ElevenPaths ElevenPaths amplía su cartera de soluciones de seguridad en la nube con Prisma Cloud de Palo Alto Networks La compañía de ciberseguridad de Telefónica Tech ha alcanzado el estatus de Socio Premier Public Cloud MSSP de Palo Alto Networks ElevenPaths, la compañía de ciberseguridad de Telefónica Tech, ha...
ElevenPaths ElevenPaths Radio #8 – Incidente de seguridad, primeros pasos Los ataques informáticos son cada vez más frecuentes, afectando desde las grandes corporaciones, gobiernos y también a las pequeñas empresas. Lo más importante es saber cómo actuar ente un...
ElevenPaths Connect via streaming Security Innovation Day, the event of the year in cybersecurity SIGN UP TO THE live stream! Welcome to the fourth edition of our Security Innovation Day which will be celebrated on October 6 at 3:00 pm (Madrid time) at the Telefónica...
ElevenPaths Eventos en los que participa ElevenPaths en el mes de julio ¿Quieres saber qué conferencias, eventos y congresos visitaremos este mes de julio? En este post enumeramos las fechas más importantes en las que nuestros expertos estarán compartiendo contenido con...
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 1-7 de agosto Base de datos de más de 900 servidores empresariales Pulse Secure VPN Se ha detectado una publicación en foros underground que muestra la existencia de una base de datos con...
Andrés Naranjo Análisis de APPs relacionadas con COVID19 usando Tacyt (I) Aprovechando toda la atención que acapara este asunto, los markets oficiales de APPs, Google Play y Apple Store, han recibido un aluvión de aplicaciones diariamente. Ambas plataformas, sobre todo...
ElevenPaths #CyberSecurityPulse: La rotura del cifrado de WPA2 que puede poner en jaque nuestra seguridad inalámbrica Este lunes 16 de octubre se ha publicado una investigación sobre la rotura del estándar actual de cifrado recomendado para redes WiFi, WPA2. Aunque los riesgos a los que...
ElevenPaths Fokirtor, un ¿sofisticado? malware para Linux Normal 0 21 false false false ES X-NONE X-NONE MicrosoftInternetExplorer4 /* Style Definitions */ table.MsoNormalTable {mso-style-name:”Tabla normal”; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; ...
ElevenPaths ElevenPaths amplía su cartera de soluciones de seguridad en la nube con Prisma Cloud de Palo Alto Networks La compañía de ciberseguridad de Telefónica Tech ha alcanzado el estatus de Socio Premier Public Cloud MSSP de Palo Alto Networks ElevenPaths, la compañía de ciberseguridad de Telefónica Tech, ha...
ElevenPaths ElevenPaths Radio #8 – Incidente de seguridad, primeros pasos Los ataques informáticos son cada vez más frecuentes, afectando desde las grandes corporaciones, gobiernos y también a las pequeñas empresas. Lo más importante es saber cómo actuar ente un...
ElevenPaths ElevenPaths Radio – 1×11 Entrevista a Juan Santamaría Disfruta de la entrevista a Juan Santamaría, CEO de Panda Security, en ElevenPaths Radio, nuestro podcast sobre ciberseguridad.
ElevenPaths Estudio de contraseñas cognitivas en la filtración de datos del Banco Nacional de Catar (QNB) Cada vez que se produce una filtración de datos sensibles de usuario con contraseñas (en plano o reversibles) de por medio, alguien suele analizar cuáles y con qué frecuencia...
Interpretación y evolución de MITRE ATT&CK: más cobertura “horizontal” no significa mejor protecciónEquipo de Cytomic, unit of Panda Security 29 abril, 2020 La matriz MITRE ATT&CK se ha convertido en el estándar de clasificación de los posibles comportamientos de los adversarios. Su popularidad no ha hecho más que crecer en los dos últimos años. Las ventajas de este marco para los fabricantes son evidentes: ahora pueden, mapear, adaptar y mejorar sus capacidades de detección. Los beneficios para otros actores en ciberseguridad también son claros, como los Red Teams, que ahora pueden emular mejor la actividad de los adversarios; o para gestores de la ciberseguridad, que pueden evaluar mejor y de forma más sistemática sus defensas e identificar lagunas. ATT&CK es una base de datos de gran tamaño que sirve para identificar tácticas comunes, técnicas y procedimientos (TTPs por sus siglas en inglés) que las amenazas persistentes avanzadas utilizan contra plataformas informáticas. Ahora MITRE incorpora importantes cambios en su Matriz ATT&CK. El pasado 31 de marzo, como evolución del modelo y parte de su roadmap para este año, MITRE publicaba la versión beta de la nueva matriz. Nuevas técnicas, algunas otras descontinuadas, cambios en los nombres y descripciones y quizás el cambio más novedoso: la introducción de sub-técnicas, que añaden un nivel más a la estructura de la matriz. De esta manera, pasamos a contar con tácticas, técnicas, sub-técnicas y procedimientos. En total más de 340 técnicas y subtécnicas mapeadas en las 12 tácticas que conforman las columnas de la matriz. Un esfuerzo titánico por parte de MITRE, que con esta actualización permite contar con la catalogación más completa y sistemática del comportamiento de los ciberatacantes hasta la fecha. Figura 1. Ejemplo de técnicas agrupando varias sub-técnicas en la nueva versión de la matriz MITRE ATT&CK, en beta Utilización de MITRE ATT&CK en la evaluación de productos de seguridad A pesar de la gran mejora que esta iniciativa ha supuesto, existe cierto grado de confusión respecto a la interpretación de la aplicación del modelo, sobre todo a la hora de evaluar soluciones de seguridad. “Las evaluaciones en base a ATT&CK deben definir el tipo de cobertura a medir, según los objetivos de cada evaluación. Más cobertura “horizontal” no significa mejor protección.” En primer lugar, y tras la publicación de los resultados de la primera evaluación de producto de tipo EDR realizada por MITRE en 2018 (la llamada Round 1), algunos participantes -no MITRE-, trataron de equiparar el grado de cobertura de detección de las técnicas con una mayor calidad o efectividad de protección. La propia MITRE señala que ATT&CK documenta el comportamiento conocido de los adversarios y no intenta ser un checklist de las cosas que deben chequeadas. No todos esos comportamientos pueden o deben ser utilizados como base para enviar alertas o datos a un analista. Sin embargo, resulta tentador para un fabricante mostrar gráficas representando un mayor grado de cobertura de las técnicas de la matriz, independientemente de la táctica a la que pertenezcan. Por tanto, el concepto de cobertura puede ser engañoso. Las técnicas -y ahora, también las sub-técnicas- pueden implementarse de muchas formas cambiantes -procedimientos- por parte de los atacantes, y es muy difícil conocerlas todas a priori. El resultado puede ser distinto si se evalúa uno u otro procedimiento, para una misma técnica y producto. En un estudio publicado por OPTIV en 2019, ya pudimos comprobar el diferente comportamiento de varios productos de seguridad, testeando varios procedimientos para una misma técnica vs testeando uno solo -referencia-. Por lo tanto, mayor cobertura horizontal no significa necesariamente “mejor” producto. De hecho, no todas las tácticas pueden tener el mismo peso o importancia para una organización evaluando un producto determinado. Por ejemplo, si se está evaluando, la capacidad real de protección (incluyendo la prevención), entonces convendrá prestar especial atención a una cobertura más profunda, de más procedimientos, para las tácticas “más a la izquierda” en la matriz; de forma que se bloqueen los intentos de los atacantes para conseguir un acceso inicial a los sistemas objetivo, la ejecución de código malicioso o los intentos de ganar persistencia en dichos sistemas. Estas consideraciones deben establecerse en función de los objetivos de cada organización a la hora de plantearse el uso de ATT&CK. Los casos de uso pueden ser distintos y, por tanto, el peso relativo y el tipo de cobertura para tácticas y técnicas, también. Esto es algo que el propio marco no contempla. Para completar este punto, recordar también que algunas evaluaciones requieren que los productos tengan deshabilitadas las funcionalidades de prevención y bloqueo, como ocurrió en el Round 1 que citábamos antes realizado por MITRE. De otra forma, no se habrían podido evaluar las capacidades de detección de los productos. Evolución del modelo En estos momentos, se está a la espera de que MITRE publique los resultados de una segunda evaluación de productos (la llamada Round 2). El número de técnicas y la complejidad inherente al testeo de productos de seguridad hace que este trabajo requiera cada vez de más esfuerzo. Al mismo tiempo, otras empresas de testeo de soluciones de seguridad están también trabajando para adaptar sus tests y mapearse al modelo MITRE y al mismo tiempo emular situaciones reales de ataques, sin las limitaciones expuestas anteriormente. Sin duda, queda mucho camino por recorrer en esta área. “El modelo evolucionará incluyendo también la perspectiva de los defensores y la sistematización de analíticas y formas de prevención, detección y respuesta.” A futuro, esperamos también una mayor atención a otros proyectos interesantes- de la propia MITRE y de otros-, enfocados no solo en el comportamiento de los adversarios, sino en la catalogación de las defensas para detectarlo de forma sistemática, como es el caso del uso de LOLBAS (Living Off the Land Binaries and Scripts). Una compilación de las técnicas LOLBAS está disponible en GitHub. Otro ejemplo, de la propia MITRE, y enfocado también desde la perspectiva de los defensores, es el proyecto Cyber Analytics Repository (CAR): compilando analíticas que pueden ser utilizada por los defensores para detectar ataques, mapeándolas también con la matriz ATT&CK. Por lo tanto, el modelo irá extendiéndose e incluirá la sistematización de las defensas, desde la prevención hasta la detección y la respuesta. 20 preguntas sobre las apps de rastreo de contagios del Covid-19Iniciativa solidaria Covid-19: recargando IFEMA de energía para los enfermos
ElevenPaths ElevenPaths amplía su cartera de soluciones de seguridad en la nube con Prisma Cloud de Palo Alto Networks La compañía de ciberseguridad de Telefónica Tech ha alcanzado el estatus de Socio Premier Public Cloud MSSP de Palo Alto Networks ElevenPaths, la compañía de ciberseguridad de Telefónica Tech, ha...
ElevenPaths ElevenPaths Radio #8 – Incidente de seguridad, primeros pasos Los ataques informáticos son cada vez más frecuentes, afectando desde las grandes corporaciones, gobiernos y también a las pequeñas empresas. Lo más importante es saber cómo actuar ente un...
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 1-7 de agosto Base de datos de más de 900 servidores empresariales Pulse Secure VPN Se ha detectado una publicación en foros underground que muestra la existencia de una base de datos con...
Andrés Naranjo Análisis de APPs relacionadas con COVID19 usando Tacyt (I) Aprovechando toda la atención que acapara este asunto, los markets oficiales de APPs, Google Play y Apple Store, han recibido un aluvión de aplicaciones diariamente. Ambas plataformas, sobre todo...
ElevenPaths ElevenPaths se une a la OpenSSF para mejorar la seguridad del software open source Esta nueva Fundación para la Seguridad del Código Abierto (OpenSSF) reúne a las empresas líderes en tecnología como Microsoft, Google, Red Hat e IBM, entre otrosCombina los esfuerzos de...
Sergio De Los Santos ¿Qué recomiendan los criminales de la industria del ransomware para que no te afecte el ransomware? Todos conocemos las recomendaciones de seguridad que ofrecen los profesionales para protegerse del malware. Habitualmente: utilizar el sentido común (personalmente, uno de los consejos menos aplicables y abstractos que...
