Blanca Montoya Gago Plan España Puede: Claves para entender el Plan de Recuperación en España El Plan de Recuperación para Europa o Next Generation EU representa una importante inyección de dinero para apoyar a las empresas e impulsar proyectos de valor estratégico con el...
Mónica Sofía García Guía esencial de protocolo para sobrevivir en China ¿Tienes planificado ir a China por razones personales o profesionales? ¿Te gustaría aprender algunas normas protocolarias básicas para desenvolverte mejor allí? Te adelanto que casi con total seguridad es...
Mario Cantalapiedra Cinco preguntas sobre el ‘factoring’ que se hacen las pymes El factoring o factoraje es una operación por la que una empresa cede sus facturas de venta de bienes o prestación de servicios a una entidad especializada (factor) que...
Equipo Editorial Tic tac tic tac… Las TIC están, falta la decisión Lo diferencial de este momento, frente a otras revoluciones de la historia, es precisamente el ritmo de los cambios. Y las TIC están preparadas para acompañarnos en este camino,...
Andrés Naranjo DIARIO: un arma más en el arsenal de TheHive Ya sabemos que el eslabón mas débil de la cadena de la ciberseguridad es el propio usuario. Los estudios al respecto demuestran que el principal motivo por el que...
ElevenPaths 4 consejos para asegurar tus datos Navegamos por Internet a diario. Muchos somos ya considerados nativos digitales. Sí, Internet es casi una extensión más de nosotros, ¿pero somos realmente conscientes de en qué medida y...
Open Future Digitalización en restaurantes: cómo pedir y pagar con el móvil En los últimos años hemos visto cómo la tecnología ha revolucionado prácticamente todos los sectores. Aunque la experiencia presencial del cliente de restauración sigue siendo bastante similar, la digitalización...
Miryam Artigas Olivia Pop: de la cosmética natural al TVcommerce ¿Sabías que la consultora Grand View Research estima que, en 2025, el sector de la cosmética natural y ecológica tendrá un valor de 25.110 millones de dólares? En los...
Detectando los indicadores de un ataqueDiego Samuel Espitia 21 enero, 2021 En seguridad siempre optamos por implementar mecanismos de prevención y disuasión, más que de contención. Sin embargo, la implementación de estos mecanismos no siempre son eficaces o sencillos de configurar o mantener. En el mundo físico podemos ver muchos ejemplos de esto, como son las celdas fotovoltaicas, las puertas trampa o las cámaras de vídeo. Todas esas medidas previenen o disuaden a los delincuentes a entrar a una propiedad, pero para que cumplan su función requieren una configuración previa y un mantenimiento o monitoreo constante.Adicionalmente, estos mecanismos no pueden detectar por sí mismos si un delincuente está estudiando las posibles debilidades que pueda aprovechar para su objetivo criminal. Por lo que, para que puedan ser realmente preventivas, es necesario que estén bajo un monitoreo constante y una investigación de las anomalías o comportamientos sospechosos almacenados en los vídeos o en los eventos de los mecanismos instalados. Configurando sistemas para prevenir y disuadir Esto mismo sucede con los sistemas de seguridad de la información, dónde todos los recursos técnicos que se configuran buscan prevenir o disuadir, para lo cual toman como base de configuración las características que permiten detectar los ataques que se van conociendo y que, dependiendo de cada mecanismo de protección, se van configurando dentro de los motores de detección y alerta, para que los sistemas de monitoreo puedan ser avisados de la presencia de una amenaza.Por lo tanto, al igual que como sucede en la seguridad física, son mecanismos que si no se mantienen monitoreados y actualizados en sus configuraciones de detección, se convierten en sistemas que pueden ser analizados por delincuentes para la detección de fallas que puedan ser aprovechadas.Para mantener estas actualizaciones, cada tecnología dispone de formas automáticas o manuales de actualización de los sensores de detección Por ejemplo, los sistemas tradicionales de antivirus reciben constantemente actualización de las formas de detección, y los sistemas actualizados que utilizan Machine Learning aprenden a detectar las amenazas usando muestras de diferentes tipos de malware, como las que tenemos en nuestra herramienta CARMA de las amenazas de Android. Indicadores de compromiso (IoC) como mecanismo de actualización Sin embargo, uno de los mecanismos que más se ha propagado para mantener una constante actualización de las configuraciones son los indicadores de compromiso (IoC), los cuales son piezas de evidencia forense que se han recolectado tras un incidente y que permite identificar patrones comunes como direcciones IP, dominios o hashes que hayan sido utilizamos previamente y actualizar así los sensores de detección para que califiquen como amenaza a cualquier acción dentro de la red que contenga una de estas piezas de evidencia. Una de las técnicas de prevención es realizar investigaciones sobre alertas de los sistemas de monitoreo que permitan determinar si las acciones recolectadas se pueden relacionar con incidentes previamente reportados en el mundo, este método en seguridad de la información es conocido como Threat Hunting, siendo la metodología más completa y compleja para la detección de posibles intrusiones que hayan saltado los controles establecidos, usando los IoC como base de comparación. De detectores reactivos a detectores proactivos Pero, ¿qué pasa si el delincuente usa mecanismos totalmente desconocidos?, ¿qué pasa si el malware no toca el disco y los antivirus no pueden comparar con sus firmas?, ¿qué pasa si el IPS no tiene ese trama de datos dentro de sus comparaciones de alerta? Lo que sucede es que nada se alerta, el monitoreo por más que sea persistente no va a recibir ninguna alarma de anomalía y, el delincuente, tras un riguroso análisis de nuestros sistemas de seguridad, habría encontrado la brecha o la técnica para esconderse y conseguir su objetivo. En muchas ocasiones, esto es lo que esta sucediendo en los incidentes cibernéticos que se han reportado este año, por lo que es necesario que las áreas de seguridad de la información empiecen a cambiar el enfoque de detectores reactivos, como los IoC, a detectores proactivos, que permitan poder detectar amenazas o incidentes en el mismo momento que suceden y que no dependan del conocimiento previo de otros incidentes. Indicadores de Ataque (IoA) Esto es lo que se ha denominado como Indicadores de Ataque (IoA), que permite a los equipos de detección (Blue Team) identificar sucesos por patrones de comportamiento, por ejemplo un escaneo de red, una comunicación a un C&C o cualquier comportamiento que entregue señales de que algo saltó las defensas de la red. Debido a esta particularidad, es complicado tener un listado o una base de datos común de IoA’s, pues están atados a las tácticas mostradas en la matriz de ATT&CK de Mitre y a las características de seguridad propias de cada empresa, usando el contexto para determinar cuando una acción es o no un indicador de ataque. Por este motivo, la implementación no es sencilla y requiere de un conocimiento a profundidad de las actividades TI normales de todos los departamentos de una organización, de la implementación de sistemas de Zero Trust Network Access e implementación de controles de trafico de red en todos los sistemas que gestionen información, para así poder tener las actividades básicas que se mencionan a continuación para la detección de los IoAs: Análisis de todas las conexiones cuyo destino sea fuera de la red corporativa, dando prioridad a destinos marcado como maliciosos o a lugares donde no se debería hacer comunicaciones desde la empresa.Todo intento de trafico en la red por puertos no convencionales o de servicios que se hayan habilitado dentro de la red o en horarios fuera de oficina.Cualquier equipo que tenga múltiples conexiones activas o intentos de conexión con equipos dentro de la red a los cuales no tienen permiso o que no tenga dentro de su historial de conexiones.Reporte de eventos repetidos, como malware o trafico malicioso, en uno o varios equipos por los sistemas de detección.Procesos de autenticación de los usuarios, que impliquen cualquier conexión simultanea o intentos fallidos. Con estas investigaciones permanentes se inicia la generación de la base de conocimiento de los IoA y los procesos de respuesta de incidentes mejoran. De esta manera el sistema se basa no en datos que han sucedido y que pueden ser evadidos por los atacantes, si no en actividades y técnicas asociadas tanto a las tácticas de ataque como a las características propias de la red de la organización. CVE 2020-35710 o cómo tu RAS Gateway Secure revela el espacio de direccionamiento interno de tu organizaciónBoletín semanal de ciberseguridad 16-22 enero
Telefónica Tech Boletín semanal de ciberseguridad, 18 — 24 de junio Caída de los servicios de Microsoft Office 365 y Cloudflare a nivel mundial A lo largo del pasado martes se vieron interrumpidos múltiples servicios web a nivel mundial. El origen...
Cristina del Carmen Arroyo Siruela Día de la mujer ingeniera: construyendo nuevos caminos El término “ingeniero” proviene del latín, ingenium, en castellano ingenio. Desde hace mucho tiempo, se ha asociado el mundo de la ingeniería con el sexo masculino. Pero ¿es el...
Cristina del Carmen Arroyo Siruela Los ataques más comunes contra las contraseñas y cómo protegerte Una credencial de acceso es básicamente un nombre de usuario y una contraseña asociada a esa persona y a los permisos de accesos que tiene otorgados para una aplicación,...
Telefónica Tech Webinar: Sports Tech, la revolución digital del fútbol El pasado 15 de junio desde Telefónica Tech organizamos un webinar dedicado a la tecnología en el deporte: “Sports Tech, la revolución digital del fútbol”, disponible ya en nuestro...
Telefónica Tech Boletín semanal de ciberseguridad, 13 — 17 de junio Hertzbleed. Nuevo ataque de canal lateral contra procesadores AMD e Intel Investigadores de seguridad de varias universidades de Estados Unidos han descubierto un nuevo ataque de canal lateral que afecta...
Telefónica Tech ¡Estamos de estreno! Conoce la nueva web de Telefónica Tech Cyber Security & Cloud En Telefónica Tech no dejamos de crecer y de trabajar para ser el partner tecnológico de las empresas en su proceso de transformación digital. Como parte de este propósito Telefónica Tech...
