Amador Aparicio CVE 2020-35710 o cómo tu RAS Gateway Secure revela el espacio de direccionamiento interno de tu organización Parallels RAS (Remote Application Server), es una solución de entrega de aplicaciones e infraestructura de escritorio virtual (VDI) que permite a empleados y clientes de una organización acceder y...
Área de Innovación y Laboratorio de ElevenPaths #CyberSecurityReport20H2: Microsoft corrige muchas más vulnerabilidades, pero descubre bastantes menos Existen muchos informes sobre tendencias y resúmenes de seguridad, pero en ElevenPaths queremos marcar una diferencia. Desde el equipo de Innovación y Laboratorio acabamos de lanzar nuestro propio informe...
ElevenPaths ElevenPaths Radio 3×02 – Entrevista a José Valiente Cuando pensamos en ciberseguridad, lo más probable es que lo primero que se nos venga a la mente sea un ordenador o un smartphone. Sin embargo, aunque no seamos...
ElevenPaths ElevenPath y Subex firmamos un acuerdo marco global para proporcionar una solución disruptiva anti- fraude Hoy en día, en el proceso de transformación digital, las organizaciones se enfrentan a amenazas emergentes y nuevos fraudes, razón por la cual los clientes están demandando soluciones proactivas...
Diego Samuel Espitia Detectando los indicadores de un ataque En seguridad siempre optamos por implementar mecanismos de prevención y disuasión, más que de contención. Sin embargo, la implementación de estos mecanismos no siempre son eficaces o sencillos de...
Amador Aparicio CVE 2020-35710 o cómo tu RAS Gateway Secure revela el espacio de direccionamiento interno de tu organización Parallels RAS (Remote Application Server), es una solución de entrega de aplicaciones e infraestructura de escritorio virtual (VDI) que permite a empleados y clientes de una organización acceder y...
ElevenPaths Nueva herramienta: PinPatrol para Chrome, algo más que un plugin, una herramienta forense En julio, creamos una nueva herramienta para mejorar la experiencia de uso con HPKP y HSTS en Firefox. Ahora es el momento de Chrome. PinPatrol para Chrome muestra esta...
ElevenPaths Los 433 MHz y el software libre. Parte 2. Las bandas ISM El UTI-R define varias bandas de frecuencias para usos no comerciales, conocidas como bandas ISM por la siglas en inglés de “Industrial, Científico y Médico”, con fines...
Diego Samuel Espitia Detectando los indicadores de un ataque En seguridad siempre optamos por implementar mecanismos de prevención y disuasión, más que de contención. Sin embargo, la implementación de estos mecanismos no siempre son eficaces o sencillos de...
Área de Innovación y Laboratorio de ElevenPaths #CyberSecurityReport20H2: Microsoft corrige muchas más vulnerabilidades, pero descubre bastantes menos Existen muchos informes sobre tendencias y resúmenes de seguridad, pero en ElevenPaths queremos marcar una diferencia. Desde el equipo de Innovación y Laboratorio acabamos de lanzar nuestro propio informe...
ElevenPaths Latch Voice: Generación Cripto-biométrica del OTP El uso de un segundo factor de autenticación, obteniendo un código a través de un código enviado por SMS o por email, es una práctica cada vez más extendida...
ElevenPaths #NoticiasCiberseguridad: Boletín de ciberseguridad semanal 9-13 de marzo Ya puedes leer el boletín de noticias de ciberseguridad de esta semana, realizado por nuestros expertos del SCC.
Netflow, machine learning y la detección de anomalías en red: una aproximación académica (Parte II)ElevenPaths 25 septiembre, 2017 Encontrar patrones en los datos de red que no se ajusten al comportamiento esperado (o sea anomalías), sigue siendo un reto interesante en la seguridad informática. Las anomalías en el tráfico aparecerán por varias razones como actividades maliciosas o caídas, y en este sentido Netflow, en combinación con técnicas de machine learning, puede convertirse en un buen aliado para ir más allá de las firmas y ser capaz así de encontrar patrones previamente desconocidos. Hablábamos en la anterior entrega de la descripción de NetFlow, virtudes, defectos y limitaciones. Para darles solución han surgido varias propuestas que vamos a describir a continuación. sFlow Sampled Flow (sFlow) es un estándar para la exportación de paquetes de la capa 2. Dado que es abierto, puede resultar en una alternativa para fabricantes que no soporten NetFlow. Se encuentra definido en el RFC 3176 y su versión actual es la 5. sFlow presenta algunas similitudes con Netflow porque que se sitúa en switches y routers y exporta información sobre los flujos. Sin embargo el protocolo presenta también algunas diferencias. Una es que sFlow no tiene noción de flujos o de agregación de paquetes. Este protocolo nació para reducir el coste computacional de NetFlow y ayudar en el análisis en tiempo real. Hay que tener en cuenta que en algunos entornos muy especiales como “internet backbones” era demasiado costoso debido al nivel de procesado requerido por cada paquete y la gran cantidad de flujos simultáneos. Fuente: sflow.org sFlow utiliza el muestreo para solucionar problemas de escalabilidad de NetFlow y aplicarse a redes de alta velocidad. Aplica dos tipos de muestreo: El aleatorio de paquetes u operaciones en la capa de aplicación; y el muestreo basado en tiempo de los contadores. Flexible NetFlow Esta implementación permite al usuario definir muchos aspectos de los flujos, y exportar casi todo lo que pase por el router, incluyendo paquetes enteros y trabajando en tiempo real como sFlow. Permite definir cómo se quieren optimizar los recursos de la red, reducir el coste de operaciones, planear la capacidad de la red, identificar la aplicación óptima para la calidad del servicio, definir aspectos para la detección de incidentes de seguridad y por tanto, lógicamente, anomalías en la red. Puede jugar un papel importante en la detección de ataques como denegaciones de servicio o malware. Además, aporta flexibilidad y escalabilidad sobre el flujo de datos a NetFlow. También permite personalizar la identificación de tráfico y monitorizar comportamientos específicos en la red, así como monitorizar un rango más amplio de información de los paquetes y producir información sobre el comportamiento de la red. IPFIX (IP Flow Information Export) IPFIX es un protocolo definido por el IETF y es el estándar que define cómo la información de los flujos IP se debe formatear y transferir de un exportador a un colector. Sobre IPFIX se pueden consultar los RFC 3917, 7011, 7015, 5103. La idea con IPFIX fue crear un estándar universal y común para exportar información de los flujos IP de los routers, sondas y otros dispositivos usados para la facturación o la gestión de la red. Algunas de las diferencias con Netflow son que proporciona más características y admite campos de longitud variable. Diferentes enfoques Históricamente, para el análisis de flujos de Netflow se han utilizado varias técnicas, tales como técnicas estadísticas, basados en conocimiento y las técnicas de machine learning. El enfoque de estadísticas es un método bastante utilizado en el análisis de Netflow. Tiene la ventaja de ser fácil de implementar, conseguir buenos resultados y consumir pocos recursos. Sin embargo, el punto negativo está en que las detecciones sólo son buenas para casos conocidos y no son flexibles en la adaptación para la detección de nuevos casos. Hay varios trabajos que utilizan este enfoque, como [1] y [2], que proponen IDS basados en modelos estadísticos. Sawaya et al. [3] propusieron un enfoque para detección de ataques basado en estadísticas sobre los hosts. Incluso se ha utilizado para la detección de botnets [4]. Sistemas basados en conocimiento. En esta categoría se engloban sistemas en los que se establecen modelos o reglas de acuerdo a los que se clasifica la información. Por ejemplo, puede tratarse de modelos construidos manualmente o sistemas expertos en los que se definan una serie de reglas para la clasificación. También podrían usarse artilugios como las máquinas de estados finitas para definir estos modelos. [5]. Las técnicas de machine learning permiten obtener conocimiento por medio de la extracción de patrones. Esto lo hace un método idóneo para la detección de casos que no se conocían previamente. En la última parte de esta serie de artículos nos centraremos en el último enfoque, que engloba una serie de técnicas para extraer conocimiento mediante la búsqueda de patrones. Los algoritmos de machine learning son capaces de generalizar comportamientos a partir de información suministrada en forma de ejemplos, son técnicas útiles y utilizadas para la detección de anomalías. Más información: [1] Proto A, Alexandre LA, Batista ML, Oliveira IL, Cansian AM. Statistical model applied to netflow for network intrusion detection. Transactions on Computational Science 2010;11:179-91. [2] Bin L, Chuang L, Jian Q, Jianping H, Ungsunan P. A NetFlow based flow analysis and monitoring system in enterprise networks. Computer Networks 2008;52(5): 1074-92. [3] Sawaya Y, Kubota A, Miyake Y. Detection of attackers in services using anomalous host behavior based on traffic flow statistics. In: 2011 IEEE/IPSJ 11th international symposium on applications and the internet (SAINT), July 2011. p. 353-9. [4] Barsamian AV. Network characterization for botnet detection using statisticalbehavioral methods. Master’s thesis, Thayer School of Engineering, Dartmouth College, USA; June 2009. [5] Estévez-Tapiador et al. [4] utilizaron esta técnica para modelar protocolos de red. Estévez-Tapiador JM, García-Teodoro P, Díaz-Verdejo JE. Stochastic protocol modeling for anomaly based network intrusion detection. In: Proceedings of IWIA 2003. IEEE Press, ISBN 0-7695-1886-9; 2003. p. 3–12. Carmen Torrano Equipo de Innovación y Laboratorio carmen.torrano@11paths.com #CodeTalks4Devs: SDK de Go para LatchProtege tus Bitcoins, Ethereums & Litecoins en Kraken con Latch Cloud TOTP
Diego Samuel Espitia Detectando los indicadores de un ataque En seguridad siempre optamos por implementar mecanismos de prevención y disuasión, más que de contención. Sin embargo, la implementación de estos mecanismos no siempre son eficaces o sencillos de...
Amador Aparicio CVE 2020-35710 o cómo tu RAS Gateway Secure revela el espacio de direccionamiento interno de tu organización Parallels RAS (Remote Application Server), es una solución de entrega de aplicaciones e infraestructura de escritorio virtual (VDI) que permite a empleados y clientes de una organización acceder y...
Área de Innovación y Laboratorio de ElevenPaths #CyberSecurityReport20H2: Microsoft corrige muchas más vulnerabilidades, pero descubre bastantes menos Existen muchos informes sobre tendencias y resúmenes de seguridad, pero en ElevenPaths queremos marcar una diferencia. Desde el equipo de Innovación y Laboratorio acabamos de lanzar nuestro propio informe...
ElevenPaths ElevenPaths Radio 3×07 – Entrevista a Mercè Molist ¿Conoces la historia del hacking en España? Primero debemos conocer su ética, su forma de vida y de pensamiento, su cultura… Para hablar sobre hackers y hacking en España, tenemos...
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 9-15 de enero Sunburst muestra coincidencias en su código con malware asociado a Rusia Investigadores de Kaspersky han encontrado que el malware Sunburst utilizado durante el ataque a la cadena de suministro SolarWinds,...
Carlos Ávila Gestión de datos de laboratorios (LIMS) y sus aplicaciones móviles Para los científicos e investigadores la optimización del tiempo en un laboratorio en la actualidad juega un papel fundamental para procesar y emitir resultados. Existen aplicaciones que tienen capacidades...