A 30 años del inicio de la World Wide Web… una remembranza

Categorías relacionadas:
Big data, Centros de datos, Cloud / Nube, Cloud Computing, Cloud computing, Colaboración, Del día, Estrategias, Experiencia de Usuario, Experiencia de Usuario, Experiencia del Cliente, Infraestructura, Internet de las Cosas, Lo más reciente, Lo más reciente, Mainframe, Movilidad, Movilidad, Movilidad, Nubes públicas y privadas, Principal, Redes Sociales, SaaS, Seguridad, Servidores, Telecomunicaciones, Tendencias, Tendencias, Transformación digital

www-30-anios

En 1991, viajaba yo por todo el este de Estados Unidos enseñando un curso de “Introducción a Internet” de mi autoría. Los estudiantes procedían principalmente de empresas de telecomunicaciones, finanzas y software que querían saber de qué se trataba este asunto de Internet. Enseñé sobre direcciones IP y DNS, usando el correo electrónico, enviando archivos con FTP, usando Archie y Verónica para encontrar información, participando en las discusiones de USENET y usando Gopher para explorar el “goferspace”.

Leer más...



Registran intensa actividad global de secuestros de DNS

Categorías relacionadas:
Administración de proyectos, Administración del riesgo, Amenazas, Continuidad, CSO, Destacado, Lo más reciente, Lo más reciente, Malware y Amenazas, Seguridad, Seguridad, Tendencias

archivo-seguridad-robo

Los equipos de Respuesta a Incidentes e Inteligencia de FireEye, empresa de seguridad apoyada en inteligencia, identificaron una ola de secuestros de Domain Name System (DNS) especie de malware que reemplaza la configuración TCP/IP de una computadora a un servidor DNS malicioso.

Leer más...



Estas tendencias en ciberseguridad marcaron el 2017

Categorías relacionadas:
Administración del riesgo, Amenazas, Continuidad de negocios, CSO, Destacado, Lo más reciente, Lo más reciente, Malware y Amenazas, Productos de seguridad, Seguridad, Seguridad, Tendencias, Tendencias

seguridad

Si realizamos un diagnóstico de lo acontecido durante 2017, los primeros nueve meses del año confirmaron que ha sido uno de los períodos más agitados en la historia de la tecnología y mientras la digitalización de la economía crezca, el impacto de ataques aumentará y serán cada vez más ambiciosos, intensos y letales.

Leer más...



ICANN pospone cambio de clave criptográfica

Categorías relacionadas:
Destacado, Lo más reciente, Lo más reciente, Seguridad, Seguridad, Telecomunicaciones, Tendencias

Internet

La Corporación para la Asignación de Nombres y Números en Internet (ICANN) postergará el plan para cambiar la clave criptográfica que ayuda a proteger al Sistema de Nombres de Dominio (DNS), la cual estaba programada para el 11 de octubre.

Esta decisión se ha tomado luego de que, según datos obtenidos recientemente, una cantidad significativa de resolutores utilizados por los proveedores de servicios de Internet (ISP) y los operadores de redes aún no se encuentra lista para el traspaso. Es probable que los operadores no tengan instalada la nueva clave en sus sistemas por diversos motivos.

En algunos casos, el software de los resolutores puede no encontrarse configurado adecuadamente. Asimismo, por razones que aún son objeto de estudio, una cuestión recientemente detectada en un programa de resolutores ampliamente utilizado aparentemente no estaría permitiendo la actualización de la clave en forma automática, como era de esperar.

“La seguridad, estabilidad y flexibilidad del Sistema de Nombres de Dominio son nuestra misión principal. Preferimos actuar de manera cautelosa y razonable, en lugar de proceder con el cambio el 11 de octubre como fuera inicialmente anunciado”, indicó Göran Marby, director ejecutivo de la ICANN. “Sería irresponsable proceder con el cambio tras haber detectado estas nuevas cuestiones que podrían tener un efecto adverso sobre una cantidad significativa de usuarios finales”.

El cambio de la clave implica la generación de un par nuevo de claves criptográficas y la distribución de un nuevo componente público a los resolutores que validan las Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC). Sobre la base de la cantidad estimativa de usuarios de Internet que utilizan resolutores que validan DNSSEC, el traspaso de la KSK podría afectar aproximadamente a uno de cada cuatro usuarios globales de Internet, ó 750 millones de personas.

La ICANN está contactando a su comunidad, los Registros Regionales de Internet, los grupos de operadores de redes y demás actores para colaborar en el análisis y la resolución de estas cuestiones.

Aún no se ha determinado una nueva fecha para el cambio de la clave. La oficina del Director de Tecnologías de la ICANN indicó, tentativamente, que espera reprogramar el cambio de la clave para el primer trimestre de 2018, pero ello dependerá de un entendimiento más acabado de la nueva información y de la mitigación de la mayor cantidad posible de fallas potenciales. Mientras tanto, la ICANN mantiene su confianza en la seguridad de la clave criptográfica actual y, por consiguiente, en la seguridad del DNS.

 

Leer más...



11 consejos para detectar amenazas internas

Categorías relacionadas:
Amenazas, Cómo hacerlo, Continuidad, Continuidad de negocios, CSO, Estrategias, Identidad y Accesos, Lo más reciente, Lo más reciente, Malware y Amenazas, Principal, Protección de datos, Seguridad, Seguridad, Seguridad, Tendencias, Tendencias

Los profesionales de seguridad están siendo constantemente advertidos sobre las amenazas internas. Nos han dicho que nuestras empresas necesitan el software de última generación, la inteligencia de amenazas integrada, y la capacidad de correlacionar cantidades masivas de registros de sucesos y contexto para armarnos contra estas amenazas.

Nos han dicho que estas herramientas son necesarias para bloquear ataques y recuperarse de ellos, si es que se tiene éxito. Desafortunadamente, cuando las compañías, eventualmente, se dan cuenta de que han sido comprometidas, también descubren que sus sistemas han sido comprometidos por un largo periodo de tiempo.

“Las amenazas internas pueden incluir una combinación de infiltrados maliciosos, comprometidos y descuidados”, señaló Wade Williamson, director de Marketing de Productos en Vectra Networks. “Necesitará una clara visibilidad para identificar todas estas amenazas, pero se diferencian en el comportamiento y en la manera en la que la seguridad será capaz de detectarlos”.

Para ayudar a las empresas a detectar a los infiltrados lo más pronto posible hemos recolectado consejos de expertos de seguridad con el objetivo de ayudar a las compañías a encontrar ataques de infiltrados más temprano que tarde.

Consejo 1: Esté atento a los patrones extraños en el tráfico de DNS
“DNS es, a menudo, una capa olvidada”, comentó Arno Meulenkamp, ingeniero de Sistemas en Infoblox. “Se puede utilizar como una manera de remover datos. Los patrones extraños en el tráfico DNS, tales como los hashes, pueden ser señal de que algo está pasando”.

Consejo 2: Comprobar los registros de autenticaciones host-to-host
“Cuando ve a alguien autenticarse a un host desde otro diferente mientras que al host de destino solo se puede autenticar a través del controlador de dominio, podría tener un problema”, comentó Yonathan Klijnsma, analista senior de Threat Intelligence en Fox-IT. “En este contexto, es importante saber qué herramientas utilizan los atacantes -tales como PSExec (y sus variantes) o Mimikatz- y buscar el tráfico asociado con esas herramientas. Es común que herramientas como estas sean usadas para movimientos laterales, para moverse entre las ventanas de una computadora en una red, usando comunicaciones host-to-host.

Consejo 3: Verifique las credenciales de los empleados expuestas en la Web
“Los sitios web monitor paste tales como Pastebin para exponer las credenciales de los empleados”, señaló Nagraj Seshadri, vicepresidente de Marketing en Recorded Future. “Si se han explotado las credenciales filtradas en la Web, podría tener infiltrados y el empleado, dueño de las credenciales, no lo sabría. Tome medidas cambiando las contraseñas y considere el hecho de implementar una autenticación de dos factores”.

Consejo 4: Observe el flujo de datos alrededor de los activos más importantes
“Los infiltrados maliciosos, a menudo, robarán grandes volúmenes de datos en un corto periodo de tiempo. Si recogen grandes volúmenes de datos serán identificados fácilmente mediante el monitoreo de los activos internos”, comentó Williamson de Vectra Networks. “Al observar el tráfico interno, los equipos pueden ver rápidamente si los datos están siendo llevados fuera de la red o están rebotando entre múltiples dispositivos para ser removidos”.

Consejo 5: Asigne múltiples inicios de sesión a servicios de almacenamiento basados en la nube
“Busque a usuarios que estén iniciando sesión en diferentes máquinas desde la misma cuenta, accediendo a grandes almacenes de datos en estos sistemas y sincronizando sus datos a servicios de almacenamiento basados en la nube como Dropbox”, comentó Itsik Mantin, director de Investigación de Seguridad en Imperva. “Un infiltrado podría aprovechar las credenciales comprometidas de los usuarios para acceder a sus cuentas de Dropbox -esta carga de datos podría, de lo contrario, parecer un uso comercial normal de los servicios”.

Consejo 6: Utilice credenciales y archivos falsos como carnada
“Un infiltrado se moverá por toda la red buscando nuevas credenciales y usando sus recién descubiertos privilegios para acceder a los datos”, señaló Haroon Meer, investigador en Thinkst. Con la creación de archivos de credenciales falsos para utilizarlos como carnada, podrá ver cuándo es que esas credenciales, que nunca deberían ser usadas, lo son”.

Consejo 7: Busque ‘cosas’ que ya no existen
“Los infiltrados, a menudo, tratarán de cubrir sus huellas y el malware intentará seguir siendo persistente eliminando cosas”, anota Fabien Perigaud, experto en seguridad de Airbus Defence and Space – Cybersecurity. “Busque claves de registro, servicios y objetos de ayuda a los que se haya accedido, que se hayan usado o ejecutados de alguna otra manera en el pasado, pero ya no existen en la máquina. Estos podrían ser signos reveladores de que un infiltrado estuvo ahí”.

Consejo 8: Correlacione los registros de autenticación de los extremos con los registros de Active Directory
“Si algún usuario antes solo utilizó tres o cuatro activos en la red, pero ahora está accediendo a un número significativamente mayor que el anterior en un corto periodo de tiempo, es muy posible que exista un infiltrado”, indicó Mark Schloesser, investigador de Seguridad en Rpid7. “También los registros de Active Directory (AD) deberían ser correlacionados y aumentados con aquellos de los extremos, ya que éstos incluyen los eventos locales de autenticación de cuentas que no serían visibles de ninguna otra manera para el AD”.

Consejo 9: Ubique la primera instancia de un evento
“Busque la primera vez que se realiza una actividad”, señaló Johan den Hartog, ingeniero de Ventas en Tenable Network Security. “Si nunca antes ha visto esa actividad, esto podría señalar el comienzo de un ataque interno que necesita ser perfilado. HSBC y Sabre son dos ejemplos de esto, donde fueron creados empleados fantasmas utilizando alias y nuevas actividades fueron desarrolladas bajo esos nombres falsos”.

Consejo 10: Identifique las herramientas shadow de TI que están siendo usadas
“En nuestro reciente reporte Application Usage and Threat, notamos que más de 4.400 organizaciones tenían cinco o más aplicaciones únicas de acceso remoto en uso simultáneamente -lo más común es que se tenga una o dos, pero no tantas como cinco”, indicó Greg Day, vicepresidente y CSO, EMEA en Palo Alto Networks. “El uso intencionado de estas herramientas puede conducir a consecuencias no intencionales”.

Consejo 11: Antes de eliminar el malware, analícelo
“Debido a que mantener las cosas en funcionamiento es una prioridad, las empresas han caído en el hábito de identificar el malware e inmediatamente reinventar los sistemas que han sido afectados para que puedan ser llevados online de vuelta”, señaló Ralph Pisani, vicepresidente ejecutivo de Operaciones de Campo en Exabeam. “El malware es una señal de que algo malo está pasando -las empresas no deberían eliminar tan rápido esta pista importante, que podría ayudarlos a reconstruir la cadena de cyber matanzas. El malware no es el final; sino que, por lo general, es solo el comienzo. Es sumamente importante saber qué es lo que los usuarios hicieron antes de que el malware fuera detectado y a dónde se fueron después de la infección”.

-Sean Martin*, Network World

Leer más...