Story Transcript
CHECK POINT REPORTE DE SEGURIDAD 2015 01
INTRODUCCIÓN Y METODOLOGÍA
04
02
MALWARE DESCONOCIDO: EL GRAN DESCONOCIDO
10
03
MALWARE CONOCIDO: CONOCIDO Y PELIGROSO
18
04
SEGURIDAD MÓVIL: SIN BARRERAS
32
05
APLICACIONES: DÁNDOTE DONDE MÁS DUELE
40
06
PERDIDA DE DATOS: PROCESO LENTO Y DOLOROSO
48
07
CONCLUSIONES Y RECOMENDACIONES:
56
LA VÍA A LA PROTECCIÓN REFERENCIAS
60
CHECK POINT - REPORTE DE SEGURIDAD 2015 | 3
01
INTRODUCCIÓN Y METODOLOGÍA
“La primera vez que haces algo es ciencia. La segunda vez que lo haces es ingeniería”1 –Clifford Stoll, astronomer, author, digital forensics pioneer
4 | CHECK POINT - REPORTE DE SEGURIDAD 2015
LA EVOLUCIÓN DEL MALWARE 25 AÑOS ATRÁS Se Inventa El Firewall
20AÑOS ATRÁS Se Inventa El Stateful Inspection
15 AÑOS ATRÁS Prevalece el uso de el Anti-Virus, VPN, IPS
10 AÑOS ATRÁS URL Filtracion, UTM
HOY EN DÍA Amenaza inteligente, prevención de amenazas, seguridad móvil.
5 AÑOS ATRÁS NGFW
> 1988 Morris Worm
1994
Loteria Green Card
1998
2003
Melissa
2006
2010
Anonymous WikiLeaks es formada
DDoS Ataques: Stuxnet SCADA
2000 I Love You
2020
2014
IoT En Todas Partes
Bitcoin
2013
2007
2017
Automobil Sin Chofer Haqueado?
Dragonfly
Trojan Zeus
2011
Información de Autenticación Robada
2012
Malware Flama
En la ciencia, todo es acerca del descubrimiento—El
iPads y otros sistemas mobiles no serán herramientas
estudio de la causa y efecto. Una vez algo es entendido
apropiadas; pero estas pueden ser haqueadas para darle
puede ser previsto, ahí se convierte en un proceso de
acceso a hackers e infiltrarse en las redes empresariales.
ingeniería, para replicar. En el mundo del Crimen Cibernético esto es lo mismo. Ciber criminales están estudiando estructuras y pensando cómo utilizar ciertos factores para ocasionar resultados deseados. Una vez tienen un modelo profético, utilizan la ingeniería para dar rienda suelta a su diseño, para así tener el mejor
Durante
el
2014
,
Check
Point
vio un
incremento en las vulnerabilidades de los sistemas abiertos de software "open source" así cómo en las aplicaciones comunes de Adobe y Microsoft.
efecto.
Cuales Son Sus Herramientas?
Malware conocido continúa penetrando e infligiendo daños. Pero con la ayuda de sistemas que ayudan a
1. Malware— software de código malicioso desarrollado identificar, filtrar y bloquear la creación subsecuente de por hackers para interrumpir o robar datos. intentos de malware desconocido, La concentración en Cuando el malware se da a conocer, se crean firmas para
la comunidad de hackers ha cambiando. Ahora, hackers
identificar, filtrar, y bloquear ataques subsecuentes. Es
miran hacia formas más fáciles y lucrativas; lanzando
ahí, donde el código es modificado para poder crear
ataques
malware nuevo y fresco.
cambiando un poco el malware ya existente y así evadir
nuevos
usando
malware
desconocido
y
ser detectados. Esta área poco conocida fue la que ha 2. Vulnerabilidades—defectos en software o sistemas operativos que hackers utilizan para explotar, estos
causado más atención durante el año 2014. Una cantidad
existen en todas las aplicaciones.
meta el robo de datos.
poco esperada de malware fue lanzada teniendo cómo
3. Dispositivos Mobil—Teléfonos Inteligentes, Fitbits,
INTRODUCCIÓN Y METODOLOGÍA | 5
UN DÍA PROMEDIO EN UNA EMPRESA
CADA 24 SEGUNDOS un cliente accesa a una página Web infectada
CADA 34 SEGUNDOS
un malware desconocido es descargado
CADA MINUTO un agente "Bot" se comunica con su línea de comando y centro de control
CADA 5 MINUTOS
una aplicación de alto riesgo es utilizada
CADA 6 MINUTOS un malware desconocido es descargado
CADA 36 MINUTOS datos sensibles son enviados al exterior de la empresa
1.1 6 | INTRODUCCIÓN Y METODOLOGÍA
FUENTE: Check Point Software Technologies
“Los primeros virus atacaron a computadores a principios de los años 80, y desde entonces hemos estado en una guerra de armas tomar. Hemos diseñado nuevas defensas pero los criminales y ciber terroristas han diseñado formas nuevas de penetrarlas. Tenemos que ser así de rapidos y flexibles para que nuestras defensas crezcan.”2 -President Barack Obama
Contribuyendo al problema:
Cambios culturales,
Entre la frecuencia de estos ataques y los perfiles
movilidad, virtualización y otras tecnologias nuevas han
altos de estas empresas que han sido blanco, el año
cambiado la forma en que trabajamos. En el proceso,
2014 envió un mensaje claro a todas estas:
empresas han tenido que correr para adoptar estas
Todas están en riesgo.
herramientas y mejorar la productividad y eficiencia. Pero esto lo han hecho sin considerar las implicaciones
Y cuando los líderes mundiales deciden concentrarse
en seguridad. Mientras se concentran en estabilidad y
en Ciber Seguridad, cuando le hablan a sus naciones,
poca perdida de tiempo, tambien han dejado de pensar
parece claro que el crimen cibernético ya ha llegado a
que sistemas con mejor seguridad equivalen a menos
un punto crítico.
perdida de tiempo.
METODOLOGÍA Durante el 2014, Check Point recogió datos de eventos
ThreatCloud®, el cual esta conectado a fuentes de
de tres fuentes diferentes al rededor del mundo para así
seguridad en más de 16.000 empresas.
dar luz a las tendencias en seguridad e identificar que
3. Desde más de 3.000 fuentes conectadas a nuestro
estas están en alza y en otros casos en baja.
servicio ThreatCloud Emulation.
Fuentes Investigativas de Check Point:
¿En que nos concentramos?
1. Desde eventos de seguridad encontrados en más de 1,300 organizaciones en sus Chequeos de Seguridad.
Malware Conocido
Esta información provino de todo tipo de empresas e industrias a nivel mundial.
Malware Desconocido Prevención de Intrusión Aplicaciones de Alto Riesgo
Incidentes de Perdida de Datos 2. Desde eventos descubiertos a través de Check Point
Casi toda empresa que fue estudiada sufrio ataques debido a aplicaciones de alto riesgo.
81%
de las empresas encuestadas han sufrido un ataque de perdida de datos INTRODUCCIÓN Y METODOLOGÍA | 7
ESTUDIO CHECK POINT EN TODAS LAS INDUSTRIAS
46 4 6 Mirando a los mercados verticales que participaron en nuestro estudio, la fabricación lidero con un 46%, con representación en todos los aspectos tanto financiero, gubernamental, retail, telecomunicaciones y
PORCENTAJE DE ORGANIZACION POR INDUSTRIS
consultoría.
17
15 12 12
4 FABRICACIÓN
FINANZA
GOBIERNO
RETAIL
3
2
TELCO TELC TE LCO O
1.2 8 | INTRODUCCIÓN Y METODOLOGÍA
CONSULTORIA
OTHER
FUENTE: Check Point Software Technologies
Estadísticas de Seguridad 2014 íI ncremento de malware nuevo 4 ídescargas de malware desconocido ocurrido cada hora íde todas la empresas accedieron a páginas web infectadas íde todas las empresas tenían infecciones "Bot" pre-existentes ís ufrieron incidentes de seguridad en sus celulares. más de US$250.000 en costos íempresas utilizo por los menos una aplicación de alto riesgo. íperdieron datos durante un ataque íPerdida de información de propietario se incremento en un 71%. en los últimos tres años.
En las próximas páginas, Check Point revela lo encontrado en uno de nuestros análisis profundos del área de ataques en seguridad y tendencias descubiertas en el 2014.
Queremos ayudar al área de seguridad y los líderes empresariales comprenden el riesgo y cómo crear una postura de seguridad.
“Hackers no toman realidades del mundo por seguro; ellos buscan lo que esta roto y rehacen lo que no les gusta. Ellos buscan como ser mas inteligentes que el mundo a su alrededor."5
-Sarah Lacy, journalist and author
IINTRODUCCION Y METODOLOGÍA | 9
02
MALWARE DESCONOCIDO: El Gran Desconocido “Siempre existe el riesgo de que existen desconocidos desconocidos.”6 –Nate Silver, statistician, journalist
1010 | CHECK POINT - REPORTE DE SEGURIDAD 2015
106
Malware desconocidos atacan a una empresa cada hora
Malware desconocido es malware típicamente no
ciento de empresas descargaron por lo menos un
reconocido o desconocido por el sistema de anti-virus.
archivo infectado de un malware desconocido. Casi un
Cada malware desconocido varia, a veces solo tiene
incremento del 25% comparado al año anterior.
alteraciones menores. Este malware es capaz de sobrepasar el anti-virus más actualizado y sus protecciones virtuales sandbox. Mientras que el año pasado vimos una explosión de malware desconocido, este fue solamante la punta del iceberg.
Visto a través del lente, hoy en día. Ahora la
taza de cero días y desconocidos es masiva. Desde 2013
Lo peor es la velocidad con la cual esto ocurre. La investigación
de
diariamente
106
Check
Point
malware
demostró
que
desconocidos
son
descargados cada hora. Esta figura increíble es 48 veces más grande que el año pasado la cual solo era de 2.2 descargas por hora.
al 2014, malware nuevos han incrementado en un 71%
Increiblemente, solo el 1% de las empresas utilizan
de 83 millones a 142 millones, de acuerdo a AV-Test,
tecnología para prevenir ataques cero días. Solo una de
un servicio independiente de anti-virus. Aun más
cada diez empresas consume servicios de inteligencia de
malware fue encontrado en los pasados dos años que en
amenaza. Teniendo en cuenta la cantidad de malware
los 10 años anteriores.
desconocido que fue descargado, el 52% de los archivos infectados fueron PDFs, mientras el 3% fueron archivos
Durante 2014, Check Point analizo más de 3.000
de Microsoft Office.
fuentes "gateways" y encontró que el 41 por
MALWARE DESCONOCIDO: EL GRAN DESCONOCIDO | 11
2014
142M
2013
83M
2012
34M
142M
MALWARE NUEVO EN 2014 Y UN INCREMENTO DEL 71% VERSUS 2013
18.5M
2011
18M
2010
12M
2009
2.1
FUENTE: AV-Test
¿Qué tan malo es realmente? Definitivamente es malo, si no se puede reconocer la
conocer la velocidad y tiempo que se toma un sistema
firma de un malware, no lo podrás atrapar. Las
para bloquear un malware. De hacer lo desconocido en
herramientas típicas ya no pueden hacer su trabajo. La
malware conocido, ellos simplemente agregaron un nulo
cara nueva del malware es rapida y cautelosa gracias a las
a la finalizacion de cada archivo PDF y DO (ejemplo:
herramientas obsoletas las cuales dejan que los ataques
"echo'0000'>>1.doc"). Tambien, el ecobesado de cada
pasan por encima de las herramientas más sofisticadas
documento no utilizado fue modificado por un archivo
de soluciones anti-malware. Para los hackers que
ejecutable. Depues, cada archivo fue abierto y corrido
trabajan con malware desconocido esta se ha convertido
para validar que este ubiese quedado intacto y sin
en su herramienta favorita ya que es fácil y eficiente de
cambio alguno. En conclusion, al tomar malware
crear dándoles variaciones del malware ya existente. Es
conocido y hacerle algunas modificaciones es fácil hacer
tan fácil de manejar que alguien con poco conociemiento
que este sea irreconocible.
tecnico la puede utilizar. Para ilustrar, investigadores de Check Point tomaron 300 malware conocidos,7 descargados de una muestra de malware muy famosos de tipo PDF, DOC y archivos ejecutables de la base de datos de Googles llamada "VirusTotal". La meta:
12 | MALWARE DESCONOCIDO: EL GRAN DESCONOCIDO
Con esta tecnica simple, los investigadores pudieron crear variaciones nuevas y desconocidas (por ejemplo el "Unknown 300") que salio de un malware ya existente.
MD5 for originalmalware.doc fd96b96bd956a397fbb1150f3
MALWARE CONOCIDO
echo '0000' >> originalmalware.doc MD5 for modified 83aac4393f17f1805111beaa76a4012e
MALWARE DESCONOCIDO
Estos archivos nunca antes vistos ensayaron la abilidad
Desde ahí se han venido generando más penetraciones a
de los sistemas de seguridad para detectar malware
traves de todo el mundo, el cual a dejado que los hackers
desconocido.
puedan monitorear a sus victimas, sus acciones y robar
De aqui, archivos sospechosos fueron descargados a un sitio detraz del dispositvo de seguridad, simulando la descarga accidental por un empleado de malware desde una página infectada.
su información personal. Al seleccionar sus victimas comunmente son contratistas de defensa, de telecomunicaciones and medios, al igual que instituciones educativas. Creemos que esto es debido
En este caso del Unknown 300, si el archivo se manajase
a que sus servidores están publicamente expuestos y son
cómo lo esperado, la data ubiese ingresado a la red. Si no
fáciles de acceder a sus areas privadas y de seguridad
lo hizo, la tecnonologia de emulacion ubiese creado una
interna. Estos tienen una meta de negocios en comun y
firma de tal tipo que el archivo pudiese ser bloqueado. así
su seguridad es comunmente sacrificada por tener más
despues esta firma comunico una alarma a todas los
productividad, haciendo de ellos una victima fácil para
sistemas de seguridad, hacieno que el malware
los hackers.
desconocido fue ahora reconcido. Estos ataques facilmente pasan desarpercividos ya que Recientemente, Check Point descubrio un ataque que se
limitan sus acciones para alcanzar metas especificas y así
origino en el 2012, pero desde ahí se ha venido mutando
minimizan el riesgo a ser detectados. Un ataque Volatile
con versiones nuevas. Este es llamado Volatile Cedar y
Cedar comienza tipicamente escaneando el servidor de su
usa un implante hecho a me.dida exacta para implantar
victima. Una vez lo identifica comienza a explotar sus
malware llamado "Explosivo."
debilidades e injecta un
41%
de las empresas descargaron por lo menos un
archivo infectado con malware desconocido
MALWARE DESCONOCIDO: EL GRAN DESCONOCIDO | 13
52%
de los archivos infectados con
malware desconocido son PDFs código shell web en el servidor. La cáscara web se utiliza
vulnerabilidades de los cuales los vendedores todavía ni
cómo el medio a través del cual el troyano explosivo se
siquiera son conscientes. En comparación con el costo de
implanta en el servidor víctima. Una vez dentro, le
un kit de malware desconocido, los hackers encuentran
permite a los atacantes envíar comandos a todos los
que de día cero malware es mucho más caro. Esto, por sí
objetivos a través de una serie de servidores de comando y
solo, es probablemente la razón por ataques de día cero
control (C & C). La lista de comandos contiene toda la
tienden a ser dirigidos selectivamente.
funcionalidad requerida por el atacante para mantener el
Uno de los ataques notables de día cero de 2014 fue
control y extraer información de los servidores, cómo
llamado "gusano de arena", una referencia a las criaturas
keylogger, registro de portapapeles, capturas de pantalla, y
de la serie de ciencia ficción, "Dune". En un ataque
ejecutar comandos.
dirigido a la OTAN, el gobierno de Ucrania, y algunos
Luego, una vez que el atacante gana el control sobre estos servidores, él puede utilizar cómo punto de pivote para explorar, identificar y atacar objetivos adicionales situados más profundo dentro de la red interna.
otros objetivos políticos, hackers rusos explotados la vulnerabilidad,
el
gestor
de
paquetes
OLE-CVE
2014-4114 en Microsoft Windows y Windows Server. El vector: archivos de PowerPoint maliciosos enviados cómo adjuntos de correo electrónico. Cuando un usuario
Pero aún peor que el malware desconocido es malware
hace clic en el archivo adjunto, un exploit fue activado e
de día cero. Cual es la diferencia? Malware desconocido
instalado código malicioso que abre una puerta trasera
se construye fuera de malware conocido; malware de día
en el sistema. cómo resultado, los atacantes podrían
cero se construye con eficacia a partir de cero, para
entonces ejecutar comandos.
explotar el software
Dices que quieres una evolución: evolución de la tecnología MALWARE-EVOLUCIÓN El enfoque de primera generación en la mejora de
maneras de simular un usuario real de abrir el
las tasas de captura de malware era para ejecutar
archivo. A continuación, usted mirar para ver si se
archivos sospechosos en un entorno limitado fuera
activa nada más allá de lo que normalmente se
de la red; el punto era emular un sistema operativo
esperaba. El problema: Los cibercriminales reconocen
estándar (OS) en un entorno restringido para la
estas garantías existe en algún porcentaje de las redes
observación segura. Luego, utilizando herramientas
y ya están implementando técnicas de evasión simples.
de la caja de arena, que le active archivos en diversos
14 | MALWARE DESCONOCIDO: EL GRAN DESCONOCIDO
CHECK POINT CIERRA LAS BRECHAS DE SEGURIDAD
IPS, antivirus y anti-BOT
y CPU NIVEL
EXTRACCIÓN
DE
que se cumplan las condiciones específicas, tales cómo la apertura de un martes, o cuando el usuario hace clic en la derecha. Es por esto que es importante centrarse en constante innovación y lo último en tecnologías de seguridad, para mantenerse por delante de los hackers.
primera generación ayudan a prevenir algunos ataques de día cero y pueden detectar el malware una vez que se está ejecutando. Sin embargo, una gran cantidad de malware aún puede evitar la detección. Por esa razón, se necesita un método de protección de día cero de próxima generación: sandboxing nivel CPU.
hay un puñado de métodos de explotación que se ejecutarlo. detectar
para
Sandboxing el
uso
de
descargar nivel
DETECTA nuevas o desconocidas de malware con tanto OS- y prevención a nivel de CPU
|
VA s
2.2
FUENTE: Check Point Software Technologies
realizar a nivel de CPU sandboxing la mejor tecnología en la detección de día cero y ataques desconocidos. Tomando este enfoque un paso más allá, al combinar osya nivel de CPU capacidades sandbox profundas con la de la Protección de Check Point, que subir la apuesta para la eliminación de amenazas. A nivel operativo, puede detectar ataques en ambos archivos ejecutables y de datos por igual. A nivel de la CPU profundo, usted es capaz de detectar una infección en los archivos de datos en el exploit fase. Extracción de Amenaza, la tercera pata de esta
poderosa
combinación,
intercepta
todos
los
documentos, ya sea malicioso o no, y elimina objetos
Si bien hay un sinnúmero de vulnerabilidades, sólo utilizar
CAPTURAS CONOCIDOS O MALWARE VIEJO De malware conocido, 71 en 1000 no son capturados
extracción de amenaza, cómo Next Generation Zero-día
Soluciones sandbox nivel de sistema operativo de
pueden
|
AMENAZA
R C ec OMPLETE THREA onstructs and deliv T REMO er malwar L e-free documents
Por ejemplo, el malware podría permanecer latente hasta
|
el
CPU
métodos
de
malware le
y
dinámicos para protegerse contra cualquier ataque de día cero. Luego, se aplana el archivo y entrega el documento en un formato de imagen, como que es libre de amenazas.
permite
explotación
examinando cuidadosamente la actividad de la CPU y el flujo de ejecución a nivel de código ensamblador mientras que el exploit se produce. cómo resultado, se antepone a cualquier posibilidad de hackers evadir la detección. La velocidad y la precisión de la detección
cómo la evasión técnicas evolucionan y se vuelven más inteligentes, junto con los tipos de ataques, por lo que deben la tecnología para mantener su negocio seguro. Lo que se ha convertido en la vanguardia en el 2014 será simplemente el estándar para 2015. MALWARE DESCONOCIDO: EL GRAN DESCONOCIDO | 15
Cómo Emulación amenaza podría haber evitado un incumplimiento por menor Viernes Negro, que sigue a Acción de Gracias de Estados Unidos, es uno de los mayores días de compras del año. El lunes justo antes del 2014 de vacaciones, Check Point Equipo de Respuesta a Incidentes (CPIRT) fue contactado por un minorista que había descubierto los archivos desconocidos en sus sistemas. Estos archivos no fueron detectados por los principales proveedores de antivirus. Los bits de inteligencia disponibles en cada archivo individual pueden no haber sido suficiente para sonar las alarmas, pero la suma colectiva pintado una imagen mucho más grande. Los archivos parecían ser parte de un kit diseñado para entregar carga maliciosa lateralmente, a través de una red.
Los componentes del kit consistieron de herramientas utilizadas para: • Extraer, capturar y manipular datos de acceso de sistema de Windows • Pulsaciones de teclado de captura en los sistemas Windows • Transferir archivos Aún así, los detalles recogidos sobre otros archivos en el equipo fueron más ambiguos. Continuando con la investigación, el equipo de respuesta trató de confirmar algunas sospechas ejecutando los archivos a través de Internet ThreatCloud Emulación Servicios de Check Point. Muchos de esos archivos fueron marcados como sospechosos y mostraron actividad francamente malicioso. Uno era particularmente interesante a esta situación: el archivo fue capturado escribir un archivo de texto en un directorio del sistema de Windows.
Al ver la escritura tracks.txt archivo en la carpeta C: \ Windows \ System32 \ directorio confirmó la creencia de que este archivo fue el malware PoS, diseñado para datos de la pista de tarjetas de cosecha. Con ese conocimiento, se hizo evidente que este malware fue parte de un equipo que podría capturar las credenciales; utilizarlos para instalar malware; moverse por el interior; y exfiltrate datos fuera de la red. Ha desplegado Emulación amenaza había, este malware y otros componentes en el kit podría haber sido bloqueado malicioso.
16 | MALWARE DESCONOCIDO: EL GRAN DESCONOCIDO
RECOMENDACIONES Para hacer frente a malware y de día cero amenazas
Los factores clave a tener en cuenta en la selección de una
desconocidas, necesita ser capaz de identificarlos dentro
buena caja de arena incluyen: íBloqueo y prevencion de
y fuera del sistema operativo. El objetivo: no sólo
ataques íEvitar evasiones íDeteccion rapida y exacta
detectar las amenazas, sino también frente a técnicas de
íCapacidad de descifrar SSL íSoporte de archivos
evasión. Check Point recomienda la utilización de un
comunes íSoporte de objetos en línea como Flash
enfoque de tres vertientes: una combinación de OS- y capacidades sandbox nivel CPU con extracción de amenaza.
“Sólo lo desconocido asusta a los hombres. Pero una vez que un hombre se ha enfrentado a lo desconocido, que el terror se convierte en lo conocido.”8 -Antoine de Saint-Exupery, writer and poet
MALWARE DESCONOCIDO: EL GRAN DESCONOCIDO | 17
03
MALWARE CONOCIDO: CONOCIDO Y PELIGROSO “Todos estamos digital, todos somos vulnerables y de instante todo-lo instantáneo. Éxito instantáneo y el fracaso inmediato.”9 –Madonna, la estrella del pop, en el robo digital y fugas de su álbum inacabado, “Rebel Heart,” antes de que fuera puesto en el mercado.
1818 | CHECK POINT - REPORTE DE SEGURIDAD 2015
5 CIUDADES PRINCIPALES ARCHIVOS MALICIOSOS
PÁGINAS MALICIOSAS
DESCARGANDO ARCHIVOS MALICIOSOS
38
38
ACCESANDO PÁGINAS MALICIOSAS
26 PORCENTAGE DE EMPRESAS
22 17 14
4
3.1
desconocido es crear y puesta en marcha, se podría
cuanto a la velocidad y frecuencia, los anfitriones acceder
pensar que sería empezar a ver una disminución de
un sitio web malicioso cada 24 segundos (en
malware conocido. La realidad, sin embargo, es que los
comparación con cada minuto en el año anterior), y
hackers continúan manteniendo este método de ataque
descargarse el malware cada seis minutos (frente a cada
en su arsenal.
10 minutos en el año anterior). Cuando se tiene en
En 2014, Check Point investigadores descubrieron que
cuenta la rapidez con virus pueden propagarse y causar
aproximadamente
estragos, esto va mucho más allá alarmante.
de
las
O IC
EL
organizaciones descargan un archivo malicioso. En
86%
EX
FUENTE: Check Point Software Technologies
Teniendo en cuenta lo fácil y potente malware
el
5
M
RA
IA D
IC M
EX
K
O
IA U RQ
TU
D
IA
S U
IN
IS
RA
EL
IA N
K
LO
U PO
A SI
IA
U
RU
S CR
AN
U
K U
A N
CI
L
A
AD N
N
FR
A
S U
6
3
IN
4
U
4
S
5
2
CA
7
6
U
5
8
8
IS
8
organizaciones acceder a un sitio malicioso. Lo que es más, cerca de 63% de
En 2014 usuarios descargaron malware cada 6 minutos
En 2014 usuarios accedieron a un sitio web infectado cada 24 segundos
MALWARE CONOCIDO: CONOCIDO Y PELIGROSO | 19
LOS BOTS EXISTIRAN Una de las maneras más eficaces para ampliar y acelerar la
frecuencia representa un salto del 66,7% respecto al año
propagación de malware es a través de los robots-cuando
anterior, y un aumento del 95% desde 2012.
un equipo ha sido infectado con un troyano o virus, puede permitir el control de terceros sobre algunas o todas las funciones de la máquina. Una botnet es una red de
Al mirar los robots, ¿qué tipo de daños estamos
ordenadores zombis botted o bajo el mando de un
hablando? Robo de credenciales bancarias y otra
individuo u organización que los utiliza para enviar correo
información sensible; deshabilitar los servicios de
electrónico no deseado, atacar a otros ordenadores o de
seguridad del sistema; instalación de malware; realizando
lanzamiento de ataques DDoS.
click-fraude; ganando acceso remoto; y la apertura de
Casi 83% de las organizaciones tenía infecciones de bots existentes en 2014. Y el 47% de los que estaban activos durante más de cuatro semanas, una longitud inquietante de tiempo dado que un robot se comunica con su comando y control (C & C) Centro de cada minuto. Lo que es más, que la velocidad y
83% FAMILIA
una puerta trasera para ataques comprendía la mayor parte de la actividad bot en 2014. Una de las infecciones de bots más notables se aprovechó de una vulnerabilidad en los ordenadores Mac de Apple en concierto con el, entretenimiento, y el sitio social de noticias Reddit. Una entrada de puerta trasera llamada
De las empresas encuestadas estaban infectadas con bots. Un bot se comunica con su C&C cada minuto.
CONTEO DE ATAQUE
DAÑO
ZEUS
51,848,194
Roba datos bancarios
GRAFTOR
21,673,764
Descarga ficheros dañinos
RAMNIT
12,978,788
Roba credenciales bancarias
CONFICKER
12,357,794
Desactiva los servicios de seguridad del sistema, gana acceso remoto atacante
SALITY
11,791,594
Roba información confidencial
SMOKELOADER
9,417,333
*OTUBMBFMNBMXBSF
RAMDO
5,771,478
Realiza fraude con un solo click
GAMARUE
3,329,930
Abre una puerta trasera para ataques
TORPIG
3,290,148
Roba información confidencial
3.2
20 | MALWARE CONOCIDO: CONOCIDO Y PELIGROSO
FUENTE: Check Point Software Technologies
"Mac.BackDoor.iWorm" tuvo acceso a los Macs. A partir
Parece que este año, los hackers siguen el principio de
de ahí, lo que solía Reddit para conectar el ordenador
que si no está roto, no lo arregles. Según el Informe
hackeado con un servidor de comando. Después de
Resumen Spamhaus Botnet para 2014, ZeuS lideró la
infectar los ordenadores, los hackers podrían publicar a
lista de los robots con 2.246 comandos y controles,
Reddit y luego tomar ventaja de la función de búsqueda
prácticamente el doble que la Ciudadela, el siguiente bot
del sitio para identificar esos puestos. Utilizando el
líder.10
iWorm, fueron capaces de capturar las direcciones del servidor de los postes y los utilizan cómo una guía para
así, con el alcance y el poder de los robots a su
conectarse a la red de bots.
disposición, ¿cuáles son los cibercriminales más centrado
El robot que tenía la mayoría de la acción para el 2014,
en? Esencialmente, los elementos críticos que dificultan
sin embargo, fue también el campeón reinante del año
significativamente la productividad de una organización.
anterior: ZeuS.
Torbellinos de cosecha de credenciales Herramienta de automatización y distribución botnet hacen la recolección de credenciales a través de la fuerza bruta más fácil cada día. Forr ejemplo, priorr a 2014, ONLYY uno computerr a la vez podría romper una contraseña. El año pasado, sin embargo, una herramienta hash craqueo contraseña popular llamado Hashcat modificó su código fuente para permitir el agrietamiento tan distribuido más de una computadora podría ayudar a romper las operaciones de contraseña de decisiones mucho más rápido para los atacantes. así como funciona? Los delincuentes capturan grandes cantidades de datos de ataques. A veces codificado y no sensillopara utilizar de inmediato. ahí es donde las herramientas vienen en-theyy automatizar el agrietamiento de las contraseñas y puede ser alreadyy parte de una botnet que permite forr easierr distribución. Una vez que los hashes están agrietados, ataques de fuerza bruta tryy explotar reutilización de contraseñas; theyy también probar para ver si la contraseña de una persona trabaja forr de ingreso de otra persona. De hecho, Check Point ha observado constantes ataques de fuerza bruta semana, donde los intentos perr segundos / minutos / horas / días están sintonizados byy la attackerr para evadir la detección duraderos. Lo que es más, esto puede llevar a vertederos en los sitios de intercambio de texto abierto como Pastebin, donde la información puede entonces ser vendido. Para salvaguardar almacenamiento de contraseñas, generar un solo sentido criptográfica de hash de una contraseña. En palabras otherr, si una contraseña es "bluesky", un criptógrafo se convierten en algo así cómo "fna84K." Esto impide mantener las contraseñas en texto plano alrededor y permite la verificación de contraseñas suministradas por el usuario byy repitiendo el sistema de hash de una sola wayy. Adición de un valor randomlyy generada a una contraseña antes de crear theirr hash criptográfica también puede aumentar el difficultyy de una operación de contraseña de craqueo. Desde herramientas alreadyy existen para crawll los hashes forr Internet y contraseñas-y automatizar contraseñas distribuido-fortificar la wayy almacenar estos datos es crítica. Para mantener esta información segura, tome precauciones adicionales y utilizar la autenticación de doble factor de verificación, fuera de banda del usuario, o incluso la autenticación biométrica. Recuerde, el hecho de que la gente vuelva a usar contraseñas similares significa que cada infracción de miles de nombres crea las semillas para, potencialmente, cientos de violaciones adicionales.
MALWARE CONOCIDO: CONOCIDO Y PELIGROSO | 21
DDOS: LA NUEVA LÍNEA DE INICIO En el pasado, si quería impugnar las políticas de la
de ocho veces por día en 2013. Esto representa un
empresa, que le reúnen algunas personas, hacer algunos
aumento del 500%! El año pasado, la mayoría de los
signos, y de pie fuera de su lugar de trabajo para una
ataques DDoS se encontró en gran medida en el sector
manifestación pública de protesta. Ahora? Usted sólo
de la consultoría. Este año, que se extiende por casi dos
tiene que ir en línea y comprar un kit de herramientas
tercios de las empresas de todas las industrias. Después
DDoS de bajo costo, introduce la dirección URL de la
de DDoS, los próximos mayores vectores de ataque
empresa que está protestando, y ya está hecho, el sitio
para el año fueron de desbordamiento de búfer, un
web de la compañía ha sido borrado. Es fácil,
ataque que puede dañar los datos, y la ejecución de
conveniente y barato.
código, lo que permite a un hacker para inyectar código
En 2014, distribuidos de denegación de servicio
arbitrario. Tanto aumentó significativamente respecto
(DDoS) fue el vector de ataque superior, que
al año anterior.
48
representa el 60% de todos los ataques, casi el doble que el año anterior. Los ataques DDoS, que golpean temporalmente un servidor u otro recurso de red fuera de servicio, se estaban produciendo 48 veces por día en el 2014 en
ataques DDos ocurrieron
diariamente durante el 2014
marcha
ATAQUES más CONOCIDOS PORCENTAGE DE ORGS CON POR LO MENOS UN ATAQUE
2014
2013
60 51 47 43 39 36
35 23
23
22 19
NEGACION DE SERVICIO
ABSORCION DE DESBORDAMIENTO
EJECUCION DE ESCRITURA A TRAVÉS ANOMALIA DE PÁGINAS CÓDIGO
3.3 22 | MALWARE CONOCIDO: CONOCIDO Y PELIGROSO
CORRUPCION DE MEMORIA
FUENTE: Check Point Software Technologies
Hacktivismo: Cuando Manifestantes toman su ideología en línea El yearr pasado se registró un repunte de DDoS contra instalaciones educativas, proveedores de servicios, los gobiernos estatales de Estados Unidos y los gobiernos municipales. Independientemente de la política, los efectos de hacktivismo a través de ataques DDoS son sentidas por personas inocentes cómo mucho, si no más, los objetivos previstos. En los países donde el gobierno proporciona la mayoría de conectividad forr servicios educativos, un ataque a una pequeña escuela puede impactar la escuela everyy en la red. DDoS AA dirigidas a sitio web de una ciudad pueden causar (y ha causado) una pérdida de conectividad VPN con unidades de campo del orden público y los servicios de emergencia, y no sólo durante unas protes majorrt.
Mientras que el orden puede variar, hay cuatro técnicas principales utilizadas por hacktivistas: 1. Un ataque volumétrico de onda múltiple, utiliza millones de protocolos de datagrama UserR (UDP) de paquetes en el puerto 80. cómo un protocolo sin estado, UDP es muy fácil de falsificar, por lo que la appearr fuente cómo si ha sido enviado desde una dirección diferente de protocolo de Internet (IP). Esta inunda la conexión antes de los dispositivos de seguridad premisa organizaciones pueden detectar y reaccionar. 2. Un sistema de nombres de dominio (DNS) de ataque "reflexión"; los atacantes envían millones de DNSs a los servidores DNS legítimos, utilizando una dirección IP de origen suplantada a appearr cómo si se hubieran originado desde una serverr en la red de la víctima. Los servidores DNS legítimos reaccionan inundando respuestas DNS a la víctima, causando anotherr ola de ataques volumétricos. 3. Un ataque de inundación SYN dirigido a un host específico. Spoofing la dirección de origen de gran volumen suficientes recursos para que el huésped no responde al tráfico legítimo. 4. Ataques lentos abren tantas conexiones cómo sea posible a un servidor y mantener esas conexiones abiertas por el tiempo posible para enviar bits de datos justo antes del protocolo de control de transmisión en tiempo sesiones (TCP) a cabo. El tráfico es bajo, pero el volumen de conexiones lentas congestiona el puerto de redes entrantes. Esto es lo que puede hacer para asegurar su organización: 1. Entender y controlar el volumen de tráfico cómo las conexiones por segundo, paquetes por segundo, y rendimiento por segundo. Si se superan los umbrales de referencia, herramientas cómo Check Point DDoS ProtectorTM puede desplegarse frente a los gateways de seguridad para mitigar el tráfico DDoS antes de llegar a la puerta de entrada. Cuando los ataques al tráfico volumétricos supere la velocidad de circuito internet, saturará la conexión a la red antes de que llegue el Protecctor DDoS o la pasarela de seguridad, negando así el servicio. Para evitar que eso suceda, Protector DDoS desvía el tráfico a través de los centros de depuración Defense Pipe internet, donde se elimina el tráfico malicioso y el tráfico limpio 2.se Implementar controles estrictos en redes con acceso para invitados o bases tales usuarios desconocidos cómo instalaciones educativas, proveedores de nube, y empresas de servicios de hosting. 3. Implementar reglas de suplantación de IP de origen para evitar que los usuarios de las redes dirigidas desde la reflexión de ataques. Dinámico, variantes, y de onda de varios estilos de ataques pueden hacer que sea difícil para detener toda forma de DDoS. Pero, Check Point Software Blade de Firewall e IPS Software Blade tienen herramientas de mitigación y protecciones integradas en ellos, tales cómo límites de la tasa, SYN Defender e IPS Ataque SYN, e IPS-DNS para ayudar a prevenir los ataques DDoS.
MALWARE CONOCIDO: CONOCIDO Y PELIGROSO | 23
DÍA DEL JUICIO FINAL DE INFRAESTRUCTURA CRÍTICA: No "Si Pasara", pero "Cuando" James Arbuthnot, ex presidente del Comité Selecto de Defensa del Reino Unido, lo dijo mejor: ". Nuestra red nacional se encuentra bajo ataque cibernético no sólo día a día, pero minuto a minuto" 11 De hecho, casi el 70% de las infraestructuras críticas (IC) empresas sufrido un fallo de seguridad en el último año.12 un ataque durante 2014, por un grupo de hackers rusos llamado enérgico Bear, lanzó una campaña que tenía cómo objetivo las empresas de petróleo y gas. A través de la infección de software de control industrial que esas empresas dependían, los atacantes incrustados malware que descarga e instala automáticamente cuando las organizaciones de víctimas actualizan su software. Esto dio a los atacantes visibilidad en-y el control potencial de las redes específicas. En un incidente separado, una acería alemana fue atacado, causando grandes daños a un alto horno. De acuerdo con la Oficina Federal Alemana de Seguridad de la información, BSI, los atacantes desplegaron una socialmente ingeniería campaña de spear phishing para engañar a individuos específicos en mensajes de apertura. Desde allí, los cibercriminales fueron capaces de capturar nombres de usuario y contraseñas, que les ayudó a acceder a la red de producción del molino. Una vez dentro, se fueron después de los sistemas de control, causando elementos fallen, que impedido que el horno se apague normalmente. cómo resultado, todo el sistema se deteriora.
Por qué está pasando esto? Cuando nos fijamos en las causas de los incidentes de CI, vemos algunas cosas pasando. Para empezar, el control de supervisión y adquisición de datos (SCADA), comúnmente utilizado por CI, no fue diseñado para la seguridad. No sólo son sus dispositivos vulnerables, sus redes son viejas y anticuadas. Además, los sistemas SCADA integrar los sistemas operativos Windows y Linux, que también son vulnerables. Una segunda causa es que, con demasiada frecuencia, la vista de la seguridad es miope, con énfasis sólo en el perímetro electrónico. Esto queda corto, ya que deja los sistemas de producción en riesgo. Por último, un tercer problema que vemos es la creencia errónea de que una buena seguridad física significa buena seguridad de la red. Al no reconocer la diferencia puede conducir a consecuencias graves.
Asegurar la infraestructura crítica: ¿Qué hacer?
así cómo vemos tres causas de los incidentes de CI, también vemos tres caminos fundamentales para la prevención de estos hechos. A continuación se presentan los pasos para salvaguardar las infraestructuras críticas. 1. Arquitectura de Seguridad: Primero y ante todo, a proteger la red corporativa para bloquear la infiltración de la red de producción. Entonces, segmento y proteger su red de producción con seguridad especializada. Para la seguridad del perímetro, utilizar herramientas apropiadas tales cómo firewall, prevención de intrusiones, antivirus, anti-bot, y la emulación amenaza. 2. Productos de Seguridad con Granular SCADA Soporte: Utilice siempre productos diseñados específicamente para SCADA sistemas. Recuerde, las industrias de CI se basan en sistemas dedicados en redes especializados con protocolos únicos. Soluciones cómo las soluciones de seguridad SCADA Check Point incluyen la tala SCADA, firewall, control de aplicaciones, prevención de intrusiones, seguridad de punto final y de estación de trabajo SCADA. 3. Inteligencia de amenaza: Asegúrese de iniciar sesión de forma independiente todas las actividades SCADA utilizando el tráfico SCADA en profundidad seguimiento y análisis de amenazas.
24 MALWARE CONOCIDO: CONOCIDO Y PELIGROSO
2014: TOP POR VENDEDOR Vulnerabilidades y exposiciones
7945
450
431 376
5736
5297
5191
368
5632 287
4651 4155
138
135
N UX M OZ IL LA
120
LI
E RE DH AT AD OB E
155
GO OG L
AP PL E
IB M OR AC M LE IC RO SO FT CI SC O
08 20
09 20
10 20
20
20
12
13 20
20
11
156
14
NÚMERO DE VULNERABILIDADES
NÚMERO TOTAL DE vulnerabilidades y exposiciones comunes
2014
2013
2012
67
68
77
15
14
15
13
10
3.4
2
5
2
1
M IC RO SO SU FT N /O RA CL E AD OB E N OV EL L SQ UI VI DE D OL AN
3
N
3
LL
4
CA
N
4
OV E
4
3
M IC RO SO FT AD OB VI DE E OL AN 3C OM S QU SU N /O ID RA CL E AP PL E
3
RA CL E M OZ IL L JO A OM LA
5
/O
HP
6
SU
6
M IC RO SO FT AD OB AP E AC HE
PORCENTAGE POR ORGANIZACION
EVENTOS DE SEGURIDAD POR TOP PROVEEDORES DE SOFTWARE
FUENTE: Common Vulnerabilities and Exposures (CVE) Database (top charts), Check Point Software Technologies (bottom chart)
SENTIRSE VULNERABLE Uno de los grandes problemas que las organizaciones
vulnerabilidades y exposiciones en los últimos tres años,
necesitan
su
hemos visto un pequeño aumento entre 2012 y 2013. Sin
seguridad es parchear y actualizar software. Cuando
embargo, desde 2013 hasta 2014, vimos un salto de poco
abordar
para
ayudar
a
apuntalar
esto se pasa por alto, crea una vulnerabilidad de
más de 53%.13 así, mientras que la buena noticia es que la
negocios serio que puede interrumpir innecesariamente
conciencia es cada vez mayor en torno a estas exposiciones
el rendimiento del hombre y la máquina. En cuanto a
potenciales , la mala noticia es que todavía existen y están
la cantidad total de común
creciendo. MALWARE CONOCIDO: CONOCIDO Y PELIGROSO | 25
FUERTE GOLPE: HERIR A LAS REDES EN SU CENTRO Los hackers entienden la wayy más impactante para atacar objetivos es atacar theirr fundaciones. Forr mayoría de sistemas operativos, esa base es una serie de comandos fundamentales, a menudo ejecutados en Unix. En el centro de la línea de comandos shell de uso común en Apple Mac OS X y Linux / UNIX sistemas operativos es un processorr comando llamado Bash, orr Bourne Again Shell. En Septemberr 2014, una vulnerabilidad de seguridad majorr fue descubierto en Bash que permiten a atacantes ejecutar remotamente comandos de shell. Funcionó adjuntando código malicioso en las variables ambientales utilizadas por el sistema operativo. Desde una perspectiva hackerr, no hay nada mejor. A pocos días del anuncio vulnerabilityy, defectos de diseño adicionales también fueron descubiertos y se crearon una serie de parches. La carrera fue el de huelga redes antes de que se insertan los parches. En cuestión de horas, los atacantes explotaron Shellshock mediante la creación de redes de bots en los equipos comprometidos, para llevar a cabo ataques de denegación distribuida de servicio y análisis de vulnerabilidades. Mientras que las redes protegidas-IPS de Check Point fueron parcheados el mismo día, Shellshock comprometida millones de servidores y redes sin parches. Ver clientes Point apoyaron byy IPS protección SAWW bloqueado intentos cómo los ataques HTTP prominente dirigidos, de correo (SMTP / POP3 / IMAP), FTP y protocolos DHCP. Resultados de la investigación mostraron que los EE.UU. era tanto el objetivo de la parte superior y el atacante parte superior por un margen significativo.
NUEVO OBJETIVO EXPLORADO: Software de código abierto y Sistema Operativo Compartir comunitario no es siempre una buena cosa.
se ha convertido en un objetivo atractivo para robar datos,
Tome el software de código abierto (OSS), por ejemplo. A
propiedad intelectual, y otra información sensible. Por lo
diferencia del software propietario típico que está cerrado,
tanto, se convierte en una puerta abierta a la red para los
el software de código abierto está escrito para que su código
hackers para explotar.
fuente está disponible gratuitamente al público y puede ser modificado por cualquier persona. Peor aún, OSS no se
Por
maneja tan de cerca, ya que no siempre es parte del proceso
software
de adquisición de TI. Y, debido a que es gratuito, no es tan
proveedores, se vio obligado a centrarse en la seguridad
de cerca mantiene cómo otro software. Los cibercriminales
cuando una creación de redes definidas por software (SDN)
saben esto, por lo que se repliegan hacia ataques menos
defecto salió a la luz. En agosto de 2014, una vulnerabilidad
cuidadas, aplicaciones y sistemas menos visibles. cómo
crítica fue encontrado en su plataforma, pero tardó unos
resultado, OSS
cuatro meses para ser parcheado. la persona
26 MALWARE CONOCIDO: CONOCIDO Y PELIGROSO
ejemplo, de
OpenDaylight, código
un
abierto
proyecto de
de
múltiples
quien encontró la vulnerabilidad tenía inicialmente trató
al igual que identidades de usuario, contraseñas y otra
de informar de forma privada, pero desde OpenDaylight
información sensible que está contienen en los servidores.
no tenía un equipo de seguridad, sus esfuerzos se fue a ninguna parte. En su lugar, terminó la publicación de la
Luego, llegó Shellshock. La vergüenza asombroso de esto es
vulnerabilidad en una lista de correo popular por fallas de
que se debe a una falla de seguridad-cuarto de siglo de edad
seguridad. Se trataba de la posibilidad de que un
que permite la ejecución de código malicioso en el shell
controlador SDN se vea comprometida, lo que permitiría
Bash. Esto permite que un hacker hacerse cargo de un
a los atacantes tomar el control de la red.14
sistema operativo y acceder a información confidencial.
Una vulnerabilidad de código abierto descubierto durante
Sumado a eso, muchos programas se ejecutan shell Bash en
2014 fue con la plataforma MediaWiki, que se utiliza para
el fondo. Cuando se añade código adicional dentro de las
ejecutar Wikipedia y miles de otros sitios wiki en todo el
líneas de código existente, el error se suelta.15
mundo. Ver investigadores Point descubrieron que un defecto en el código podría permitir a atacantes inyectar
Siguiendo Shellshock era caniche, un acrónimo lindo que
código malicioso en cada página en Wikipedia.org, así
significa relleno de Oracle On Degradado Legado cifrado.
cómo a otros sitios wiki internos o con orientación web que
Su enfoque: un joven de 18 años de edad, la tecnología de
se ejecutan en MediaWiki. Con más de 94 millones de
encriptación SSL 3.0. Si un sitio web utiliza ese protocolo
visitantes únicos al mes a Wikipedia por sí solos, y casi 2
para cifrar el tráfico, los atacantes podrían llevar el equipo a
millones de sitios que enlazan con él, es fácil ver el potencial
rebajar su cifrado para esa misma norma anticuada,
de daño generalizado.
creando problemas de seguridad de las comunicaciones a
Los mayores hazañas de código abierto del año
los servidores.16
fueron Heartbleed, Shellshock y caniche. En el pasado año, parecía que las empresas se vieron afectadas con
Vulnerabilidades de código abierto cómo Heartbleed,
el nuevo malware, devastadora que fue el nuevo
Poodle y Shellshock afectados casi todas las operaciones de
malware
la
TI en el mundo. Las organizaciones pueden no ser capaces
próxima grave de la historia llegó a la escena.
de anticipar la próxima vulnerabilidad masiva, pero deben
Heartbleed fue descubierto en abril de 2014, una
entender que los hackers les encanta encontrar y explotar
vulnerabilidad en el software OpenSSL. Lo que hace
las fallas en código abierto y plataformas de uso común
es permitir que los hackers accedan a la memoria de
(cómo Windows, Linux, y iOS) debido a las excelentes
datos de servidores de hasta 64 kilobytes por valor.
oportunidades que ofrecen.
Este
peor,
acceso
hasta
se
les
que
da
meses
la
más
capacidad
tarde,
de
robar
información crítica
Nadie a quien culpar sino a nosotros mismos EVENTOS TOP IPS
40% SERVIDOR
En 2013, los servidores fueron el blanco preferido. El año pasado todo esto cambió: Los clientes ahora son el eslabón más débil. Cuando
60% CLIENTE
nos
fijamos
en
el
cambio
en
la
distribución de los principales eventos de IPS entre cliente y servidor, vemos que el lado del cliente PORCENTAGE TOTAL
saltó
dramáticamente
a
60
de
32%. Mientras
tanto, el lado del servidor
3.5
FUENTE: Check Point Software Technologies
MALWARE CONOCIDO: CONOCIDO Y PELIGROSO | 27
caído de 68% a 40%. ¿Por qué? Los hackers muestran
paquetes; 25% no lo han actualizado las versiones
una preferencia por la orientación a clientes, ya que
de su software; y el 17% no tiene antivirus instalado
pueden usar tácticas de ingeniería y phishing
en absoluto. Además, el 35% de los ejércitos de la
sociales para engañar a la gente. En otras palabras,
empresa están configuradas de tal manera
los seres humanos son mucho más fáciles de engañar
usuarios
a que las máquinas.
poniendo sus sistemas operativos en mayor riesgo de
así que lo que está contribuyendo al problema? La
explotación de malware.
negligencia en torno protecciones básicas. Además, las
Si bien esas cifras podrían no parecer enorme, sigue
organizaciones están utilizando herramientas de seguridad
siendo una bandera importante que hay algunas
legado que están a la altura para hacer frente a las amenazas
empresas que no están recibiendo el mensaje de
tienen
permisos
que
los
de administrador local,
en evolución de hoy. Si desea mantener sus puntos finales
seguridad: Sólo se tarda un host vulnerable a infectar a
seguro, usted comienza con acciones fundamentales cómo
toda una red. Y pensar en el número de empresas con las
asegurar sus computadoras están ejecutando firewall de
que
escritorio; han actualizado paquetes de servicios y software;
información. Parte de la gestión de la amenaza de la
esas
empresas
interactúan
e
intercambian
y tiene el último software antivirus instalado.
ciberdelincuencia significa ser un ciudadano cibernético
Sin embargo, según nuestros resultados, el 20%
responsable cuando se trata de las protecciones básicas -y
de los ejércitos de la empresa no se están
el intercambio de información de seguridad importante
ejecutando un firewall de escritorio; 10% de ejércitos
de
la
empresa
no
lo
los
con los demás.
ha
actualizado el servicio
PUNTO FINAL DE LA EMPRESA Vulnerabilidades y errores de configuración
Los anfitriones que no tienen actualizados naturalezas sig AV
Los hosts que tienen al menos un dispositivo Bluetooth instalado
Los hosts que no se ejecutan firewalls de escritorio
PERCENT OF HOSTS
Hosts donde el usuario tiene permisos de administrador local
Los hosts que no se han actualizado las versiones de software
Los anfitriones que no tienen el paquete de servicio más reciente
3.6 28 | MALWARE CONOCIDO; CONOCIDO Y PELIGROSO
FUENTE: Check Point Software Technologies
Cumple Sin Queja Aunque la mayoría de las empresas a entender theirr responsabilidades alrededor de cumplimiento y cumplimiento de las regulaciones de la industria cuando se trata de seguridad, sigue siendo un tema muy complejo. Usted podría ser totalmente compatible un día, y luego hacer un cambio relacionado con el negocio de yourr red y de repente encontrarse fuera de cumplimiento. Saber lo que quiere ver forr es crítica. Pero no caigas en la trampa de pensar que sólo porque yourr organización cumple es totalmente seguro. Cumplir con los requisitos reglamentarios se suelen ligada a amenazas específicas, por lo que es menos amplio que una postura de seguridad puede y debe ser. No debe ser la base de yourr política de seguridad. A continuación se muestra lo que Check Point descubierto en su investigación de 2014.
CHECK POINT ENCONTRÓ
ANÁLISIS CHECK POINT
Anti-Spoofing no está activado para el 75% de los encuestados
Anti-spoofing verifica que los paquetes están viniendo y yendo a, las interfaces correctas en la puerta de entrada. Se confirma que los paquetes que dicen ser de una red interna son en realidad provienen de la interfaz de red interna. También verifica que, una vez que un paquete se encamina, va a través de la interfaz adecuada.
PCI DSS 3.0
Global - empresas que procesan o guardan datos crediticios.
NIST 800:41
Relevante al estado Federal de USA. Aplica a empresas para adoptar un firewall robusto.
ISO 27001
Global—empresas que esten siendo certificadas bajo este estandard de practica
El concepto fundamental de la base de reglas de cortafuegos es "Lo que no está explícitamente permitido está prohibido."
PCI DSS 3.0
Global—empresas precesadoras de credito Principalmente relevante a US Federal, pero igualmente aplicable a cualquier empresa estadounidense de adoptar una norma de firewall robusto
Descubriendo Cualquiera Acepte regla en el 27% de los encuestados
REGULACION
Para descubrir que el 27% de los encuestados tenía una Cualquier Cualquier regla Accept en su base de reglas fue una gran sorpresa. Se trata de firewall 101, el básico de lo básico.
NIST 800:41
ISO 27001 Fuera del Estado TCP no los paquetes que se redujo en el 19% de los encuestados
TCP sesión de tiempo de espera es la longitud de tiempo que una conexión inactiva se mantendrá en la tabla de conexiones de puerta de enlace de seguridad. Esta sesión inactiva es el retraso en la cual un atacante puede intentar robar y usar el transporte del paquete de sesión de usuario existente. Los paquetes que se encuentran fuera del estado deben ser retirados. Se encontró que 1 de cada 5 empresas no están cayendo fuera de los paquetes estatales.
PCI DSS 3.0
ISO 27001
PAISES AFECTADOS POR EL REGLAMENTO
Global-cualquier empresa siguiendo esta norma Global—empresas precesadoras de credito Global-ninguna empresa está certificada según la norma o adoptarlo cómo una buena práctica
MALWARE CONOCIDO: CONOCIDO Y PELIGROSO | 29
No Dejar Que La Historia Se Repita ‘Aquellos que no aprenden de la historia están condenados a repetirla.’ Esto suena a verdad en seguridad, también. Mantenerse al día con los temas y el empleo de las mejores prácticas de seguridad pueden mantener a las empresas de todos los tamaños a salvo de la condenación de reproducir los errores del pasado. A continuación se muestra un resumen de las mejores prácticas que pueden ayudar a evitar algunos de los escollos de seguridad de los clientes grandes y pequeños.
Proteccion en Detectar Vs Prevenir Con protecciones de la red, 'Detect' modo se utiliza forr amenazas de bajo riesgo, mientras que el modo "Prevención" se utiliza severityy forr crítica y amenazas de alto riesgo. A menudo hearr de los clientes que un ataque fue 'detecta' pero no 'impidió' porque era mal categorizado. Asegúrese de revisar las políticas de amenaza regularmente para entender cómo categorizar adecuadamente.
Parches Vencidos A pesar de que los parches están disponibles vulnerabilidades forr años de edad, en las plataformas, a menudo no están instalados. Los atacantes zoom en esta debilidad; la vulnerabilidad, más común es un código abierto exploit que está disponible. Para evitar ser un blanco fácil, se recomienda parchear temprano y con frecuencia.
Pobre Directiva de contraseñas o reutilización de contraseñas
La mayor parte de las credenciales cosechadas en ataques de fuerza bruta se toman porque una contraseña de cuenta es débil. Otherr veces, las cuentas se cosechan porque una contraseña forr un sitio fue utilizado en otro sitio que se vea comprometida. Al exigir políticas de contraseñas strongerr y educar a los usuarios acerca de la reutilización de contraseñas, las empresas pueden minimizar cuenta incumplimientos. Por otra parte, las buenas políticas de contraseñas hacen redes strongerr.
Compartimentacion Inter-Departamental En organizaciones grandes, a menudo observamos un tema común de la información compartimentación y, a veces, el dedo que señala entre los departamentos. En su forma más inocente, algunas empresas carecen de mecanismos de intercambio de información internos Orr políticas de TI consistentes; esto se traduce en un grupo que tiene una red mucho más moderno que otro. Por desgracia, muchos no están segmentados internamente de modo un incumplimiento forr uno puede dar lugar a un incumplimiento por todasl.
30 | MALWARE CONOCIDO: CONOCIDO Y PELIGROSO
RECOMENDACIONES Se podría pensar que si se sabe algo, que sería más fácil de mantener en jaque. cómo usted ha leído acerca de
í Cubrir lo mas critico Extender tuproteccion de IPS para asegúrarse de que usted es capaz de defenderse de
malware conocido en este capítulo, es claro que la idea es
los ataques críticos de gravedad. Cubra sus sistemas
equivocada.
de
servidor
de
red
e
infraestructura
de
TI,
independientemente del proveedor La lucha contra el malware conocido requiere un enfoque múltiple. El principio básico: Automatizar y coordinar múltiples capas de defensa. ípunto final cuchillas de software anti-virus, junto con el filtrado de URL. Esto
o la plataforma. íManejo y Mantenimiento con parches procesos para todos los sistemas y aplicaciones.. í restringir el uso de privilegios de administrador;
desactivar Java y otras secuencias de comandos; y regular ayuda a evitar conexiones con distribuidores conocidos de las aplicaciones que se pueden instalar en los puntos malware. finales. í de detectar malware y botnets comunicaciones contundentes.
"No hay tal cosa cómo la seguridad perfecta, sólo diferentes niveles de inseguridad."17 –Salman Rushdie, author
MALWARE CONOCIDO: CONOCIDO Y PELIGROSO | 31
04
SEGURIDAD MÓVIL: SIN BARRERAS "Aparte de lo conocido y lo desconocido, ¿qué más hay?"18 –Harold Pinter, Nobel Prize-winning playwright, screenwriter, director, actor
32| CHECK POINT - REPORTE DE SEGURIDAD 2015
42%
sufrieron incidentes en seguridad mobil
con un costo de US$250.000
Cuando llegó la movilidad, por lo que surgió la promesa
problemas de seguridad. cómo un vector de ataque, los
de la productividad sin ataduras. Pero para muchos, la
dispositivos móviles ofrecen acceso directo más fácil de
seguridad móvil fue una idea de último momento. La meta
valiosos activos de la organización que en cualquier otro
para todos debe ser la identificación de soluciones que
punto de intrusiones en la red, por lo que el eslabón más
permiten a la productividad, sin importar si usted está en
débil en la cadena de seguridad.
o fuera de las instalaciones. Y esto es especialmente importante cuando vemos un aumento en el uso de los
En un estudio mundial patrocinado por Check Point
teléfonos inteligentes y las tabletas, junto con sus
de más de 700 empresas, 42% de la muestra de la
asociados aplicaciones-para hacer nuestra vida más fácil.
encuesta había sufrido incidentes de seguridad móvil
Porque con esa subida ha recorrido un deseo de hacer
que cuestan más de $ 250,000 para reparar y 82%
negocios con los mismos dispositivos, poniendo los datos
espera incidentes aumentando durante
corporativos en riesgo.
2015.
cómo era de esperar, la tendencia al alza de traer su propio dispositivo (BYOD) ha dado lugar a una gran cantidad de móviles
SEGURIDAD MÓVIL: SIN BARRERAS | 33
DATOS CORPORATIVOS EN RIESGO
PROPIEDAD
cc |
|
INTELECTUAL
|
CREDENCIALES DE RED
|
L DEL EMPLEADO
|
COMUNICACION PRIVILEGIADA
UBICACION
4.1
LLAMADAS
FUENTE: Check Point Software Technologies
puede
magnificada. De hecho, el 87% de los profesionales de
proporcionar atacantes con información personal,
TI dicen empleados descuidados son una mayor
contraseñas,
correo
amenaza para la seguridad de los cibercriminales. Y, el
electrónico, documentos corporativos, y el acceso a las
92% dice que los comportamientos de los empleados
redes y aplicaciones de la compañía. En el entorno de
podrían haber hecho una diferencia en la prevención de
negocios, que la preocupación se convierte en
las violaciones de seguridad de alto perfil.
Cuando
la
seguridad
móvil
empresarial
y
es
débil,
personal
de
FUERA DE CONTROL Entre los encuestados, el 91% ha visto un aumento en
Así que no es sorpresa que los dos principales
el número de dispositivos móviles personales que se
problemas de seguridad que enfrentan los BYOD
conectan a las redes corporativas durante los últimos
están asegurando la información reportada por el 72%
dos
las
de la muestra de las empresas; y la gestión de los
organizaciones no logran los datos corporativos en
dispositivos personales que contienen los datos y las
dispositivos propiedad de los empleados. Añadir a eso,
aplicaciones corporativas y personales, citado por el
el 33% de los desarrolladores de aplicaciones no
67% de los encuestados.
años.
Es
alarmante
que
el
44%
probar sus aplicaciones para la seguridad.
34 | SEGURIDAD MÓVIL: SIN BARRERAS
21
de
Retos BYOD se vuelven aún más notable en el contexto
Si los dispositivos se comunican con un comando y
de un estudio global independiente realizamos. Kits de
control (C & C) del servidor, que se considera
vigilancia móviles Comerciales, normalmente utilizados
infectado. Los investigadores encontraron que uno de
para el seguimiento de los niños, o en algunos casos,
cada 1.000 dispositivos se infectan. Y de hecho, los
fueron espionaje ponen bajo el microscopio. La razón:
investigadores determinaron que si hay dispositivos
Estos productos son vulnerables a los troyanos de acceso
2000 o más en una organización, hay it una
remoto móviles (mRATs), que encabezan la lista de
probabilidad del 50% que por lo menos seis dispositivos
malware móvil. más de 500.000 de Android y iOS
móviles infectados o dirigidos en su red. Por
400.000 dispositivos que conectan a las empresas Wi-Fi a
plataforma, que se desglosa en un 60% y 40% Android
través de servidores de seguridad de Check Point en más
iOS.
de 100 paises estudiados.
RETOS DE SEGURIDAD BYOD
FIJACIÓN DE información CORPORATIVA
72
GESTIÓN DE DISPOSITIVOS PERSONALES que contienen datos y aplicaciones corporativas y personales
67
SEGUIMIENTO Y CONTROL DE ACCESO A REDES CORPORATIVAS Y PRIVADAS
59
SISTEMAS OPERATIVOS Y OPCIONES DE APLICACIONES ACTUALIZADAS
46
ENCONTRAR SOLUCIONES DE SEGURIDAD Agnóstico (gestión de todos los sistemas operativos)
42 5
NINGUN PROBLEMA CON BYOD
OTROS
4.2
2
PORCENTAGE POR EMPRESA
FUENTE: Check Point Software Technologies
SEGURIDAD MÓVIL: SIN BARRERAS | 35
INVESTIGACIÓN DE AMENAZA MÓVIL : Ataques dirigidos a empresas de dispositivos móviles - Encuesta más de 500KK Android y 400KK iOS dispositivos de más de 100 paises.
Infecciones Aproximadamente 1.000 dispositivos infectados: 60% de Android, el 40% de iOS.
Malware más de 20 variantes y 18 familias de productos diferentes MRAT encontrado.
Riesgo
Datos de la empresa en forma de correos electrónicos, mensajes, las pulsaciones de teclado, llamadas, ubicación de los empleados.
Cuál es el daño? Los atacantes pueden dirigirse a una empresa y extraer
y atacar múltiples objetivos dentro de ellos-contra
información sensible de los dispositivos móviles de sus
atacar empleados corporativos de las organizaciones de
empleados. MRATs maliciosos pueden permitir a los
azar y la focalización de ellos sin relación con su
atacantes potenciales robar información sensible de un
organización.
dispositivo. Ellos pueden tomar el control de los diferentes sensores para ejecutar keylogging, robar
En la encuesta anterior de referencia, cuando se le
mensajes, activar cámaras de vídeo, y más.
preguntó qué dispositivo móvil plataforma plantea más problemas, el 64% de los profesionales de TI citó
Curiosamente,
que
Android cómo la más riesgosa. Apple iOS y Windows
los empleados de las empresas son el blanco de
Mobile siguieron, tanto en el 16%. Sólo 4% citó
mRATs.
BlackBerry.
que
los
Más
los
investigadores
concretamente,
atacantes
estaban
descubrieron
el
estudio
mostró
escogiendo
ciertas
organizaciones
36 | SEGURIDAD MÓVIL: SIN BARRERAS
18 FAMILIAS MRAT ENCONTRADOS
Otros TalkLog og MobiStealth Mi Watchdog móvil Shadow Copy
Mspy
Espia Mobil
Bosspy
Espia a Mobil
4.3
FUENTE: Check Point Software Technologies
SEGURIDAD MÓVIL: SIN BARRERAS | 37
CUIDADO CON LA CARPETA La belleza de comunicación entre procesos (IPC) es que permite procesos especializados dispares función cruz dentro de un sistema operativo. En Android, el mecanismo de paso de mensajes de ese sistema es Binder. En octubre de 2014, Check equipo de investigación € ™ s punto A expone un defecto fundamental asociado con ese sistema en un informe titulado â € œMan en el Cuaderno: El que controla el IPC, Controla el Droid.â € ?? En esencia, nuestro equipo de investigación encontró que es posible capturar los datos transmitidos a través del protocolo Binder y interceptar datos sensibles.
Otros Desubrimientos: í información enviados y recibidos a través de aplicaciones en un dispositivo, incluyendo los those asegurado a través de la autenticación de dos factores, las líneas de cifrado, y otra security medidas, pueden ser interceptados. íDatos interceptados utilizando un teclado dentro de la aplicación en actividades bancarias y mensajes de texto.
Aprenda más sobre el hombre en el Binder y otros resultados de la investigación de Check Point en checkpoint.com/threatcloud-central.
Con factor de riesgo de Android mucho más alto que
considerar las implicaciones de seguridad de los
los demás, no es ninguna sorpresa que los hackers
dispositivos portátiles de alta tecnología y de
están teniendo un día de campo con él. Uno trucos
compañías como Fitbit, Google Glass, smartwatches y
maliciosos descubiertos recientemente usuarios de
otros que se conectan a las tabletas y teléfonos
Android en la creencia de que han apagado sus
inteligentes. A medida que la Internet de las Cosas
dispositivos, cuando en realidad, no lo han hecho. El
(IoT) se convierte en un sitio común en muchos
malware permite los informes, los usuarios remotos
hogares y lugares de trabajo, la interconexión de las
para realizar llamadas, enviar y recibir mensajes, y
tecnologías permitirá leer todo lo que pasa de un
tomar photos.22 En última instancia, esto puede
dispositivo a otro. Esto es ¿Por qué tenemos que
permitir a un camino más simple para robar
conseguir un asimiento en seguridad móvil ahora?
identidades, así cómo de datos. Ser consciente de los riesgos asociados con la tecnología móvil es crítica. En los próximos meses vamos a
38 | SEGURIDAD MÓVIL: SIN BARRERAS
RECOMENDACIONES No confíe en MDM cómo Catch-All Mobile Device Management (MDM) permite que un departamento de TI para controlar lo que el usuario puede y no puede hacer con el dispositivo. Sin embargo, hay dos grandes déficits con MDM: En primer lugar, desde el lado del usuario, las políticas de MDM pueden ser muy
Proteja el Espacio Establecer un ambiente de negocios seguro, segregando sus datos y aplicaciones empresariales, incluyendo aquellos en los dispositivos de propiedad personal. Si el dispositivo se ve comprometida, protecciones pueden
ser activadas para proteger la información corporativa restrictiva dependiendo del departamento de TI; cuando hasta eliminar la amenaza. los empleados se sienten restringido, tienden a encontrar maneras de evitar las protecciones de
Frustrar amenazas
seguridad. En segundo lugar, desde el lado organización, Identificar y prevenir las amenazas cibernéticas para MDM en realidad no protege el dispositivo ya que las proteger toda su dispositivo móvil. Asegúrese de que su soluciones MDM no incluyen capacidades de protección solución de seguridad móvil le ayuda a evitar las de malware. Por lo tanto, usted todavía tiene que descargas de archivos sospechosos, bloquear sitios web identificar soluciones que pueden proteger el propio maliciosos, y evitar las amenazas antes de que hagan dispositivo y controlar los datos que entran y salen de
ella.
daño.
Conectarse a la Nube
Protejase en el camino
Proteja su tráfico de red utilizando los servicios de nube que se extienden las políticas corporativas a los
Protección de documentos es un aspecto pasado por
dispositivos
alto de seguridad móvil. Controle sus documentos de
asegurarse de que está conforme. Busque una
negocio, independientemente de dónde se dirigen.
solución que impone una única política de seguridad
Cifrar archivos y garantizar el acceso de sólo los
tanto
usuarios autorizados. Soluciones cómo Check Point
establecimiento, y sigue los usuarios móviles fuera
Cápsula proporcionar seguridad de los documentos y
del perímetro de seguridad de la empresa.
móviles
dentro
cómo
personales
(BYOD)
dispositivos
para
fuera
del
controles granulares sobre quién puede acceder a los datos.
"Lo que estamos viendo con tecnologías cómo los dispositivos móviles y la computación en nube es que están permitiendo a los modelos de negocio que simplemente no existían antes .... Gigantes de todas partes están maduras para la interrupción por las nuevas empresas que entienden cómo utilizar la tecnología para crear una nueva marca, la propuesta de valor-nunca antes posible para sus clientes ".23 -Eric Schmidt, chairman of Google
SEGURIDAD MÓVIL: SIN BARRERAS | 39
APLICACIONES: DÁNDOTE DONDE MÁS DUELE “A medida que nuestros consejos de la sociedad hacia una basada en los datos, nuestras decisiones colectivas en torno a cómo se puede utilizar esos datos determinarán qué tipo de cultura en que vivimos.”24 –John Battelle, entrepreneur, author, journalist
4040 | CHECK POINT - REPORTE DE SEGURIDAD 2015
96%
de las empresas utilizan una
aplicación de alto riesgo.
Está claro que el panorama digital es una traidora. Las
Para que os hagáis una idea de la capacidad de
amenazas pueden venir por el ataque, por error interno,
penetración de aplicaciones de alto riesgo, Compruebe
por sabotaje. Lo único que se hace pasar por un punto de
investigadores Point encontraron evidencia de ellos en el
entrada para las empresas especialmente vulnerables es la
96% de las organizaciones estudiadas, un salto
que se basó en más de productividad de la organización:
de 10 puntos respecto al año pasado.
las aplicaciones.
Las principales categorías que miramos son: í TeamViewer, RDP, y LogMeIn permite a distancia
Algunas aplicaciones, cómo el intercambio de archivos, son, evidentemente arriesgada. Pero otros no vienen tan
operadores para trabajar con su máquina y sus
rápidamente a la mente, porque son parte de lo que
funciones que aunque físicamente, en persona. Una
ahora se conoce cómo la sombra de TI-aplicaciones que
herramienta muy útil para los problemas de TI de
no son patrocinados o apoyados por la organización de
solución de problemas, es también una herramienta
TI central. En su lugar, estas tecnologías y aplicaciones se
útil que puede dar a los hackers una cantidad
compran y se instalan fuera de las TI cómo herramientas
alarmante de
necesarias para realizar el trabajo.
control y poder sobre su red.
Dada la dependencia de los otros en estas aplicaciones, no puede bloquear el uso de ellos. así que, si se les permite,
prevención
de
amenazas
debe
ser
proporcionada. La red debe protegerse mientras se opera bajo el supuesto de que estas aplicaciones de alto riesgo son maliciosos, no que podría ser.
í DropBox y otros que permiten el intercambio y trabajar con archivos más grandes que usted podría normalmente de correo electrónico. í SoulSeek son sólo dos ejemplos populares de lo que es normalmente utilizado para el intercambio de medios cómo música, vídeos, o la comunicación en tiempo real. í cómo Tor o OpenVPN permiten a los usuarios interactuar
APLICACIONES: DÁNDOTE DONDE MÁS DUELE | 41
organizaciones que utilizan aplicaciones de alto riesgo 2014
2013
92
2012
90
86
86
81
80
77
75 62
61
PORCENTAGE POR EMPRESA
56 43
ADMIN REMOTO
ALMACENAMIENTO DE ARCHIVOS Y COMPARTIR
Intercambio de archivos P2P
ANONYMIZER
5.1
FUENTE: Check Point Software Technologies
en línea, de forma anónima. Estos pueden ser utilizados
Check Point encontró que el uso de anonimizadores
legítimamente, para minimizar el riesgo, pero con
aumentó de forma generalizada en todos los verticales.
demasiada frecuencia, se utilizan para propósitos maliciosos.
Y mientras que los tres principales vectores de
En 2014, las herramientas de administración remota
cada categoría principal de aplicaciones de alto
(RAT) encabezaron la lista de los delincuentes más
riesgo se mantuvo un poco consistente desde el
grandes en aplicaciones de alto riesgo, con el 92%
año pasado a este año, había más sacudida en la
de las organizaciones estudiadas afectada. De todas
categoría
anonymizer.
las herramientas de administración remota
superior
del
disponibles, TeamViewer desplazados RDP para el
UltraSurf y Hide My Ass. Este año: Tor cayó al
primer lugar para los vectores de ataque en esa
tercer
categoría, con un 78% de las organizaciones
números uno y dos. UltraSurf deslizó por la lista
informantes incidentes.
y
lugar;
año
Por
pasado
OpenVPN
y
ejemplo,
la
parte
incluyó
tres
Tor,
Coralcdn
Herramientas de administración remota se encontraron en el 92% de las organizaciones 42 | APLICACIONES: DÁNDOTE DONDE MÁS DUELE
fueron
Donde Esta Waldo? Whetherr violar forr orr ganancia financiera de hacking para hacer un punto, los atacantes tienen varias herramientas a su disposición para enmascarar theirr ubicación y las identidades. Y al contrario de lo que Hollywood puede retratar, la localización y la identificación de los criminales es muy complejo. Investigadores de Delitos Cibernéticos admiten que theyy están poniendo al ONLYY 'la parte inferior de la cadena alimentaria "cuando se trata de computerr crimen. Eso es porque las empresas criminales Gestionado byy informados y atacantes experimentados son likelyy a pasar desapercibida. Dado que theyy se distribuyen geographicallyy, bien estructurado y compartimentados, hackers afiliados ONLYY knoww una pequeña parte de la largerr organización furtherr minimizar la exposición de la organización criminal. En funcionamiento underr el radar, los ciberdelincuentes emplean una gran cantidad de herramientas para mantener theirr anonimato. Se inicia con borrar el rastro de nuevo a internet theirr ubicación de origen. La herramienta más básica forr esto es un proxy web. También se llama anonimizadores, el servidor proxy actúa cómo un equipo cliente intermediario, redirigiendo las peticiones al destino deseado en última instancia. En los primeros días de la Internet, proxies web ayudó a ocultar la dirección IP de una fuente, pero hoy en día son más fácilmente contrarrestados y remontar.
Oculta Tu Ubicación
El uso de las conexiones VPN permite a los remitentes cifrar el tráfico entre los puntos finales. El servidor VPN se puede utilizar para ocultar la identidad del remitente, haciendo imposible de encontrar la fuente IP (en tiempo real). La conexión entre la máquina y el attackerr serverr VPN está cifrada por lo que el tráfico no puede ser decodificado. El serverr VPN en sí no está enmascarado, norr son los datos una vez que se envía más allá de los confines de la conexión VPN.
Oculta Tu Ruta Para obtener más anonimato avanzada, algunos se basan en herramientas cómo las redes de Tor. El "proyecto Tor" utiliza software libre que aprovecha una red de 5.000 relés de voluntarios de todo el mundo, diseñados para ocultar la ubicación de cualquier usuario individual y el uso. Derivado del término 'enrutamiento cebolla,' la red Torr utiliza capas de cifrado en abordar de manera cada relé sólo ve la dirección para el próximo relevo, no la fuente o destino final.
Oculta La Identificación de tu Computador Cada máquina para acceder a la Internet tiene una huella digital única: la dirección MAC interno de la máquina, única para cada procesador del ordenador, combinado con su sistema operativo y los certificados de web. Una de las maneras más populares para enmascarar la identidad del ordenador es "colas", un sistema operativo en directo que se puede arrancar desde un CD o memoria USB. Dispone de una función de "estación de trabajo de una sola vez" que transfiere las firmas de identificación de la máquina para el sistema operativo de CD / USB. Los hackers lo utilizan una vez, luego simplyy destroyy el CD / USB. Esto permite a un atacante "interruptor" identidades máquina tantas veces cómo quieran en el mismo equipo. En algunos casos, los hackers utilizan múltiples capas de camuflaje, cómo la conexión a una VPN detrás de la red de Torr, procedente de un público Wi-Fi, ocultando tanto el equipo de origen y lugares de enrutamiento de Internet.
APLICACIONES: DÁNDOTE DONDE MÁS DUELE | 43
TOP APLICACIONES DE ALTO RIESGO POR REGIÓN
2014
AMERICAS Hola
ANONYMIZER
Intercambio de archivos P2P
Tor
Dropbox ∙ Hightail Windows Live Office
RDP
∙
LogMeIn
∙
TeamViewer
APAC
OpenVPN ∙ Coralcdn Proxy Suppliers
Coralcdn
∙
BitTorrent Protocol ∙ SoulSeek BoxCloud
ALMACENAMIENTO DE ARCHIVOS Y COMPARTIR ADMIN REMOTO
∙
EMEA
BitTorrent Protocol iMesh
Dropbox
∙
TeamViewer
OpenVPN
SoulSeek
∙
∙
Tor
BitTorrent Protocol ∙ Xunlei QQ Download
Hightail
∙
Jalbum
Dropbox
RDP
∙
LogMeIn
TeamViewer
∙
Coralcdn
∙
∙
Hightail
∙
Mendeley
∙
RDP
LogMeIn
∙
2013 ANONYMIZER
Intercambio de archivos P2P ALMACENAMIENTO DE ARCHIVOS Y COMPARTIR ADMIN REMOTO
Tor
∙
Ultrasurf
∙
OpenVPN ∙ Coralcdn Proxy Suppliers
Hotspot Shield
Ultrasurf
BitTorrent Protocol ∙ SoulSeek BoxCloud
BitTorrent Protocol ∙ SoulSeek eDonkey Protocol
Dropbox
Dropbox
RDP
∙
∙
Windows Live Office Hightail
LogMeIn
∙
TeamViewer
RDP
∙
∙
Windows Live Office Hightail
TeamViewer
∙
LogMeIn
5.2 44 | APLICACIONES: DÁNDOTE DONDE MÁS DUELE
Tor
∙
∙
Hide My Ass
BitTorrent Protocol SoulSeek
Dropbox
∙
∙
Xunlei
Windows Live Office Hightail
TeamViewer
∙
RDP
∙
LogMeIn
FUENTE: Check Point Software Technologies
Las organizaciones experimentaron 12.7 eventos de aplicación de alto riesgo por hora, 305 veces al día Hide My Ass no estaba a la vista. Probablemente,
Por ejemplo, la aplicación de Hola anonymizer aumentó
OpenVPN ganó popularidad tras las revelaciones de
de 3% a 17%. Parte de su fama podría ser acreditado a
Edward Snowden sobre la NSA espiar. La razón es que
estar en el lugar correcto en el momento adecuado. Hola
cómo un estándar de la industria, OpenVPN utiliza
surgió de pruebas beta justo antes de los Juegos
tecnología de cifrado que no se puede romper si se
Olímpicos de Sochi 2014. Porque permite el acceso a
aplica
las
Internet a través de fronteras, la programación que sería
otros
de otro modo sólo está disponible para las personas en
en
una geografía específica es accesible para aquellos que
correctamente,
manteniendo
comunicaciones
privadas.
anonimizadores
han
Mientras
subido
así
tanto,
enormemente
utilizan hola para encubrir sus geolocalizaciones.
popularidad, sin embargo, incluso si no es uno de los tres primeros.
APLICACIONE S DEL PROTOCOLO TOP Intercambio de archivos P2P BitTorrent +
APLICACIONES TOP REMOTAS ADMINISTRATIVAS 2014
PORCENTAGE POR EMPRESA
78
TOP de almacenamiento de archivos Y APLICACIONES DE PARTICIPACIÓN 2014
2013
84
85
2012
2014 69
69 60 51
48 43 24
11 11
16 15 14
22
14 13
DO W
W
5.3
9
DR OP HI BO S X G LI H VE TA OF IL M E FIC IM ND E AG EL EV EY EN JA UE LB W IN UM D HI OW D GH S RO TA LIV PB IL E O (Y OF X OU FI S CE SU EN GA DIT IM R ) AG SY EV NC M EN EN U W DE E IN LE DO Y HI GH WS DRO TA LIV PB IL E O (Y OF X OU F I SE CE M ND EN IT SU DE ) G L IM AR EY AG SY EV NC EN UE
14 14
IN
RE N UL T SE E XU K N LE IM I ED ESH ON KE Y SO
TT OR BI
R LO DP GM EI N AM M VN Y Y C RE M GO ADM OT T I O N ES A UP SS PO IST RT -
EW ER VI AM
20 13 12 11
12 11
TE
26
21
FUENTE: Check Point Software Technologies
APLICACIONES: DÁNDOTE DONDE MÁS DUELE | 45
MAYORÍA DE LAS APLICACIONES POPULARES Anonymizer 2014
2013
USO DE APLICACIONES Anonymizer POR REGIÓN 2014
2012
2013
2012
64
63
59
58 54
54
PORCENTAGE POR EMPRESA
49
49 40 35
23
19
23 18
17 17
15 14 12 10 10
8
7
T UL TR OR A HI S DE UR M F Y OP ASS EN VP N
UL T TR OR HI ASU DE R M F Y A OP SS EN CO VP RA N LC DN
OP
EN
CO VP RA N LC PR DN OX Y SU TO PP R LI ER S HO LA
3
AMERICAS
5.4
EMEA
APAC
FUENTE: Check Point Software Technologies
Para el almacenamiento y el uso compartido de archivos,
Pero la gran novedad en aplicaciones de alto riesgo se
así cómo de punto a punto (P2P), las principales
puede ver en el número promedio de eventos por hora y
aplicaciones señaladas año pasado fueron más o menos
por día. Investigadores de Check Point estudiaron
lo mismo. La buena noticia: un menor número de
4,049.111 eventos. Estas empresas experimentaron 12.7
ocurrencias de éstos en las organizaciones. Con la
eventos de aplicaciónes de alto riesgo por hora, 305 veces
importante cobertura de los medios en el último año de
al día. Compare esto con la velocidad de 162 veces por día
filtrado fotos y correos electrónicos privados, sin duda
el año pasado y tiene un incremento del 88%.
esto ayudó a hacer muchos más conscientes y precavidos.
46 | APLICACIONES: DÁNDOTE DONDE MÁS DUELE
RECOMENDACIONES Mientras tanto malware conocido y desconocido, a veces
necesario para garantizar la productividad y la
puede parecer fuera de control, el uso de aplicaciones de
innovación. Entonces, un mapa de las personas que
alto riesgo por lo menos ofrece algo parecido a la
deben tener acceso a dichos programas. Controle su red
regulación.
para garantizar que no haya aplicaciones falsas presente.
Aquí hay cuatro pasos que puede tomar para reducir al
3. Cifrar los documentos para evitar la pérdida de datos. Si se se envía a alguien que no debería verlo, cifrado ayuda a
mínimo los peligros de estas aplicaciones:
bloquear el receptor de ver o abrir el documento.
1. Educa a tus empleados en tu organización para entender los riesgos asociados con aplicaciones 4. Definir y practicar aplicación basada en la categoría específicas. No asuma que saben. Por otra parte, señalar control. Ayude a sus administradores para ayudarle. que más seguro, IT apoyaron herramientas que pueden Potenciar a ellos con la capacidad de bloquear categorías hacer frente a sus necesidades de negocio y de enteras de aplicaciones según sea necesario. Esto productividad. 2. Estandariza
simplifica la administración mediante la ampliación de la un
modulo
de
seguridad
con
política de control de aplicaciones nuevas cómo sean
aplicaciones. Identifique las aplicaciones específicas adoptadas.
"Vivimos en un mundo donde hay muchos riesgos, y es hora de que empiece a tomar seriamente cuáles deberíamos estar preocupados."25 -Lisa Randall, physicist
APLICACIONES: DÁNDOTE DONDE MÁS DUELE | 47
06
PERDIDA DE DATOS: PROCESO LENTO Y DOLOROSO “Los errores son un hecho de la vida. Es la respuesta al error que cuenta.”26 –Nikki Giovanni, poet, writer, educator, and activist
Organizaciones sufrieron la pérdida de datos en una tasa de 1,7 veces por hora, 41 veces por día
Las violaciones no son la única manera de que los
sabiendo exactamente el fraseo derecho a obtener una
malos hacer el trabajo. A veces necesitan cómplices,
respuesta.
incluso si son los inconscientes. Y ahí es donde la
comenzado a crear pruebas de phishing. Debido a un
ingeniería social y phishing vienen en. Los criminales
error interno puede ser una importante fuente de la fuga
cibernéticos se han vuelto tan bueno en conocer la
de
psicología en torno a sus objetivos que sus mensajes de
electrónicos de phishing parodia a los empleados. Si caen
correo electrónico llegan a ser tan creíble para incluso
por ello, se convierte en un momento de aprendizaje. Si
algunos que se consideran conocedores. Por ejemplo, un
bien la cuestión interna podría no captar la mayor
empleado recibe un correo electrónico de alguien que
atención de los medios, es definitivamente algo que debe
dice ser un reclutador y le dice a la persona acerca de una
estar en el radar de cualquier negocio de la seguridad de
posición abierta. Cuando la persona que expresa su
mente. En 2014, el 81% de las organizaciones
interés, el llamado reclutador pide más información
experimentaron al menos un potencial incidente de
sobre la compañía y posiblemente otra información
pérdida de datos. La perforación hacia abajo, una
sensible. En otros casos, los empleados reciben correos
organización experimenta 1.7 eventos de pérdida de
electrónicos de personas se hacen pasar por los
datos por hora, 41 veces al día, un aumento de 41%
compañeros de trabajo y pidiendo información sensible,
respecto al año pasado.
datos,
De
las
hecho,
algunos
empleadores
empresas están enviando
han
correos
PERDIDA DE DATOS: PROCESO LENTO Y DOLOROSO | 49
DATOS ENVIADOS POR EMPLEADOS HACIA EL EXTERIOR PORCENTAGES POR EMPRESA 2014
2013
2012
INFORMACIÓN DE PROPIEDAD EMPRESARIAL
41%
35%
24%
DATOS CREDITICIOS
30%
29%
29%
REGISTROS DE DATOS Y NEGOCIOS
20%
21%
6%
INFORMACIÓN PERSONAL Y SENSIBLE
25%
22%
INFORMACIÓN SALARIAL
13%
14%
INFORMACIÓN DE LARED
13%
14%
ARCHIVOS PROTEGIDOS POR CLAVE
10%
10%
14%
MENSAJE CONFIDENCIAL VIA OUTLOOK
5%
5%
7%
NUMEROS DE CUENTAS BANCARIAS
5%
4%
3%
OTROS
27%
31%
21%
13%
6.1 50 | PERDIDA DE DATOS: PROCESO LENTO Y DOLOROSO
FUENTE: Check Point Software Technologies
En cuanto a los tipos de datos que han sido robados,
podría incluir destinatarios externos en el campo CCO de
información de propiedad está a la cabeza, al 41%. Lo que
un correo electrónico confidencial. Curiosamente, el
es notable es que sólo sigue subiendo. Desde 2012, hemos
porcentaje de empresas que ven que esto ocurra se redujo
visto un aumento de casi 71%. Datos de la tarjeta de crédito
entre 2012 y 2013, pero comenzó a deslizarse de nuevo en
fue el segundo tipo de líder de información filtrada, aunque
2014. En promedio, las empresas experimentó cuatro
se queda constante año a año. El mayor salto mirando a los
eventos de pérdida de datos por día, cómo resultado de un
últimos tres años de datos, en relación con el tipo de datos
correo electrónico que va a varios destinatarios internos y
perdidos, estaba con los registros de datos de negocios, que
un solo uno externo; cuando nos fijamos en los correos
era de 6% en 2012 y ahora es 20%. ¿cómo es posible? En
electrónicos que se envían a destinatarios internos visibles
algunos casos, un empleado podría incluir accidentalmente
(Para y CC) y más de un destinatario externo en el campo
a alguien de fuera de la organización en un correo
CCO, vimos 15 eventos de pérdida de datos por día.
electrónico confidencial. Por ejemplo, ¿cuántos de nosotros hemos empezado a escribir el nombre de alguien en el
Pero los datos también se filtra a cabo por otras razones:
campo "Para", sólo para darse cuenta de que los completa
Un empleado inadvertidamente hace que la información
automáticamente a cliente de correo electrónico con un
privada disponible en línea o un tercero proveedor, tal vez
destinatario diferente con un nombre similar? En otros
un trabajador temporal o contratista-roba los datos.
casos, un empleado malintencionado
La pérdida de la propiedad informatica ha aumentado 71% en los últimos tres años
Cada 36 minutos datos sensibles son enviados fuera de la organización
PERDIDA DE DATOS: PROCESO LENTO Y DOLOROSO | 51
DONDE nos lleva todo esto? Independientemente de si los datos se está saliendo
Y está sucediendo más rápido de lo que imaginas. Dentro
debido a la ingeniería externa o interna, el apetito por el
de los 30 minutos de salir de una tienda por
que la información es alimentada por una cosa: el
departamentos, información de su tarjeta de crédito
beneficio económico. Ciberdelincuencia no sólo se ha
podría ser "a la venta" en el mercado negro.
convertido en rentable; se ha convertido en un gran negocio. En el otro lado del espejo, los datos pasáses no es sólo que se venden en el mercado negro, que está
El más fresco el robo de los datos, más el dinero que obtiene.
es. No es sólo en silencio pasó a una o dos personas en
Entonces, ¿quién paga? En los Estados Unidos, debido a las malas prácticas de seguridad al por menor, los jueces han dictaminado que los minoristas pueden ser demandados, lo que permite a los bancos a recuperar
un callejón oscuro. Ha transmitido, a plena luz del día.
sus costos.
siendo comercializado. Sitios web publican las tarjetas de crédito que están disponibles para su compra con el banco emisor de criterios relevantes, cómo "fresco" que
ELECTRONICS CARDING SERVICE ALL OVER THE WORLD
PROVIDE BULK CARDING SERVICES ALSO
FRESH WEEKLY UPDATES SNIFFED FROM POS 411773
VISA
DEBIT
PLATINUM
10/17
Yes
101
United States, NY Rochester, 14623
BANK OF AMERICA N.A.
American Sanctions 1
432388
VISA
DEBIT
PLATINUM
05/15
Yes
101
United States, IA Bettendorf, 52722
WELLS FARGO N.A.
American Sanctions 1
414548
VISA
DEBIT
BUSINESS
05/16
Yes
101
United States, PA Hanover, 17331
MEMBERS 1ST F.C.U.
American Sanctions 1
486831
VISA
DEBIT
PLATINUM
04/17
Yes
101
United States, CO Littleton, 80129
WELLS FARGO N.A.
American Sanctions 1
448055
VISA
DEBIT
CLASSIC
01/16
Yes
101
United States, WI Green Bay, 54303
ITS BANK
American Sanctions 1
414709
VISA
CREDIT
SIGNATURE
10/16
Yes
101
United States, CA Mission Viejo, 92692
CAPITAL ONE BANK (USA) N.A.
American Sanctions 1
52 | PERDIDA DE DATOS: PROCESO LENTO Y DOLOROSO
52.5$
+
52.5$
+
52.5$
+
52.5$
+
22.5$
+
42.01$
+
ORGANIZACIONES CON POR LO MENOS UN POTENCIAL DE EVENTOS - PÉRDIDA DE DATOS, POR INDUSTRIA 2014
2013
2012
PORCENTAGE POR EMPRESA
88
86
82
88
87 78
78
79
70 61 50
FABRICACIÓN
45
FINANZAS
GOBIERNO
TELCO
6.2
FUENTE: Check Point Software Technologies
DINERO FÁCIL Al igual que los cazadores en busca de presas fáciles, los
otros países. Chip y PIN es un estándar global de pago
ciberdelincuentes han concentrado en el punto de venta
que incorpora un circuito integrado (IC) chip en la
(POS) cómo su coto de caza. La razón principal:
tarjeta y sólo puede ser autorizada cuando se utiliza con
terminales Tantos puntos de venta están ejecutando
un PIN. cómo parte de esta norma, los minoristas
sistemas operativos obsoletos cómo Windows XP, que
tendrán que actualizar sus sistemas de punto de venta
terminan yendo sin parchear y no administrado. Si
para asegurar la compatibilidad. Pero incluso con chip y
estaba sintonizado en los medios durante el pasado año,
PIN, los minoristas todavía tendrán que estar un paso
habría parecido cómo un importante minorista tras otro
adelante. Infecciones cómo el malware "BackOff", que
se iba a golpear con las brechas de seguridad.
afectó a un gran número de empresas de Estados Unidos,
El año comenzó con una explosión cuando Neiman
destacaron una gran vulnerabilidad de la seguridad: Las
Marcus fue violada y perdió 1,1 millones de registros de
herramientas preinstaladas de malware en las líneas de
cuentas, sólo para ser superado ese mismo mes por el
suministro de siete principales fabricantes de terminales
almacén de la manía Michaels, que perdió tres millones.
de punto de venta antes de ser enviados a los
A medida que continuaba el año, los taxis, tiendas de
comerciantes. Contraseñas de administrador débiles o
belleza, de buena voluntad, UPS, y Dairy Queen
sin cambios permiten a los piratas informáticos acceder
siguieron. En septiembre, Home Depot todos ellos
El manera Departamento de los Seguridad Nacional informa que de remota en dispositivos.
cubierto con 56 millones. Todo esto se suma a
más de 1.000 empresas de los Estados Unidos se vieron
112.250.000 registros perdidos dentro de los Estados
afectadas por PoS malware, 27 teniendo una enorme
Unidos, afectando a uno de cada tres estadounidenses.
factura a empresas y particulares. De hecho, el costo de
Infecciones de malware PoS ciertamente ocurren en
reposición de tarjeta solos añadió hasta $ 1,3 mil
todo el mundo, pero Estados Unidos encabeza la lista
millones. Un estudio LexisNexis llamado El verdadero
con el mayor número de infecciones, en parte debido
costo de Fraud28 dice que el comerciante promedio
a que aún no está en el sistema de chip y PIN de
sufrió 133 transacciones fraudulentas exitosas al mes en
tarjeta de crédito se utiliza en
2014, un 46% respecto al año anterior.
PERDIDA DE DATOS: PROCESO LENTO Y DOLOROSO | 53
Pos: Usted no puede tener apenas un chip Durante 2013 y 2014, el sector del comercio minorista experimentó un numberr alarmante de datos y brechas de seguridad. Estos ataques resultaron en la pérdida de millones de tarjetas de crédito de los clientes y la información personal. Las empresas involucradas efectos financieros negativos experimentados desde el evento, con el mayor retailerr experimentando una caída del 13% en su valoración de mercado y una reducción en las ventas de tiendas comparables. Estas empresas brechas de impacto grandes y pequeños. Entre 2013 y 2014, los nombres notables cómo Michaels, Neiman Marcus, PF Chang, Target y Home Depot han sufrido enormes pérdidas de las violaciones de datos de punto de venta relacionadas. Preocupaciones de los clientes sobre la privacidad y la seguridad financiera se agitan, y los consejos de administración están buscando activamente los cambios estructurales. Los efectos a corto plazo se acaba saliendo a la luz. El impacto a largo plazo sólo se conocerá en los próximos años. En respuesta a este tipo de incidentes, las empresas a menudo persiguen tácticas reacción instintiva. Por ejemplo, que se centrarán en la debilidad más obvia o elegir un método que parece más prominente en las noticias. En el caso de las recientes violaciones de datos al por menor, mucho se ha hecho hincapié en un movimiento para "chip y PIN" tarjetas de crédito, un estándar global de pago que utiliza autenticación de dos factores a través de un chip físico en una tarjeta que se ata a un numberr identificación personal del usuario (PIN). Pero, una revisión superficial de los métodos de ataque asociada a la menor
54 | PERDIDA DE DATOS: PROCESO LENTO Y DOLOROSO
infracciones muestra que chip y PIN no habrían evitado estos incidentes. Los atacantes dirigidas a las tiendas al por menor utilizan conexiones remotas disponibles para acceder a redes de tiendas y se instalan múltiples variantes de malware y herramientas de software para capturar y datos de los clientes de exportación. Las deficiencias en el diseño de redes tiendas y puntos de venta de configuración (PoS) habilitadas aún más los ataques de la simplificación de movimiento horizontal y la infestación de malware. Para proteger contra este tipo de ataques, tener una visión más amplia e implementar un enfoque de múltiples capas que se ocupa de los enteros red no sólo las partes que se consideran más vulnerables.
RECOMENDACIONES Recuerde que la seguridad no se detiene. Cuando el
está cifrada, sólo las personas que están autorizadas
balance de su cuerpo, hay un montón de movimientos
para ver la información podrán verlo.
sutiles en el juego que le mantienen en pie. Lo mismo
î creación de capas de protección con pesos y
ocurre con la forma en que usted necesita para pensar
contrapesos.
en su seguridad. Para mantenerse a la vanguardia de
î Ayudar a todos, desde arriba hacia abajo de
las amenazas, es necesario estar constantemente
entender la importancia de la mitigación de los riesgos
evaluando y actualizando a medida que avanza. No
relacionados con los ciber-para proteger la propiedad
deje con sólo asegurarse de que está protegido de
intelectual.
ataques externos; asegúrese de que usted está cubierto
î La participación de su fuerza de trabajo en la mejora
internamente, también. En concreto, se recomienda:
de la información de su postura de seguridad al
Protección de los datos mediante el cifrado que-ya sea
educarlos sobre cómo pueden ayudar. Crear políticas
en reposo o en tránsito. El objetivo es proporcionar una
de seguridad de la información que los empleados
capa de protección de los datos, dondequiera que vaya.
puedan entender y ayudar a reforzar.
cuando
“Es mejor mirar hacia adelante y prepararse que para mirar hacia atrás y arrepentirse.”29 -Jackie Joyner Kersee, athlete and olympic medalist
PERDIDA DE DATOS: PROCESO LENTO Y DOLOROSO | 55
07
CONCLUSIONES Y RECOMENDACIONES: LA VÍA A LA PROTECCIÓN
“Estatus quo, ya sabes, en latín significa "el lío en que estamos’.”30 –Ronald Reagan, actor and former President of the United States
56 | CHECK POINT - REPORTE DE SEGURIDAD 2015
“La Guerra Fría no terminó en la década de 1990. Simplemente se movió en línea.”31 -Jose Paglieri, journalist
Está claro que los ciberdelincuentes no se están
y la formulación de políticas y empresarial vinculado a
desacelerando. De hecho, sobre la base de lo mal que
los
2014 fue, desde la perspectiva de la seguridad cibernética,
rendimiento, y por supuesto, la gente en todos los niveles
los analistas esperan que la industria de la seguridad para
de la organización.
crecer diez veces.
Planifica tu proceso y asegurarse de que incluye incluso
Las amenazas pueden venir de cualquier dirección y se
los pasos más básicos, cómo la aplicación de los parches
procedimientos
y
requisitos,
medidas
de
ha convertido en imposible decir que cualquier
y actualizaciones de software. Piense también en su
organización está a salvo de los ataques. De hecho, el
ecosistema de socios y cómo se vinculan con el proceso
error más grande que cualquier organización puede
de seguridad.
hacer es creer que está protegido, y el abandono de volver a examinar su infraestructura de seguridad con
Cuando se trata de tecnología, su programa de seguridad
regularidad.
debe unificar múltiples capas y controles.
Cuando se piensa a través de su postura de entender
Dado que las amenazas provienen de múltiples lugares,
realmente sus amenazas y vulnerabilidades. Busque
arquitecturas de seguridad de una sola capa y soluciones
factores contribuyentes, y también mirar el cuadro
puntuales de múltiples proveedores ya no son adecuadas.
seguridad,
tomar
el
tiempo
para
grande de donde es tratando de llevar a su organización. saben
que
Las la
empresas
política
de
más
Comience con pensar en su arquitectura cómo tres
preparadas
seguridad
tiene
que
niveles interconectados.
provenir de los objetivos estratégicos, los objetivos de negocio,
CONCLUSIONES Y RECOMENDACIONES: LA VÍA A LA PROTECCIÓN | 57
Una arquitectura de protección definido por software
Check Point recomienda la prevención de amenazas que
basado en un enfoque de seguridad de tres capas es la
incluye:
mejor defensa contra los ataques de rápida evolución.
• Capacidades sandbox os- Profundo y de nivel de CPU para detectar y bloquear el malware
Capa de Refuerzo Crear un Gateway- y plan de protección a base de punto
• Extracción amenaza para reconstruir entrante documentos con cero de malware en cero segundos
final que explora, identifica y bloquea el malware, botnets y en armas de contenido que está diseñado para
Este enfoque busca actividades maliciosas en el nivel de
recoger y exfiltrate información de los clientes. Asignar
sistema operativo y explota a nivel de CPU, evitando los
reglas de autenticación de red y aplicaciones de acceso a
ataques antes de que ocurran. Detectar explotar intentos
prohibir a los usuarios y los sistemas no autorizados
durante la etapa previa a la infección le ayuda a evitar las
accedan a las zonas sensibles de la red.
técnicas de evasión.
Capa de Control
Cuando se combinan OS- y nivel de CPU sandboxing
Establecer políticas de seguridad por el administrador con la extracción de amenaza, tiene una tecnología de determine y protecciones automáticas. Crear reglas que última generación que ofrece la mejor tasa de captura definen específicamente las políticas de control de acceso y posible en busca de amenazas. seguridad de datos con puntos de aplicación. Restringir las aplicaciones y el comportamiento del sistema según las
Capa de Gestión
directrices de "menor privilegio".
Controlar todos los privilegios de administrador de negocio
Al mirar a soluciones específicas, considere los que le
alineado
y
crear
informes
completos.
Implementar prevención de amenazas basado en
permiten (1) investigar cualquier tipo de archivo de
inteligencia que se actualiza de forma independiente y
entrada, incluidos los archivos seguros y encriptados;
distribuye de forma proactiva nuevas protecciones a los
(2) identificar las amenazas de día cero, tanto dentro
puntos de aplicación. No mantener al día es una de las
cómo fuera del sistema operativo; y (3) entregar
grandes vulnerabilidades en la mayoría de las redes.
documentos seguros con cero de malware en cero
Implementar la gestión de eventos, la tala y las
segundos. La mejor protección es una combinación de
herramientas que identifican eventos en tiempo real, e
la solución más rápida operativo que ofrece la tasa de
incluye herramientas de filtrado y análisis de informes. El
captura superior y protege a su empresa de los
punto es asegurar los administradores tienen visibilidad
ataques.
en ataques sin perderse en el ruido menos crítica.
QUE SIGUE? Dado que los dispositivos móviles se vuelven cada
los desarrolladores no analizan sus aplicaciones para las
vez más dispositivos primarios, esperamos que los
vulnerabilidades antes de soltar them.32 Ante esta
piratas informáticos se ven a ellos cómo a sus nuevos
realidad, y después de revisar lo que ha venido del
vectores de ataque. Desafortunadamente, según el
pasado año, vemos 2015 cómo el año para definir su
Instituto Ponemon, 40% de aplicación móvil
seguridad móvil .
58 | CONCLUSIONES Y RECOMENDACIONES: LA VÍA A LA PROTECCIÓN
y tomar una postura más agresiva con su postura de
En última instancia, con todo lo que la conectividad,
seguridad. Eso se convierte en especialmente importante
podemos esperar más vulnerabilidades, más amenazas.
cómo el crecimiento de los sistemas de pago móvil
Al Check Point, nuestra misión es clara: Aseguramos el
comienza a acelerarse.
futuro. Del mismo modo, las organizaciones también deben ser con ideas positivas. Ser claro acerca de los
Aunque algunas soluciones cómo Apple pago, Google
objetivos a largo plazo y la forma de optimizar la
Wallet y PayPal ofrecen múltiples capas de seguridad
infraestructura de seguridad para apoyar su visión es
que implica tokenización y cifrado, no todos estos sistemas se han probado a fondo para resistir las amenazas del mundo real. Es una apuesta segura que los atacantes estarán buscando a cabo para explotar vulnerabilidades. A esto se añade, ABI Research estima que el número de envíos de dispositivos informáticos portátiles llegará a 485 millones de unidades por 2.018,33 firma de analistas Gartner estima que 4,9 mil millones de cosas
esencial. Mediante
la
comprensión
de
las
amenazas
y
vulnerabilidades potenciales; la creación de un plan sólido que se alinea con su negocio; y las protecciones que garanticen están integrados en su infraestructura de TI, puede activar la seguridad en un facilitador. Y al hacerlo, usted es capaz de desbloquear la innovación y fomentar un ambiente para el alto rendimiento y la
estarán en uso en 2015, un 30% desde el año pasado.
productividad.
Por eso, la firma espera de fabricación, servicios
Si desea obtener una verdadera evaluación de la
públicos y las industrias de transporte verán al máximo
seguridad de su empresa, crea una conexión
el uso de la Internet de las Cosas (IoT) - con 736
Check
millones de cosas conectadas combinados. En 2020, se
www.checkpoint.com/resources/securitycheckup.
espera ver 25 mil millones de cosas conectadas.
O bien, para aprender más acerca de Check Point
34
Point
Security
Check
Up
en
y cómo podemos ayudar a proteger su negocio, por favor visite www.checkpoint.com.
“Lo más riesgoso que podemos hacer es simplemente mantener el estatus quo.”35 -Bob Iger, businessman, chairman/CEO of Walt Disney Company
CONCLUSIONES Y RECOMENDACIONES: LA VÍA A LA PROTECCIÓN | 59
REFERENCIAS 1
Stoll, Cliff. “The Call to Learn.” TED Talk. February 2006.
2
Obama, Barack. The Cybersecurity and Consumer Protection Summit. February 13, 2015.
3
Check Point Software Technologies. http://www.checkpoint.com/resources/securitycheckup/
4
AV-Test. http://www.av-test.org/en/statistics/malware/
5
Lacy, Sarah. “The Irony of the Social Media Era: It Was Created By the World’s Least Social People.” Huffington Post, July 15, 2012. http://www.huffingtonpost.com/sarah-lacy/social-media-entrepreneursmark-zuckerberg_b_1518471.html
6
Amira, Dan. “Q&A With Nate Silver on His New Book, Whether Romney Has a Shot, and Why He Doesn’t Play Fantasy Baseball Anymore.” New York Magazine, September 28, 2012. http://nymag.com/daily/intelligencer/2012/09/nate-silver-book-signal-noise-interview.html
7
Check Point Software Technologies. “The Unknown 300 Test Report,” 2014. https://www.checkpoint.com/downloads/300TestReport.pdf
8
Saint-Exupery, Antoine de. Wind, Sand and Stars, 1939.
9
Pareles, Jon. “Madonna on ‘Rebel Heart,’ Her Fall and More.” The New York Times, March 5, 2015. http://nyti.ms/1A29332
10
Spamhaus. “The Spamhaus Project.” http://www.spamhaus.org/news/article/720/spamhaus-botnetsummary-2014
11 Ward, Jillian. “Power Network Under Ciber-Attack Sees U.K. Increase Defenses,” Bloomberg Business,
January 8, 2015. http://www.bloomberg.com/news/articles/2015-01-09/power-grid-under-Ciber-attackevery-minute-sees-u-k-up-defenses 12 Prince, Brian. “Almost 70 Percent of Critical Infrastructure Companies Breached in Last 12 Months:
Survey,” SecurityWeek, July 14, 2014. http://www.securityweek.com/almost-70-percent-criticalinfrastructure-companies-breached-last-12-months-survey 13 CVE Details. http://www.cvedetails.com/browse-by-date.php; http://www.cvedetails.com/top-50-
vendors.php?year=2014 14 Kirk, Jeremy. “An SDN vulnerability forced OpenDaylight to focus on security,” CSO, March 25, 2015.
http://www.csoonline.com/article/2902902/vulnerabilities/an-sdn-vulnerability-forced-opendaylightto-focus-on-security.html 15 Reilly, Claire and Musil, Steven. CNET, September 24, 2014.
http://www.cnet.com/news/bigger-than-heartbleed-bash-bug-could-leave-it-systems-shellshocked/ 16 Gilbert, David. “What is POODLE? The Latest Online Security Threat After Shellshock and Heartbleed,”
International Business Times, October 16, 2014. http://www.ibtimes.co.uk/what-poodle-latest-onlinesecurity-threat-after-shellshock-heartbleed-1470300
60 | REFERENCIAS
17 Singh, Anita. “Hay Festival 2012: Salman Rushdie on security and The Satanic Verses,” The Telegraph,
June 3, 2012. http://www.telegraph.co.uk/culture/hay-festival/9309641/Hay-Festival-2012-SalmanRushdie-on-security-and-The-Satanic-Verses.html 18 Pinter, Harold. The Homecoming, 1965. 19 Lunden, Ingrid. “Led By iPhone 6, Apple Passed Samsung In Q4 Smartphone Sales, 1.9B Mobiles Sold
Overall In 2014,” TechCrunch, March 3, 2015. http://techcrunch.com/2015/03/03/led-by-iphone-6-applepassed-samsung-in-q4-smartphone-sales-1-9b-mobiles-sold-overall-in-2014/#.w6n4vv:a9vl 20 Gartner. January 5, 2015. http://www.gartner.com/newsroom/id/2954317 21 Taft, Darryl K. “IBM Study Shows Mobile App Developers Neglecting Security,” eWeek, March 21, 2015.
http://www.eweek.com/developer/ibm-study-shows-mobile-app-developers-neglecting-security.html 22 Schroeder, Stan. “Android Malware Spies on You Even After Phone Is Shut Down,” Mashable,
February 19, 2015. http://mashable.com/2015/02/19/android-malware-spies-shut-down/ 23 Schawbel, Dan. “Eric Schmidt and Jonathan Rosenberg: What We Can Learn From Google,” Forbes,
September 23, 2014. http://www.forbes.com/sites/danschawbel/2014/09/23/eric-schmidt-andjonathan-rosenberg-what-we-can-learn-from-google/ 24 Battelle, John. “Thoughts on Ford’s OpenXC: In the Future, Brands with Open Data Will Win,”
August 18, 2013. http://battellemedia.com/archives/2013/08/thoughts-on-fords-openxc-in-the-futurebrands-with-open-data-will-win.php 25 Irion, Robert. “Opening Strange Portals in Physics,” Smithsonian Magazine, December 2011.
http://teachers.smithsonian.com/science-nature/opening-strange-portals-in-physics-92901090/?all 26 Giovanni, Nikki. Black Feeling, Black Talk, Black Judgment, 1970. 27 United States Computer Emergency Readiness Team. US-CERT, August 27, 2014.
https://www.us-cert.gov/ncas/alerts/TA14-212A 28 LexisNexis. “2014 LexisNexis® True Cost of FraudSM Study.”
http://www.lexisnexis.com/risk/downloads/assets/true-cost-fraud-2014.pdf 29 Schwartz, Larry. “Joyner Kersee Completes Huge Leap,” ESPN.com.
https://espn.go.com/sportscentury/features/00016055.html 30 Reagan, Ronald. “Address Before a Joint Session of the Tennessee State Legislature in Nashville,”
March 15, 1982. http://www.presidency.ucsb.edu/ws/?pid=42270 31 Paglieri, Jose. “Russia Attacks U.S. Oil and Gas Companies in Massive Hack,” CNN Money, July 2, 2014.
http://money.cnn.com/2014/07/02/technology/security/russian-hackers/
REFERENCIAS | 61
32 Vijayan, Jai. “Rush To Release Resulting In Vulnerable Mobile Apps,” Dark Reading, March 20, 2015.
http://www.darkreading.com/attacks-breaches/rush-to-release-resulting-in-vulnerable-mobileapps/d/d-id/1319566 33 ABI Research. “Wearable Computing Devices, Like Apple’s iWatch, Will Exceed 485 Million Annual
Shipments by 2018,” ABIResearch.com, February 21, 2013. https://www.abiresearch.com/press/wearable-computing-devices-like-apples-iwatch-will/ 34 Moore, Michael. “Internet Of Things To Hit 4.9 Billion Things By 2015,” TechWeekEurope, November 11,
2014. http://www.techweekeurope.co.uk/e-innovation/internet-of-things-4-9bn-gartner-155298 35 Iger, Bob. Disney Shareholder Meeting, Anaheim, NBC News, March 3, 2006.
http://www.nbcnews.com/id/11767409/ns/business-us_business/t/pixars-star-disneyshareholders-meeting/#.VSRlovnF9Zt
62 | REFERENCIAS