Categoría: Noticias de Actualidad

Entérate de lo último en ciberseguridad , bienvenido a nuestro blog de nioticias, donde encontrarás la información técnica más relevante y de calidad, Bienvenido.

Siempre se ha dicho que existen dos tipos de empresas, las que han sufrido un incidente y las que lo van a tener, pero desgraciadamente sabemos de la existencia de una tercera… La que está siendo atacada y ni lo sabe.

¿Conoces a tus adversarios y sus motivaciones?

Saber quiénes son tus enemigos es esencial para evitar y si no es posible, mitigar, los efectos de un ciberataque en tu organización. Conocer, prevenir, detectar y responder son pilares fundamentales en ciberseguridad, te invitamos a conocer de primera mano cómo actúa el cibercrimen, para a partir de ahí crear la mejor estrategia de ciberseguridad para tu organización.
 
 

Adaptamos la Ciberseguridad 360º a tu organización

Desde Sidertia & Citrix te invitamos el próximo día 8 de junio de 2022 a un evento en el que podrás conocer más sobre la Ciberseguridad que proporciona Citrix.
 
 

Miércoles 8 de Junio de 2022

Agenda

9:30: Recepción
9:30 – 10:00: Coffee Bienvenida
10:00-11:45: Ponencias
 
Sesión 1 Presentación e introducción a la sesión.
Visión y enfoque de Sidertia en el mundo de la ciberseguridad.
Ponente: Jerónimo García, Sidertia
 
Sesión 2. Una historia de cibercrimen. Tácticas de adversarios.
El conocimiento a nivel organizativo de las organizaciones del Cibercrimen, las tácticas que utilizan para acceder a los sistemas y los movimientos que realizar para acceder a la información de valor.
Ponente: Juan Luis G Rambla, Sidertia
 
Sesión 3. Inseguro por culpa del usuario.
Las organizaciones, a menudo, se ven condicionadas a nivel de ciberseguridad por la usabilidad del usuario, pero la ciberseguridad no está enfrentada con la usabilidad.
Ponente: Julián Blázquez, Sidertia
 
Sesión 4. ¿Y si el segundo factor de autenticación no fuera suficiente?
El doble factor de autenticación no es la solución de seguridad absoluta, demostraremos como los atacantes siguen vulnerando nuestros sistemas a pesar de estas medidas. Debemos trabajar en una seguridad en profundidad completa.
Ponente: Juan Luis G Rambla, Sidertia
 
Sesión 5. Seguridad en contexto.
Conoceremos las nuevas capacidades de Ciberseguridad que proporciona Citrix a través de su porfolio para ayudarnos en acercarnos hacia un entorno más seguro.
Ponente: Nuno Silveiro, Citrix
 

En este artículo vamos a analizar algunas de las diferentes herramientas que nos proporciona Amazon Web Services (AWS) y así como parte de las estrategias que adopta Sidertia Solutions y cómo emplea dichas herramientas para aportar seguridad al entorno.

Los principios y configuraciones de seguridad que expondremos a continuación serían prácticas recomendables no solo en un entorno AWS o de nube pública, sino en cualquier sistema TIC que maneje información sensible o que requiera de una cierta seguridad y, en cierta medida, se basan en algunos de los requisitos de seguridad descritos en diferentes guías del Esquema Nacional de Seguridad (ENS) incluidas en el sitio del Centro Criptológico Nacional.

AWS es lo que se denomina un servicio de nube que proporciona una infraestructura completa para el alojamiento de ficheros, aplicaciones, sistemas, etc. Las soluciones que proporciona permiten el uso de sistemas completos empresariales que mejoran los tradicionales. Se pueden encontrar herramientas de computación, almacenamiento, bases de datos, análisis, redes, desarrollo, administración, IoT, etc.

Obviamente, todas estas herramientas y la información que contienen deberán ser protegidas adecuadamente para tratar de garantizar la confidencialidad, trazabilidad, autenticidad, integridad y disponibilidad de los datos. Sidertia Solutions ofrece a través de AWS, diferentes elementos de seguridad que permiten alcanzar tales propósitos en gran medida, como veremos a continuación.

 

AWS proporciona un modelo deseguridad compartida. AWS asume la responsabilidad de todo aquello que administren ellos directamente. 

 

Entre los productos que se pueden adquirir habría que diferenciar entre elementos gestionados por el cliente y elementos gestionados por AWS.

Los diferentes elementos de almacenamiento, computación, base de datos, etc., se pueden adquirir con modelos de Infraestructura como Servicio (IaaS), Plataforma como Servicio  (PaaS) y Software como Servicio (SaaS), siendo IaaS gestionado por el cliente (por ejemplo, se generan máquinas virtuales se instalan y mantienen sus sistemas operativos y configuraciones entre ellas) y SaaS (por ejemplo, se contrata una base de datos pero no se mantiene el servidor, solamente los datos introducidos, AWS se encarga del mantenimiento de esa base de datos).

Por tanto, si se monta un servidor de base de datos en una instancia de EC2 (el “hipervisor” de máquinas virtuales de AWS), la instalación de sistema operativo y aplicaciones recaería en el cliente, mientras que, si se contrata una base de datos gestionada, recaería sobre AWS. Del mismo modo, la responsabilidad en lo que a seguridad se refiere funciona de forma parecida.

El cliente es el responsable de la seguridad de sus propios datos, de la plataforma y aplicaciones, así como la gestión de accesos e identidades, los sistemas operativos y las configuraciones de red y su protección (FW, cifrados en sistemas de archivos, cifrados en tránsito, etc.).

AWS es responsable de los elementos de software contratados, la seguridad en la computación, el almacenamiento, BBDD y red sobre aquellos servicios en los que el cliente no puede decidir porque son gestionados por AWS y, por supuesto, también es responsable de la infraestructura global y disponibilidad de sus centros de datos.

Distintivo_ens_certificacion_MEDIA
Distintivo_ens_certificacion_MEDIA

El inconveniente que podría verse en la parte gestionada por AWS es precisamente la opacidad y falta de control de la que dispone el cliente, pero a cambio, AWS cuenta con la certificación del Esquema Nacional de Seguridad en su categoría alta,  lo que garantiza el cumplimiento de los estándares que aplican a agencias gubernamentales y organizaciones públicas

Los principios que se tienen en cuenta a la hora de aplicar seguridad son las siguientes:

  • Gestión de identidades.
  • Trazabilidad y gestión de eventos de seguridad.
  • Seguridad en las diferentes capas y protección de datos en tránsito y en reposo.
  • Buenas prácticas, procesamiento de datos y garantía de disponibilidad.
 

Gestión de identidades

El usuario con el que se da de alta el servicio de AWS es, a todo efecto, el usuario más privilegiado, se podría decir que es el usuario “root”. Debido a esto, la recomendación de Sidertia Solutions es que dicha cuenta no sea utilizada salvo en ocasiones estrictamente necesarias. Las herramientas que proporciona AWS para la gestión de identidades hacen que la necesidad de uso de la cuenta sea prácticamente inexistente.

Es posible gestionar identidades de usuario y de equipo, pudiendo administrar pertenencias a grupos y asignar atributos. Esta posibilidad permite segmentar los permisos para garantizar que únicamente quien debe hacer algo tiene el privilegio de hacerlo. Además, existe la posibilidad de aplicar los permisos a roles en vez de a cuentas de equipo o usuario, de modo que se podría asociar un rol específico al objeto de usuario o equipo permitiendo que solamente lo asuma en el momento en que tiene que realizar una tarea privilegiada.

Todo esto puede ser definido por políticas que automatizan la entrega de privilegios y la temporalidad de éstos. Es importante evitar el uso de wildcards o comodines en el uso de las políticas de identidades para garantizar que no se entregan privilegios administrativos completos.

También es importante evitar el uso de contraseñas comunes o reutilizadas, almacenar contraseñas en claro en código o scripts, etc. Igualmente, AWS proporciona mecanismos de Multi factor de autenticación que, del mismo modo, deberían usarse.

Estas prácticas permiten aplicar el principio de mínimo privilegio y reducen notablemente la superficie de exposición y el riesgo de sufrir ataques de suplantación de identidades y privilegios.

Trazabilidad y gestión de eventos de seguridad.

La Gestión de Identidades debe ofrecer la posibilidad de trazar lo que sucede con los diferentes usuarios. AWS proporciona la herramienta “Credential Report” así como AWS Cloud Trail para registrar los accesos exitosos o fallidos entre otros eventos. 

La herramienta CloudTrail en combinación con CloudWatch son los pilares de la monitorización de los elementos de los que se hace uso en AWS. Es importante habilitar alertas para intentos de accesos no permitidos, accesos sin MFA, uso de la cuenta “root” y cambios en las políticas de identidades.

AWS VPC FlowLogs permite además monitorizar el tráfico de los diferentes elementos virtuales de red.

Seguridad en las diferentes capas y protección de datos en tránsito y en reposo.

Existen herramientas como AWS WAF, Shield y NetWork Firewall que permiten establecer reglas de filtrado de tráfico, mantenimiento de listas blancas y negras para IPs y dominios, aprendizaje automático para detectar comportamientos sospechosos, etc.

Tanto los datos almacenados en bases de datos como los propios logs y registros de eventos deberían ser cifrados. Existe una herramienta denominada (AWS KMS) que permite gestionar las claves tanto generadas a través de AWS KMS, como las generadas por el cliente a través de terceros o sus herramientas on premise y posteriormente importadas.

Igualmente, los elementos de red virtuales y las nubes interconectadas (Virtual Private Clouds) permiten el cifrado del tráfico haciendo uso de las mismas herramientas de cifrado. Se deberían por tanto, habilitar los mecanismos de cifrado en tránsito para garantizar la confidencialidad.

Buenas prácticas, procesamiento de datos y garantía de disponibilidad.

AWS proporciona al cliente herramientas que permiten analizar grados de cumplimiento y nivel de aplicación de actualizaciones en aquellos elementos en los que la responsabilidad de la seguridad recaiga sobre él.

Las herramientas AWS autoscaling y AWS Shield van a permitir, además, la protección ante ataques de denegación de servicio distribuidos (DDoS). Además existen multitud de centros de datos en diferentes zonas del mundo que garantizan la disponibilidad e integridad de dichos datos. Es posible y recomendable hacer uso de varias zonas de disponibilidad por redundancia y a modo de centro de respaldo en caso de catástrofe.

Si bien es cierto que AWS proporciona muchos mecanismos que permiten mitigar numerosos riesgos de ataque o pérdida de servicio, no hay un sistema 100% seguro y menos si éste está publicado en la internet.

Lo que sí está claro es que las herramientas de seguridad que brindan las soluciones de nube actuales, AWS entre ellas, demuestran el esfuerzo y sobre todo la mentalización a nivel global de la importancia de la seguridad y su aplicación, ofreciendo soluciones verdaderamente innovadoras y efectivas que, aprovechando la flexibilidad que proporciona la computación en nube, van a ofrecer mejores y mayores garantías para la seguridad de las TIC.

Sidertia Solutions ofrece a sus clientes los medios para poder configurar los diferentes elementos de la plataforma de Amazon Web Services de forma que la superficie vulnerable y los riesgos de recibir ataques y perder integridad o acceso a la información se vean reducidos y de este modo se pueda garantizar el entorno como un medio seguro y fiable para el uso y mantenimiento de datos y aplicaciones.

La publicación del nuevo Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad pone fin al periodo de espera ante la actualización del ENS, periodo de espera que pudimos hacer más llevadero gracias al borrador publicado con fecha 14 de junio de 2021 titulado “Proyecto de Real Decreto por el que se regula el Esquema Nacional de Seguridad” con el que en Sidertia Solutions empezamos a valorar los cambios previstos en la norma.

Es la actualización del ENS que, valga la redundancia, actualiza la normativa aplicable atendiendo a tres grandes cuestiones, que son: 

  • La alineación con el marco normativo y el contexto estratégico existente, conforme la Estrategia Nacional de Ciberseguridad de 2019 y el Plan Nacional de Ciberseguridad
  • La inclusión del “perfil de cumplimiento específico” de aplicación a ciertos colectivos y tipos de sistemas previa aprobación por CCN
  • «Facilitar una mejor respuesta a las tendencias en ciberseguridad, reducir vulnerabilidades y promover la vigilancia continua

En Sidertia Solutions, como una de las labores del Responsable de Seguridad en cuanto a atender las novedades y planificar los cambios normativos, hemos realizado un proceso de análisis del nuevo ENS evaluando los cambios y modificaciones que afectan a nuestra certificación, obteniendo, como resultado, los requisitos para adecuarnos al nuevo Real Decreto 311/2022, de 3 de mayo.

Artículos del ENS.

Se han renumerado los artículos del real decreto al incorporar y eliminar artículos, por lo tanto, es recomendable revisarlos y conocer esas novedades.

En el articulado destacamos ciertas modificaciones que nos han llamado la atención por su importancia, entre ellos el artículo 2 donde se establece que el real decreto será de aplicación a los sistemas que manejan o tratan información clasificada sin perjuicio de la normativa que resulte de aplicación como la Ley 9/1968, de 5 de abril, de Secretos Oficiales, así como otra normativa especial.

De especial importancia es el nuevo artículo 3 referente a sistemas de información que traten datos personales, incluyendo la necesidad de análisis de riesgos según el Reglamento General de Protección de Datos (RGPD) así como una posible evaluación de impacto en la protección de datos (EIPD) y lo que implica en nuestra Política de Seguridad como veremos más adelante en el artículo 12 al incluir como nuevo requisito mínimo de seguridad el relacionado con “los riesgos que se derivan del tratamiento de los datos personales”.

A destacar también la inclusión de la vigilancia continua dentro de los principios básicos en el artículo 5 y posteriormente desarrollada en el artículo 10 con la reevaluación periódica y por lo tanto de la importancia que se le da a partir de este momento a la detección temprana y una oportuna respuesta ante las amenazas.

Nos hemos encontrado el artículo 13 con una exposición de los diferentes roles del ENS y sus funciones en la organización, una información interesante de encontrar en el real decreto. Igualmente, en este artículo se anuncia una nueva regulación a tener en cuenta: “Una Instrucción Técnica de Seguridad regulará el Esquema de Certificación de Responsables de la Seguridad, que recogerá las condiciones y requisitos exigibles a esta figura”.

Por último, reseñar el artículo 30 con los “perfiles de cumplimiento específicos y acreditación de entidades de implementación de configuraciones seguras”, una novedad que permitirá que entidades o sectores de actividad concreto puedan aplicar el ENS con base en las especificaciones que el CCN, en el ejercicio de sus competencias, validará y publicará, siempre de acuerdo con el artículo 5 del real decreto sobre los principios básicos del Esquema Nacional de Seguridad.

Sidertia y su Certificación de Conformidad

Distintivo_ens_certificacion_MEDIA-ENS

 

Medidas Anexo II.

Encontramos en el Anexo II, modificaciones en los requisitos de aplicación según el nivel determinado por la categorización del sistema, hasta ahora eran requisitos tasados que debíamos incluir, mientras que en el nuevo real decreto, la aplicación de requisitos es por medio de unas exigencias básicas que, al aumentar el nivel, se ven ampliadas mediante “refuerzos”, que en algunos casos, nos permite seleccionar entre varios el que más se adecue a nuestro sistema, como por ejemplo en la medida [op.acc.5] Mecanismo de autenticación (usuarios externos). En esta medida, se nos permite elegir, a nivel bajo y medio, entre varios refuerzos posibles de aplicación.

Las medidas incluidas en el anexo II podemos dividirlas en varios grupos: 

  1. Medidas sin cambios reseñables
  2. Medidas modificadas y reforzadas para una mayor claridad
  3. Medidas con cambios significativos respecto a su estructura anterior
  4. Medidas de aplicación, esas medidas que actualizan el real decreto a la evolución de los sistemas y las amenazas actuales

También nos encontraremos con medidas que han desaparecido, en la mayor parte de los casos debido a su inclusión en otras nuevas como ha sucedido con las medidas [op.ext.9] y [mp.if.9] entre otras, que han sido integradas en la nueva medida [op.cont.4] Medios alternativos como veremos más adelante.

Comentar, antes de pasar a hablar de los diferentes grupos de medidas, que se ha realizado una modificación de la numeración de las medidas, de tal modo que la numeración sea correlativa evitando huecos en la misma, como podréis comprobar claramente en las medidas de Protección de la Información con la desaparición de la medida [mp.info.3] Cifrado y el consiguiente cambio de numeración de las restantes medidas del grupo.

Pasemos a ver ejemplos de cada uno de los grupos de medidas.

No han cambiado medidas como, por ejemplo, [org.2] Normativa de Seguridad, [op.exp.1] Inventario de Activos, … normas que cubren perfectamente las necesidades antes y ahora y que por lo tanto no necesitan de modificaciones.

Existe un segundo grupo con medidas que incluyen modificaciones reforzando su claridad y aplicabilidad, ya sea por el cambio del nombre la medida y/o la redistribución de las directrices que se incluían en la versión anterior, destacando las medidas del grupo de control de acceso [op.exp.] dentro del marco operacional de medidas, donde encontraremos cambios de nomenclatura y redistribución de las antiguas medidas [op.acc.5] Mecanismo de autenticación, [op.acc.6] Acceso local (local logon) y [op.acc.7] Acceso remoto (remote login) en dos medidas; [op.acc5] Mecanismo de autenticación (usuarios externos), y [op.acc.6] Mecanismo de autenticación (usuarios de la organización). Una modificación que las hace más fácilmente interpretables aún con el incremento en sus requisitos.

Hablemos ahora de las medidas que sí incluyen cambios que, a nuestro parecer, son importantes y deben ser tenidas en cuenta especialmente como, por ejemplo, la nueva aplicación de la medida [op.pl.5] Componentes Certificados a nivel medio, lo que supone un aumento de requisitos en la seguridad de los elementos a incorporar a nuestra infraestructura, y que a su vez requiere un mayor esfuerzo para el cumplimiento de alguno de los requisitos relacionados con la medida. Dentro de este grupo también nos encontraremos con la medida [mp.com.4] Segregación de Redes, convertida en [mp.com.4] Separación de flujos de información en la red y que ahora se aplica a nivel medio con lo que la segmentación de red deberá ser aplicada en los sistemas de este nivel.

Entramos al grupo de medidas nuevas, medidas de aplicación que refuerzan la frase “facilitar una mejor respuesta a las tendencias en ciberseguridad, reducir vulnerabilidades y promover la vigilancia continua”, son siete nuevas medidas:

  • * [op.ext.3] Protección de la cadena de suministro: La importancia de la seguridad un paso más allá de nuestro perímetro bajo control, esos proveedores que pueden provocar impactos en nuestros sistemas. Medida incluida para poder evaluar impactos que afecten a la cadena de suministros, estimando el riesgo y aplicando las medidas de contención necesarias ante dichos riesgos.
  • * [op.ext.4] Interconexión de sistemas: Cada vez están más generalizadas las interconexiones, y más tras la pandemia COVID-19 donde se han generalizado. La medida exige que tengamos un control sobre dichas interconexiones y, por supuesto, que sólo se realicen bajo autorización previa y con una adecuada documentación explícita de las mismas.
  • * [op.nub.1] Protección de servicios en la nube: Es otro de los servicios generalizados en nuestros sistemas, hasta ahora protegidos por medidas generales, y que tras esta actualización del real decreto tendrá unas medidas particulares, incluyendo para nivel medio y alto la exigencia de certificación del servicio como indica la medida en sus refuerzos. Esta nueva medida ha supuesto la creación de un nuevo grupo de medidas operacionales, el [op.nub] Servicio en la Nube.
  • * [op.cont.4] Medios alternativos: Una medida necesaria, que engloba las medidas anteriormente desperdigadas por los diferentes grupos de medidas, todas ellas relacionadas con medios alternativos y que ahora se engloban en continuidad del servicio que es su ubicación natural. Las medidas incluidas, y que por lo tanto han desaparecido son [op.ext.9], [mp.if.9], [mp.per.9], [mp.eq.9], [mp.com.9], [mp.s.9].
  • * [op.mon.3] Vigilancia: Medida incluida para reforzar la necesidad de la recolección y correlación de eventos que permitan detectar amenazas a las que se exponen nuestros sistemas y/o servicios. A destacar la necesidad a nivel medio de un sistema automático de recolección de eventos que permita su correlación.
  • * [mp.eq.4] Otros dispositivos conectados a la red: Nos encontramos cada vez más dispositivos con capacidades de conexión a la red (proyectores, altavoces, impresoras, IoT, BYOD, …) que hasta ahora no tenían un reflejo claro en las medidas del ENS, esta medida viene para exigir un control de estos dispositivos y su seguridad, volviendo a encontrarnos ante el requisito de componentes certificados en nivel medio y alto.
  • * [mp.s.3] Protección de la navegación web: Importante medida que viene a especificar requisitos de seguridad para la navegación en internet de los usuarios y por lo tanto proteger de las amenazas que pueden afectarle.

En resumen, hay cambios, hay novedades importantes, el RD 311/2022 ha sido publicado y, como indica la disposición transitoria única, se fija un plazo de veinticuatro meses para que los sistemas de información del ámbito de aplicación del real decreto, preexistentes a su entrada en vigor, alcancen su plena adecuación al ENS.

El análisis que hemos realizado en Sidertia Solutions nos dice que los sistemas más afectados en cuanto al esfuerzo requerido serán aquellos de nivel medio, y en mayor medida como consecuencia de la aplicación a dicho nivel de la medida [op.pl.5] Componentes Certificados y las consecuencias que se derivan de ella sobre otras medidas de aplicación.

Por último, recordaros que tenemos a vuestra disposición todos los recursos documentales para llevar a buen puerto la adaptación al nuevo ENS disponiendo, además del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, de la web del Centro Criptológico Nacional (https://ens.ccn.cni.es/es/) donde encontraremos todas las guías existentes en relación al ENS y necesarias para lograr nuestro objetivo y que veremos actualizarse para adecuarse al RD 311/2022.

 

Debido a los tiempos convulsos en los que vivimos y propiciados por la pandemia, la aceleración de la digitalización de nuestro día a día aumentando de manera exponencial, a causa de esto y de manera parasitaria, los ciberincidentes se han visto incrementados.

Microsoft XDR Laptop
Microsoft XDR Laptop

Desde Sidertia Solutions llevamos trabajando con soluciones de protección endpoint desde hace años, apoyando y recomendando soluciones a nuestros clientes, así como la implementación de soluciones de seguridad.

Sin duda contar con una solución de seguridad es de vital importancia y por ello Microsoft nos presenta su solución de Extended Detection and Response (XDR), que integra diferentes funcionalidades del ya conocido Endpoint Detection and Response (EDR), cuyo objetivo era la protección de los dispositivos finales.

 

 

El XDR extiende las capacidades también a los datos de red, flujos de trabajo en Cloud, Servidores, Email, entre otros.

Pero realmente ¿Cómo funciona el XDR?

Microsoft ya disponía de herramientas específicas de seguridad para cada uno de sus servicios, los cuales han sufrido un Rebranding para adaptarse a la nueva estrategia de seguridad de la empresa de Redmond.

Estas herramientas se integran con motores de Machine Learning y comparten una base de datos de Threat Intelligence unificada, donde la telemetría y métricas de los sistemas es compartida entre ellos, pudiendo hacer que Microsoft Defender actúe frente a un incidente, incluso Zero-Day.

Por ejemplo: Un consumo muy elevado de ancho de banda en un equipo, podría ser un indicio de que un cliente esté realizando ataques DDoS debido a que ha sido infectado e incluido en una Botnet.

Microsoft XDR esquema
Microsoft XDR esquema

Gracias a la telemetría de red, el sistema hará que el Endpoint revise el equipo buscando posibles IoC para neutralizar una posible amenaza, así como enriquecer ese motor de inteligencia por el cual el resto de los servicios de Defender permanecerán alerta debido a esta anomalía.

Todos estos datos masivos generados por la monitorización de nuestra infraestructura pueden llegar a ser difíciles de manejar y analizar, por ello, es posible integrar Microsoft Sentinel, un SIEM (Gestor de Información y Eventos) que nos proporciona una capa superior donde almacenar e interpretar la información recogida, ayudando a centrar nuestros recursos sobre incidentes reales, amenazas potenciales y documentar todo el proceso de Detección, Actuación y Resolución.

 

La anatomía de un ataque de ciberseguridad.

Microsoft XDR ciberseguridad 

Microsoft XDR ciberseguridad

En conclusión, el XDR es la solución de Microsoft de unificar todos sus servicios de seguridad tanto en el entorno de Microsoft 365 como de Azure, para infraestructura IT y Endpoint, permitiendo a las organizaciones contar con la potencia del machine learning y threat intelligence unificado que optimiza y mejora la seguridad de nuestros sistemas.

 

 

En Sidertia Solutions creemos que las soluciones basadas en Cloud van a ir tomando un lugar dominante en el mercado debido al creciente uso de estas, las cuales gracias a la IA convierten esos servicios en poderosas soluciones de seguridad.

También desde Sidertia no queríamos dejar de remarcar la importancia vital de las medidas preventivas, como un bastionado correcto de nuestra organización y una concienciación del personal en la Cultura de Seguridad y Defensa que, sin duda son la primera línea ante incidentes.

"A través de una apuesta decidida por la colaboración y cooperación, podremos hacer frente a los enormes desafíos a los que todos nos enfrentamos".

Bajo el lema «Aliados por una iberoamérica cibersegura», la #IIJornadaSTIC_Colombia organizadas por el CCN-CERT Centro Criptológico Nacional y INCIBE – Instituto Nacional de Ciberseguridad contando con el apoyo de la Organización de los Estados Americanos (OEA) y CSIRT GOB, tendrá lugar los próximos 16 y 17 de Marzo en Medellín(Colombia).

Un año más somos Patrocinadores Estratégicos de esta jornada que volverá a convertirse en un referente en el panorama internacional.

El evento, constará de tres módulos liderados por organismos internacionales, los equipos de respuesta incidentes miembros de CSIRTAmericas Network y una clausura institucional, divididos a lo largo de tres días.

No pierdas ni un detalle.

Para más información te dejamos los canales oficiales para que consultes toda la información respecto al evento.

+ Información

Bajo el lema «Ciberseguridad 360º. Identidad y control del dato», las XV Jornadas STIC CCN-CERT volverá a convertirse en un referente en el panorama nacional e internacional y Sidertia estará presente un año más, esta vez en calidad de Patrocinador Estratégico.

El evento se llevará a cabo entre el 30 de noviembre y 3 de diciembre de este año y está organizado Centro Criptológico Nacional perteneciente al CNI. Una vez más volverá a congregar a toda la Comunidad que interviene en la salvaguarda del ciberespacio español y será retrasmitido de forma online pero también permitirá la asistencia presencial de oyentes.

El evento se celebrará en Kinepolis, Ciudad de la Imagen de Pozuelo de Alarcón, Madrid.


El aforo de este año será el siguiente:
CCN-CERT Labs (día 30 de noviembre en Eurostars i-Hotel): 100 personas (50% del aforo)
  • Sala 25: 550 personas (50% del aforo)
  • Sala 19: 200 personas (50% del aforo)
  • Sala 18 (patrocinadores): 40 personas
  • Retransmisión por streaming: 3.000 personas cada día por sala.

TOTAL:
  • Día 30 de noviembre: 450 p. presenciales / hasta 3.000 streaming
  • Día 1 de diciembre: 750 p. presenciales / hasta 6.000 streaming
  • Día 2 de diciembre: 750 p. presenciales / hasta 6.000 streaming
  • Día 3 de diciembre: 750 p. presenciales / hasta 6.000 streaming

CCN-CERT Labs

En cuanto a la temática de los talleres, estos deberán ajustarse a la siguiente, en función del módulo elegido (Seguridad TIC, Respuesta a incidentes, OPSEC y Ciberinteligencia):

+ info

Aunque ya hace casi 20 años de la iniciativa de Trustworthy Computing de Microsoft, no hay que obviar el hecho de que la seguridad sigue siendo una preocupación constante para la compañía, y sigue tomando como referencia el programa estratégico en protección de tecnología que abanderó Bill Gates en enero del año 2002. Como no podía ser de otra forma, el nuevo sistema operativo, aún tomando como base la seguridad del sistema operativo Window 10, incorporará nuevos elementos que le permiten seguir en la lucha contra amenazas actuales.

 

 

Windows 11 potenciará alguna de las capacidades a nivel de seguridad que ya existían en versiones precedentes. Pero también hay nuevas incorporaciones, basadas en recientes funcionalidades que ya se habían anunciado como el empleo del procesador de seguridad Microsoft Pluton.

El Módulo de plataforma confiable (TPM) es un procesador criptográfico ya empleado en versiones precedentes del Sistema Operativo y que surge como un elemento base de la iniciativa Trustworthy Computing, El chip TPM ha tenido funciones tales como la de generar y almacenar claves criptográficas, así como limitar su uso. Incluye varios mecanismos de seguridad física que hacen que sea resistente a las alteraciones y que sus mecanismos de control limiten el hecho de que programas malintencionados realicen alteraciones en el mismo y en su contenido. Aunque uno de los usos fundamentales del chip TPM desde sus inicios tiene que ver con el cifrado de unidades a través del sistema de Bitlocker, con posterioridad sus funcionalidades se vieron incrementadas empleándolo, por ejemplo, para el sistema de autenticación de Windows Hello.

 

Infineon TPM 2.0 Windows 11
Infineon TPM 2.0 Windows 11

 

Con Windows 11 el módulo TPM se convierte en algo obligatorio, por lo que será un requisito indispensable que el equipo cuente con dicho elemento criptográfico. Aunque hoy en día es bastante habitual que los puestos de trabajo, de gama media y alta, cuente con dicho componente, es factible que sistemas antiguos no dispongan del mismo o en su versión 2.0 que será la mínima requerida.

El uso obligatorio de módulo TPM, quizás tenga bastante que ver con el objetivo de Microsoft para deshacerse finalmente de las contraseñas de forma definitiva. De manera predeterminada, los nuevos dispositivos con Windows 11 ahora podrán estar sin contraseña desde el primer momento, Los mecanismos que se emplean con Windows Hello, van enfocado a emplear métodos de autenticación más robustos basado en diferentes factores biométricos y de doble factor.

El aislamiento de hardware, el arranque seguro o la integridad de código del hypervisor, no son funcionalidades nuevas, tal y como pasa con el uso del chip TPM, pero serán funcionalidades que se incorporarán por defecto. El uso de tecnologías, basadas en la virtualización de hardware, es necesario para elementos tales como Application Guard, Control Flow Guard, Credential Guard, Device Guard o System Guard. Por lo tanto como en el caso del TPM, la virtualización de hardware será un imperativo para soportar el nuevo sistema operativo. El foco actual de Microsoft se encuentra en la protección contra el Ransomware que está siendo devastador para las entidades especialmente y parte de esa estrategia de protección tomará como base los elementos anteriormente citados

 

 

Windows 11 incorporará las capacidades del procesador de seguridad Microsoft Pluton, Este elemento de tecnología chip-to-cloud, fue presentado en noviembre del 2020. El objetivo de este módulo persigue garantizar la protección frente a exploits de día cero que aprovechaban vulnerabilidades del sistema para atacar debilidades que existían en el canal de comunicaciones con la CPU. Tomando como enfoque la iniciativa Zero Trust, este nuevo componente del procesador que será empleado de forma nativa en Windows 11, dará bastante que hablar. Puesto que abre numerosas posibilidades y ha sido objeto de debate interno en Sidertia Solutions, publicaremos un artículo monográfico dedicado al mismo.

 

Windows Pluton windows 11
Windows Pluton windows 11

 

Debido a la lógica orientación a los servicios cloud, sería lógico pensar, y así será, que el nuevo sistema trabaje con el ya conocido “Microsoft Azure Attestation”. Este elemento tiene como objetivo verifica la confiabilidad una plataforma, así como los binarios que e ejecutan en esta. Un elemento sumamente crítico hoy en día, es la base de la confiabilidad y reputación de un sistema. Cuando los clientes acceden a recursos críticos que se pueden encontrar en servicios Cloud el componente MAA recibirá evidencias de la plataforma. Estas evidencias serán validadas tomando como base diversos paradigmas de la seguridad. Una vez validadas se generará un token de atestación que permitirá el acceso seguro a los recursos.

 

 

La atestación del chip TPM, o del sistema SGX (aislamiento a nivel de Hardware de determinados procesadores Intel) son algunos de los mecanismos de verificación en relación con las capas físicas y que conforman parte de la estrategia global de protección del sistema.

Estas son algunas de las novedades que se conocen en materia de seguridad del nuevo sistema operativo de Microsoft, pero a buen seguro no serán las únicas y probablemente según se vaya acercando la fecha de su salida definitiva, se irán dando detalles de más novedades. Es momento de quedar a la esperar, probar el nuevo sistema y prepararse para su incorporación en nuestras vidas.

Desde hacía algún tiempo se rumoreaba que desde Redmon se preparaba el lanzamiento de un nuevo sistema Operativo cliente de su conocida línea de productos Windows. Aunque ya se habían realizado algunas filtraciones, e incluso estaba circulando una build, fue el pasado 24 de junio cuando oficialmente Microsoft, anunciaba ese hecho.

Hace años con la salida de Windows 10, se “estableció” que este sería el último sistema operativo cliente de Microsoft. Pero parece a todas luces y por la información que proviene de la propia compañía que este hecho no es ni mucho menos así, aunque algunos cambios de las actualizaciones más recientes de Windows 10, destilan a “Sun Valley”, conllevando la salida del nuevo sistema operativo, más un concepto evolutivo, que algo rupturista, que sí sucedió con versiones previas. Es posible recordar al que lleve años en el mundo de la tecnología de la información los saltos más que evidentes que se dieron entre Windows XP, Windows Vista, Windows 7, Windows 8 o Windows 10.

 

El producto en sí constituye un restylling bastante significativo, modernizando algunos elementos que fueron bandera en otra época. Desde el punto de vista de las novedades que trae Windows 11, son según Microsoft, su fluidez o rapidez con respecto a su predecesor en cuanto al arranque, la suspensión o la apertura de aplicaciones, favorecido por las animaciones, redimensionado y cierre de las aplicaciones, algunas de las mejoras que encontrará el usuario.

Microsoft quiere potenciar ciertas características que ya estaban presentes en versiones anteriores, como la tienda, para que los desarrolladores encuentren una plataforma más innovadora, nueva y abierta. El objetivo es llegar a desarrollos de productos que puedan llegar más fácilmente al usuario final. Otra característica que se potencian es la orientación a los usuarios  “Gamer”, llevando la experiencia a un nivel diferente, con capacidades gráficas más cercanas a la realidad. Igualmente, para favorecer la experiencia del usuario, se incorporarán las innovaciones más recientes en cuanto a funciones táctiles, el uso de lápiz o los mecanismos de reconocimiento de voz. Ambos con orientaciones tanto en mercado doméstico como el empresarial.

Un elemento que ha sorprendido significativamente es el soporte que ofrece el nuevo sistema para poder ejecutar aplicaciones Android. Este hecho le va a dotar de una versatilidad que no se había visto hasta la fecha. Las apps podrán ser descargadas desde la App Store de Amazon. Aunque esta tienda ya lleva un tiempo en marcha, hoy en día no puede competir aún en volumen de aplicaciones con las que ofrece Google a través de su sistema. Pero también es cierto que esta es una tienda más selectiva con una orientación muy similar a la App Store que ofrece la compañía de Cupertino.  Cuanto menos de esta iniciativa resultan significativas dos cuestiones:

  • La posibilidad que se abre al usuario, especialmente doméstico, para disponer de aplicaciones de un sistema Android.
  • Los acuerdos a los que habrían llevado a dos gigantes como son Amazon y Microsoft, para potenciar el uso de la tienda de la primera, limitada ahora fundamentalmente a dispositivos Kindle Fire.
 

Con Windows 10 se incorporó la función de un sistema en constante evolución con dos grandes actualizaciones anuales, que dejaban atrás las políticas de Service Pack de sistemas precedentes. Con Windows 11, se mantendrá esa tendencia, pero inicialmente con solo una sola actualización al año. Este hecho nos ofrece dos claros mensajes. A las organizaciones les resultaba difícil mantener esa dinámica de actualización bianual por estabilidad, despliegues y los costes generales que suponen. Esta cuestión había sido largamente manifestada de forma reiterada por diferentes entidades. También esa política forzaba a Microsoft en la necesidad de una evolución del sistema cada seis meses. Esto no se sustanciaba en ocasiones y los cambios a veces no eran lo suficientemente significativos para justificar una nueva “Major release”.

El nuevo sistema operativo estará disponible a finales de año, aunque ya está disponible para pruebas a través del programa Insider, Tal y como se ha anunciado, la actualización desde Windows 10, será directa, pudiendo volver de forma automática a Windows 10 antes de que transcurran los 10 primeros días. Una vez que se produzca este hecho el proceso de dar marcha atrás, será totalmente manual y no estará exento de riesgos.

Windows 11 no será un software gratuito. 

Lo que si estará disponible será la actualización gratuita para equipos que ya cuenten con una versión de Windows 10 licenciada.

windows 11
windows 11

No está siendo un buen mes en lo referente a vulnerabilidades para los Sistemas Operativos más conocidos. Recientemente recogíamos una vulnerabilidad bastante crítica que afectaba al servicio de impresión de los sistemas Windows. El martes de esta semana se reportaba otra vulnerabilidad “bastante atípica” para los sistemas operativos Microsoft.

Este carácter atípico se da por las siguientes circunstancias:

  • Afecta solo a determinadas versiones de Windows, y son solo versiones recientes.
  • La debilidad no se basa en cosas altamente complejas como la debilidad en una función de código en un servicio poco conocido y que resulta difícil de explotar. Es básicamente un problema de permisos de algo tan “windows” como es el contenido de la carpeta “config”, que contiene entre otros elementos el fichero “SAM” (administrador de cuentas de seguridad) o el fichero “System”.
  • Qué habrá fallado en Microsoft para que algo tan simple, y que estaba controlado por un bloqueo en la herencia de permisos, haya fallado para facilitar un acceso a algo tan crítico en el sistema.

En esencia el problema reside en el hecho que a los usuarios no privilegiados se les ha franqueado la posibilidad de poder acceder a información crítica del sistema como los ficheros comentados anteriormente: SAM o System, entre otros. Dentro de estos ficheros puede encontrarse entre otras cosas los hashes de los usuarios locales o el hash derivado de la contraseña del equipo.

Con el acceso a dicha información, un usuario, mediante técnicas de impersonalización, puede elevar su privilegio para ejecutar código localmente de forma privilegiada. Igualmente, con la clave del propio equipo, se puede conducir uno de los ataques más populares que emplean atacantes para moverse por la red, el ataque de Silver Ticket Kerberos.

Silver Ticket Kerberos
Silver Ticket Kerberos

El código identificativo al que hace referencia esta vulnerabilidad es CVE-2021-36934 y afecta a sistemas Windows 10 a partir de la versión 1809, así como a Windows 11 y Windows Server 2019. El nombre común con el que se conoce a la vulnerabilidad es HiveNightmare, derivado de hecho de que información crítica del sistema se almacena en una serie de ficheros de base de datos que se estructuran en una estructura arbórea de registro denominada “Hives”.

Esta debilidad además de ser aprovechada manualmente por un atacante, es bastante automatizable y por lo tanto aprovechable por aplicaciones de código dañino tales como ransomware.

Si bien la debilidad es algo manifiesta y fácilmente explotable, también es relativamente simple su remediación. Microsoft inicialmente no ha sacado una actualización que corrija el problema pero si un workaround. Este es bastante simple y se basa en dos conceptos:Modificación de los permisos, bien sobre la carpeta Config o bien sobre los ficheros críticos con información sensible.

  • La eliminación de las copias shadow realizadas mediante el servicio de “Volume Shadow Copy”.

Este último elemento es sumamente importante porque, aunque se modifiquen los permisos sobre los ficheros sensibles, las copias Shadow pueden mantener instantáneas del sistema que mantendrían los ficheros con los permisos anteriores a la modificación. Con esas instantáneas un atacante podría acceder a la información sensible, aún habiendo modificado convenientemente los permisos en la carpeta config. Por lo tanto, el proceso consistiría, una vez modificados los permisos, en eliminar todos los puntos de restauración existentes en el equipo y volver a realizar uno. Tener un fichero de restauración del sistema es importante para poder recuperar el equipo por ejemplo ante un incidente de intrusión por malware.

A priori la remediación no debería afectar a la funcionalidad del sistema, ni de las aplicaciones existentes. Esta afirmación es debida que en muchas versiones de Windows estos permisos nunca han existido y no ha habido problemas de funcionalidad. No obstante, como siempre recomendamos, hay que probar en un grupo de control antes de extender la solución al grueso de equipos de una organización.

Nuestro departamento interno, consciente de este hecho procedimentaron rápidamente la remediación y en menos de 15 minutos se estaba realizando la aplicación de la solución, incluyendo además con un mecanismo de control que verificaba la aplicación efectiva del mismo, incluso en un escenario de teletrabajo. Debe tenerse en cuenta las implicaciones que para las organizaciones supone este tipo de remediaciones en una situación actual marcada por el hecho de tener un número significativo de trabajadores operando en remoto. Es crítico aplicar la remediación en entornos donde se empleen para teletrabajo accesos de VDI, por las repercusiones múltiples que esta debilidad puede suponer.

Aunque parece que este sea un mes bastante crítico para sistema Microsoft, a los sistemas operativos Linux no parece estar yéndoles mucho mejor. Solo citamos como referencia las siguientes: CVE-2021-33909 o CVE-2021-33910.

En uno de los incidentes en los que ha estado involucrado el área de ciberseguridad de Sidertia, se pudo identificar la presencia de un “implante” de CS, en una instalación de MS Team que era vulnerable a DLL HijackingEn ello se había identificado que la solución había empleado el mecanismo de persistencia empleando la ejecución de un proceso Update.exe (en la versión 32 bits), que llamaba a una librería (CRYOTSP.DLL) que no se encontraba en la ruta esperable originalmente. Si se posiciona una dll con el nombre esperado en la misma carpeta donde se encuentra el proceso Update.exe, aunque realmente se debería encontrar en la ruta Windows\syswow64, se cargará automáticamente cada vez que el usuario inicie la aplicación.

Una vez que la librería ha sido cargada, entrará en marcha el proceso de comunicación con el Command and Control. Empleando la funcionalidad denominada Beacon, permite la conectividad empleando protocolos tipo como HTTP, HTTPS o DNS

beacon console options
beacon console options
beacon console
Interacting with target's desktop
Interacting with target's desktop

El componente Beacon es altamente versátil y admite comunicaciones asíncronas o interactivas. El módulo asíncrono es muy útil para un atacante para crear distorsiones temporales, estableciendo conexiones basados en valores temporales aleatorios, que permite evitar que se puedan realizar asociaciones de ataques con patrones de comunicaciones concretas. En este sentido el componente de Beacon llamará al C&C evaluará si hay tareas, las descargará y las podrán en ejecución cuando sea necesario.

Los indicadores de red de Beacon son flexibles, empleado el lenguaje maleable C2 propio de Cobalt Strike. Esto le permite ocultar la actividad de Beacon para que se disfrace como otro malware o se haga pasar como tráfico legítimo.

La shell de comandos que proporciona Beacon permite la ejecución de acciones basadas en CMD o PowerShell. En aquellos casos que estén desactivados ambos programas, se puede emplear el comando powerpick para ejecutar cmdlets, sin necesidad del componente PowerShell de Windows.

También, aunque más agresivo permite la ejecución de cmdlets en procesos, mediante el empleo de la api psinject.

El uso de PowerShell resulta muy potente para el atacante y va a permitir interactuar de forma significativa con el sistema. La descarga de hashes, la impersonalización de cuentas, la modificación del registro o la ejecución de aplicaciones, son acciones que pueden ser fácilmente llevadas a cabo con la shell nativa que incorporan los sistemas operativos de Microsoft. De esta forma y sin la necesidad de aplicaciones de terceros, que en muchas ocasiones serán fácilmente identificables por aplicaciones de detección de malware, se puede obtener información crítica, que una vez exfiltrada, será utilizada en procesos posteriores. Por ejemplo, robar credenciales para emplearlas en accesos remotos o para venderla. También con la información obtenida puede llevar a cabo extorsiones a personas concretas u organizaciones.

Uno de los objetivos últimos que a buen seguro llevará a efecto el atacante es efectuar el cifrado del contenido de los sistemas de la información. Este hecho lógicamente revelará la presencia del atacante. Este, emplea Cobalt Strike como mecanismo para distribuir una aplicación maliciosa tal como Ryuk una vez que ha conseguido los privilegios oportunos. Aunque se han visto casos donde se ha empleado funciones propias del sistema para cifrar el contenido de los equipos, es más habitual emplear una aplicación malicioso como vector de ataque para el cifrado.

Como se ha podido intuir Cobalt Strike ofrece múltiples posibilidades para la explotación y que dependerá de:

  • Las capacidades o habilidades del atacante.
  • Lo silencioso que quiera llegar a operar.
  • El objetivo del ataque.

Se abordarán en futuros artículos técnicos cómo se llevan a cabo estas acciones, y cómo no, como poder identificarlos con las capacidades que tienen habitualmente las organizaciones.

Adaptamos la
Ciberseguridad 360º
a tu organización.

Distintivo_ens_certificacion_MEDIA
CCN-CERT Acreditación Difusión Limitada
CCN CERT
SidertiaSolutionsIso9001
Sidertia obtiene el certificado en Administración de sistemas por IQNET
Sophos Partner Sidertia Solutions

Copyright © 2022

cookies-sidertia
Utilizamos cookies propias y de terceros para obtener datos estadísticos de la navegación de nuestros usuarios y mejorar nuestros servicios. Si acepta o continúa navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información aquí.
Entendido