lunes, 20 de diciembre de 2021
martes, 9 de noviembre de 2021
¿Un año concienciando? ¡Listo!
Gestión de riesgos
Cultura segura
- Los miembros del equipo van cambiando, hay rotación, y nuevos empleados también requieren ser concienciados.
- Las personas olvidan conceptos aprendidos y pierden hábitos si no se le refuerzan
- Sin estímulos, las personas no permanecen atentas a los riesgos
Actualización
Regulaciones y Normativas
Imagen del área de seguridad
Ideas finales
martes, 5 de octubre de 2021
Casi 20 años del estándar para programas de concientización, NIST Special Publication 800-50
Estructura
- Diseño del programa: Se conduce un relevamiento dentro de la organización y, a partir de su resultado, se desarrolla y aprueba la estrategia a seguir durante el programa, alineada a la misión de la organización.
- Desarrollo del material: Se evalúa el alcance del entrenamiento deseado, el contenido necesario para cubrirlo y las posibles fuentes para desarrollarlo.
- Implementación del programa: Se comunica y lanza el programa de concientización y entrenamiento, a través de los medios definidos en la estrategia.
- Post implementación: Se busca mantener una ejecución continua del programa y monitorear su efectividad.
Alcance
- Educación puntual de los usuarios técnicos relacionados al área de tecnología
- Entrenamiento especial en seguridad para desarrollar habilidades específicas para distintos roles funcionales dentro de la organización.
- Desarrollo de profesionales especialistas en seguridad informática
Modelos de implementación
- Centralizado: Toda la responsabilidad recae en una autoridad central, por ejemplo el CIO.
- Parcialmente descentralizado: La autoridad central se ocupa de desarrollar una política y una estrategia de implementación. La implementación se distribuye entre distintas áreas funcionales.
- Totalmente descentralizado: La autoridad central únicamente desarrolla una política, pero la estrategia y la implementación recae en distintas áreas funcionales.
Cambios y continuidades
Concepto de Concientización
Contenidos de Concientización
Simulaciones
Modelos de implementación
Conclusiones
jueves, 16 de septiembre de 2021
Un nuevo informe sobre Moodle, mi experiencia personal, y algunas verdades más
Principales hallazgos del informe sobre “Moodlelandia”
- Casi la mitad de las instalaciones de Moodle utilizan versiones ya no soportadas por el desarrollador.
- No se encontró ninguna instalación con la última versión y completamente actualizada a la fecha.
- Sólo un tercio de los sitios utilizan comunicaciones cifradas (HTTPS).
- En más de la mitad de los casos, fue posible encontrar archivos de configuración sin protección y no se observó ningún proceso de hardening; sólo un quince por ciento ha decidido proteger de alguna manera la versión de la plataforma de instalación (sistema operativo, servidor web o versión de Moodle).
- Aproximadamente un tercio de los sitios analizados contienen al menos una vulnerabilidad pública, conocida y documentada (con CVE asignado).
- Fue posible identificar más de cincuenta vulnerabilidades distintas en todos los sitios analizados y con un promedio de cinco vulnerabilidades por sitio.”
Mi propio trabajo investigativo
¿Por qué este informe es tan representativo de la realidad?
- ¿Es Moodle la solución que necesito?
- ¿Debo agregarlo en mi infraestructura?
Preguntas elementales
- En primer lugar, cuando estaba trabajando en la organización que les vengo mencionando y decidí lanzarme como emprendedor a crear una plataforma desde cero para cumplir las necesidades que Moodle no satisfacía, el CTO de turno me dijo: “Buena suerte, pero no hay algo más allá de Moodle” (Me sentí Neo de Matrix).
- En segundo lugar, cuando estuve en la Expo E-learning en Madrid en 2018, allí solo con mi stand en medio de muchos otros rindiendo culto a Moodle, recaí en la cuenta que éramos una de las pocas plataformas en toda la feria que no estaba basada en tal sistema.
Respuestas no tan difíciles, pero duras
Nuestro rol como CISOs
martes, 24 de agosto de 2021
Así de fácil: la implementación de SMARTFENSE
- Configurar una cuenta de correo en un servidor SMTP que brinde la posibilidad de hacer Spoofing y un servidor web para alojar la página de destino de la simulación de Phishing.
- Aplicar las medidas de seguridad pertinentes en ambos servidores para proteger la seguridad de la información.
- Adquirir y configurar dominios para envío de correos de simulación de Phishing y para navegación web del sitio de Phishing simulado, con sus respectivos certificados SSL y registros SPF, DKIM y DMARC.
- Elaborar un plan de contingencia para los dominios de simulación que caigan en listas negras globales y un procedimiento de actualización y hardening de la infraestructura definida.
- Entre otros
Claro, bien definido y sencillo
- Seleccionar un método de importación y de autenticación de usuarios.
- Realizar un proceso de Whitelist para garantizar resultados reales en las campañas de Phishing o Ransomware lanzadas.
- Personalizar todo lo que se desee: contenidos, notificaciones, reportes, variables organizacionales, logotipos, etc.
- Lanzar campañas de prueba previas a las campañas reales para comprobar el funcionamiento esperado.
Importación y autenticación de usuarios
Proceso de Whitelist
Personalización
Campañas de prueba
Tiempo de implementación
Soporte del partner integrador
lunes, 19 de julio de 2021
Ataques BEC y EAC: ¿Cuáles son las diferencias y cómo protegernos?
Diferentes, pero no tanto
Ataques BEC (Business Email Compromise)
Ataques EAC (Email Account Compromise)
- Robo de credenciales a través de Phishing
- Consulta de credenciales filtradas
- Técnicas de fuerza bruta
- Malware
- Historial de correos y destinatarios comunes
- Archivos adjuntos enviados y recibidos
- Firma
- Configuraciones
Cómo protegernos
Reflexiones finales
jueves, 1 de julio de 2021
Cómo alojar un Phishing en los servidores de Google
Paso a paso para hostear la trampa de Phishing
1. Elaborar y subir el código HTML
2. Publicar el sitio en Google Docs
3. Salir de pesca
Implicancias
martes, 29 de junio de 2021
¡Deja ya de hacer Simulaciones de Phishing! ¿En serio?
Uno a uno, destrucción de los argumentos contra las Simulaciones de Phishing
Argumento: Las Simulaciones de Phishing no sirven para concientizar a los usuarios
- Establecer una línea base del nivel de riesgo de nuestra organización frente a un ataque de Phishing
- Medir de manera objetiva el progreso de nuestro plan continuo de concientización
- Mantener a nuestros usuarios atentos y poner en práctica los mecanismos de reporte de incidentes
- Concientizar a nuestros usuarios
Argumento: Las Simulaciones de Phishing únicamente pone a los usuarios en contra del Área de Seguridad. Por este motivo, saltean las medidas que tomamos y no reportan incidentes.
Argumento: Además, por más que haga Simulaciones de Phishing, nunca alcanzo a una métrica de cero clics.
Argumento: Los usuarios seguro pasan 1 segundo en los momentos educativos.
Argumento: Mejor invertir el tiempo en configurar herramientas tecnológicas. Además, con ellas se puede calcular el retorno de inversión.
Ideas finales
lunes, 14 de junio de 2021
OSINT para el bien y para el mal
¿Qué es OSINT?
- Investigaciones judiciales (por injurias, amenazas, extorsiones, etc.)
- Seguridad pública
- Monitoreo de amenazas
- Monitoreo de eventos públicos
- Investigaciones corporativas
- Protección de ejecutivos
- Reputación empresarial
- Análisis de fraudes
- Seguridad financiera
- Inteligencia competitiva
- Marketing
- Recursos Humanos (por ejemplo, para estudios previos a la contratación de una persona)
Fuentes abiertas, una definición no tan certera
- Medios de comunicación (diarios, revistas, televisión, etc)
- Información gubernamental
- Información financiera (pública)
- Redes sociales, foros, etc
- Eventos, papers y otras publicaciones institucionales
Los Selectores, claves en la búsqueda de información en fuentes abiertas
- Nombre
- Correo
- Alias/Nick
- Número de teléfono
- Empresa
- Documento de Identidad
- Foto
- Video
- Evento
Fases del ciclo OSINT
- Requisitos: definición de requisitos y objetivos concretos.
- Fuentes de información: definición de las fuentes de información como así también los medios, recursos y herramientas a utilizar.
- Adquisición: recolección y almacenamiento de la información.
- Procesamiento: formato a la información obtenida, y preparación para su posterior análisis.
- Análisis: análisis de la información recopilada y su procesamiento aplicando inteligencia, según el objetivo en concreto.
- Presentación de inteligencia: generación de un informe comprensible, alineado con el objetivo del proyecto.
Los flujos de trabajo
Caso de uso
- Correo electrónico
- Redes sociales
- Alias/Nickname
- Dirección
- Teléfono
- Familiares
Conclusión
lunes, 31 de mayo de 2021
¿Por qué simular Ransomware?
La Organización Europea de Ciberseguridad ECSO (European Cybersecurity Organization) propone el mes de mayo como el momento del año para reflexionar sobre el Ransomware.
Siendo este tipo de malware el más atractivo para los ciberdelincuentes por su alto rendimiento económico, esperar a que comprometan nuestra organización es demasiado arriesgado y hasta irresponsable.
Hay muchas formas de prevenir, o mejor dicho, de gestionar un ataque de Ransomware, que ya son conocidas: tener al día la estrategia de backup, definir una clara política de actualizaciones de seguridad, armar una defensa del perímetro incluyendo protección de casillas de email, e invertir en el factor humano mediante programas de awareness. De hecho, la guía de OWASP para evitar infecciones de Ransomware describe una lista de 22 procedimientos para gestionar este tipo de infecciones.
Pero cada una de esas medidas deben ser probadas a priori para saber si funcionan correctamente, por ejemplo:
- hacer una prueba de recuperación de backups
- verificar que los sistemas están actualizados en su última versión
- hacer un pentest desde afuera de la organización
- verificar que los sistemas se ejecutan con mínimos privilegios
- testear los antivirus contra un Ransomware de última hora (¿lo haces?)
- medir el comportamiento de los usuarios, es decir, conocer sus hábitos ante posibles ataques de Ransomware
Sobre este último punto trata el presente artículo. Pues en general, todas las demás medidas solo se pondrán a prueba en escenarios reales si algún usuario comete una negligencia que pone en riesgo a la organización.
¿Cómo ingresa el Ransomware en la organización?
Si buscamos en Internet sobre los métodos utilizados por los ciberdelincuentes para ingresar Ransomware en las organizaciones vamos a encontrar respuestas esquivas, incluso en casos muy populares como Wannacry. En ese caso todavía no se sabe a ciencia cierta qué pasó, pero las 3 especulaciones más fuertes son:
- una campaña clásica de ingeniería social vía email,
- equipos expuestos por SMB (puerto 445) a Internet directamente,
- USB o ejecución directa de un binario malicioso.
Si buscamos para otros casos, también vamos a encontrar que los análisis suponen que el Ransomware estaba dentro de la organización y pudo reproducirse utilizando alguna vulnerabilidad específica de la red corporativa. Llama la atención que se ahonde sobre esto último y no sobre el motivo por el cual superó las barreras de protección y logró colarse.
El caso Wannacry es memorable. Recuerdo haberme preguntado “¿Por qué motivo una organización tan grande tendría un puerto como el SMB expuesto a internet?”. La respuesta oficial nunca llegó, pero tampoco se negó que ese puerto pudiera haber estado allí disponible para ser vulnerado.
También hubo otros ataques remotos que pudieron haber entrado por vulnerabilidades propias de software para acceso remoto (RDP por ejemplo). Y hablo en potencial porque si buscamos, volveremos a encontrar respuestas esquivas y nuevamente, foco en cómo se difundió en la organización.
Entonces, si bien podemos decir que los ataques remotos a vulnerabilidades son posibles, no se puede asegurar que ese sea el método principal de ingreso de Ransomware en la organización.
Los otros dos métodos son ataques directos al usuario final, sea por un email o un USB infectado. Si bien la respuesta que podemos encontrar en Internet tampoco es determinante, nosotros mismos podemos pensar cuál es el principal motivo por el cual los ataques de Ransomware siguen siendo tan efectivos, sobre todo en el ingreso.
Pensemos, ¿cuál de los tres métodos es el más usado por los ciberdelincuentes?:
- ingeniería social vía email
- ataque a un puerto expuesto vulnerable
- infección por un USB
O mejor aún, si nosotros fuéramos el ciberdelincuente, ¿qué método utilizaríamos?:
- uno que no requiera grandes conocimientos y sea fácilmente esparcible
- uno que requiera conocimientos técnicos medios o altos, y que solo pueda ser aplicado a ciertas organizaciones descuidadas
- uno que requiera presencia física en el lugar
Creo que la respuesta es bastante obvia.
¿Cómo evitar una infección de Ransomware?
Esa es otra pregunta que se responde normalmente con evasivas, y el foco principal reside en qué hacer una vez que algún equipo (o todos) ha sido infectado. Las medidas preventivas se repiten siempre:
- mantener los sistemas actualizados
- utilizar un software antimalware (si es anti Ransomware, mejor)
- utilizar privilegios mínimos
- proteger el perímetro
- proteger las casillas de email
- concienciar al usuario
Las primeras 5 prácticas son medidas técnicas que venimos escuchando desde los años 90. Sin embargo, no por conocidas han sido necesariamente aplicadas disciplinadamente, incluso en organizaciones con áreas de ciberseguridad muy grandes. No solo porque es difícil, costoso, aburrido y no siempre 100% efectivo, sino porque los sistemas son cada día más complejos y la interacción es tan grande, que incluso con personal, recursos y disciplina, se hace difícil de lograr y mantener en cualquier tamaño de organización.
La última medida, a pesar de que se podría asociar al usuario como el vector de ataque de Ransomware más probable, sigue teniendo una dedicación, inversión y foco bajo, comparativamente con las primeras recomendaciones.
Si suponemos que el vector principal de ataque es el usuario, ¿por qué no se invierte en su concientización?
Creo que muchos conocemos el chiste de aquel ebrio que busca las llaves en la luz, pero cuando le preguntan dónde se le cayeron dice que en otro lugar oscuro, pero prefiere buscarlas en la luz porque las vería iluminadas. Salvando las diferencias, pienso que podemos establecer una analogía: para muchos informáticos a cargo de la ciberseguridad es más cómodo implementar herramientas tecnológicas, suponiendo que ellas servirán de barrera frente a todos los ataques.
Siendo que hay tanto por mejorar en tecnología, se invierte en más soluciones que gestionan el Ransomware desde el ataque, la contención y la eliminación. Lo paradójico es que, aún sabiendo que también hay que invertir en el fortalecimiento del usuario, esto sigue generando incomodidad y reticencia. En primer lugar, porque el factor humano no es software o hardware, ni tampoco controles agregados de procesos o legales. Tratar con las personas se piensa como un proceso más complejo.
Muchos responsables de ciberseguridad dicen abiertamente que no quieren gestionar el factor humano. Algunos son sinceros y expresan que no se sienten cómodos. Otros se excusan alegando que el comportamiento humano no va a cambiar y no vale la pena invertir en ello. Algunos otros que han trabajado durante mucho tiempo para mantener alejados a los usuarios lo más posible de su área, se abruman por solo pensar en mantener una comunicación bidireccional.
Afortunadamente, este enfoque está cambiando. Hoy es claro que las herramientas tecnológicas no son suficientes. El concepto de seguridad en capas empieza a comprenderse, y no solo el ciberdelincuente sabe que el vector de ataque más efectivo es el usuario (y va a seguir siéndolo hasta que no se invierta de forma constante y proporcionada en una estrategia integral).
Si decimos que el usuario es un punto de ingreso e infección de Ransomware, entonces deberíamos simular estos ataques en la organización.
¿Para qué simular Ransomware?
Muchos responsables de ciberseguridad o IT buscan plataformas de simulación de Phishing o Ransomware con el objetivo principal de medir el comportamiento de los usuarios frente a posibles ataques, y así conocer el nivel de riesgo de la organización.
¿Por qué destacamos este punto? Principalmente, porque si deseamos saber cómo se comportarían nuestros usuarios frente a un ataque real, debemos asegurarnos que las trampas simuladas se comporten como si fueran trampas verdaderas.
¿Cómo es un ataque de Ransomware simulado?
Las simulaciones de Ransomware (simulated Ransomware attack) deberían ser una práctica realizada mensualmente en cualquier organización, por el impacto y la alta probabilidad que implica este riesgo.
Una simulación de ataque de Ransomware, a diferencia de un ataque tradicional de Phishing, no busca medir la negligencia de un usuario al entregar información sensible sino si este tendría un comportamiento riesgoso a la hora de descargar y abrir archivos. Es decir, que ambos tipos de simulación comienzan por un ataque de ingeniería social, complementado con herramientas que permitan confundir al usuario (spoofing y certificados SSL válidos). La diferencia radica en la parte final, donde se demuestra si el usuario podría haber sido el vector de ataque que permite ingresar al Ransomware en la organización.
En una simulación de Ransomware no hay infección, sino que solo se miden los hábitos de los usuarios. El archivo ejecutado es inocuo, y lo que recibe el usuario es un mensaje educativo que le permite saber el peligro que ha sorteado.
Y ahora sí entonces, ¿por qué simular Ransomware?
- Porque es el ataque más popular por los ciberdelincuentes, en todas sus modalidades, por ser el ataque más redituable
- Porque están creciendo enormemente los ataques de Ransomware y las condiciones son propicias para siga sucediendo
- Porque el usuario es uno de los vectores de ataque preferidos
- Porque si no estás simulando Ransomware, no estás gestionando ese riesgo
- Porque no sabes por dónde entrará el próximo Ransomware
Todo esto no tiene por qué ser abrumador. Plataformas de concientización en Seguridad de la Información como SMARTFENSE ofrecen simulaciones integradas de Ransomware listas para usar. Además, los partners especializados en ciberseguridad pueden acompañar estos procesos organizacionales con herramientas, reportes y servicios especializados, facilitando la tarea de los CISO y responsables de área.
No quedan más excusas.