¿Qué es el TAP?

TAP (Temporary Access Pass) es un código de acceso de tiempo limitado que permite a los usuarios registrar métodos de autenticación sin contraseña y recuperar el acceso a su cuenta sin necesidad de una contraseña.

Microsoft ha anunciado en junio que su Pase de Acceso Temporal (TAP) ya se encuentra disponible para todo el público. Fue en el mes de marzo cuando se pudo comenzar a probar esta nueva funcionalidad como public preview, ahora, oficialmente ya ha adquirido la condición de general availability.
En su lucha diaria por conseguir un equilibrio entre la seguridad y la fluidez en el trabajo, ha desarrollado esta funcionalidad como un nuevo método de autenticación sin contraseña que puede ser implementado a escala por las organizaciones, dentro del marco de operaciones de Microsoft 365.

Métodos de Autenticación

Antes de adentrarnos en las cualidades y beneficios de TAP, hagamos un repaso de algunos de los diferentes métodos de autenticación existentes y su valía respecto a la seguridad que proporcionan.

Métodos de autenticación 

 

Nivel de seguridad:

  • Malo – Contraseña: El uso de únicamente una contraseña como factor de autenticación representa la peor de las soluciones en cuanto a seguridad se refiere. Para el usuario es el método más fácil y cómodo de autenticación, pero el uso de diccionarios, fuerza bruta o ingeniería social pueden comprometer su descubrimiento.
  • Bueno – Contraseña y…: El añadir a la contraseña un segundo método de autenticación, mediante el envío de un SMS o una llamada a un dispositivo registrado, mejora la seguridad, pero tiene el inconveniente de impedir la autenticación en entornos donde no exista cobertura.
  • Mejor – Contraseña y…: Debido a los inconvenientes que podría suponer el método anterior, se establecieron nuevos métodos de autenticación multifactor. A la tradicional contraseña se le podrían añadir notificaciones push, a través de una aplicación de autenticación, así como tokens, tanto de software como de hardware, de un solo uso.
  • Lo mejor – Sin contraseña: Métodos que no hacen uso de contraseñas pueden ser Windows Hello (que basa la autenticación en biometría o pin local), mediante una aplicación de Autenticador (Single Sign-On a través de móvil) o dispositivos FIDO2 (autenticación dactilar o token hardware).

El tiempo ha demostrado que el uso de contraseñas es contraproducente para el usuario en un doble sentido, por un lado, la posibilidad de olvido por parte del usuario o la posibilidad de descubrimiento por algún actor malicioso y, por otro lado, el tiempo perdido que supone su escritura cada vez que tenemos que hacer uso de ella. 

Por este motivo, cada vez más se hace uso de métodos de autenticación sin contraseña, como el TAP de Microsoft.

Volviendo al TAP

También se puede usar un TAP para configurar dispositivos Windows, ya sea que los usuarios estén configurando directamente sus propios dispositivos o que usen Windows AutoPilot, uniendo dispositivos a Azure AD o incluso configurando Windows Hello para empresas.

Se puede instalar y configurar TAP para la organización con la directiva de métodos de autenticación. Por ejemplo, se puede limitar la asignación de TAP a usuarios y grupos específicos, limitar el uso durante un período corto o configurarlo para un uso único.

Una vez que el método de autenticación está habilitado por la directiva, un administrador de autenticación con privilegios o un administrador de autenticación puede crear un TAP para el usuario visitando la hoja de métodos de autenticación del usuario o accediendo a través de una API. También se ha agregado la capacidad de los administradores para anular los TAP existentes o eliminarlos.

El Usuario Final

Una vez que un usuario tiene un TAP válido, puede usarlo para iniciar sesión y registrar información de seguridad, como el inicio de sesión telefónico sin contraseña directamente desde la aplicación Authenticator, para agregar una clave FIDO2 desde la página “Mi información de seguridad” o incluso para configurar Windows Hello for Business en máquinas unidas a Azure AD e híbridas unidas a Azure AD. En escenarios donde se requiere MFA, TAP también se puede usar como un factor adicional.

Con esta nueva funcionalidad, Microsoft sigue desarrollando nuevas maneras de tener un entorno de trabajo cada día más seguro y eficaz. En definitiva, TAP ha venido para quedarse.

Las auditorías a aplicaciones es uno de los servicios que ofrecemos en Sidertia Solutions. Este tipo de análisis permite detectar vulnerabilidades.

La primera operación que realizamos es la extracción del fichero APK (Android Application Package) para su análisis. Esto en caso de que el cliente no nos proporcione una versión concreta.

Esta operación se puede hacer desde un dispositivo no rooteado sin ningún problema, pero en este ejemplo se va a realizar desde un emulador de Genymotion que sí está rooteado (Android 7, API 24).

En este caso vamos a extraer una aplicación de linterna llamada “Flashlight”, para ello el primer paso es conectar con el dispositivo o emulador utilizando ADB (Android Debug Bridge). Es esencial que, si el dispositivo no está conectado con cable al PC, esté conectado a la misma red que el PC. Ejecutamos el siguiente comando para conectar con el emulador en el puerto por defecto 5555:

				
					adb connect <IP_DISPOSITIVO>:5555
				
			
adb connect

Una vez conectados, vamos a listar todos los paquetes (aplicaciones) que están instalados en el dispositivo con el siguiente comando:

				
					(Linux) adb shell pm list packages | grep -i <NOMBRE_APP>
(Windows) adb Shell pm list packages | findstr -i <NOMBRE_APP>
				
			
adb shell pm list packages

El comando anterior utiliza adb para invocar una Shell del dispositivo y pm para invocar al Package Manager del dispositivo. 

Luego ejecuta el comando list packages de Package Manager para obtener la lista completa de paquetes. Posteriormente se filtra la lista para obtener el que estamos buscando.

Una vez localizado el nombre del paquete que estamos buscando, ejecutamos el siguiente comando para obtener la ruta de dicho paquete:

				
					adb shell pm path <PAQUETE_APP>
				
			
adb shell pm path

Este comando es similar al anterior, pero ahora se usa el comando path y el nombre del paquete.

Por último, extraemos el fichero utilizando la ruta obtenida en el comando anterior de la siguiente forma:

				
					adb pull <RUTA_PAQUETE_APP>
				
			
adb shell pm list packages

Este comando ha creado un fichero llamado base.apk en el directorio actual, este es el fichero APK de la aplicación.

Antes de comenzar con el análisis, se recomienda obtener el hash de la aplicación:

Esto permitirá identificar correctamente el APK que ha sido objeto de auditoría.

El pasado martes 28 de junio se ha oficializado la incorporación de Sidertia Solutions en Izertis, compañía tecnológica española especializada en proyectos de Transformación Digital. Fundada hace más de 25 años, Izertis cuenta con oficinas en 9 países y más de 1.200 empleados, y desde noviembre de 2019 cotiza en el BME Growth.

La unión de ambas empresas tiene un gran calado estratégico, ya que nos sitúa como una de las primeras proveedoras de servicios tecnológicos de Ciberseguridad con proyección de crecimiento en el plano internacional, así como en la ampliación y consolidación de su posición en el ámbito nacional.

Sidertia, como referente en la prestación de servicios de valor 360º en Ciberseguridad, complementa el portfolio de soluciones de Izertis donde destacan entre otras áreas: IA, Data & Intelligence, Digital Experience, Devops, Cloud, Quality Assurance, Hyper Automation, Business Solutions, Blockchain, Project & IT Governance Consulting, junto a otras tecnologías habilitadoras de los procesos de transformación digital.

Esta operación conllevará el desarrollo de un Plan Estratégico de Ciberseguridad con proyección a largo plazo, y cuyo objetivo es potenciar nuestra presencia en un mercado con una demanda de soluciones para el “manejo de información sensible” y “protección de la información” cada vez mayor, tanto en el ámbito público como privado.

Decía Aristófanes que la desconfianza es la madre de la seguridad y razón no le falta cuando vemos las diferentes estrategias de ciberseguridad como Zero Trust, defensa en profundidad o Ciberseguridad 360º que ofrecemos en Sidertia Solutions.

Dada la continua y vertiginosa evolución de la tecnología y el incesante incremento de los delitos informáticos con técnicas cada vez más sofisticadas, hacen de los modelos actuales basados en la acción-reacción modelos anticuados, donde se necesita un paciente cero para la investigación.

Desde Sidertia Solutions creemos que, hasta que no se implementen modelos predictivos-preventivos, basados en algoritmia de última generación y éstos sean el nuevo paradigma predominante en el mundo de la ciberseguridad, donde una inteligencia artificial sea capaz de predecirlo todo y actuar en consecuencia, estamos condenados a seguir ciertas pautas, reglas, estrategias, modelos y medidas de seguridad para la protección de nuestros datos e infraestructura de la mejor manera posible.

Ahora bien, tomemos prestado los modelos descritos y estrategias de seguridad citadas y comencemos a entender cómo podríamos configurar un entorno de nube seguro en la nube de Oracle. Antes de nada, definamos qué es OCI y los servicios que presta y veamos en qué consiste su arquitectura y cómo podríamos configurar un entorno de nube seguro.

OCI ARCHITECTURE

Oracle Cloud Infrastructure es un conjunto de servicios en la nube que permite crear y ejecutar una amplia variedad de aplicaciones y servicios de alta disponibilidad. Una nube tan potente como Azure, AWS o Google Cloud. Una nube colmada de herramientas, servicios de seguridad y monitorización que pueden ayudarnos a configurar un entorno seguro desde el principio.

Por un lado, la arquitectura física de OCI puede dividirse por regiones, dominios de disponibilidad y dominios de errores. Una región es un área localizada que comprende uno o más dominios de disponibilidad. Un dominio de disponibilidad es un centro de datos físico tolerante a fallas y ubicados dentro de una región, pero conectados entre sí mediante una red de baja latencia y un gran ancho de banda.

Multi AD OCI Region

Nulti AD OCI Region

Además, cada dominio de disponibilidad contiene tres dominios de errores. Un dominio de error debe entenderse como un centro de datos lógico, cuya finalidad no es otra que lograr la alta disponibilidad para prevenir los errores e indisponibilidades de servicio, pudiendo escoger tanto el dominio de disponibilidad como el dominio de errores para ejecutar nuestras instancias en la nube de Oracle.

Una vez visto la arquitectura física de OCI, ¿qué servicios de seguridad podríamos utilizar para configurar un entorno seguro en la nube de Oracle? Respondamos a esta pregunta de manera ordenada, sin prisa, pero sin pausa.

Arquitectura Fisica OCI

Arquitectura Fisica OCI

Comencemos por ver un esquema de lo que consiste una estrategia basada en una defensa en profundidad. Podemos interpretar esta estrategia como un conjunto de capas que brindan protección y cuya finalidad consiste en la protección de los datos que se sitúan en la capa central, de modo que, si una capa se rompe, una capa posterior ya está en su lugar para evitar una mayor exposición. Este enfoque elimina la dependencia de una sola capa de protección, ralentizando un ataque y proporcionando telemetría de alerta para que los equipos de seguridad puedan actuar manual o automáticamente.

¿Y qué servicios de OCI proporcionan protección en cada capa de seguridad para configurar un entorno de nube seguro?

 

Para comenzar, la capa de infraestructura o la capa física de seguridad es responsabilidad de Oracle, cuya misión es evitar ataques de denegación de servicio, así como mantener la integridad física de la infraestructura. Oracle posee varias certificaciones de conformidad que pueden verificarse en el propio tenant, entre ellas, el nivel alto del Esquema Nacional de Seguridad (ENS).

Para continuar, Oracle proporciona el servicio Identity and Access Management (IAM) con dominios o IAM sin dominios para la capa de identidad y acceso, que evita la intrusión en nuestro entorno y que es importante configurar siguiendo las directrices de seguridad basadas en la identificación unívoca de las cuentas de usuario, establecimiento de férreos requisitos de acceso, protección de acceso local y remoto, segregación de roles y funciones que permite establecer un control de acceso granular a los recursos cloud de nuestra infraestructura y, por último, capacidad de auditar todas las acciones en nuestro tenant mediante el servicio Audit de OCI.

 

De manera análoga, Oracle ofrece su servicio WAF para la protección de la capa de perímetro de nuestra propia infraestructura frente a ataques DDoS. Además, de manera predeterminada, las instancias cuentan con firewall a nivel de host para la protección de las capas 3 y 4 del modelo OSI.

Asimismo, para la capa de red, Oracle dispone del servicio Networking para la protección de las comunicaciones, pudiendo elaborar una clara segregación de redes virtuales y subredes públicas y privadas, configuración de listas de seguridad, grupos de seguridad, conexiones cifradas como VPN Site-to-site o FastConnect, tal y como se puede apreciar en el siguiente esquema:

 

 

Por otro lado, para la capa de instancias, Oracle Cloud ofrece servidores bare metal para el aislamiento de un host dedicado en un modelo de inquilino único y otro conjunto de servicios de inteligencia sobre detección de intrusión y resolución de problemas de seguridad en la nube, como Cloud Guard o Zonas de Seguridad para la protección de compartimentos en la nube, mediante una receta de políticas de seguridad. Además, se dispone de software antivirus de varios fabricantes para los sistemas operativos Windows y Linux a través del Marketplace de OCI. 

Igualmente, si poseemos bases de datos, existen varias herramientas como Data Safe, que mantiene la confidencialidad y privacidad de nuestros datos mediante las funciones para la detección de datos confidenciales, enmascaramiento de datos en entornos no productivos, evaluaciones de seguridad de las configuraciones de las bases de datos y evaluaciones de seguridad para los usuarios de las bases de datos; sin olvidar otras funciones tan importantes como la auditoría y las alertas, para la información de actividades inusuales. 

Por último, Oracle ofrece el servicio Vault para la administración y guardado de claves de cifrado y secretos de manera centralizada. Vault elimina la necesidad de almacenar claves y secretos de cifrado en archivos de configuración o en código, permitiendo escoger entre los modos de protección por software y módulos de seguridad de hardware (HSM), que cumplen con el estándar FIPS 140-2.

Finalmente, defendemos que la transformación digital es una evolución continua que debe ir de la mano del mejor conocimiento especializado, mediante las distintas estrategias de ciberseguridad que ofrecemos en Sidertia Solutions, adaptadas a tu organización y garantizando la integridad del dato a través de nuestras soluciones como Ana. Y, a pesar de que Aristófanes fue un comediante griego del siglo V a.C, conocía muy bien la naturaleza humana y quién sabe, quizá en nuestros tiempos, podría haber sido un brillante analista de ciberseguridad.

Siempre se ha dicho que existen dos tipos de empresas, las que han sufrido un incidente y las que lo van a tener, pero desgraciadamente sabemos de la existencia de una tercera… La que está siendo atacada y ni lo sabe.

¿Conoces a tus adversarios y sus motivaciones?

Saber quiénes son tus enemigos es esencial para evitar y si no es posible, mitigar, los efectos de un ciberataque en tu organización. Conocer, prevenir, detectar y responder son pilares fundamentales en ciberseguridad, te invitamos a conocer de primera mano cómo actúa el cibercrimen, para a partir de ahí crear la mejor estrategia de ciberseguridad para tu organización.
 
 

Adaptamos la Ciberseguridad 360º a tu organización

Desde Sidertia & Citrix te invitamos el próximo día 8 de junio de 2022 a un evento en el que podrás conocer más sobre la Ciberseguridad que proporciona Citrix.
 
 

Miércoles 8 de Junio de 2022

Agenda

9:30: Recepción
9:30 – 10:00: Coffee Bienvenida
10:00-11:45: Ponencias
 
Sesión 1 Presentación e introducción a la sesión.
Visión y enfoque de Sidertia en el mundo de la ciberseguridad.
Ponente: Jerónimo García, Sidertia
 
Sesión 2. Una historia de cibercrimen. Tácticas de adversarios.
El conocimiento a nivel organizativo de las organizaciones del Cibercrimen, las tácticas que utilizan para acceder a los sistemas y los movimientos que realizar para acceder a la información de valor.
Ponente: Juan Luis G Rambla, Sidertia
 
Sesión 3. Inseguro por culpa del usuario.
Las organizaciones, a menudo, se ven condicionadas a nivel de ciberseguridad por la usabilidad del usuario, pero la ciberseguridad no está enfrentada con la usabilidad.
Ponente: Julián Blázquez, Sidertia
 
Sesión 4. ¿Y si el segundo factor de autenticación no fuera suficiente?
El doble factor de autenticación no es la solución de seguridad absoluta, demostraremos como los atacantes siguen vulnerando nuestros sistemas a pesar de estas medidas. Debemos trabajar en una seguridad en profundidad completa.
Ponente: Juan Luis G Rambla, Sidertia
 
Sesión 5. Seguridad en contexto.
Conoceremos las nuevas capacidades de Ciberseguridad que proporciona Citrix a través de su porfolio para ayudarnos en acercarnos hacia un entorno más seguro.
Ponente: Nuno Silveiro, Citrix
 

En este artículo vamos a analizar algunas de las diferentes herramientas que nos proporciona Amazon Web Services (AWS) y así como parte de las estrategias que adopta Sidertia Solutions y cómo emplea dichas herramientas para aportar seguridad al entorno.

Los principios y configuraciones de seguridad que expondremos a continuación serían prácticas recomendables no solo en un entorno AWS o de nube pública, sino en cualquier sistema TIC que maneje información sensible o que requiera de una cierta seguridad y, en cierta medida, se basan en algunos de los requisitos de seguridad descritos en diferentes guías del Esquema Nacional de Seguridad (ENS) incluidas en el sitio del Centro Criptológico Nacional.

AWS es lo que se denomina un servicio de nube que proporciona una infraestructura completa para el alojamiento de ficheros, aplicaciones, sistemas, etc. Las soluciones que proporciona permiten el uso de sistemas completos empresariales que mejoran los tradicionales. Se pueden encontrar herramientas de computación, almacenamiento, bases de datos, análisis, redes, desarrollo, administración, IoT, etc.

Obviamente, todas estas herramientas y la información que contienen deberán ser protegidas adecuadamente para tratar de garantizar la confidencialidad, trazabilidad, autenticidad, integridad y disponibilidad de los datos. Sidertia Solutions ofrece a través de AWS, diferentes elementos de seguridad que permiten alcanzar tales propósitos en gran medida, como veremos a continuación.

 

AWS proporciona un modelo deseguridad compartida. AWS asume la responsabilidad de todo aquello que administren ellos directamente. 

 

Entre los productos que se pueden adquirir habría que diferenciar entre elementos gestionados por el cliente y elementos gestionados por AWS.

Los diferentes elementos de almacenamiento, computación, base de datos, etc., se pueden adquirir con modelos de Infraestructura como Servicio (IaaS), Plataforma como Servicio  (PaaS) y Software como Servicio (SaaS), siendo IaaS gestionado por el cliente (por ejemplo, se generan máquinas virtuales se instalan y mantienen sus sistemas operativos y configuraciones entre ellas) y SaaS (por ejemplo, se contrata una base de datos pero no se mantiene el servidor, solamente los datos introducidos, AWS se encarga del mantenimiento de esa base de datos).

Por tanto, si se monta un servidor de base de datos en una instancia de EC2 (el “hipervisor” de máquinas virtuales de AWS), la instalación de sistema operativo y aplicaciones recaería en el cliente, mientras que, si se contrata una base de datos gestionada, recaería sobre AWS. Del mismo modo, la responsabilidad en lo que a seguridad se refiere funciona de forma parecida.

El cliente es el responsable de la seguridad de sus propios datos, de la plataforma y aplicaciones, así como la gestión de accesos e identidades, los sistemas operativos y las configuraciones de red y su protección (FW, cifrados en sistemas de archivos, cifrados en tránsito, etc.).

AWS es responsable de los elementos de software contratados, la seguridad en la computación, el almacenamiento, BBDD y red sobre aquellos servicios en los que el cliente no puede decidir porque son gestionados por AWS y, por supuesto, también es responsable de la infraestructura global y disponibilidad de sus centros de datos.

Distintivo_ens_certificacion_MEDIA
Distintivo_ens_certificacion_MEDIA

El inconveniente que podría verse en la parte gestionada por AWS es precisamente la opacidad y falta de control de la que dispone el cliente, pero a cambio, AWS cuenta con la certificación del Esquema Nacional de Seguridad en su categoría alta,  lo que garantiza el cumplimiento de los estándares que aplican a agencias gubernamentales y organizaciones públicas

Los principios que se tienen en cuenta a la hora de aplicar seguridad son las siguientes:

  • Gestión de identidades.
  • Trazabilidad y gestión de eventos de seguridad.
  • Seguridad en las diferentes capas y protección de datos en tránsito y en reposo.
  • Buenas prácticas, procesamiento de datos y garantía de disponibilidad.
 

Gestión de identidades

El usuario con el que se da de alta el servicio de AWS es, a todo efecto, el usuario más privilegiado, se podría decir que es el usuario “root”. Debido a esto, la recomendación de Sidertia Solutions es que dicha cuenta no sea utilizada salvo en ocasiones estrictamente necesarias. Las herramientas que proporciona AWS para la gestión de identidades hacen que la necesidad de uso de la cuenta sea prácticamente inexistente.

Es posible gestionar identidades de usuario y de equipo, pudiendo administrar pertenencias a grupos y asignar atributos. Esta posibilidad permite segmentar los permisos para garantizar que únicamente quien debe hacer algo tiene el privilegio de hacerlo. Además, existe la posibilidad de aplicar los permisos a roles en vez de a cuentas de equipo o usuario, de modo que se podría asociar un rol específico al objeto de usuario o equipo permitiendo que solamente lo asuma en el momento en que tiene que realizar una tarea privilegiada.

Todo esto puede ser definido por políticas que automatizan la entrega de privilegios y la temporalidad de éstos. Es importante evitar el uso de wildcards o comodines en el uso de las políticas de identidades para garantizar que no se entregan privilegios administrativos completos.

También es importante evitar el uso de contraseñas comunes o reutilizadas, almacenar contraseñas en claro en código o scripts, etc. Igualmente, AWS proporciona mecanismos de Multi factor de autenticación que, del mismo modo, deberían usarse.

Estas prácticas permiten aplicar el principio de mínimo privilegio y reducen notablemente la superficie de exposición y el riesgo de sufrir ataques de suplantación de identidades y privilegios.

Trazabilidad y gestión de eventos de seguridad.

La Gestión de Identidades debe ofrecer la posibilidad de trazar lo que sucede con los diferentes usuarios. AWS proporciona la herramienta “Credential Report” así como AWS Cloud Trail para registrar los accesos exitosos o fallidos entre otros eventos. 

La herramienta CloudTrail en combinación con CloudWatch son los pilares de la monitorización de los elementos de los que se hace uso en AWS. Es importante habilitar alertas para intentos de accesos no permitidos, accesos sin MFA, uso de la cuenta “root” y cambios en las políticas de identidades.

AWS VPC FlowLogs permite además monitorizar el tráfico de los diferentes elementos virtuales de red.

Seguridad en las diferentes capas y protección de datos en tránsito y en reposo.

Existen herramientas como AWS WAF, Shield y NetWork Firewall que permiten establecer reglas de filtrado de tráfico, mantenimiento de listas blancas y negras para IPs y dominios, aprendizaje automático para detectar comportamientos sospechosos, etc.

Tanto los datos almacenados en bases de datos como los propios logs y registros de eventos deberían ser cifrados. Existe una herramienta denominada (AWS KMS) que permite gestionar las claves tanto generadas a través de AWS KMS, como las generadas por el cliente a través de terceros o sus herramientas on premise y posteriormente importadas.

Igualmente, los elementos de red virtuales y las nubes interconectadas (Virtual Private Clouds) permiten el cifrado del tráfico haciendo uso de las mismas herramientas de cifrado. Se deberían por tanto, habilitar los mecanismos de cifrado en tránsito para garantizar la confidencialidad.

Buenas prácticas, procesamiento de datos y garantía de disponibilidad.

AWS proporciona al cliente herramientas que permiten analizar grados de cumplimiento y nivel de aplicación de actualizaciones en aquellos elementos en los que la responsabilidad de la seguridad recaiga sobre él.

Las herramientas AWS autoscaling y AWS Shield van a permitir, además, la protección ante ataques de denegación de servicio distribuidos (DDoS). Además existen multitud de centros de datos en diferentes zonas del mundo que garantizan la disponibilidad e integridad de dichos datos. Es posible y recomendable hacer uso de varias zonas de disponibilidad por redundancia y a modo de centro de respaldo en caso de catástrofe.

Si bien es cierto que AWS proporciona muchos mecanismos que permiten mitigar numerosos riesgos de ataque o pérdida de servicio, no hay un sistema 100% seguro y menos si éste está publicado en la internet.

Lo que sí está claro es que las herramientas de seguridad que brindan las soluciones de nube actuales, AWS entre ellas, demuestran el esfuerzo y sobre todo la mentalización a nivel global de la importancia de la seguridad y su aplicación, ofreciendo soluciones verdaderamente innovadoras y efectivas que, aprovechando la flexibilidad que proporciona la computación en nube, van a ofrecer mejores y mayores garantías para la seguridad de las TIC.

Sidertia Solutions ofrece a sus clientes los medios para poder configurar los diferentes elementos de la plataforma de Amazon Web Services de forma que la superficie vulnerable y los riesgos de recibir ataques y perder integridad o acceso a la información se vean reducidos y de este modo se pueda garantizar el entorno como un medio seguro y fiable para el uso y mantenimiento de datos y aplicaciones.

La publicación del nuevo Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad pone fin al periodo de espera ante la actualización del ENS, periodo de espera que pudimos hacer más llevadero gracias al borrador publicado con fecha 14 de junio de 2021 titulado “Proyecto de Real Decreto por el que se regula el Esquema Nacional de Seguridad” con el que en Sidertia Solutions empezamos a valorar los cambios previstos en la norma.

Es la actualización del ENS que, valga la redundancia, actualiza la normativa aplicable atendiendo a tres grandes cuestiones, que son: 

  • La alineación con el marco normativo y el contexto estratégico existente, conforme la Estrategia Nacional de Ciberseguridad de 2019 y el Plan Nacional de Ciberseguridad
  • La inclusión del “perfil de cumplimiento específico” de aplicación a ciertos colectivos y tipos de sistemas previa aprobación por CCN
  • «Facilitar una mejor respuesta a las tendencias en ciberseguridad, reducir vulnerabilidades y promover la vigilancia continua

En Sidertia Solutions, como una de las labores del Responsable de Seguridad en cuanto a atender las novedades y planificar los cambios normativos, hemos realizado un proceso de análisis del nuevo ENS evaluando los cambios y modificaciones que afectan a nuestra certificación, obteniendo, como resultado, los requisitos para adecuarnos al nuevo Real Decreto 311/2022, de 3 de mayo.

Artículos del ENS.

Se han renumerado los artículos del real decreto al incorporar y eliminar artículos, por lo tanto, es recomendable revisarlos y conocer esas novedades.

En el articulado destacamos ciertas modificaciones que nos han llamado la atención por su importancia, entre ellos el artículo 2 donde se establece que el real decreto será de aplicación a los sistemas que manejan o tratan información clasificada sin perjuicio de la normativa que resulte de aplicación como la Ley 9/1968, de 5 de abril, de Secretos Oficiales, así como otra normativa especial.

De especial importancia es el nuevo artículo 3 referente a sistemas de información que traten datos personales, incluyendo la necesidad de análisis de riesgos según el Reglamento General de Protección de Datos (RGPD) así como una posible evaluación de impacto en la protección de datos (EIPD) y lo que implica en nuestra Política de Seguridad como veremos más adelante en el artículo 12 al incluir como nuevo requisito mínimo de seguridad el relacionado con “los riesgos que se derivan del tratamiento de los datos personales”.

A destacar también la inclusión de la vigilancia continua dentro de los principios básicos en el artículo 5 y posteriormente desarrollada en el artículo 10 con la reevaluación periódica y por lo tanto de la importancia que se le da a partir de este momento a la detección temprana y una oportuna respuesta ante las amenazas.

Nos hemos encontrado el artículo 13 con una exposición de los diferentes roles del ENS y sus funciones en la organización, una información interesante de encontrar en el real decreto. Igualmente, en este artículo se anuncia una nueva regulación a tener en cuenta: “Una Instrucción Técnica de Seguridad regulará el Esquema de Certificación de Responsables de la Seguridad, que recogerá las condiciones y requisitos exigibles a esta figura”.

Por último, reseñar el artículo 30 con los “perfiles de cumplimiento específicos y acreditación de entidades de implementación de configuraciones seguras”, una novedad que permitirá que entidades o sectores de actividad concreto puedan aplicar el ENS con base en las especificaciones que el CCN, en el ejercicio de sus competencias, validará y publicará, siempre de acuerdo con el artículo 5 del real decreto sobre los principios básicos del Esquema Nacional de Seguridad.

Sidertia y su Certificación de Conformidad

Distintivo_ens_certificacion_MEDIA-ENS

 

Medidas Anexo II.

Encontramos en el Anexo II, modificaciones en los requisitos de aplicación según el nivel determinado por la categorización del sistema, hasta ahora eran requisitos tasados que debíamos incluir, mientras que en el nuevo real decreto, la aplicación de requisitos es por medio de unas exigencias básicas que, al aumentar el nivel, se ven ampliadas mediante “refuerzos”, que en algunos casos, nos permite seleccionar entre varios el que más se adecue a nuestro sistema, como por ejemplo en la medida [op.acc.5] Mecanismo de autenticación (usuarios externos). En esta medida, se nos permite elegir, a nivel bajo y medio, entre varios refuerzos posibles de aplicación.

Las medidas incluidas en el anexo II podemos dividirlas en varios grupos: 

  1. Medidas sin cambios reseñables
  2. Medidas modificadas y reforzadas para una mayor claridad
  3. Medidas con cambios significativos respecto a su estructura anterior
  4. Medidas de aplicación, esas medidas que actualizan el real decreto a la evolución de los sistemas y las amenazas actuales

También nos encontraremos con medidas que han desaparecido, en la mayor parte de los casos debido a su inclusión en otras nuevas como ha sucedido con las medidas [op.ext.9] y [mp.if.9] entre otras, que han sido integradas en la nueva medida [op.cont.4] Medios alternativos como veremos más adelante.

Comentar, antes de pasar a hablar de los diferentes grupos de medidas, que se ha realizado una modificación de la numeración de las medidas, de tal modo que la numeración sea correlativa evitando huecos en la misma, como podréis comprobar claramente en las medidas de Protección de la Información con la desaparición de la medida [mp.info.3] Cifrado y el consiguiente cambio de numeración de las restantes medidas del grupo.

Pasemos a ver ejemplos de cada uno de los grupos de medidas.

No han cambiado medidas como, por ejemplo, [org.2] Normativa de Seguridad, [op.exp.1] Inventario de Activos, … normas que cubren perfectamente las necesidades antes y ahora y que por lo tanto no necesitan de modificaciones.

Existe un segundo grupo con medidas que incluyen modificaciones reforzando su claridad y aplicabilidad, ya sea por el cambio del nombre la medida y/o la redistribución de las directrices que se incluían en la versión anterior, destacando las medidas del grupo de control de acceso [op.exp.] dentro del marco operacional de medidas, donde encontraremos cambios de nomenclatura y redistribución de las antiguas medidas [op.acc.5] Mecanismo de autenticación, [op.acc.6] Acceso local (local logon) y [op.acc.7] Acceso remoto (remote login) en dos medidas; [op.acc5] Mecanismo de autenticación (usuarios externos), y [op.acc.6] Mecanismo de autenticación (usuarios de la organización). Una modificación que las hace más fácilmente interpretables aún con el incremento en sus requisitos.

Hablemos ahora de las medidas que sí incluyen cambios que, a nuestro parecer, son importantes y deben ser tenidas en cuenta especialmente como, por ejemplo, la nueva aplicación de la medida [op.pl.5] Componentes Certificados a nivel medio, lo que supone un aumento de requisitos en la seguridad de los elementos a incorporar a nuestra infraestructura, y que a su vez requiere un mayor esfuerzo para el cumplimiento de alguno de los requisitos relacionados con la medida. Dentro de este grupo también nos encontraremos con la medida [mp.com.4] Segregación de Redes, convertida en [mp.com.4] Separación de flujos de información en la red y que ahora se aplica a nivel medio con lo que la segmentación de red deberá ser aplicada en los sistemas de este nivel.

Entramos al grupo de medidas nuevas, medidas de aplicación que refuerzan la frase “facilitar una mejor respuesta a las tendencias en ciberseguridad, reducir vulnerabilidades y promover la vigilancia continua”, son siete nuevas medidas:

  • * [op.ext.3] Protección de la cadena de suministro: La importancia de la seguridad un paso más allá de nuestro perímetro bajo control, esos proveedores que pueden provocar impactos en nuestros sistemas. Medida incluida para poder evaluar impactos que afecten a la cadena de suministros, estimando el riesgo y aplicando las medidas de contención necesarias ante dichos riesgos.
  • * [op.ext.4] Interconexión de sistemas: Cada vez están más generalizadas las interconexiones, y más tras la pandemia COVID-19 donde se han generalizado. La medida exige que tengamos un control sobre dichas interconexiones y, por supuesto, que sólo se realicen bajo autorización previa y con una adecuada documentación explícita de las mismas.
  • * [op.nub.1] Protección de servicios en la nube: Es otro de los servicios generalizados en nuestros sistemas, hasta ahora protegidos por medidas generales, y que tras esta actualización del real decreto tendrá unas medidas particulares, incluyendo para nivel medio y alto la exigencia de certificación del servicio como indica la medida en sus refuerzos. Esta nueva medida ha supuesto la creación de un nuevo grupo de medidas operacionales, el [op.nub] Servicio en la Nube.
  • * [op.cont.4] Medios alternativos: Una medida necesaria, que engloba las medidas anteriormente desperdigadas por los diferentes grupos de medidas, todas ellas relacionadas con medios alternativos y que ahora se engloban en continuidad del servicio que es su ubicación natural. Las medidas incluidas, y que por lo tanto han desaparecido son [op.ext.9], [mp.if.9], [mp.per.9], [mp.eq.9], [mp.com.9], [mp.s.9].
  • * [op.mon.3] Vigilancia: Medida incluida para reforzar la necesidad de la recolección y correlación de eventos que permitan detectar amenazas a las que se exponen nuestros sistemas y/o servicios. A destacar la necesidad a nivel medio de un sistema automático de recolección de eventos que permita su correlación.
  • * [mp.eq.4] Otros dispositivos conectados a la red: Nos encontramos cada vez más dispositivos con capacidades de conexión a la red (proyectores, altavoces, impresoras, IoT, BYOD, …) que hasta ahora no tenían un reflejo claro en las medidas del ENS, esta medida viene para exigir un control de estos dispositivos y su seguridad, volviendo a encontrarnos ante el requisito de componentes certificados en nivel medio y alto.
  • * [mp.s.3] Protección de la navegación web: Importante medida que viene a especificar requisitos de seguridad para la navegación en internet de los usuarios y por lo tanto proteger de las amenazas que pueden afectarle.

En resumen, hay cambios, hay novedades importantes, el RD 311/2022 ha sido publicado y, como indica la disposición transitoria única, se fija un plazo de veinticuatro meses para que los sistemas de información del ámbito de aplicación del real decreto, preexistentes a su entrada en vigor, alcancen su plena adecuación al ENS.

El análisis que hemos realizado en Sidertia Solutions nos dice que los sistemas más afectados en cuanto al esfuerzo requerido serán aquellos de nivel medio, y en mayor medida como consecuencia de la aplicación a dicho nivel de la medida [op.pl.5] Componentes Certificados y las consecuencias que se derivan de ella sobre otras medidas de aplicación.

Por último, recordaros que tenemos a vuestra disposición todos los recursos documentales para llevar a buen puerto la adaptación al nuevo ENS disponiendo, además del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, de la web del Centro Criptológico Nacional (https://ens.ccn.cni.es/es/) donde encontraremos todas las guías existentes en relación al ENS y necesarias para lograr nuestro objetivo y que veremos actualizarse para adecuarse al RD 311/2022.

 

Debido a los tiempos convulsos en los que vivimos y propiciados por la pandemia, la aceleración de la digitalización de nuestro día a día aumentando de manera exponencial, a causa de esto y de manera parasitaria, los ciberincidentes se han visto incrementados.

Microsoft XDR Laptop
Microsoft XDR Laptop

Desde Sidertia Solutions llevamos trabajando con soluciones de protección endpoint desde hace años, apoyando y recomendando soluciones a nuestros clientes, así como la implementación de soluciones de seguridad.

Sin duda contar con una solución de seguridad es de vital importancia y por ello Microsoft nos presenta su solución de Extended Detection and Response (XDR), que integra diferentes funcionalidades del ya conocido Endpoint Detection and Response (EDR), cuyo objetivo era la protección de los dispositivos finales.

 

 

El XDR extiende las capacidades también a los datos de red, flujos de trabajo en Cloud, Servidores, Email, entre otros.

Pero realmente ¿Cómo funciona el XDR?

Microsoft ya disponía de herramientas específicas de seguridad para cada uno de sus servicios, los cuales han sufrido un Rebranding para adaptarse a la nueva estrategia de seguridad de la empresa de Redmond.

Estas herramientas se integran con motores de Machine Learning y comparten una base de datos de Threat Intelligence unificada, donde la telemetría y métricas de los sistemas es compartida entre ellos, pudiendo hacer que Microsoft Defender actúe frente a un incidente, incluso Zero-Day.

Por ejemplo: Un consumo muy elevado de ancho de banda en un equipo, podría ser un indicio de que un cliente esté realizando ataques DDoS debido a que ha sido infectado e incluido en una Botnet.

Microsoft XDR esquema
Microsoft XDR esquema

Gracias a la telemetría de red, el sistema hará que el Endpoint revise el equipo buscando posibles IoC para neutralizar una posible amenaza, así como enriquecer ese motor de inteligencia por el cual el resto de los servicios de Defender permanecerán alerta debido a esta anomalía.

Todos estos datos masivos generados por la monitorización de nuestra infraestructura pueden llegar a ser difíciles de manejar y analizar, por ello, es posible integrar Microsoft Sentinel, un SIEM (Gestor de Información y Eventos) que nos proporciona una capa superior donde almacenar e interpretar la información recogida, ayudando a centrar nuestros recursos sobre incidentes reales, amenazas potenciales y documentar todo el proceso de Detección, Actuación y Resolución.

 

La anatomía de un ataque de ciberseguridad.

Microsoft XDR ciberseguridad 

Microsoft XDR ciberseguridad

En conclusión, el XDR es la solución de Microsoft de unificar todos sus servicios de seguridad tanto en el entorno de Microsoft 365 como de Azure, para infraestructura IT y Endpoint, permitiendo a las organizaciones contar con la potencia del machine learning y threat intelligence unificado que optimiza y mejora la seguridad de nuestros sistemas.

 

 

En Sidertia Solutions creemos que las soluciones basadas en Cloud van a ir tomando un lugar dominante en el mercado debido al creciente uso de estas, las cuales gracias a la IA convierten esos servicios en poderosas soluciones de seguridad.

También desde Sidertia no queríamos dejar de remarcar la importancia vital de las medidas preventivas, como un bastionado correcto de nuestra organización y una concienciación del personal en la Cultura de Seguridad y Defensa que, sin duda son la primera línea ante incidentes.

"A través de una apuesta decidida por la colaboración y cooperación, podremos hacer frente a los enormes desafíos a los que todos nos enfrentamos".

Bajo el lema «Aliados por una iberoamérica cibersegura», la #IIJornadaSTIC_Colombia organizadas por el CCN-CERT Centro Criptológico Nacional y INCIBE – Instituto Nacional de Ciberseguridad contando con el apoyo de la Organización de los Estados Americanos (OEA) y CSIRT GOB, tendrá lugar los próximos 16 y 17 de Marzo en Medellín(Colombia).

Un año más somos Patrocinadores Estratégicos de esta jornada que volverá a convertirse en un referente en el panorama internacional.

El evento, constará de tres módulos liderados por organismos internacionales, los equipos de respuesta incidentes miembros de CSIRTAmericas Network y una clausura institucional, divididos a lo largo de tres días.

No pierdas ni un detalle.

Para más información te dejamos los canales oficiales para que consultes toda la información respecto al evento.

Desde hacía algún tiempo se rumoreaba que desde Redmon se preparaba el lanzamiento de un nuevo sistema Operativo cliente de su conocida línea de productos Windows. Aunque ya se habían realizado algunas filtraciones, e incluso estaba circulando una build, fue el pasado 24 de junio cuando oficialmente Microsoft, anunciaba ese hecho.

Hace años con la salida de Windows 10, se “estableció” que este sería el último sistema operativo cliente de Microsoft. Pero parece a todas luces y por la información que proviene de la propia compañía que este hecho no es ni mucho menos así, aunque algunos cambios de las actualizaciones más recientes de Windows 10, destilan a “Sun Valley”, conllevando la salida del nuevo sistema operativo, más un concepto evolutivo, que algo rupturista, que sí sucedió con versiones previas. Es posible recordar al que lleve años en el mundo de la tecnología de la información los saltos más que evidentes que se dieron entre Windows XP, Windows Vista, Windows 7, Windows 8 o Windows 10.

 

El producto en sí constituye un restylling bastante significativo, modernizando algunos elementos que fueron bandera en otra época. Desde el punto de vista de las novedades que trae Windows 11, son según Microsoft, su fluidez o rapidez con respecto a su predecesor en cuanto al arranque, la suspensión o la apertura de aplicaciones, favorecido por las animaciones, redimensionado y cierre de las aplicaciones, algunas de las mejoras que encontrará el usuario.

Microsoft quiere potenciar ciertas características que ya estaban presentes en versiones anteriores, como la tienda, para que los desarrolladores encuentren una plataforma más innovadora, nueva y abierta. El objetivo es llegar a desarrollos de productos que puedan llegar más fácilmente al usuario final. Otra característica que se potencian es la orientación a los usuarios  “Gamer”, llevando la experiencia a un nivel diferente, con capacidades gráficas más cercanas a la realidad. Igualmente, para favorecer la experiencia del usuario, se incorporarán las innovaciones más recientes en cuanto a funciones táctiles, el uso de lápiz o los mecanismos de reconocimiento de voz. Ambos con orientaciones tanto en mercado doméstico como el empresarial.

Un elemento que ha sorprendido significativamente es el soporte que ofrece el nuevo sistema para poder ejecutar aplicaciones Android. Este hecho le va a dotar de una versatilidad que no se había visto hasta la fecha. Las apps podrán ser descargadas desde la App Store de Amazon. Aunque esta tienda ya lleva un tiempo en marcha, hoy en día no puede competir aún en volumen de aplicaciones con las que ofrece Google a través de su sistema. Pero también es cierto que esta es una tienda más selectiva con una orientación muy similar a la App Store que ofrece la compañía de Cupertino.  Cuanto menos de esta iniciativa resultan significativas dos cuestiones:

  • La posibilidad que se abre al usuario, especialmente doméstico, para disponer de aplicaciones de un sistema Android.
  • Los acuerdos a los que habrían llevado a dos gigantes como son Amazon y Microsoft, para potenciar el uso de la tienda de la primera, limitada ahora fundamentalmente a dispositivos Kindle Fire.
 

Con Windows 10 se incorporó la función de un sistema en constante evolución con dos grandes actualizaciones anuales, que dejaban atrás las políticas de Service Pack de sistemas precedentes. Con Windows 11, se mantendrá esa tendencia, pero inicialmente con solo una sola actualización al año. Este hecho nos ofrece dos claros mensajes. A las organizaciones les resultaba difícil mantener esa dinámica de actualización bianual por estabilidad, despliegues y los costes generales que suponen. Esta cuestión había sido largamente manifestada de forma reiterada por diferentes entidades. También esa política forzaba a Microsoft en la necesidad de una evolución del sistema cada seis meses. Esto no se sustanciaba en ocasiones y los cambios a veces no eran lo suficientemente significativos para justificar una nueva “Major release”.

El nuevo sistema operativo estará disponible a finales de año, aunque ya está disponible para pruebas a través del programa Insider, Tal y como se ha anunciado, la actualización desde Windows 10, será directa, pudiendo volver de forma automática a Windows 10 antes de que transcurran los 10 primeros días. Una vez que se produzca este hecho el proceso de dar marcha atrás, será totalmente manual y no estará exento de riesgos.

Windows 11 no será un software gratuito. 

Lo que si estará disponible será la actualización gratuita para equipos que ya cuenten con una versión de Windows 10 licenciada.

windows 11
windows 11