ElevenPaths Boletín semanal de ciberseguridad 16-22 enero Actualización del compromiso de SolarWinds Se han dado a conocer nuevos detalles acerca del compromiso a la cadena de suministro de software desvelado en diciembre: Los investigadores de FireEye han publicado...
Amador Aparicio CVE 2020-35710 o cómo tu RAS Gateway Secure revela el espacio de direccionamiento interno de tu organización Parallels RAS (Remote Application Server), es una solución de entrega de aplicaciones e infraestructura de escritorio virtual (VDI) que permite a empleados y clientes de una organización acceder y...
ElevenPaths Todo lo que presentamos en Security Innovation Day 2016 (I): Partners Program y Alianzas “Let Security Be_”, fue el lema de la cuarta edición de Security Innovation Day, que celebramos el pasado 6 de octubre, donde mostramos que nuestro verdadero reto es ofrecer soluciones...
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 5-11 de diciembre Boletín de seguridad de Microsoft Microsoft publicó el pasado 8 de diciembre su boletín mensual de actualizaciones de seguridad, que en esta ocasión incluye parches para 58 vulnerabilidades y un...
Gonzalo Álvarez Marañón Criptografía chivata: cómo crackear dispositivos inviolables La llave de seguridad Titan de Google o la YubiKey de Yubico son el último grito en seguridad de autenticación multifactor. Según la propia página de Google: «Las llaves cuentan...
ElevenPaths Boletín semanal de ciberseguridad 16-22 enero Actualización del compromiso de SolarWinds Se han dado a conocer nuevos detalles acerca del compromiso a la cadena de suministro de software desvelado en diciembre: Los investigadores de FireEye han publicado...
ElevenPaths El laboratorio de malware avanzado de ElevenPaths El escenario actual está evolucionando hacia un nuevo contexto de amenazas avanzadas que la industria está tratando de contener mediante la implementación de diferentes tipos de soluciones. Desde ElevenPaths,...
ElevenPaths ElevenPaths con triple representación en el congreso eCrime 2015 El antiphishing working group organiza el eCrime 2015 ese año en Barcelona, del 26 al 29 de mayo. Este simposio sobre investigación en el eCrime, reúne a profesionales que...
ElevenPaths 4 consejos para asegurar tus datos Navegamos por Internet a diario. Muchos somos ya considerados nativos digitales. Sí, Internet es casi una extensión más de nosotros, ¿pero somos realmente conscientes de en qué medida y...
Gabriel Bergel Zombis Digitales y la Ingeniería Social Este post trata sobre Zombis e ingeniería social, la imagen de la figura 1 es gratis y libre de derechos de uso, siempre cuando la referencies, y me encantó....
ElevenPaths Seguridad criptográfica en IoT (I) La proliferación de dispositivos y plataformas de servicios IoT está siendo mucho más rápida que la adopción de medidas de seguridad en su ámbito. Ante la apremiante necesidad de...
ElevenPaths Resumen de nuestro último Whitepaper: Informe de tendencias en ciberseguridad 2019 Echamos la mirada al panorama de la ciberseguridad en 2018 para analizar la evolución de las amenazas en el mundo digital, los nuevos retos que se nos presentan y el...
Detección y respuesta basadas en Ciberinteligencia. Parte 1: los pilares básicosNikolaos Tsouroulas 13 julio, 2018 Las operaciones de seguridad de hoy en día se asemejan a un “¿Dónde está Wally?” a escala masiva. El extenso y complejo enjambre de sistemas, alertas y ruido general, complica exponencialmente la acción de encontrar la aguja en el pajar. Y por si esto no fuera suficiente, nos encontramos con la problemática de la visibilidad: los operadores ni siquiera disponen de la imagen completa, ya que carecen de parte de la información relativa a la actividad de su infraestructura; o la “mutabilidad de Wally”: el cambio y sofisticación continua de las técnicas de los atacantes (Cybercrime as a service) dificulta aún más las posibilidades de encontrar a “nuestro Wally”. Con la llegada de GDPR, la mayoría de organizaciones tenemos la obligación de comunicar los incidentes y su impacto asociado dentro de nuestro ecosistema y, además, asumimos el riesgo derivado de las fuertes penalizaciones económicas que prevé la nueva regulación y que exige cambios rápidos e importantes, y. Desde ElevenPaths, hemos definido una estrategia para afrontar estos retos, construyendo una serie de productos, servicios y capacidades que ponemos a disposición de nuestros clientes para ayudarles a dar respuesta a este nuevo y complejo escenario. En primer lugar, resolveremos el problema de visibilidad. Para ello, el mejor punto de partida es el endpoint, un campo donde verdaderamente se gana o se pierde la batalla en la mayoría de las ocasiones, siendo el lugar en el que se almacena la información de las organizaciones más anhelada por los atacantes. Son fácilmente atacables e infectables (email, web, programas, disco USB, red local, etc.), e incluso en la mayoría de ocasiones se encuentran fuera del control del IT de nuestra empresa (escenarios de movilidad, conexión a redes no confiables, uso personal, BYOD, etc.). Actualmente, la mayoría de compañías emplean solamente antivirus tradicionales para proteger sus endpoints. Estos elementos de seguridad han llevado a cabo su función correctamente (bloquear amenazas conocidas) durante muchos años, pero en el escenario actual de sofisticación y mutación de los ataques actuales necesitan un complemento. Aquí es donde entra la nueva generación en protección de endpoint, los denominados sistemas de Endpoint Detection & Response (EDR). Un EDR ofrece: Visibilidad completa de lo que está ocurriendo en el endpoint: actividad sobre procesos, memoria, registro, ficheros, actividad en red, etc.Detección post-ejecución de malware o exploits desconocidos basada en análisis de comportamiento y el empleo de técnicas de inteligencia artificial.Capacidades de extracción de información forense completa para analizar incidentes, y acciones de respuesta manual y automática (aislar un endpoint, matar procesos/servicios, extraer un fichero o memoria del endpoint, actualización de programas, etc.). Por tanto, el EDR debe ser, sin ninguna duda, un elemento indispensable dentro de la estrategia de defensa de cualquier organización, pero no el único. Conocer y comprender a nuestros adversarios es crucial si queremos anticipar y detectar nuevos ataques que se escapan de nuestras soluciones defensivas. En este punto entra en juego la inteligencia de amenazas que nos proporciona la información necesaria para poder perfilar y divisar a nuestro particular “Wally”. En este punto, necesitamos información de alto nivel sobre el tipo de actores que atacan a nuestro sector o a nuestras regiones, cuál es su motivación o qué activos de nuestro negocio suelen atacar… es decir, se requiere de una inteligencia estratégica, que permita definir el perfil de riesgo y diseñar una estrategia de defensa. En un siguiente nivel, encontramos la información sobre las técnicas, herramientas y procedimientos específicos que utilizan normalmente estos actores. Este conocimiento, denominado inteligencia táctica, nos permite llegar a un mayor nivel de detalle técnico para organizar y fortificar nuestras defensas, así como para entrenar nuestro personal, y comprender más ágilmente el posible impacto de indicios de incidentes. Y, finalmente, necesitamos información operativa y técnica para poder buscar las huellas que dejan los atacantes durante su actividad, fuera o dentro de nuestra infraestructura: direcciones IP, dominios, URLs, nombres de ficheros, y en general, cualquier dato identificativo de nuevos incidentes y campañas. Los grupos cibercriminales funcionan como un negocio, empleando modelos cost-effective que reaprovechan al máximo su infraestructura para optimizar la rentabilidad de sus “inversiones”, y la inteligencia de amenazas ayuda a evitar segundos, terceros y sucesivos incidentes con éxito. Es lo que llamamos Indicadores de Compromiso (IoCs), piezas de información entregadas en formatos estándar para que puedan ser procesados por dispositivos de seguridad, así como por equipos de personas. Adicionalmente, y para aquellas organizaciones-suficientemente maduras que deseen potenciar las capacidades de telemetría, detección y analítica que proporciona un EDR, se recomienda el empleo de tecnologías complementarias dirigidas a cubrir la recolección y analítica sobre el tráfico de red (Network Threat Analysis). Estas soluciones recogen y analizan paquetes de red en tiempo real para detectar anomalías, apoyándose en técnicas de sandbox, analítica de comportamiento, bases de firmas e indicadores de compromiso. La posibilidad de almacenar y disponer del histórico del tráfico de red permite realizar búsquedas avanzadas hacia atrás (retrohunting) sobre nuevas amenazas, así como realizar investigaciones exhaustivas para determinar el alcance y las medidas de mitigación y remediación necesarias sobre posibles compromisos e incidentes de seguridad en curso. ElevenPaths adquiere Dinoflux para reforzar las capacidades de detección y respuesta ante incidentesLiberamos iBombShell 0.0.1b en el repositorio de Github de ElevenPaths
ElevenPaths 4 consejos para asegurar tus datos Navegamos por Internet a diario. Muchos somos ya considerados nativos digitales. Sí, Internet es casi una extensión más de nosotros, ¿pero somos realmente conscientes de en qué medida y...
Gabriel Bergel Zombis Digitales y la Ingeniería Social Este post trata sobre Zombis e ingeniería social, la imagen de la figura 1 es gratis y libre de derechos de uso, siempre cuando la referencies, y me encantó....
Gonzalo Álvarez Marañón Criptografía chivata: cómo crackear dispositivos inviolables La llave de seguridad Titan de Google o la YubiKey de Yubico son el último grito en seguridad de autenticación multifactor. Según la propia página de Google: «Las llaves cuentan...
ElevenPaths Boletín semanal de ciberseguridad 16-22 enero Actualización del compromiso de SolarWinds Se han dado a conocer nuevos detalles acerca del compromiso a la cadena de suministro de software desvelado en diciembre: Los investigadores de FireEye han publicado...
Diego Samuel Espitia Detectando los indicadores de un ataque En seguridad siempre optamos por implementar mecanismos de prevención y disuasión, más que de contención. Sin embargo, la implementación de estos mecanismos no siempre son eficaces o sencillos de...
Amador Aparicio CVE 2020-35710 o cómo tu RAS Gateway Secure revela el espacio de direccionamiento interno de tu organización Parallels RAS (Remote Application Server), es una solución de entrega de aplicaciones e infraestructura de escritorio virtual (VDI) que permite a empleados y clientes de una organización acceder y...