Las XVI Jornadas STIC CCN-CERT , el mayor evento de ciberseguridad de España organizado por el Equipo de Respuesta ante Incidentes de Seguridad de la Información del Centro Criptológico Nacional (CCN-CERT), acogerá en la nueva edición de 2022 la celebración de las IV Jornadas de Ciberdefensa ESPDEF-CERT del Centro de Respuesta ante Incidentes (ESP DEF-CERT) del Mando Conjunto del Ciberespacio.

El Centro Criptolótgico Nacional (CCN) y el Mando Conjunto del Ciberespacio (MCCE) impulsan su alianza estratégica en materia de ciberseguridad aunando la celebración de sus eventos insignia. De esta forma, en Kinépolis Ciudad de la Imagen del 29 de noviembre al 1 de diciembre, se celebrarán las XVI Jornadas STIC CCN-CERT y las IV Jornadas de Ciberdefensa ESPDEF-CERT del MCCE, con el objetivo de articular «Un ciberescudo único para España».

Las Jornadas permitirán un año más estudiar y analizar la ciberseguridad desde diferentes perspectivas. En esta edición, tendrán gran protagonismo las amenazas y tendencias del ciberespacio en distintos ámbitos, el cibercrimen, la Red Nacional de SOC, las operaciones militares en el ciberespacio, el Esquema Nacional de Seguridad, los productos y tecnologías de Ciberseguridad, la Inteligencia Artificial, las tecnologías cuánticas y el 5G, y la seguridad industrial, entre otros. En esta nueva edición, también se desarrollará la sala ATENEA, dedicada a retos de ciberseguridad, y volverán a organizarse los ya célebres CCN-CERT LABS que, como novedad, este año se celebrarán en Kinépolis durante el trascurso de las Jornadas STIC.

Las XVI Jornadas STIC CCN-CERT y las IV Jornadas de Ciberdefensa ESPDEF-CERT del MCCE reunirán a más de 3.600 profesionales del sector de forma presencial y a más de 5.000 de forma online, tanto del panorama nacional como internacional. Todos ellos se darán cita durante los tres días del evento en un foro común para el intercambio de conocimiento y las investigaciones más avanzadas, ratificando esta cita como el principal encuentro de ciberseguridad celebrado en España.

En el siguiente enlace puede consultarse el programa: https://www.ccn-cert.cni.es/xvijornadas-programa.html

Fuente: https://www.ccn-cert.cni.es/

 

Las XVI Jornadas STIC CCN-CERT , el mayor evento de ciberseguridad de España organizado por el Equipo de Respuesta ante Incidentes de Seguridad de la Información del Centro Criptológico Nacional (CCN-CERT), acogerá en la nueva edición de 2022 la celebración de las IV Jornadas de Ciberdefensa ESPDEF-CERT del Centro de Respuesta ante Incidentes (ESP DEF-CERT) del Mando Conjunto del Ciberespacio.

El Centro Criptolótgico Nacional (CCN) y el Mando Conjunto del Ciberespacio (MCCE) impulsan su alianza estratégica en materia de ciberseguridad aunando la celebración de sus eventos insignia. De esta forma, en Kinépolis Ciudad de la Imagen del 29 de noviembre al 1 de diciembre, se celebrarán las XVI Jornadas STIC CCN-CERT y las IV Jornadas de Ciberdefensa ESPDEF-CERT del MCCE, con el objetivo de articular «Un ciberescudo único para España».

Las Jornadas permitirán un año más estudiar y analizar la ciberseguridad desde diferentes perspectivas. En esta edición, tendrán gran protagonismo las amenazas y tendencias del ciberespacio en distintos ámbitos, el cibercrimen, la Red Nacional de SOC, las operaciones militares en el ciberespacio, el Esquema Nacional de Seguridad, los productos y tecnologías de Ciberseguridad, la Inteligencia Artificial, las tecnologías cuánticas y el 5G, y la seguridad industrial, entre otros. En esta nueva edición, también se desarrollará la sala ATENEA, dedicada a retos de ciberseguridad, y volverán a organizarse los ya célebres CCN-CERT LABS que, como novedad, este año se celebrarán en Kinépolis durante el trascurso de las Jornadas STIC.

Las XVI Jornadas STIC CCN-CERT y las IV Jornadas de Ciberdefensa ESPDEF-CERT del MCCE reunirán a más de 3.600 profesionales del sector de forma presencial y a más de 5.000 de forma online, tanto del panorama nacional como internacional. Todos ellos se darán cita durante los tres días del evento en un foro común para el intercambio de conocimiento y las investigaciones más avanzadas, ratificando esta cita como el principal encuentro de ciberseguridad celebrado en España.

En el siguiente enlace puede consultarse el programa: https://www.ccn-cert.cni.es/xvijornadas-programa.html

Fuente: https://www.ccn-cert.cni.es/

 

La seguridad continúa siendo una de las mayores preocupaciones y una gran responsabilidad que enfrentan las actuales empresas, sobre todo las PYMES, que suelen ser el principal objetivo de los atacantes.

Microsoft ha tomado cartas en el asunto presentando Microsoft Defender for Business, una solución de seguridad para pequeñas y medianas empresas integrada en Microsoft 365 Business Premium.

Desde Sidertia Solutions consideramos que, contar con esta solución de seguridad es de suma importancia para cualquier entorno, aplicando y trabajando sobre esta solución en los propios, así como recomendándola a nuestros clientes.

Funcionamiento de Microsoft Defender

Microsoft Defender for Business está diseñado para brindar seguridad de endpoint para pequeñas y medianas empresas, ofreciendo diferentes capacidades como la gestión de amenazas y vulnerabilidades, reducción de la superficie de ataque, protección de próxima generación, detección y respuesta de Endpoint, investigación y remediación automatizadas y API e integración.

En los endpoint es donde comienzan los ataques, y por todos es sabido que ofrecen protección contra virus y amenazas en estos mismos, su objetivo es solventar las amenazas antes de que se establezcan y se propaguen lateralmente en su entorno y así evitar que las amenazas se conviertan en administradores de su sistema, pudiendo modificar su infraestructura y servicios u obtener información sensible, Microsoft Defender for Business investigará y responderá automáticamente ante las amenazas.

Microsoft Defender for Business es compatible y aplicable a cualquier entorno independientemente del Sistema Operativo que este disponga, tales como Windows, Android y iOS. Estos sistemas pueden ser incorporados de diferentes maneras como puede ser desde Microsoft 365 Defender, directivas locales o desde Microsoft Intune.

Integración de Microsoft Defender for Business con Microsoft 365 Lighthouse

Lo más importante si hablamos de consultoría, es mantener protegidos y securizados a los clientes, Microsoft ha integrado los servicios de Microsoft Defender for Business y Microsoft 365 Lighthouse para poder brindar un servicio de protección a los clientes que estén en Microsoft 365 Lighthouse ofreciendo a los socios la posibilidad de ver todas las alertas de seguridad que puedan presentarse en los sistemas tanto Windows como Linux.

Configuración de directivas de seguridad

Las directivas de seguridad son un conjunto de reglas que hacen referencia a diferentes características, servicios y permisos con el fin de configurarlos adecuándose a las preferencias de su entorno y de este modo garantizar un extra de seguridad.
Microsoft Defender for Business dispone de la configuración de directivas de seguridad aplicables a través de grupos de dispositivos.

Visualización y respuesta ante amenazas detectadas

Microsoft Defender for Business ofrece un panel de administración de incidentes, en el cual se puede ver información como puntuación de exposición de la amenaza y los dispositivos que están expuestos.
En el caso de presentarse algún incidente, seleccionándolo se accederá a la información de este mediante un panel emergente, en el que se podrá ver información relevante como título y lista de recursos afectados, realizar acciones contra el incidente, así como asignarlo a usuarios o administrarlo.

Una pregunta que puede surgir es ¿de qué sirve asignarlo o administrarlo si no puedo tomar acciones contra la amenaza? Pues resulta que, sí se pueden tomar acciones, Microsoft Defender for Business dispone de un apartado llamado “Action center” el cual incluye distintas posibilidades de acciones contra infecciones en su entorno.

Uno de los mejores métodos para mantenerse protegido, es mantenerse informado, para ello, Microsoft Defender for Business contiene un apartado llamado “Threat Analytics”, en el que trabajan expertos investigadores de seguridad de Microsoft para brindarle información relacionada sobre las amenazas más recientes y las amenazas que actualmente están en curso, de este modo podrá anticiparse a la infección con malware.

En conclusión, Microsoft Defender for Business es una herramienta sencilla e intuitiva con la cual mantener seguro un entorno de no más de 300 usuarios.

En el artículo anterior se explicó cómo modificar la aplicación para evadir la detección de rooteo del dispositivo. En este vamos a ver cómo reempaquetar, firmar, instalar y probar.

Una vez tenemos ya la aplicación parcheada, el siguiente paso consiste en reempaquetar la aplicación con el siguiente comando:

				
					apktool b 
				
			

En esa ocasión utilizamos apktool con la opción “b”, para indicar que hay que construir (build) la aplicación. Este comando creará un archivo .apk en la ruta: 

<DIRECTORIO_APP>/dist/<DIRECTORIO_APK>.apk.

Ahora, para firmar la aplicación, primero necesitamos un almacén de claves (keystore) para poder firmar. Para crear este keystore usamos el siguiente comando:

				
					keytool -genkey -alias test -keyalg RSA -keystore test.keystore -storepass test123 -keysize 2048 -validity 10000 -dname "CN=TEST, OU=TEST, O=TEST, L=TEST, S=TEST, C=TEST"
				
			

 

 

Este comando crea un keystore de pruebas con la contraseña “test123” y un alias llamado “test” que usaremos para firmar.
Después firmamos la aplicación con el siguiente comando:

				
					jarsigner -sigalg MD5withRSA -digestalg SHA1 -storepass test123 -keystore test.keystore base/dist/base.apk test
				
			

Es importante destacar que, aunque se use MD5 con RSA y SHA1 (lo cual también indica jarsigner), no es relevante puesto que esta aplicación no se va a distribuir, solamente está firmada con una clave de pruebas para hacer pruebas.

En este punto tenemos una aplicación parcheada y firmada, queda pendiente instalar y probar. Antes de instalar debemos desinstalar la aplicación legítima puesto que, al no estar firmadas por la misma clave, va a dar error.

Por tanto, desinstalamos la aplicación legítima con el siguiente comando:

				
					adb uninstall 
				
			

Ahora se instala la aplicación parcheada con el siguiente comando:

				
					adb install 
				
			

Debería haber aparecido una nueva aplicación instalada en el dispositivo, la ejecutamos y vemos si el comportamiento nuevo es el esperado:

Comprobamos que, efectivamente, hemos evadido la detección de rooteo del dispositivo. En el caso de esta aplicación sólo cambia un mensaje, pero en una aplicación real puede suponer que, si el dispositivo está rooteado la aplicación se cierre. Esta técnica permite eliminar este tipo de impedimentos para poder realizar un análisis de una mejor forma.

En el artículo anterior revisamos cómo extraer un fichero APK, en esta ocasión explicaremos cómo parchear las Apps de Android.
Una vez tenemos el fichero APK de la aplicación a analizar, es posible que detectemos una serie de comportamientos o restricciones que presenta la aplicación y que nos dificulta su análisis. Para evadir estas restricciones hay varias opciones:

  • Instrumentación dinámica de la aplicación
  • Parcheo del código Smali

Según la naturaleza de la restricción puede ser más interesante una opción que la otra, aunque desde Sidertia solemos preferir el parcheo del código Smali.
Las aplicaciones Android contienen ficheros .dex (Dalvik Executable). Estos ficheros se pueden descompilar para obtener un código de bajo nivel llamado Dalvik Bytecode. Utilizando smali/baksmali (ensamblador/desensamblador) se puede obtener una representación en un lenguaje de bajo nivel con el que se puede trabajar más fácilmente, al cual llamaremos código Smali.

Las aplicaciones Android contienen ficheros .dex (Dalvik Executable). Estos ficheros se pueden descompilar para obtener un código de bajo nivel llamado Dalvik Bytecode. Utilizando smali/baksmali (ensamblador/desensamblador) se puede obtener una representación en un lenguaje de bajo nivel con el que se puede trabajar más fácilmente, al cual llamaremos código Smali. Para este ejemplo, vamos a utilizar la APP InsecureBankv2, descargable desde: 

La cual cuenta con detección de rooteo del dispositivo y es la restricción que vamos a parchear:

El primer paso es ejecutar la utilidad apktool para desempaquetar el fichero APK y la utilidad enjarify para obtener una aproximación del código fuente de la aplicación (desde Sidertia recomendamos enjarify frente a dex2jar). Para realizar esta operación usamos el siguiente comando:

				
					apktool d <FICHERO_APK> && enjarify <FICHERO_APK>
				
			

Utilidad apktool

 

Se utiliza la opción “d” de apktool para desempaquetar la aplicación. Apktool creará una carpeta llamada como el fichero, en este caso base y enjarify creará un fichero llamado base-enjarify.jar:

 

En este caso vamos a buscar la cadena que aparece en la pantalla, aunque hay que saber que el hecho de encontrar el punto donde se produce el comportamiento o restricción puede llegar a ser más difícil que el propio parcheo. Para buscar esta cadena, ejecutamos el siguiente comando dentro del directorio que se creó por la ejecución de apktool:

				
					grep -iR "<CADENA_A_BUSCAR> "
				
			

 

Se utiliza la opción -iR de grep para que se realice una búsqueda recursiva por los diferentes subdirectorios y que la búsqueda no discrimine entre mayúsculas y minúsculas. En este punto ya sabemos que la cadena está escrita tal cual en el código (no se usa el fichero strings.xml para referenciar la cadena) y sabemos también qué fichero la contiene.

Con la utilidad JD-GUI y el fichero resultado de enjarify podemos ver el código fuente de la clase PostLogin:

 

Aunque enjarify ha dado un fallo en la función showRootStatus, se observan las siguientes cuestiones:

  • En la línea 7 se llama a la función doesSuperuserApkExist() que comprueba si está instalado el apk.
  • En la línea 16 se llama a la función doesSUexist() que comprueba si el comando “su” está disponible en el sistema

La representación de esta función en el código Smali es la siguiente:

En la imagen anterior se detalla en rojo la función doesSuperuserApkExist() y en caso de que esta función devuelva un resultado verdadero, envía la ejecución a la sección “cond_0”, donde se establece el valor de la variable local v0 al valor de v1, que es 1, por tanto v0 tomará el valor 1 y a continuación la ejecución entra en la sección “goto_0”.

Se detalla en amarillo la función doesSUexist() y en caso de que el resultado sea falso, envía la ejecución a la sección “cond_1”, donde se establece la variable local v0 con el valor 0 y se envía la ejecución a la sección “goto_0” (detallado en naranja).

En la sección “goto_0” se comprueba si el valor de la variable local v0 es igual al valor de v1. En caso de no ser igual, la ejecución va a la sección “cond_2” y se establece el mensaje de que el dispositivo no está rooteado. En caso de ser igual, la ejecución continúa y se establece el mensaje de que el dispositivo sí está rooteado.

En este momento, cuando ya tenemos un conocimiento de las operaciones que se ejecutan, aparecen varias opciones para modificar el comportamiento, en este caso vamos a optar por la modificación más sencilla que consiste en introducir un salto de ejecución al principio de la función, directamente a la sección “cond_2”. Por tanto, el inicio de la función cambia de la siguiente forma:

Llegados a este punto, lo que queda es volver a empaquetar la aplicación, firmarla, instalarla y comprobar si la modificación ha surtido el efecto que buscábamos.

Estas operaciones se explicarán en otra entrada.

 

¿Qué es el TAP?

TAP (Temporary Access Pass) es un código de acceso de tiempo limitado que permite a los usuarios registrar métodos de autenticación sin contraseña y recuperar el acceso a su cuenta sin necesidad de una contraseña.

Microsoft ha anunciado en junio que su Pase de Acceso Temporal (TAP) ya se encuentra disponible para todo el público. Fue en el mes de marzo cuando se pudo comenzar a probar esta nueva funcionalidad como public preview, ahora, oficialmente ya ha adquirido la condición de general availability.
En su lucha diaria por conseguir un equilibrio entre la seguridad y la fluidez en el trabajo, ha desarrollado esta funcionalidad como un nuevo método de autenticación sin contraseña que puede ser implementado a escala por las organizaciones, dentro del marco de operaciones de Microsoft 365.

Métodos de Autenticación

Antes de adentrarnos en las cualidades y beneficios de TAP, hagamos un repaso de algunos de los diferentes métodos de autenticación existentes y su valía respecto a la seguridad que proporcionan.

Métodos de autenticación 

 

Nivel de seguridad:

  • Malo – Contraseña: El uso de únicamente una contraseña como factor de autenticación representa la peor de las soluciones en cuanto a seguridad se refiere. Para el usuario es el método más fácil y cómodo de autenticación, pero el uso de diccionarios, fuerza bruta o ingeniería social pueden comprometer su descubrimiento.
  • Bueno – Contraseña y…: El añadir a la contraseña un segundo método de autenticación, mediante el envío de un SMS o una llamada a un dispositivo registrado, mejora la seguridad, pero tiene el inconveniente de impedir la autenticación en entornos donde no exista cobertura.
  • Mejor – Contraseña y…: Debido a los inconvenientes que podría suponer el método anterior, se establecieron nuevos métodos de autenticación multifactor. A la tradicional contraseña se le podrían añadir notificaciones push, a través de una aplicación de autenticación, así como tokens, tanto de software como de hardware, de un solo uso.
  • Lo mejor – Sin contraseña: Métodos que no hacen uso de contraseñas pueden ser Windows Hello (que basa la autenticación en biometría o pin local), mediante una aplicación de Autenticador (Single Sign-On a través de móvil) o dispositivos FIDO2 (autenticación dactilar o token hardware).

El tiempo ha demostrado que el uso de contraseñas es contraproducente para el usuario en un doble sentido, por un lado, la posibilidad de olvido por parte del usuario o la posibilidad de descubrimiento por algún actor malicioso y, por otro lado, el tiempo perdido que supone su escritura cada vez que tenemos que hacer uso de ella. 

Por este motivo, cada vez más se hace uso de métodos de autenticación sin contraseña, como el TAP de Microsoft.

Volviendo al TAP

También se puede usar un TAP para configurar dispositivos Windows, ya sea que los usuarios estén configurando directamente sus propios dispositivos o que usen Windows AutoPilot, uniendo dispositivos a Azure AD o incluso configurando Windows Hello para empresas.

Se puede instalar y configurar TAP para la organización con la directiva de métodos de autenticación. Por ejemplo, se puede limitar la asignación de TAP a usuarios y grupos específicos, limitar el uso durante un período corto o configurarlo para un uso único.

Una vez que el método de autenticación está habilitado por la directiva, un administrador de autenticación con privilegios o un administrador de autenticación puede crear un TAP para el usuario visitando la hoja de métodos de autenticación del usuario o accediendo a través de una API. También se ha agregado la capacidad de los administradores para anular los TAP existentes o eliminarlos.

El Usuario Final

Una vez que un usuario tiene un TAP válido, puede usarlo para iniciar sesión y registrar información de seguridad, como el inicio de sesión telefónico sin contraseña directamente desde la aplicación Authenticator, para agregar una clave FIDO2 desde la página “Mi información de seguridad” o incluso para configurar Windows Hello for Business en máquinas unidas a Azure AD e híbridas unidas a Azure AD. En escenarios donde se requiere MFA, TAP también se puede usar como un factor adicional.

Con esta nueva funcionalidad, Microsoft sigue desarrollando nuevas maneras de tener un entorno de trabajo cada día más seguro y eficaz. En definitiva, TAP ha venido para quedarse.

Las auditorías a aplicaciones es uno de los servicios que ofrecemos en Sidertia Solutions. Este tipo de análisis permite detectar vulnerabilidades.

La primera operación que realizamos es la extracción del fichero APK (Android Application Package) para su análisis. Esto en caso de que el cliente no nos proporcione una versión concreta.

Esta operación se puede hacer desde un dispositivo no rooteado sin ningún problema, pero en este ejemplo se va a realizar desde un emulador de Genymotion que sí está rooteado (Android 7, API 24).

En este caso vamos a extraer una aplicación de linterna llamada “Flashlight”, para ello el primer paso es conectar con el dispositivo o emulador utilizando ADB (Android Debug Bridge). Es esencial que, si el dispositivo no está conectado con cable al PC, esté conectado a la misma red que el PC. Ejecutamos el siguiente comando para conectar con el emulador en el puerto por defecto 5555:

				
					adb connect <IP_DISPOSITIVO>:5555
				
			
adb connect

Una vez conectados, vamos a listar todos los paquetes (aplicaciones) que están instalados en el dispositivo con el siguiente comando:

				
					(Linux) adb shell pm list packages | grep -i <NOMBRE_APP>
(Windows) adb Shell pm list packages | findstr -i <NOMBRE_APP>
				
			
adb shell pm list packages

El comando anterior utiliza adb para invocar una Shell del dispositivo y pm para invocar al Package Manager del dispositivo. 

Luego ejecuta el comando list packages de Package Manager para obtener la lista completa de paquetes. Posteriormente se filtra la lista para obtener el que estamos buscando.

Una vez localizado el nombre del paquete que estamos buscando, ejecutamos el siguiente comando para obtener la ruta de dicho paquete:

				
					adb shell pm path <PAQUETE_APP>
				
			
adb shell pm path

Este comando es similar al anterior, pero ahora se usa el comando path y el nombre del paquete.

Por último, extraemos el fichero utilizando la ruta obtenida en el comando anterior de la siguiente forma:

				
					adb pull <RUTA_PAQUETE_APP>
				
			
adb shell pm list packages

Este comando ha creado un fichero llamado base.apk en el directorio actual, este es el fichero APK de la aplicación.

Antes de comenzar con el análisis, se recomienda obtener el hash de la aplicación:

Esto permitirá identificar correctamente el APK que ha sido objeto de auditoría.

El pasado martes 28 de junio se ha oficializado la incorporación de Sidertia Solutions en Izertis, compañía tecnológica española especializada en proyectos de Transformación Digital. Fundada hace más de 25 años, Izertis cuenta con oficinas en 9 países y más de 1.200 empleados, y desde noviembre de 2019 cotiza en el BME Growth.

La unión de ambas empresas tiene un gran calado estratégico, ya que nos sitúa como una de las primeras proveedoras de servicios tecnológicos de Ciberseguridad con proyección de crecimiento en el plano internacional, así como en la ampliación y consolidación de su posición en el ámbito nacional.

Sidertia, como referente en la prestación de servicios de valor 360º en Ciberseguridad, complementa el portfolio de soluciones de Izertis donde destacan entre otras áreas: IA, Data & Intelligence, Digital Experience, Devops, Cloud, Quality Assurance, Hyper Automation, Business Solutions, Blockchain, Project & IT Governance Consulting, junto a otras tecnologías habilitadoras de los procesos de transformación digital.

Esta operación conllevará el desarrollo de un Plan Estratégico de Ciberseguridad con proyección a largo plazo, y cuyo objetivo es potenciar nuestra presencia en un mercado con una demanda de soluciones para el “manejo de información sensible” y “protección de la información” cada vez mayor, tanto en el ámbito público como privado.

Decía Aristófanes que la desconfianza es la madre de la seguridad y razón no le falta cuando vemos las diferentes estrategias de ciberseguridad como Zero Trust, defensa en profundidad o Ciberseguridad 360º que ofrecemos en Sidertia Solutions.

Dada la continua y vertiginosa evolución de la tecnología y el incesante incremento de los delitos informáticos con técnicas cada vez más sofisticadas, hacen de los modelos actuales basados en la acción-reacción modelos anticuados, donde se necesita un paciente cero para la investigación.

Desde Sidertia Solutions creemos que, hasta que no se implementen modelos predictivos-preventivos, basados en algoritmia de última generación y éstos sean el nuevo paradigma predominante en el mundo de la ciberseguridad, donde una inteligencia artificial sea capaz de predecirlo todo y actuar en consecuencia, estamos condenados a seguir ciertas pautas, reglas, estrategias, modelos y medidas de seguridad para la protección de nuestros datos e infraestructura de la mejor manera posible.

Ahora bien, tomemos prestado los modelos descritos y estrategias de seguridad citadas y comencemos a entender cómo podríamos configurar un entorno de nube seguro en la nube de Oracle. Antes de nada, definamos qué es OCI y los servicios que presta y veamos en qué consiste su arquitectura y cómo podríamos configurar un entorno de nube seguro.

OCI ARCHITECTURE

Oracle Cloud Infrastructure es un conjunto de servicios en la nube que permite crear y ejecutar una amplia variedad de aplicaciones y servicios de alta disponibilidad. Una nube tan potente como Azure, AWS o Google Cloud. Una nube colmada de herramientas, servicios de seguridad y monitorización que pueden ayudarnos a configurar un entorno seguro desde el principio.

Por un lado, la arquitectura física de OCI puede dividirse por regiones, dominios de disponibilidad y dominios de errores. Una región es un área localizada que comprende uno o más dominios de disponibilidad. Un dominio de disponibilidad es un centro de datos físico tolerante a fallas y ubicados dentro de una región, pero conectados entre sí mediante una red de baja latencia y un gran ancho de banda.

Multi AD OCI Region

Nulti AD OCI Region

Además, cada dominio de disponibilidad contiene tres dominios de errores. Un dominio de error debe entenderse como un centro de datos lógico, cuya finalidad no es otra que lograr la alta disponibilidad para prevenir los errores e indisponibilidades de servicio, pudiendo escoger tanto el dominio de disponibilidad como el dominio de errores para ejecutar nuestras instancias en la nube de Oracle.

Una vez visto la arquitectura física de OCI, ¿qué servicios de seguridad podríamos utilizar para configurar un entorno seguro en la nube de Oracle? Respondamos a esta pregunta de manera ordenada, sin prisa, pero sin pausa.

Arquitectura Fisica OCI

Arquitectura Fisica OCI

Comencemos por ver un esquema de lo que consiste una estrategia basada en una defensa en profundidad. Podemos interpretar esta estrategia como un conjunto de capas que brindan protección y cuya finalidad consiste en la protección de los datos que se sitúan en la capa central, de modo que, si una capa se rompe, una capa posterior ya está en su lugar para evitar una mayor exposición. Este enfoque elimina la dependencia de una sola capa de protección, ralentizando un ataque y proporcionando telemetría de alerta para que los equipos de seguridad puedan actuar manual o automáticamente.

¿Y qué servicios de OCI proporcionan protección en cada capa de seguridad para configurar un entorno de nube seguro?

 

Para comenzar, la capa de infraestructura o la capa física de seguridad es responsabilidad de Oracle, cuya misión es evitar ataques de denegación de servicio, así como mantener la integridad física de la infraestructura. Oracle posee varias certificaciones de conformidad que pueden verificarse en el propio tenant, entre ellas, el nivel alto del Esquema Nacional de Seguridad (ENS).

Para continuar, Oracle proporciona el servicio Identity and Access Management (IAM) con dominios o IAM sin dominios para la capa de identidad y acceso, que evita la intrusión en nuestro entorno y que es importante configurar siguiendo las directrices de seguridad basadas en la identificación unívoca de las cuentas de usuario, establecimiento de férreos requisitos de acceso, protección de acceso local y remoto, segregación de roles y funciones que permite establecer un control de acceso granular a los recursos cloud de nuestra infraestructura y, por último, capacidad de auditar todas las acciones en nuestro tenant mediante el servicio Audit de OCI.

 

De manera análoga, Oracle ofrece su servicio WAF para la protección de la capa de perímetro de nuestra propia infraestructura frente a ataques DDoS. Además, de manera predeterminada, las instancias cuentan con firewall a nivel de host para la protección de las capas 3 y 4 del modelo OSI.

Asimismo, para la capa de red, Oracle dispone del servicio Networking para la protección de las comunicaciones, pudiendo elaborar una clara segregación de redes virtuales y subredes públicas y privadas, configuración de listas de seguridad, grupos de seguridad, conexiones cifradas como VPN Site-to-site o FastConnect, tal y como se puede apreciar en el siguiente esquema:

 

 

Por otro lado, para la capa de instancias, Oracle Cloud ofrece servidores bare metal para el aislamiento de un host dedicado en un modelo de inquilino único y otro conjunto de servicios de inteligencia sobre detección de intrusión y resolución de problemas de seguridad en la nube, como Cloud Guard o Zonas de Seguridad para la protección de compartimentos en la nube, mediante una receta de políticas de seguridad. Además, se dispone de software antivirus de varios fabricantes para los sistemas operativos Windows y Linux a través del Marketplace de OCI. 

Igualmente, si poseemos bases de datos, existen varias herramientas como Data Safe, que mantiene la confidencialidad y privacidad de nuestros datos mediante las funciones para la detección de datos confidenciales, enmascaramiento de datos en entornos no productivos, evaluaciones de seguridad de las configuraciones de las bases de datos y evaluaciones de seguridad para los usuarios de las bases de datos; sin olvidar otras funciones tan importantes como la auditoría y las alertas, para la información de actividades inusuales. 

Por último, Oracle ofrece el servicio Vault para la administración y guardado de claves de cifrado y secretos de manera centralizada. Vault elimina la necesidad de almacenar claves y secretos de cifrado en archivos de configuración o en código, permitiendo escoger entre los modos de protección por software y módulos de seguridad de hardware (HSM), que cumplen con el estándar FIPS 140-2.

Finalmente, defendemos que la transformación digital es una evolución continua que debe ir de la mano del mejor conocimiento especializado, mediante las distintas estrategias de ciberseguridad que ofrecemos en Sidertia Solutions, adaptadas a tu organización y garantizando la integridad del dato a través de nuestras soluciones como Ana. Y, a pesar de que Aristófanes fue un comediante griego del siglo V a.C, conocía muy bien la naturaleza humana y quién sabe, quizá en nuestros tiempos, podría haber sido un brillante analista de ciberseguridad.

Siempre se ha dicho que existen dos tipos de empresas, las que han sufrido un incidente y las que lo van a tener, pero desgraciadamente sabemos de la existencia de una tercera… La que está siendo atacada y ni lo sabe.

¿Conoces a tus adversarios y sus motivaciones?

Saber quiénes son tus enemigos es esencial para evitar y si no es posible, mitigar, los efectos de un ciberataque en tu organización. Conocer, prevenir, detectar y responder son pilares fundamentales en ciberseguridad, te invitamos a conocer de primera mano cómo actúa el cibercrimen, para a partir de ahí crear la mejor estrategia de ciberseguridad para tu organización.
 
 

Adaptamos la Ciberseguridad 360º a tu organización

Desde Sidertia & Citrix te invitamos el próximo día 8 de junio de 2022 a un evento en el que podrás conocer más sobre la Ciberseguridad que proporciona Citrix.
 
 

Miércoles 8 de Junio de 2022

Agenda

9:30: Recepción
9:30 – 10:00: Coffee Bienvenida
10:00-11:45: Ponencias
 
Sesión 1 Presentación e introducción a la sesión.
Visión y enfoque de Sidertia en el mundo de la ciberseguridad.
Ponente: Jerónimo García, Sidertia
 
Sesión 2. Una historia de cibercrimen. Tácticas de adversarios.
El conocimiento a nivel organizativo de las organizaciones del Cibercrimen, las tácticas que utilizan para acceder a los sistemas y los movimientos que realizar para acceder a la información de valor.
Ponente: Juan Luis G Rambla, Sidertia
 
Sesión 3. Inseguro por culpa del usuario.
Las organizaciones, a menudo, se ven condicionadas a nivel de ciberseguridad por la usabilidad del usuario, pero la ciberseguridad no está enfrentada con la usabilidad.
Ponente: Julián Blázquez, Sidertia
 
Sesión 4. ¿Y si el segundo factor de autenticación no fuera suficiente?
El doble factor de autenticación no es la solución de seguridad absoluta, demostraremos como los atacantes siguen vulnerando nuestros sistemas a pesar de estas medidas. Debemos trabajar en una seguridad en profundidad completa.
Ponente: Juan Luis G Rambla, Sidertia
 
Sesión 5. Seguridad en contexto.
Conoceremos las nuevas capacidades de Ciberseguridad que proporciona Citrix a través de su porfolio para ayudarnos en acercarnos hacia un entorno más seguro.
Ponente: Nuno Silveiro, Citrix