martes, 25 de julio de 2017

A un año de No More Ransom: La concientización sigue siendo una medida fundamental

A un año de No More Ransom: La concientización sigue siendo una medida fundamental

  

No More Ransom celebra su primer año, con más de 28.000 dispositivos descifrados y más de 100 Partners alrededor del mundo

Hace un año, el 25 de julio de 2016, la iniciativa No More Ransom fue lanzada por la Policía Nacional Holandesa, Europol, McAfee y Kaspersky Lab. Al día de hoy, ya son más de 100 los Partners que se han unido a ella, mientras los principales ataques de ransomware continúan dominando las noticias y golpeando a empresas, gobiernos e individuos de todo el mundo.


La amenaza del ransomware está aumentando

El Ransomware se ha disparado desde 2012, con los criminales atraídos por la promesa de beneficios económicos y facilidad de implementación. La amenaza continúa evolucionando, volviéndose más furtiva y más destructiva, y está dirigiéndose cada vez más a las empresas por sobre las personas particulares, porque los retornos potenciales son mucho más altos.

El ataque indiscriminado de WannaCry a mediados de mayo causó más de 300.000 víctimas comerciales en 150 países en sus primeros días, paralizando infraestructuras críticas y negocios. Algunas organizaciones todavía están luchando para recuperarse de los ataques de ExPetya del 27 de junio.

El número total de usuarios que se enfrentaron a un Ransomware entre abril de 2016 y marzo de 2017 aumentó un 11,4% en comparación con los 12 meses anteriores, de 2.315.931 a 2.581.026 usuarios de todo el mundo. Las estadísticas indican que estamos en presencia de la epidemia mundial de Ransomware.


El primer año de No More Ransom en números

El sitio cuenta actualmente con 54 herramientas de descifrado, proporcionadas por 9 Partners, que cubren 104 tipos (familias) de Ransomware. Hasta el momento, estas herramientas han conseguido descifrar más de 28.000 dispositivos, privando a los cibercriminales de unos 8 millones de euros en rescates.

El portal ha contado con más de 1,3 millones de visitantes únicos. El 14 de mayo, durante la crisis de WannaCry, 150.000 personas visitaron el sitio web.

La plataforma No More Ransom ya está disponible en 26 idiomas, con las adiciones más recientes: búlgaro, chino, checo, griego, húngaro, indonesio, malayo, noruego, rumano, sueco, tamil y tailandés.


Más de 100 Partners: Sin fronteras entre privados, públicos o competidores

No More Ransom cuenta ahora con 109 Partners. Las últimas incorporaciones incluyen, desde el sector privado: Abelssoft, Ascora GmbH, Barclays, Bitsight, Universidad de Bournemouth, CERT.BE, Claranet, CERT PSE, Agencia de Seguridad Cibernética de Singapur (CSA), ESTSecurity, Fortinet, Global Forum (GFCE), InterWorks, IPA (Agencia de Promoción de la Tecnología de la Información, Japón), KISA (Korea Internet & Security Agency), Munich RE, TWCERT / CC, LLC, Universidad de Porto y vpnMentor.

Se han unido también cuatro agencias policiales, provenientes de República Checa, Grecia, Hong Kong e Irán.

El éxito de la iniciativa No More Ransom es un éxito compartido, que no puede lograrse solo por las agencias policiales ni por la industria privada. Al unir fuerzas, mejoramos nuestra capacidad para enfrentar a los criminales y poder detenerlos en su intento de dañar a personas, negocios e infraestructura crítica, de una vez por todas.


No hay mejor cura que la prevención

A pesar de todo esto, no hay mejor cura que la prevención. Los usuarios de Internet deben evitar ser víctimas, y para eso deben conocer qué es el Ransomware y ser conscientes de las consecuencias que puede tener una infección de este tipo tanto para la organización en la cual trabajan como en sus propios hogares.

Además, deben conocer las vías comunes de infección del Ransomware, y lo más importante de todo, desarrollar hábitos y conductas seguras que sirvan como barrera para evitar este tipo de infecciones. Esto es así ya que los delincuentes suelen apuntar a las personas a la hora de buscar un factor a vulnerar con el objetivo de instalar un Ransomware. La mejor forma de alcanzar todo este conocimiento y hábitos seguros para los usuarios dentro de una organización es mediante un plan de Concientización o Awareness.

Nuestro compromiso continúa

Desde SMARTFENSE continuamos profundamente comprometidos en la lucha contra el Ransomware y seguiremos, junto con todos nuestros aliados en No More Ransom, dando pelea día a día contra esta gran amenaza.
Leer Más

viernes, 21 de julio de 2017

El cambio de comportamiento y una (de muchas) técnica para lograrlo

El cambio de comportamiento y una (de muchas) técnica para lograrlo


Sobre el cambio de comportamiento

Muchas veces escuchamos hablar sobre “Concientizar a los usuarios”, pero, ¿Qué es realmente?

Mucho se ha hablado ya acerca de que los usuarios son el eslabón más débil de una organización. Esto es así cuando dichos usuarios no han pasado por un correcto proceso de concientización. Concientizar significa incluir a los usuarios de una organización en la estrategia de seguridad de la misma, y lograr un cambio de comportamiento en ellos, mediante el desarrollo de hábitos seguros. De esta manera, se logra convertir al usuario en un aliado para la Seguridad de la Información de la organización y se alcanza el desarrollo de una nueva y muy importante capa de seguridad para ella.

De todas formas, muchas veces se emprende un plan de Concientización sólo para dar cumplimiento a una norma o política interna de la organización. De esta manera, los planes (y la inversión para llevarlos adelante) se convierten en un tilde en el checklist de un auditor y una falsa apariencia de seguridad.

Este enfoque de concientizar sólo para cumplir, viene dado porque las técnicas y herramientas utilizadas para llevar adelante planes de Awareness no suelen ser las apropiadas. Esto genera un prejuicio alrededor del cambio de hábitos en los usuarios finales, donde se cree que es, o bien muy difícil de lograr, o hasta imposible. Entonces, “lo mejor” pasa a ser educar para cumplir, e intentar parchear el gran agujero de seguridad que queda con controles tecnológicos que, si bien hacen su mejor esfuerzo, no logran detener todos los ataques dirigidos a los usuarios.

Resumiendo: Concientizar es importante, ya que el usuario está continuamente en la mira de los ciberdelincuentes, y las soluciones tecnológicas por sí solas no son suficientes para detenerlos. Y muy importante: Concientizar es posible.

Dicho esto, vamos a ver una de las técnicas (de muchas) que debemos tener en nuestro portafolio a la hora de llevar adelante un cambio de comportamiento exitoso en los usuarios de nuestra organización: El Refuerzo Positivo.

nota: si estás pensando que concientizar (de verdad, no sólo para cumplir) es un proceso en el que hay que tener en cuenta muchas técnicas, herramientas y metodologías, estás en lo cierto. Pero para tu suerte, existen plataformas que integran las mejores prácticas para que hacerlo se convierta en una tarea simple y efectiva.

Corregir con lapicera verde

El Refuerzo Positivo es una forma diferente de encarar un proceso de cambio de hábitos. La mayoría de las veces, durante la enseñanza, la persona a cargo de la misma se enfoca en destacar errores, con el objetivo de que éstos se reconozcan y se eviten. Esto sucede también en la mayoría de los entrenamientos asistidos por computadora.

Si nos ponemos en el lugar de una persona cualquiera dentro de nuestra organización, con todas sus tareas, obligaciones y estrés del día, lo que menos querrá es que remarquen, continuamente, cada cosa que hace mal. Menos, tendrá interés de rehacer una capacitación en la que no logró determinada nota, o quedar "trabada" por no encontrar una solución correcta.
Aquí entra en juego el Refuerzo Positivo. Esta técnica consiste en centrar la atención en lo positivo y no limitarse sólo a destacar los errores. Tiene su origen en la Psicología, como no podía ser de otra manera, puntualmente en el "Reforzamiento".

Reforzamiento: procedimiento mediante el cual la aplicación de un estímulo (llamado reforzador) hace que aumente la probabilidad de que una conducta se repita en el futuro.
El Refuerzo Positivo entonces tiene lugar cuando una respuesta va seguida de una recompensa o cualquier otro evento positivo, y aumenta la probabilidad de que ésta vuelva a ocurrir.

Este cambio de enfoque, trae consigo una multitud de ventajas:

Afianza los conocimientos

Contribuye a afianzar lo bueno o correcto y a desechar lo negativo o incorrecto.

Estimula el esfuerzo

Al sentir que se reconoce algo que ha hecho correctamente, la persona va a valorarlo y se sentirá más predispuesta a continuar con su capacitación.

Fomenta la receptividad

Si nos limitamos a criticar y destacar los fallos, la persona acabará perdiendo el interés y abandonará su capacitación. Si la misma es obligatoria, la hará a la fuerza, pero sin asimilar ninguna enseñanza. En cambio, al incluir comentarios positivos y señalar lo que hace bien contribuiremos a que la persona esté más receptiva y asimile mucho mejor cuál es el camino correcto.

Motiva y crea conductas

A través del reconocimiento de sus aciertos ofrecemos a la persona un estímulo, despertamos sus ganas de actuar correctamente y hacer bien las cosas.

El método del refuerzo positivo contribuirá a motivar a la persona en busca del premio o aprobación por sus aciertos, pero creará también una conducta, un hábito que formará parte de su personalidad.

Cuando una persona está ya bajo el control del reforzamiento positivo, tiende a actuar sin que haya un motivo o causa antecedente o previa. De esta forma, llevará a cabo los comportamientos inducidos con "libertad". Y cuando hay sensación de libertad, no hay control aparente, lo cual es positivo ya que cuando hay control la gente se molesta, trata de huir, reclama, se queja, y ejerce la rebeldía.

Mejora la autoestima

Ayudamos a la persona a detectar sus fortalezas y mejorar su autoestima, evitamos el desánimo y la frustración y contribuimos a que construya una imagen de sí misma real y positiva. Además, logramos que la persona pase un buen momento dentro de la capacitación y su predisposición a este tipo de campañas de concientización sea positiva.

Conclusión

A la hora de elaborar una metodología para llevar adelante un Plan de Concientización tengamos en cuenta el concepto del Refuerzo Positivo. Si vamos a utilizar una herramienta para llevarlo a cabo, entonces seleccionemos una que tenga en cuenta este concepto.
Éste, será uno de varios elementos que nos ayudarán a crear un cambio de comportamiento real en los usuarios de nuestra organización y en consecuencia una capa de seguridad muy importante para ella. Y, no menos importante, hará que el área de seguridad sea vista con ojos amigables, como un aliado dispuesto a ayudar a los usuarios y reconocer de buena manera sus aciertos.

Fuentes

Leer Más

viernes, 7 de julio de 2017

El Arte de Engañar al Usuario - Parte 4: Ataques remotos

El Arte de Engañar al Usuario - Parte 4: Ataques remotos


EN ESTA CUARTA ENTREGA DE LA SERIE “EL ARTE DE ENGAÑAR AL USUARIO” ANALIZAREMOS LOS TIPOS DE ATAQUES UTILIZADOS POR LOS INGENIEROS SOCIALES DE MANERA REMOTA, DIFERENCIÁNDOLOS ASÍ DE LOS ATAQUES REALIZADOS DE MANERA LOCAL, YA VISTOS EN LA PARTE 3.

Cuándo se utilizan

Tanto durante la fase de “Desarrollo de la relación” como así también la de “Explotación de la relación” el Ingeniero Social puede utilizar diferentes tipos de técnicas y ataques.

Una forma de clasificar los ataques es dividiendo los mismos entre aquellos que se realizan en forma remota, a través de internet, teléfono, u otro medio a distancia, y aquellos que se realizan en forma local.

En este post nos enfocaremos en los ataques realizados por el Ingeniero Social en forma remota.

Phishing

Tal como su nombre lo indica esta técnica busca “pescar” víctimas. Generalmente se utiliza para ello el envío de correos electrónicos conteniendo adjuntos con malware, links a páginas falsas, o simples solicitudes de información, con el objetivo de tomar control del equipo de la víctima o buscando establecer una relación con la mismas (jugando con sus sentimientos).

Un ejemplo muy usado es cuando el atacante se presenta como una anciana que posee una enfermedad mortal y la misma tiene dinero (generalmente son sumas millonarias) que quiere donar para beneficencia. Al estar sola y no tener familiares, eligió a la víctima por su “buen perfil” en Internet, proponiéndole transferir el dinero a su cuenta dejándole un porcentaje siempre y cuando se cumpla la condición de que el resto del dinero sea donado con fines solidarios.

El objetivo final de este tipo de Phishing generalmente es hacerse de documentos o pasaportes válidos para seguir cometiendo fraudes con los mismos (piden a la víctima que le envíe distintos datos personales como así también fotocopia de documento para “verificar” su identidad) y además una suma pequeña de dinero (para no levantar sospechas) que la víctima tendrá que transferir al atacante en concepto de gastos de escribano, sellados, etc.

Esta técnica se vuelve aún más peligrosa y efectiva cuando es apuntada a un objetivo específico como por ejemplo un empleado que tiene acceso a diferentes sistemas dentro de su empresa. En este caso se la conoce como Spear Phishing ya que más que pescar sería cazar con un arpón.

Redes Sociales

Esta técnica tiene dos grandes objetivos, obtener información de la víctima por un lado y generar una relación con la misma por otro.

Existen muchas personas “fanáticas” de las redes sociales, las cuales dan a conocer su vida minuto a minuto, en este caso este tipo de persona es “Oro en Polvo” para los atacantes ya que si la misma es el objetivo se podrá obtener muchísima información que será de gran utilidad.

Muchas veces se piensa que esto es solo a nivel personal y no está relacionado con el trabajo pero muy lejos de la realidad está ese pensamiento ya que quizás esta misma persona (víctima) cumple al pie de la letra las políticas de seguridad de su empresa, pero a nivel personal usa las redes sociales sin concientizarse de la brecha de seguridad que está generando si un atacante lo elige como objetivo.

Telefónicos

Kevin Mitnick fue un famoso Phreaker (Hacker Telefónico), que con el sólo uso de un teléfono logró hacer cosas increíbles.

Este tipo de ataque es muy efectivo y utilizado en conjunto con las técnicas de “Pretexting” e “Impersonate” vistas en el post anterior, siendo mucho más cómodo y seguro para el Ingeniero Social usar un teléfono a contraparte de estar en forma presencial delante de su víctima.

Sobre esta serie

Este es el cuarto de una serie de posts sobre la Ingeniería Social. En las próximas publicaciones conoceremos las medidas de protección que las organizaciones deben tener en cuenta para proteger a su personal de esta gran amenaza y algunos datos curiosos sobre reconocidos Ingenieros Sociales.
Leer Más

martes, 27 de junio de 2017

Seguridad, Confianza y Garantía en la Nube [Actualizado]

Seguridad, Confianza y Garantía en la Nube [Actualizado]


Recientemente, en SMARTFENSE, hemos dado un gran paso en el compromiso con la Seguridad de la Información de nuestra plataforma, dándonos de alta en el programa CSA STAR (CSA Security, Trust & Assurance Registry).

Dicho programa, es el programa más potente de la industria para garantizar la seguridad en la nube, y abarca los principios clave de transparencia, auditoría y armonización de normas.

STAR consta de tres niveles de aseguramiento, y se basa en una lista completa de objetivos de control centrados en la nube, que recibe el nombre de Cloud Controls Matrix (CCM). CCM es el único meta-marco de controles de seguridad específicos de la nube, y está mapeado a los principales estándares, las mejores prácticas y regulaciones. Esto lo convierte en la herramienta por excelencia para las organizaciones que buscan obtener la estructura, detalle y claridad necesarios en relación con la Seguridad de la Información en la nube.

Beneficios para los usuarios de servicios en la nube

Este programa, accesible al público, está diseñado para que los usuarios de servicios en la nube evalúen a sus proveedores de nube, proveedores de seguridad y empresas de servicios de asesoría y evaluación para tomar las mejores decisiones de adquisición.

De esta manera, todas las personas interesadas en la plataforma SMARTFENSE, tendrán una fuente confiable y objetiva de información para poner sobre la balanza a la hora de evaluar la adopción de la plataforma.

Acerca de la CSA

La Cloud Security Alliance (CSA) Es una organización sin fines de lucro con la misión de promover el uso de las mejores prácticas para ofrecer garantías de seguridad en “Cloud Computing” y proporcionar educación sobre los usos de la computación en la nube, a fin de que las empresas puedan adoptar el concepto en sus organizaciones.

Cloud Security Alliance (CSA) está dirigida por una amplia coalición de corporaciones, asociaciones y profesionales de la industria.

SMARTFENSE Sponsor de la CSA SUMMIT 2017

De la misma manera que el pasado año, el capítulo de Argentina de la CSA vuelve a organizar una conferencia de alto nivel para aprender sobre el progreso de las empresas en el cambio de la Computación en la Nube y las nuevas tendencias clave en Seguridad de la Información.

Como no podía ser de otra manera, para remarcar nuestro compromiso con la seguridad en la nube, hemos decidido ser sponsors de este gran evento, que se llevó a cabo en la ciudad de Buenos Aires el 29 de Junio del corriente año.

Algunas fotos del evento

 

 
 
 

Leer Más

miércoles, 21 de junio de 2017

Adjuntos de emails con extensiones peligrosas: protección en capas

Adjuntos de emails con extensiones peligrosas: protección en capas



Tal como se comentó en el post Phishing y Ransomware últimas tendencias de protección (Recursos), acerca del bloqueo de archivos adjuntos a correos electrónicos con extensiones potencialmente peligrosas, en el presente post se expondrán distintas barreras de seguridad para realizar dicho bloqueo en un entorno Microsoft, con Exchange como servidor y Outlook como cliente de correo.

Cuando hablamos de extensiones peligrosas, hacemos referencia a archivos ejecutables o scripts, como ser: .exe, .bat, .vbs, .cab, .scr, .ps1, .js, entre otras.

La importancia de la seguridad en capas

La importancia de aplicar controles en diferentes puntos de la organización radica en la disminución del riesgo de ser víctima de un ataque, en este caso, a través de archivos maliciosos adjuntos en correos electrónicos. Por lo tanto, si el atacante evade algún control, habrá otros detrás que le complicarán el cumplimiento de su objetivo.

Aplicando la defensa en profundidad

La defensa en profundidad es uno de los principios de Seguridad de la Información y para este caso particular, se aplica de la siguiente manera:

Bloqueo a nivel de servidor de correo

Todos los servidores de correos actuales tienen la posibilidad de realizar el bloqueo de archivos adjuntos con extensiones peligrosas para evitar que llegue a la bandeja de entrada de los usuarios.

En el artículo para Microsoft Exchange 2016 (y anteriores) se explica cómo hacer dichos bloqueos.

Bloqueo a nivel de sistema operativo

La protección a este nivel es importante dado que, dependiendo de los permisos que tenga el usuario para descargar archivos de Internet, es posible que descargue malware, independiente a la posibilidad que le llegue un correo malicioso a la bandeja de entrada.

Para el caso de sistemas Windows, es posible realizar un bloqueo de extensiones desactivando la aplicación Windows Script Host a través del registro o creando una GPO. En este artículo se explica cómo hacerlo.

Bloqueo a nivel de cliente de correo

Otro punto importante para evitar que un correo electrónico con un adjunto malicioso llegue al buzón del usuario es realizar el filtrado en el mismo cliente de correo, en este caso, Microsoft Outlook. Este enlace proporciona información para un entorno donde no se utilice Exchange y tenga instalado Outlook Security Administrator Package.

Como información adicional, en la sección Comportamiento de datos adjuntos de este artículo, se explica cómo funciona el cliente de Microsoft Outlook 2007, 2003, 2002 y 2000, y aquí aparece un listado de las extensiones que bloquea Microsoft Outlook por defecto.

En el caso que utilice Windows Live Mail, es conveniente revisar si está activada la opción de bloqueo de archivos adjuntos potencialmente peligrosos. Para ello siga las siguientes instrucciones:

Seleccione el menú del extremo superior izquierdo -> Opciones -> Opciones de seguridad…


Diríjase a la solapa Seguridad -> Tilde la opción No permitir que se guarden ni abran datos adjuntos que puedan contener virus.

win-mail-config2.png


Políticas de Windows

En caso de administrar un entorno Windows, es posible crear un objeto de directiva de grupo (GPO) para implementar controles de forma masiva. Algunos de ellos son:

Restricción de la ejecución de archivos desde las carpetas que utilizan los clientes de correo

En varios casos se guardan en la carpeta TEMP. https://msdn.microsoft.com/es-es/library/hh994580(v=ws.11).aspx

Mostrar extensiones de archivos

Es importante conocer qué tipo de archivo estamos por abrir, ya que en caso de recibir un correo cuyo adjunto sea .pdf.exe, .doc.exe, .xls.js, etc., si no se tiene configurada esta opción, el receptor podrá visualizar que el documento es .pdf,.doc,.xls, etc. Para ello es posible configurarlo:

- Localmente en una estación de trabajo

https://support.microsoft.com/es-ar/help/865219/how-to-show-or-hide-file-name-extensions-in-windows-explorer

- Por GPO (si tiene un servidor con Active Directory)


Dirijase a Configuración de usuario -> Preferencias -> Configuración del Panel de control -> Opciones de carpeta -> Nuevo -> Opciones de carpeta (como mínimo, Windows Vista)


Destilde la opción Ocultar las extensiones para tipos de archivos conocidos


Concientización

Como venimos mencionando en otros posts de nuestro blog, es fundamental informar y educar a los usuarios, entre otros temas, respecto a la forma en que los ciberdelincuentes los pueden engañar o persuadir para que abran un archivo adjunto a un email, de manera que sepan cómo actuar en caso que los ataquen.

Conclusión

Podemos concluir que una sola medida de seguridad es insuficiente. Si queremos minimizar los riesgos de ser víctima de este tipo de ciberataques, es necesario implementar controles en diferentes capas de la infraestructura, incluidas las personas.

De esta manera, lograremos contener los intentos de infección a través de archivos adjuntos maliciosos enviados a través de correos electrónicos… ¡Manos a la obra!
Leer Más