetivos específicos "sobre la marcha" dependiendo de la víctima, lo que sugiere que la cantidad de recursos utilizados para su desarrollo fue muy grande. México representa 9% del total de infecciones detectadas hasta el momento.
1Ver definición en Magazcitum, Año 5, número 3, “Estableciendo un lenguaje común en ciberseguridad”
112014 - 2015
Como muchas cosas en la vida, sin motivación no hay resultados, y en este caso entre mayor sea la motivación, mayor es la intención de atacar. Debemos analizar dos preguntas clave:
» ¿Qué motivación puede tener un ciberactor? Puede ser fama, reconocimiento, "clamar justicia", o buscar algún tipo de ganancia ya sea política, financiera, militar, estratégica, operativa, etcétera.
» ¿Qué es lo que el atacante quiere extraer? Información personal, propiedad intelectual, información sobre planes estratégicos, base de datos de clientes, datos de tarjetas de crédito, acceso a sistemas de control industrial (ICS), etcétera.
La venta de información sensible robada a organizaciones es un negocio muy lucrativo para los grupos delincuenciales, de igual forma, el ciberespionaje para recolectar información de inteligencia y secretos militares es muy atractivo pues permite, finalmente, tener capacidades para realizar operativos de ciberataque.
A continuación describo algunos ejemplos que muestran cómo la intención de los atacantes ha cambiado:
» El Syrian Electronic Army (SEA), grupo hacktivista supuestamente ligado con el régimen sirio, en 2013 atacó sitios Web externos y cuentas de redes sociales de diversas organizaciones con el propósito principal de elevar la conciencia sobre su causa política. Utilizó dos tácticas para obtener acceso a las organizaciones víctima: la primera fue enviar correos tipo phishing desde cuentas internas y el segundo fue comprometer organizaciones de proveedores de servicio para utilizarlas como vehículo para llegar a la organización víctima.
» La campaña Dragonfly, descrita anteriormente, tenía como víctimas potenciales diversas empresas del sector farmacéutico y el objetivo era robar propiedad intelectual, planes de producción, capacidades y volúmenes de producción de las plantas de manufactura.
» APT28 es el nombre dado por Mandiant a un grupo de ciberespionaje ruso, aparentemente patrocinado por el propio gobierno de Rusia que está recolectando información sobre temas de defensa y aspectos geopolíticos. Se han identificado tres temas alrededor de este grupo: El Cáucaso, en específico el gobierno de Georgia; gobiernos y entidades militares del este de Europa y organizaciones específicas de seguridad como la OTAN. Dentro de la lista de posibles objetivos de este grupo de espionaje se encuentran diversos gobiernos, entre ellos el de México.
Análisis del impacto
El impacto tiene que ver con los efectos que el incidente puede ocasionar en la organización y estos pueden ser vistos desde dos grandes ópticas: operativos y estratégicos. El primero tiene que ver con las actividades del día a día de la organización, debe ser preferentemente expresado en términos monetarios, pueden ser directos debido a la indisponibilidad o inaccesibilidad de los servicios del negocio (hacia usuarios internos/clientes), o a la contención, remediación y erradicación del mismo. También pueden ser indirectos, tales como la improductividad de la fuerza laboral durante el suceso; los efectos secundarios con las entidades relacionadas en la cadena de valor y de suministro, o a los accionistas.
A continuación menciono algunos ejemplos que muestran cómo el impacto operativo de algunos de los incidentes recientes ha sido muy alto:
» Stuxnet es un malware especializado en sistemas SCADA (supervisory control and data acquisition) que utilizan ciertas versiones de Siemens, el cual, para realizar la infección y propagación, explotó diversas vulnerabilidades del sistema operativo Windows bajo el cual corren estos sistemas. Permite tomar el control remoto de los equipos infectados; el vector de infección fue por medio de un USB, aprovechando una vulnerabilidad del "autorun" y directorios compartidos sin protección. Se identificó que los objetivos fueron plantas de energía y gas, principalmente en Irán, con la probable intención de sabotearlas reprogramando los controladores (PLC), de tal forma que se modificara la frecuencia de unos convertidores que controlan la velocidad de los motores, ocasionando fallas en cerca de 1,000 centrifugadoras de una planta de enriquecimiento de combustible en Natanz.
» Ataque a JP Morgan que afectó 76 millones de cuentas personales y 7 millones de cuentas de pequeños negocios, además de JP Morgan se identificó a más de una decena de instituciones financieras de los Estados Unidos con el mismo problema.
» La cadena Home Depot sufrió un ataque a través del cual se extrajeron 53 millones de direcciones de correo y 56 millones de tarjetas de crédito. Inició en la parte perimetral al obtener el usuario y contraseña de un proveedor y luego obtuvo mayores privilegios para moverse en el resto de los sistemas de la empresa. El malware utilizado no había sido visto antes.
12
El otro tipo de impacto es aquel que afecta los intereses estratégicos de una organización, esto se refiere a la pérdida de ventajas competitivas por robo de información relativa a planes estratégicos, planes de fusiones y adquisiciones, información sobre personal clave o directivos, información sobre clientes, etcétera. También considera los impactos no tangibles como afectación a la reputación, la cultura organizacional, aspectos geopolíticos, presencia en el mercado, por mencionar algunos.
A continuación expongo ejemplos que demuestran el alto impacto de los incidentes recientes: » Más de 100 millones de datos de tarjetas de crédito fueron robadas de las tiendas departamentales Target, lo que
implicó un costo de millones de dólares y la renuncia del director general (CEO) y el director de sistemas (CIO). » Para el caso de Home Depot expuesto anteriormente, aun cuando todavía no se tiene el monto del costo del
incidente, este podrá incluir reembolsos por los fraudes a las tarjetas, costos por reemisión de los plásticos, demandas civiles, investigaciones gubernamentales, servicios legales, de investigación y consultoría, gastos adicionales e inversiones de capital para actividades de remediación. Estos costos podrán tener un impacto adverso en los resultados financieros de la empresa.
Análisis de las vulnerabilidades
En cuanto a las vulnerabilidades, los elementos a considerar son la gente, procesos y tecnología. Como siempre, el eslabón más débil somos las personas. Tanto las amenazas tradicionales como las nuevas tocan en algún punto a la gente, y en la medida que sigamos siendo vulnerables seguirán teniendo éxito.
Un ejemplo que cómo los atacantes buscan tomar ventaja del factor humano es el siguiente: en la campaña de Dragonfly, el primer vector de ataque fue el envío de una serie de correos apócrifos (técnicamente conocidos como spearphishing) que contenía un anexo en formato XDP (Adobe XML Data Package) con malware. Estos correos fueron diseñados específicamente y dirigidos a 37 personas (altos ejecutivos y personal experimento) de 7 organizaciones objetivo, y el asunto de dichos correos era sobre aspectos administrativos de las empresas.
Por otro lado, las vulnerabilidades de los sistemas siguen teniendo la misma dinámica, es decir, no son ni más ni menos seguros, lo que sucede es que ahora la superficie de exposición es mayor. Esto significa, por un lado, que ahora los empleados tienen presencia online en las redes sociales, lo cual puede ayudar a los hackers a obtener información para atacar de forma dirigida o para utilizarlo como parte de un vector de ataque. Y por el otro, las organizaciones cada vez tienen más infraestructura expuesta al ciberespacio, nuevas aplicaciones Web y en la nube, mayor cantidad de servicios basados en Web, servicios de hospedaje, BYOD, mayor interacción con terceras partes vía aplicaciones Web, etcétera.
Conclusiones
Grupos organizados con capacidades y recursos (económicos, tecnológicos y humanos) están generando ataques dirigidos, más complejos y muy difíciles de descubrir por medio de los mecanismos tradicionales. Sus principales motivaciones son económicas y políticas, por lo que sus blancos primarios son instituciones financieras y entidades gubernamentales. Es decir, los atacantes tienen mayor capacidad e intención para realizar ataques.
El impacto de los incidentes ahora es mucho más significativo por el tipo de objetivos que se persiguen. Anteriormente poco hacíamos respecto a los riesgos que representaban un alto impacto ya que su probabilidad de ocurrencia era muy baja, ahora estos suceden con mucha mayor frecuencia.
En resumen, hay amenazas más sofisticadas, por lo tanto mayor probabilidad de ocurrencia, esto sumado a que los impactos son más significativos da como resultado un escenario de mayor riesgo. Este contexto nos obliga a implementar estrategias específicas complementarias a las actuales para su mitigación.
Fuentes:• Mandiant 2014 Threat Report.• FireEye Special Report APT28: A window into Russias´s cyber espionage operations?• Symantec Security Response. Regin: Top-Tier espionage tool enables stealthy survillance.• Belden White Paper Defending Against the Dragonfly Cyber Security Attacks.https://corporate.homedepot.com/MediaCenter/Documents/Press%20Release.pdf • Symantec Security Report W32. Stuxnet Dossier.http://www.scmagazine.com/the-chase-breach-lasted-for-two-months-and-impacted-76-million-household-accounts-and-seven-million-business-accounts/article/375377/
• Implementation Framework - Cyber Threat Prioritization. Software Engineering Institute. Carnegie Mellon University• ISACA NOW. A simple definition of cybersecurity.• Scitum White Paper: ¿Qué es la Ciberseguridad?
· DIAGNÓSTICO Y PROTECCIÓN CONTRA AMENAZAS AVANZADAS· ANÁLISIS FORENSES AVANZADOS· RESPUESTA A CIBERINCIDENTES· CIBERINTELIGENCIA· GESTIÓN CONTINUA DE CIBERRIESGOS BASADA EN INTELIGENCIA
C I B E R S E G U R I D A DS E R V I C I O S D E
E V O L U C I O N AA N T E L O S N U E V O S D E S A F Í O S
T U S E G U R I D A D
M AY O R E S I N F O R M E S A L T E L É F O N O : 9 1 5 0 . 7 4 0 0 E x t . 1 8 0 9 y 1 7 3 1Y A L C O R R E O E L E C T R Ó N I C O : v e n t a s @ s c i t u m . c o m . m x
14
c ·o ·n ·e ·x · i ·o ·n ·e · s
ConexionesHabilidades tradicionales vs malware
Imelda Flores PMP, CISSP, ITIL, CCNA
Security, Cisco IPS y Optenet Certified
Durante el congreso de ciberseguridad realizado por Scitum y Telmex el pasado octubre, Shay Zandani, experto en ciberseguridad, habló de “la vieja escuela vs la nueva escuela” en seguridad, decía que la vieja escuela es seguir haciendo lo mismo que hasta ahora: controlar las vulnerabilidades, tener un firewall, un IPS y un correlacionador y esperar a que llegue un incidente, mientras que en la nueva escuela los individuos identifican las motivaciones de los atacantes y los posibles vectores de ataque, obtienen una radiografía de cómo está su seguridad, miden su nivel de riesgo de acuerdo a su entorno y realizan simulaciones de ciberincidentes.Como vemos, la visión de “la nueva escuela” enfrenta los retos que imponen las nuevas ciberamenazas: no existen fronteras ni legislación, son difíciles de detectar y se caracterizan por ser persistentes y dirigidas. Son justamente estos retos los que nos obligan a revisar tecnologías distintas a las tradicionales para, por ejemplo:
» Identificar las llamadas a los centros de comando y control del malware. » Detectar movimientos laterales en la LAN. » Realizar análisis forense en línea sin necesidad de esperar horas a obtener una imagen del
equipo infectado. » Hacer uso de los indicadores de compromiso para saber rápidamente si un host en realidad
ha sido comprometido o se trata solo de un falso positivo.
Y no basta con tecnología nueva, lo importante es contar con analistas que sean capaces de tomar acción a partir de la información arrojada por los dispositivos, ya que los falsos positivos siguen siendo el mayor desafío a la hora de integrar estas nuevas tecnologías a la seguridad por capas.
Entendiendo que la tecnología para afrontar las amenazas avanzadas es diferente a la tradicional, nos deberíamos preguntar ¿Los analistas de la seguridad tradicional son los mismos que podrán lidiar con las tecnologías enfocadas a amenazas avanzadas? No necesariamente, ya que las alertas que arroja un firewall, un IPS, un filtrado de contenido o un antivirus son relativamente simples de interpretar, mientras que la mayor parte de las herramientas antimalware despliegan el resultado de los cambios al sistema operativo por parte del malware (inyecciones de código, mutex, llamadas a sistema, y un largo etcétera).
152014 - 2015
Es justo esta información de cambio la que da pie a una investigación profunda, cuando la identifica un ojo experto, que entiende el comportamiento del malware, sus vectores de ataque y sus mecanismos de evasión, además de que es capaz de hacer ingeniería inversa al artefacto, en caso de que la evidencia no sea contundente sobre su afectación al sistema, porque recordemos que el poder de las amenazas avanzadas radica en que se mueven sobre protocolos conocidos, usan puertos conocidos y aseguran su persistencia por meses a través del uso de distintas técnicas.
Por ello, los profesionales de seguridad tradicional necesitan evolucionar hacia nuevas habilidades que les permitan estar a la vanguardia y no necesariamente todos los que administran la seguridad tradicional serán capaces de hacerlo, ya que para ello se requieren muy buenas bases en conocimientos de ensamblador, sistemas operativos, lenguajes de programación de bajo nivel, etcétera.
Como siempre, el éxito en la protección es producto de atender los tres ejes: personas, tecnología y procesos, sin embargo la preparación del equipo de trabajo a cargo de la seguridad de las organizaciones resulta más relevante que nunca, o de lo contrario estas se pueden preparar para identificar sus incidentes cuando ya sea demasiado tarde, sin importar que posean el último dispositivo de seguridad del mercado. Ya no solo basta con tener “cajas”, es imperativo proveer un monitoreo 7x24 para convertir las alertas en inteligencia accionable y de esta manera actuar en el menor tiempo posible, ya que dadas las circunstancias que nos rodean todos podemos ser comprometidos, pero la diferencia entre un incidente con enormes pérdidas y un incidente contenido antes de que cause un daño irreparable puede ser de solo unas cuantas horas o incluso minutos.
16
Ser "compliance" o pagar más Fabián Descalzo
Director certificado en seguridad de la información (Universidad CAECE), ITIL v3-2011 y auditor ISO 20000
opinión
Cada vez que las áreas de negocio buscan nuevas oportunidades comerciales, hay costos asociados que no suelen tomarse en cuenta y habitualmente esto sucede por no convocar a todas las personas que pueden colaborar con su aporte, no solo para el éxito de la iniciativa, sino para evitar costos ocultos a futuro que afecten al negocio.
Los nuevos proyectos que requieren de la tecnología como servicio son aquellos que están más fácilmente a merced de los errores de "visión", dependiendo del perfil de quien los lidere y de quienes compongan el equipo de proyecto. Para satisfacer las necesidades del negocio, desde las áreas tecnológicas surgen diversas ideas para brindar soluciones que aporten mayor velocidad de respuesta en el tratamiento y disponibilidad de los datos, pero no siempre se consideran otros costos asociados... y sus riesgos.
¿Qué debe cuidarse entonces? Cuando las áreas de negocio y tecnológicas piensan en recibir y brindar un servicio, no siempre entienden que este debe llevar una parte de aseguramiento y cumplimiento regulatorio. El objetivo principal buscado es "información disponible y de rápido procesamiento", dos pautas que atentan drásticamente contra la confidencialidad y la integridad de los datos, que como sabemos no solo son del negocio sino incluso de terceros, como es el caso de los datos personales, tarjetas de crédito, información financiera o de salud.
¿Cuántas veces nos preguntamos de qué depende el éxito? ¿Hacemos una lista de componentes necesarios para el éxito de cada proyecto del negocio, con base en el tratamiento de la información? ¿Los procesos de tratamiento de los datos están incluidos como factor necesario para el éxito?
Para facilidad de análisis, pensemos como ejemplo en un proyecto de transferencia de dinero, que requiere de los siguientes componentes:
» Infraestructura tecnológica. » Software aplicativo. » Telecomunicaciones. » Proveedor de servicios financieros y comunicación para la transferencia de dinero. » Datos personales, bancarios y financieros de los clientes.
Primero, y teniendo en cuenta el tipo de datos a tratar y que formarán parte del proceso de negocio, es conveniente consultar con el sector legal cómo abordar lo referente a la contratación de los proveedores, ya que se debe tener en cuenta que la responsabilidad y control del tratamiento de datos no es delegable. Con esto nos referimos a que si bien el ingreso de datos se realiza a través de sistemas informáticos de nuestra empresa, al intervenir un tercero en el proceso es importante saber que el tercerizar parte de la gestión requiere implementar tareas de control y monitorización del servicio contratado, por ello debe invertirse en controles, ya que nuestra empresa es responsable por los datos y debe velar por ellos durante todo el proceso del servicio ofrecido a sus clientes.
En este aspecto tengamos en cuenta que diferentes leyes que regulan el tratamiento de datos determinan que las personas naturales y las personas jurídicas, tales como las emisoras y operadoras de tarjetas de crédito, las empresas de transferencia y transporte de valores y dinero están obligadas a informar sobre los actos, transacciones u operaciones sospechosas que adviertan en el ejercicio de sus actividades. Por ello deberemos velar porque el proveedor de servicios cumpla las regulaciones que le apliquen a nuestra empresa, por ejemplo SOX, la legislación de protección de datos personales de nuestro país o región y las aplicables a transacciones con tarjetas de pago.
172014 - 2015
Teniendo en cuenta los aspectos legales, y yendo a los más técnicos de nuestro proyecto, debemos componer una guía que nos permita definir la infraestructura y su configuración adecuada para, de esta forma, dimensionar convenientemente no solo el costo sino los pasos de control y revisión sobre el proyecto. Esta guía debe contemplar la asociación entre las necesidades de cumplimento y la respuesta técnica aplicada a dar soporte tecnológico al proceso de negocio, contemplando entre otros los siguientes puntos principales:
» En todos los casos debe revisarse que el sistema esté preparado para disociar la información del tarjetahabiente así como el número PAN (Primary Account Number – Número Primario de Cuenta).
» Tratamiento y almacenamiento de los datos del cliente requeridos para registrar la operación, de acuerdo a lo especificado por las diferentes leyes de lavado de dinero en lo concerniente a la obligación de crear y mantener registros de las operaciones.
» Contemplar las variantes de datos a ingresar según el monto de las operaciones. » Contemplar los plazos mínimos de guarda de los registros de las operaciones y su integridad, que pueden ser
requeridos por las unidades de análisis financiero.
Se deben asumir también como riesgos del negocio aquellos que estén asociados a un impacto en la integridad y confidencialidad de los datos, la imagen de nuestra empresa y las penalidades regulatorias posibles, por ejemplo:
» Exposición de la confidencialidad de la información por falta de disociación de datos o fuga de información. » Error en la integridad de la información por fallas en la conversión de datos en las interfaces con los aplicativos
del proveedor. » Error en la integridad de la información por fallas en la operación del proveedor. » Falla en la generación o imposibilidad de recuperar registros requeridos por el marco regulatorio. » Mayores costos por el rediseño del proceso o del software, dimensionamiento deficiente del hardware, horas
hombre adicionales y aplicación productiva fuera de línea.
Visto de esta forma, y considerando algunos de los requisitos legales y regulatorios, incluyo algunos de los puntos a tener en cuenta en la planificación del proyecto para evitar desvíos, demoras o mayores costos en una etapa posterior, cuando la aplicación ya esté en producción y el proceso en plena actividad:
» Resguardar y asegurar todos los registros obtenidos de aquellos equipos donde se procese información regulatoria.
» Los sistemas que integren el proceso deben ser periódicamente auditados para asegurar la conformidad con los procedimientos y políticas de nuestra empresa.
» El acceso a los sistemas que contengan datos confidenciales debe ser asignado de modo adecuado a aquellos perfiles que por sus funciones los requieran, y debidamente protegido según nuestras normas.
» Los terceros deben notificarnos de todos los cambios de personal que afecten el servicio que nos proporcionan.
» Los controles de confidencialidad, integridad y disponibilidad serán específicamente definidos en contratos con terceros. Los controles abarcarán todos los riesgos de protección de información lógica, personal y física apropiados, basada en los niveles de riesgo que establezcamos. Además los controles considerarán todos los requisitos regulatorios e imperantes establecidos por la ley. » Los acuerdos contractuales deben concedernos el derecho de auditar los sistemas
relevantes de terceros, y los terceros se comprometerán a tener auditorías periódicas e independientes, cuyo resultado tendremos el derecho a revisar.
» Se deben firmar convenios de confidencialidad con los terceros con los que se intercambie información.
» Las terceras partes deben cumplir con lo dispuesto por nuestra política y normas para la destrucción y disposición final de la información.
» Contar con documentación de respaldo de los sistemas de comunicaciones con proveedores críticos donde se transfiera información sensible del negocio.
» Aprobar toda nueva conexión antes de integrarse al ambiente productivo. » Las conexiones con terceros deben restringirse a los equipos centrales de proceso,
aplicaciones y archivos específicos. » El acceso de cualquier dispositivo o sistema a nuestra red debe cumplir previamente con nuestro
estándar de configuración de seguridad y se debe verificar su cumplimiento con periodicidad.
18
En resumen, la idea detrás de todo es tener normatividad y controles a lo largo de todo el proceso, como se muestra en la imagen siguiente:
En lo que respecta a la infraestructura tecnológica que brinda soporte y servicio al proceso de negocio, esta debe estar diseñada para asegurar el cumplimiento de los siguientes puntos esenciales:
» Régimen de los datos. Desarrollar un entorno de confidencialidad que asegure la no disposición de los datos ni el uso de los mismos para fines que no estén de manera expresa asociados con el servicio que se preste y, en caso que se trate de datos personales, con el consentimiento del titular de los datos.
» Cumplimiento de legislación de protección de datos. Asegurar que la operación del servicio cumpla con todos los aspectos relacionados con la retención, registros de auditoría y destrucción de información de acuerdo a la jurisdicción aplicable al territorio en el que se localizan los centros de procesamiento de datos.
» Seguridad en el acceso. Garantizar que la información solo será accesible para personal autorizado. » Integridad y conservación. Disponer de los mecanismos de recuperación ante desastres, continuidad en el
servicio y copia de seguridad necesarios para garantizar la integridad y conservación de la información. » Disponibilidad. Garantizar una elevada disponibilidad del servicio, así como comprometerse a organizar los paros
programados para mantenimiento con la suficiente antelación. » Portabilidad y eliminación de los datos. Establecer los mecanismos y procesos necesarios para la eliminación de
los datos a la terminación del servicio, obligación tanto propia como de los terceros contratados.
Recomendaciones finales » Desarrollar una matriz de control para realizar seguimiento de las actividades de responsabilidad compartida entre
el proveedor y nuestra empresa. » Asegurar la intervención interdisciplinaria de diferentes sectores de la organización para todos los proyectos
(áreas legales, de tecnología, de seguridad informática, desarrollo de sistemas, seguridad física, etc.). » Ejecutar los controles y gestión de riesgos en forma continua. » Mitigar los riesgos a través de contratos y SLA orientados a los controles y gestión de riesgo. » En caso de tercerización, robustecer la seguridad con base en sus capacidades y así reducir la carga de
cumplimiento al compartirla con el proveedor.
Así pues, ser "compliance" requiere de un amplio conocimiento que solo conseguiremos integrando un equipo de trabajo con las diferentes visiones de nuestra empresa, que con su experiencia aportarán una mejor gestión de los proyectos basados en el cumplimiento, mayor rentabilidad en las soluciones tecnológicas aplicadas al negocio y asegurarán también un servicio de calidad.
20
Las cosas de la vida y el Internet de las cosas: nuevos retos para la seguridad
Esteban San Román
El Internet de las cosas (IoT, Internet of things) se ha vuelto un tema recurrente en los artículos de tecnología y en los esquemas de solución tecnológica de los fabricantes. Con la versatilidad y funcionalidad que le son implícitas a la inclusión de más elementos en una actividad cotidiana de nuestro trabajo o de la vida diaria, también aparecen nuevos riesgos en la seguridad de estos dispositivos de igual manera que en la información que se transporta entre ellos.
CISSP, CISA, CRISC, CEH, ENSA e ITIL [email protected]
opinión
El protocolo IPv6 permitirá asignarle una dirección única a prácticamente cualquier entidad que maneje algo de tecnología, no solo a los equipos de cómputo fijo o móviles tradicionales, sino también a nuevos elementos como el monitor de un marcapasos, un elevador de un edificio de oficinas, la máquina de refrescos de una universidad, un sensor colocado a un animal en una granja, o enseres domésticos como el refrigerador, el horno de microondas o los controles de temperatura e iluminación de nuestro hogar, por mencionar algunos.
Muchos de estos nuevos elementos tienen sus peculiaridades, por ejemplo, sus “sistemas operativos” son usualmente de propósito específico, es decir, desempeñan una serie de funciones puntuales y nada más. Esto, por un lado, reduce la posibilidad de materialización de un ataque sofisticado pero también provee servicios vulnerables que, por esa misma falta de funcionalidad, hacen muy difícil contrarrestar las vulnerabilidades con una solución robusta.
Así pues, la seguridad seguirá siendo, para bien o para mal, un tema ineludible en nuestro futuro próximo.
Poniendo en orden la casa
Para el Internet de las cosas existe hasta un foro de discusión (www.iofthings.org) que plantea cuatro directrices hacia los consumidores:
» Valor, para hacer la vida más eficiente, segura y transparente. » Datos, para ayudar a entender los beneficios y el valor de la información contenida en esos datos. » Seguridad, para construir confiabilidad alrededor de las experiencias con el IoT. » Diseño, para consentir al consumidor con el producto y su utilidad.
Android se ha convertido en la plataforma predilecta para una nueva generación de dispositivos que va desde teléfonos inteligentes, tabletas, consolas de juegos, y relojes, hasta dispositivos para automóviles y mucho más. Google tiene muy claro que su estrategia de comercialización debe ir enfocada a satisfacer necesidades de esos nichos de mercado como ya lo ha hecho con GLASS y con Moto 360. Amazon y su plataforma AWS están haciendo, por su parte, más fácil el desarrollo de aplicaciones para plataformas Android.
Para dar vida a esta visión ya no tan futurista, hoy vemos una interacción sin precedentes entre fabricantes de dispositivos electrónicos de consumo masivo, circuitos electrónicos y marcas líderes, todas ellas con el compromiso de promover nuevas soluciones de diferentes tipos, estilos y tamaños para adecuarse a las necesidades y caprichos de una nueva generación de consumidores.
212014 - 2015
Evolución del Internet de las cosas
¿Cómo protegerse de incontables eventos de intrusión e interferencia que pueden comprometer la privacidad personal o amenazar a la comunidad?
La seguridad de la información se volvió un asunto de interés general en el momento en que se comenzó a compartir información entre sistemas de cómputo; pasamos de los antivirus a los primeros firewalls de filtrado de paquetes y de ahí a los que trabajan de manera estrecha con los aplicativos, para llegar finalmente a aquellos contenidos en un solo procesador. Los IDS/IPS se introdujeron a este escenario para trabajar en un siguiente nivel de sofisticación, detectando comportamientos anormales del tráfico y los primeros ataques elaborados representados por firmas muy peculiares; todo esto más tarde se vio reforzado con soluciones especializadas como los filtros de correo, de tráfico Web, de bases de datos y transacciones basadas en portales Web. Este cúmulo tecnológico se comenzó a gestionar a través de las soluciones de manejo de eventos e incidentes (SIEM) y el propósito de principio a fin se ha mantenido prácticamente inalterado: mantener la actividad maliciosa fuera de los sistemas o detectarla y erradicarla.
La evolución de la seguridad nos ha llevado de identificar lo que no queremos que pase (blacklisting), a distinguir lo que sí vamos a permitir (whitelisting) y de ahí para adelante. Todo esto ha sido enriquecido con técnicas de autenticación e identificación del usuario. El manejo de la privacidad de los datos personales, la propiedad intelectual, la confidencialidad de los contenidos a través de redes privadas virtuales y de soluciones que implementan estándares como 802.11i (WPA2), 802.1ae (MACsec), además de pruebas de confiabilidad a profundidad que se realizan a los aplicativos son también aspectos considerados en las soluciones de hoy y en particular del aseguramiento de la información transportada.
¿Cuáles son entonces los aspectos a tomar en cuenta?
Bajo el contexto del Internet de las cosas hay varios aspectos que necesariamente deben ser adecuados para brindar los niveles de servicio y seguridad que se van a requerir. De entrada, la reingeniería de algunas soluciones se vuelve el primer aspecto a enfrentar. Utilizar el apoyo del blacklisting implica destinar una considerable cantidad de espacio de almacenamiento para que pueda tener una utilidad práctica. Los dispositivos que ahora forman parte del entorno de Internet de las cosas se caracterizan por tener un bajo consumo de energía; hay sistemas enteros contenidos en un solo chip, y estos dispositivos están concebidos para tener una conectividad muy definida y limitada. Como hemos comentado, al ser de propósito específico, el diseño está planteado para no realizar algo más allá de una serie de tareas específicas.
Así pues, necesitamos, en primer lugar, considerar la seguridad desde el diseño de los dispositivos y desde la construcción de las aplicaciones. Dado que virtualmente cualquiera con un poco de entrenamiento puede empezar a generar aplicativos, es imprescindible cuidar que la calidad del código generado sea cada vez mejor. Si la seguridad se considera desde el planteamiento de los primeros bloques funcionales de la aplicación, es muy probable que desde su concepción el nuevo código tenga ya un primer nivel de seguridad.
El siguiente gráfico muestra un breve recuento de lo que se ha presentado en el Internet de las cosas a partir de 1999, que fue cuando se acuñó este término. La evolución ha pasado por solventar necesidades de las organizaciones, como la reducción de los tiempos de operación y costos, la incorporación de tecnología inalámbrica, geolocalización y la disminución de tamaño de las soluciones, hasta el desarrollo de aplicaciones personalizadas para fines muy diversos.
22
Es muy importante destacar que en el mundo del Internet de las cosas la interacción personal es casi nula, lo que quiere decir que no existe una interacción con alguien de carne y hueso para asuntos como capturar las credenciales de acceso o decidir si un aplicativo es confiable, por lo tanto los dispositivos regularmente realizan sus propias decisiones sobre si se ejecuta o no un comando o una tarea determinada.
En una topología tipo del Internet de las cosas encontraremos al dispositivo que se puede comunicar a través de una red cableada o inalámbrica y, de ahí, conectada a una nube pública como Internet, o privada como la red corporativa de su organización. El siguiente gráfico muestra este planteamiento:
Topología tipo del Internet de las cosas
Definiendo la estrategia
La recomendación para este entorno es seguir un enfoque multicapa que inicia desde que se energiza el dispositivo, se integra a un entorno donde ya hay otros dispositivos que han sido endurecidos (conocido en arquitectura de seguridad como cómputo confiable o trusted computing) y a partir de ahí queda blindado contra cualquier entidad ajena al proceso o la tarea que se desee ejecutar.
232014 - 2015
Como ya se mencionó, la seguridad debe estar presente desde el diseño inicial del dispositivo hasta que este se integra a un ambiente operativo de solución, para lo que recomendamos:
1. Una inicialización segura que cuide la autenticidad y la integridad del software que utiliza el dispositivo y que puede estar verificado a través de algoritmos criptográficos que involucren firmas digitales.
2. Controles de acceso robustos que limiten los privilegios de los componentes y las aplicaciones que utilizan para que realicen únicamente las actividades que requieren para completar sus tareas. En caso de que algún componente sea comprometido, un buen control de acceso limitará el acceso a otras partes del sistema. Seguir el principio del menor privilegio es el proceder más adecuado.
3. Autenticación de dispositivos. Tan pronto el dispositivo se inicializa, y antes de que reciba o transmita información, debe pasar por un proceso de autenticación. A este nivel, la autenticación entre dispositivos se da consultando información resguardada en un área segura de almacenamiento.
4. Apoyo de elementos de seguridad. Con tecnologías de inspección de paquetes a profundidad se pueden analizar adecuadamente protocolos propietarios y conjuntos de instrucciones particulares que identifiquen si una transacción específica debe ser permitida o no. Aquí ya no se trata del análisis tradicional de protocolos como HTTP, sino de soluciones y protocolos muy específicos, muchas veces propietarios.
5. Actualizaciones y parches. Como cualquier otro elemento tecnológico, los dispositivos del IoT deben ser sujetos a actualizaciones que hacen más eficiente y seguro su código de operación, sin afectar por ello la funcionalidad y el desempeño de las soluciones.
Conclusiones
En el Internet de las cosas, que nos llenará de dispositivos conectados a la red para múltiples funciones en la vida diaria, la seguridad no debe tratarse como algo para agregar posteriormente al dispositivo, el enfoque debe ser en todo momento integral. El punto ideal de arranque es el sistema operativo, desde sus entrañas debe llevarse a cabo el endurecimiento para limitar las funciones del dispositivo a las que estrictamente sean necesarias.
El mismo nivel de inteligencia que permite a una solución realizar funcionalidades específicas debe habilitarse para que tenga la capacidad de reconocer y contrarrestar las amenazas que pueda enfrentar. No nos esperemos a buscar soluciones que aún no existen, el enfoque debe estar en la construcción de soluciones que contemplen controles de seguridad optimizados para los retos que imponen las aplicaciones que se integran día a día como motores del Internet de las cosas.
24
c ·o ·n ·e ·x · i ·o ·n ·e · s
El propósito de esta serie de artículos es presentar los retos a los cuales se enfrentan las organizaciones en cuanto a la respuesta a incidentes de seguridad y dar algunas recomendaciones generales de cómo pueden fortalecer sus procesos.
En la actualidad la industria parece estar más abierta a hablar de temas que anteriormente quería mantener en privado: hacking back hoy es parte de la estrategia de ciberdefensa y se acepta que en general todas las organizaciones están expuestas a ataques avanzados, por lo que solo es cuestión de tiempo para que sean penetradas.
Lo anterior provoca que la seguridad cambie sus enfoques; en el pasado se hacía referencia a crear redes de computadoras que pudieran resistir cualquier tipo de ataque, la idea era no ser penetrado, y es ahí donde aspectos como la prevención tomaron mucho protagonismo. Ahora el paradigma se ha transformado y nos ha llevado a diseñar redes de computadoras que sabemos serán penetradas por ataques tradicionales y avanzados, por lo que deben ser monitoreadas constantemente para poder identificar de la manera más rápida y oportuna cuando son penetradas y actuar minimizando el impacto de la intrusión.
En este punto la detección vuelve a ponerse de relieve, sin embargo trae los mismos problemas del pasado respecto a falsos positivos; al final pareciera que todo aquello que la detección nos prometió hacer hace años comienza a ser posible gracias a los avances tecnológicos con los que hoy se cuenta.
Lo que es un hecho es que las amenazas actuales son dinámicas, multi-vectores, no se limitan al uso de malware y están diseñadas para evadir las restricciones de seguridad tradicionales y avanzadas. Incluso podemos asegurar que los actores que están detrás de muchos de los ataques son profesionales que han sido entrenados hasta por gobiernos, por ello, si las amenazas son dinámicas y detrás de ellas hay personal altamente capacitado, nuestras capas de protección deberían ser dinámicas también y operadas por personal altamente capacitado.
Si tuviéramos que referirnos al proceso que nos ayudará en la protección de las amenazas avanzadas, este debería ser el de respuesta a incidentes de seguridad, dado que su naturaleza es preparar a la organización para entender y saber cómo debe responder. En el artículo “Embedding Incident Response into the DNA of the Organization”1 Sean Mason nos ayuda a entender que si no logramos que la respuesta a incidentes sea parte del ADN de la organización, resultará muy complicado enfrentarnos no solo a amenazas tradicionales sino también a las avanzadas, incluso Bruce Schneider2 escribió un artículo respecto al futuro de la respuesta a incidentes y las capacidades que se deberían generar.
En el pensar de... La respuesta a incidentes en la época
de amenazas avanzadas(primera parte)
Eduardo Patricio Sánchez DíazCISSP, CISM, GCIH, GWAPT
Cuando se habla de respuesta a incidentes, existen diversos marcos como NIST SP800-613 y los lineamientos del CERT. En general todos ellos abordan las fases de la respuesta a incidentes de seguridad, las cuales se describen en la imagen siguiente:
Fases del proceso de respuesta a incidentes de seguridad
252014 - 2015
Con un acercamiento tradicional cada una de las etapas podría ser lineal, sin embargo cuando sabemos que las amenazas cambian constantemente y cuando nos concientizamos de que cada día surgen nuevos vectores de ataque, estas fases no deben asumirse tan lineales y un acercamiento más correcto podría ser el mostrado en la imagen siguiente:
Fases del proceso dinámico de respuesta a incidentes de seguridad
La fase central de la respuesta a incidentes debería ser la primera y se llama preparación; en esta fase se crean aquellas capacidades que permitirán responder de manera correcta ante un incidente. La preparación se vuelve crítica ya que será el fundamento sobre el cual se base toda la estructura, además de que será aquella que alimente cada etapa posterior de capacidades.
Las recomendaciones para lograr una fase de preparación adecuada son las siguientes:
» Establecer un grupo multidisciplinario para fungir como CSIRT: las organizaciones que cuentan con un equipo CSIRT por lo regular lo visualizan como un rol que pueden tomar diferentes personas en caso de requerirse; sin embargo, este enfoque puede no ser el más indicado puesto que hoy se requiere que las organizaciones tengan personal fijo y dedicado íntegramente a la respuesta a incidentes. Este grupo debe ser interdisciplinario dada la naturaleza de sus funciones, y en él deberían existir al menos los siguientes roles, los cuales pueden ser bajo demanda:
o Abogado.o Relación con medios de comunicación.o Representante de operaciones.o Representante de servicios de tecnologías
de información.o Representante de seguridad de la
información.
No obstante, de manera adicional debe existir personal dedicado que cubra las siguientes funciones:
o Monitoreo avanzado de seguridad.o Hunting de amenazas.o Análisis de malware.o Pruebas de seguridad.o Fortalecimiento de sistemas.o Actividades de Triage.
26
c ·o ·n ·e ·x · i ·o ·n ·e · s ¿Está Usted seguro de que está eligiendo al Mejor?
Protecting the Data That Drives Business
Seguridad en Aplicaciones web Proteja sus aplicaciones web cruciales
SecureSphere Web Application Firewall de Imperva, la solución
líder del mercado:
» Aprendizaje automático de la estructura de las aplicaciones y del comportamiento de los usuarios
» Actualiza las defensas Web, con información basada en investigaciones relativas a las amenazas actuales
» Mediante la solución ThreatRadar, identifica el tráfico que proviene de fuentes malintencionadas
» Aplicación de parches virtuales a las aplicaciones mediante la integración con scanner de vulnerabilidades
» Proporciona un alto rendimiento, implementación directa y generación de alertas, e informes claros y relevantes desde el punto de vista empresarial
» Cumple totalmente los requisitos 6.6 de PCI DSS
SecureSphere Web Application Firewall
ThreatRadar
Imperva México www.imperva.com IZA Business Centers Piso 5 ANTARA POLANCO Av. Ejército Nacional 843 B Col Granada México D.F.11520
Informes: [email protected] Tel: 55 8000 2370 © Copyright 2014, Imperva Reservados todos los derechos. "Imperva" y "SecureSphere" son marcas comerciales registradas de Imperva. Todas las demás marcas y nombres de productos son marcas comerciales o marcas comerciales registradas de sus respectivos propietarios.
C
M
Y
CM
MY
CY
CMY
K
IMPERVA - SCITUM.pdf 1 1/28/14 10:55 AM
» Arquitectura de seguridad dinámica: como parte de la preparación se debería contemplar proponer o desarrollar la nueva arquitectura de seguridad. Cuando de protección contra amenazas avanzadas se trata debemos considerar varios factores de detección, y por lo tanto de protección. Sin llegar a desarrollar estrictamente “seguridad en capas”, se debe monitorear y proteger diversos puntos de la red, entre los cuales los más representativos podrían ser:
o Perímetro: aunque el perímetro de las organizaciones es cada vez una línea más difusa, debemos seguir protegiendo las entradas y salidas de datos de la organización.
o Red interna: la detección de anomalías en la red interna debe ser una preocupación, los movimientos laterales que efectúan los atacantes en los mismos segmentos de red tienden a ser el punto ciego para muchas organizaciones, por ello es importante contar con una capa de seguridad ahí.
o EndPoint: la protección a nivel de endpoint no puede descartarse y debe incluir desde servidores y equipos de cómputo personales hasta dispositivos móviles.
Esta arquitectura debe estar pensada también para proteger los activos cuando están fuera de la organización y contar con una capa de visibilidad de contexto regional y global de las nuevas amenazas, que pudiera ser cubierto con suscripciones de “threat inteligence”.
» Mayor visibilidad de lo que sucede: contar con una capa de visibilidad de lo que realmente ocurre en la organización debe ser fundamental; esta capa debe cubrir al menos los siguientes aspectos:
o Visibilidad en tráfico cifrado.o Visibilidad de los equipos que están conectados a la red o que tienen información de la organización.o Visibilidad de las vulnerabilidades en los activos tecnológicos (en tiempo casi real o, en su defecto, con
ventanas muy cortas de detección).
Antes de terminar, listo a continuación algunos de los principales retos para lograr una adecuada respuesta a los incidentes de seguridad:
» Personal adecuado: contar con personal calificado tanto en el entendimiento del negocio como en los detalles técnicos siempre será un reto para las organizaciones. Los perfiles requeridos son muy complejos de reclutar pero sobre todo para retenerlos.
» Presupuestos asignados: cuando la respuesta a incidentes de seguridad se convierte en parte de la organización, uno los beneficios que debiera obtenerse es su propio presupuesto; el reto aquí es cómo se balancea la asignación de recursos para contar con un proceso robusto de respuesta versus los beneficios, que muchas veces parecen intangibles.
» Visibilidad: lograr una capa de visibilidad de lo que sucede en la organización, que se aproxime a la visualización en tiempo real, siempre es algo difícil de lograr.
» Correlación: no sé si sea la palabra correcta o si debe ser security analytics, pero si una organización quiere enfrentar de manera correcta las amenazas avanzadas, requiere capacidad no solo de análisis y bitácoras de sistemas, también tiene que integrar aplicaciones que no generan bitácoras, debe incluir análisis de tráfico de red e incluso análisis de datos volátiles. Con esto y con mayor visibilidad incluso podrá llegar a contar con una capa de situational awareness.
» Entendimiento de los procesos de negocio: en el pasado ha sido crucial entender cómo funciona una organización para poder protegerla, sin embargo, para enfrentar amenazas avanzadas no solo basta conocer, se requiere entender completamente a la organización, sus procesos, puntos débiles y puntos fuertes.
Como se ha manifestado y fundamentado, la respuesta a incidentes debería ser parte integral de toda organización, y si es posible debería convertirse en parte de uno de los procesos base del negocio para garantizar el cumplimiento de sus objetivos. En la siguiente parte me adentraré más en el detalle de las otras fases del proceso de respuesta a incidentes de seguridad.
1Mason Sean, Embedding Incident Response into the DNA of the Organization, 1 de octubre 2014, http://blog.seanmason.com/2014/10/01/incident-response-muscle-memory
2Schneider Bruce,’ The Future of Incident Response, 10 de noviembre 2014, https://www.schneier.com/blog/archives/2014/11/the_future_of_i.html 3NIST, Computer Security Incident Handling Guide , agosto 2012, http://csrc.nist.gov/publications/nistpubs/800-61rev2/SP800-61rev2.pdf
¿Está Usted seguro de que está eligiendo al Mejor?
Protecting the Data That Drives Business
Seguridad en Aplicaciones web Proteja sus aplicaciones web cruciales
SecureSphere Web Application Firewall de Imperva, la solución
líder del mercado:
» Aprendizaje automático de la estructura de las aplicaciones y del comportamiento de los usuarios
» Actualiza las defensas Web, con información basada en investigaciones relativas a las amenazas actuales
» Mediante la solución ThreatRadar, identifica el tráfico que proviene de fuentes malintencionadas
» Aplicación de parches virtuales a las aplicaciones mediante la integración con scanner de vulnerabilidades
» Proporciona un alto rendimiento, implementación directa y generación de alertas, e informes claros y relevantes desde el punto de vista empresarial
» Cumple totalmente los requisitos 6.6 de PCI DSS
SecureSphere Web Application Firewall
ThreatRadar
Imperva México www.imperva.com IZA Business Centers Piso 5 ANTARA POLANCO Av. Ejército Nacional 843 B Col Granada México D.F.11520
Informes: [email protected] Tel: 55 8000 2370 © Copyright 2014, Imperva Reservados todos los derechos. "Imperva" y "SecureSphere" son marcas comerciales registradas de Imperva. Todas las demás marcas y nombres de productos son marcas comerciales o marcas comerciales registradas de sus respectivos propietarios.
C
M
Y
CM
MY
CY
CMY
K
IMPERVA - SCITUM.pdf 1 1/28/14 10:55 AM
28
c ·o ·n ·e ·x · i ·o ·n ·e · s
TipsVíctor David Casares
CEH y [email protected]
¿Windows guarda mi contraseña en texto plano?
Esa es la pregunta a la cuál un consultor de seguridad informática se enfrenta cada vez que le piden obtener el control de un equipo y acceder a la contraseña de usuario en texto plano sin aplicar técnicas de cracking. La respuesta es NO, Windows no almacena la contraseña de un usuario en texto plano. Una vez que el usuario inicia sesión, la contraseña es almacenada en memoria de forma cifrada, sin embargo sí hay maneras de “obtenerla”.
Dentro del sistema LSA (local security authority) existen varios proveedores de autenticación que vienen habilitados por omisión. Se pueden ver estos proveedores ingresando a la siguiente llave del registro:
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages
Proveedores de autenticación
En Windows XP y versiones posteriores existen 2 proveedores de autenticación que almacenan la contraseña de los usuarios:
» Wdigest: usado para dar seguridad a las conexiones HTTP que requieran autenticación del tipo Digest.
» Tspkg: empleado para dar seguridad a las conexiones SSO (single-sign-on) con Terminal Server.
292014 - 2015
Aunque dichos proveedores raramente son usados, vienen habilitados por omisión. Un investigador francés denominado Gentil Kiwi descubrió una falla de seguridad que permite obtener las credenciales en texto plano, e incluso creó una herramienta para ello: Mimikatz.
Mimikatz puede ser ejecutada desde una sesión de meterpreter o bien de manera independiente en el equipo. Para ejecutarlo desde meterpreter se debe cargar el módulo de Mimikatz con el comando load mimikatz y luego utilizar el comando wdigest para obtener las credenciales en texto claro.
También existe la opción de ejecutar el comando mimikatz_command –f sekurlsa:logonPasswords –a “full” para intentar obtener las credenciales por medio de todos los factores de autenticación. A continuación se muestra una imagen donde se obtiene la credencial de un usuario en texto plano utilizando una sesión de meterpreter.
Ejecución de Mimikatz desde meterpreter
30
c ·o ·n ·e ·x · i ·o ·n ·e · s
Por otro lado, si tenemos acceso a una consola de Windows como usuario administrador, también se podría ejecutar Mimikatz. Como primer paso luego de la ejecución, debemos obtener privilegios de debug, lo cual se realiza con el comando privilege::debug. Luego de tener acceso a estos privilegios se ejecuta sekurlsa::logonPasswords “full”, tal cual se muestra a continuación:
Credenciales en texto plano desde la consola de Windows
La vulnerabilidad se encuentra presente en todos los sistemas operativos Windows, de XP en adelante, inclusive Windows 8 y Windows 2012. Hasta el momento, oficialmente Microsoft no ha liberado ningún parche para corregir esta vulnerabilidad, por lo cual se recomienda realizar un análisis con respecto a la utilización de los proveedores de autenticación afectados por ella y deshabilitarlos en caso de que no se requieran.
