Beneficios de una solución de detección y respuesta (XDR)

solución de detección y respuesta XDR

¿Qué es la detección y respuesta extendidas (XDR)?

A medida que la infraestructura en la nube y el trabajo remoto se vuelven más frecuentes, solo una plataforma integrada como Extended Detection and Response (XDR) puede proporcionar la visibilidad y la mitigación automatizada necesarias para todos los activos.

El panorama de las amenazas cibernéticas está evolucionando y expandiéndose rápidamente. En respuesta, muchas organizaciones están trabajando para fortalecer sus capacidades de seguridad para que puedan detectar y responder de manera efectiva y eficiente a ataques únicos, sofisticados y rápidos.

El enfoque más común para una plataforma de seguridad es un enfoque “en capas”, en el que una organización implementa múltiples soluciones, incluido el descubrimiento y respuesta de puntos finales (EDR), el análisis de tráfico de red (NTA) y la administración de eventos e información de seguridad (SIEM), para implementar la defensa en profundidad en una variedad de plataformas diferentes (escritorios, nube, IoT, móvil, etc.). Si bien este enfoque puede ser efectivo para detectar y responder a las amenazas cibernéticas, también tiene sus limitaciones.

XDR (Extended Detection and Response) sigue un enfoque diferente. En lugar de un enfoque puramente reactivo de la seguridad, XDR permite a una organización protegerse proactivamente de las amenazas cibernéticas al proporcionar visibilidad unificada a través de múltiples vectores de ataque.

Visibilidad de datos unificada e integrada

La mayoría de las organizaciones se enfrentan a una avalancha de datos de seguridad. Si bien es cierto que no puede proteger lo que no ve, sentirse abrumado por demasiadas alertas de seguridad inutilizables tiene el mismo resultado final. Los equipos de seguridad a menudo pasan por alto los ataques en curso porque la información que necesitan se ahoga en una avalancha masiva de falsas alarmas positivas.

La tecnología de detección y respuesta extendida (XDR) resuelve este problema al proporcionar análisis de datos unificados e integrados y visibilidad en todos los recursos de una organización.

Al centrar la seguridad en una sola plataforma y panel de control, XDR permite a un equipo de seguridad proteger eficazmente a una organización de los ataques cibernéticos. Además, XDR aprovecha la automatización para simplificar los flujos de trabajo de los analistas, acelerar la respuesta a incidentes y reducir la carga de trabajo de los analistas al eliminar tareas simples o repetitivas.

En NOVA promovemos la herramienta de Palo Alto Networks llamada Cortex XDR, en resumen, es una herramienta SaaS de detección de amenazas de seguridad y respuesta a incidentes específica del proveedor que integra de forma nativa múltiples productos de seguridad de TI

 XDR consta de tres pasos:

Paso 1: Telemetría y análisis de datos

XDR recopila y supervisa datos de múltiples capas, incluidos puntos finales, redes, servidores y la nube. Después de agregar los datos, realiza análisis de datos para correlacionar el contexto de miles de alertas de estas capas. A continuación, muestra un número manejable de alertas de alta prioridad, evitando sobrecargar a los equipos de seguridad.

Paso 2: Detectar amenazas

Obtenga la ventaja sobre los atacantes con el análisis de comportamiento patentado. Mediante el aprendizaje automático, Cortex XDR perfila continuamente los puntos finales, la red y el comportamiento del usuario para descubrir los ataques más sigilosos. Detecte las amenazas y elimine los puntos ciegos integrando datos de todo su entorno. Investigue a gran velocidad agrupando inteligentemente las alertas relacionadas en incidentes para obtener una imagen completa de cada ataque.

Paso 3: Respuesta

Detenga los exploits que conducen a la infección de ransomware, bloquee archivos maliciosos e identifique el comportamiento malicioso para detener los ataques.

Bloquee rápidamente el malware, aísle los puntos finales, ejecute scripts o analice todo su entorno para contener amenazas. Cortex XDR ofrece opciones de respuesta flexibles que abarcan toda su infraestructura.

Cortex XDR ha logrado los puntajes de rendimiento más altos en los últimos tres años en la evaluación MITRE ATT&CK, así como la tasa general más alta de detección y protección combinadas. A medida que los ciberdelincuentes desarrollan tácticas, técnicas y procedimientos más rápidos, organizados y sofisticados, las nuevas características de Cortex XDR están ayudando a los equipos de SOC a reconocer y detener los siguientes ataques:

  • Cortex XDR para la nube permite a los equipos SOC extender la detección, el monitoreo y la investigación a los entornos de nube. XDR agrega e integra datos de host en la nube, registros de tráfico, registros de auditoría, datos de Prisma Cloud de Palo Alto Networks y datos de seguridad en la nube de terceros con fuentes de datos de puntos finales y redes que no son en la nube. Los equipos de nube se benefician de una cobertura óptima que abarca tanto entornos locales como multinube.
  • Cortex XDR Identity Analytics mejora las capacidades de análisis del comportamiento del usuario mediante la detección de actividades maliciosas y amenazas internas. Lo hace mediante la recopilación y el análisis de un amplio conjunto de datos de identidad.
  • El módulo Cortex XDR Forensics proporciona a los clientes de Cortex XDR directamente la herramienta de investigación avanzada que utiliza el equipo de consultoría de seguridad de la Unidad 42 de Palo Alto Networks. El módulo XDR Forensics le permite recopilar evidencia del historial de eventos, como usuario, archivo, aplicación, navegador y otras actividades de sistemas comprometidos. Por lo tanto, proporciona toda la potencia analítica de XDR durante la respuesta a incidentes.
  • La interfaz de gestión de incidentes Cortex XDR proporciona a los analistas de seguridad el escenario completo de un incidente en un solo lugar, incluidos los artefactos maliciosos relacionados, los hosts, los usuarios y las alertas correlacionadas alineadas con el repositorio MITRE ATT&CK. Esto permite a los analistas lidiar con incidentes de manera más rápida y completa.
  • Cortex XDR Third-Party Data Engine permite a los clientes ingerir, normalizar, correlacionar, consultar y analizar datos de prácticamente cualquier fuente. Estos datos de terceros pueden correlacionarse con la actividad de amenazas y etiquetarse utilizando tácticas, técnicas y procedimientos de MITRE ATT&CK para proporcionar una imagen más detallada de los movimientos del oponente. Estas características también permiten a los equipos de SOC comprender el alcance completo de un incidente y responder de manera más integral.

La tercera generación de Cortex XDR, que ya logra los resultados más altos en la evaluación MITRE ATT&CK®, ahora ofrece a los equipos del Centro de Operaciones de Seguridad (SOC) una mayor protección de su superficie de ataque. La nueva solución extiende la detección, el monitoreo y el análisis a los entornos de nube. Además, detecta la actividad maliciosa de los usuarios y las amenazas internas a través del análisis de datos de identidad. Esto proporciona a los equipos de SOC un análisis de seguridad que abarca puntos finales, redes, nube e identidades, lo que permite la detección y respuesta en toda la empresa, algo crítico a medida que los ataques interdependientes se vuelven más frecuentes.

Te invitamos a seguir las redes sociales de Nova InstagramFacebook y LinkedIn para que estes enterado de ésta y más noticias y poder ayudarte a estar protegido a través del amplio portafolio de soluciones en Ciberseguridad con el que contamos.

Posibles fallas críticas en servidores Citrix vulnerables, sin parches actualizados

falla en servidores citrix

Se han identificado dos vulnerabilidades de seguridad de importancia crítica en plataformas Citrix, se liberaron las actualizaciones para solucionar este hueco de seguridad, pero en los últimos meses siguen siendo vulnerables en miles de puertas de enlace Citrix y ADC (Citrix Application Delivery Controller) que se utilizan en toda la empresa. Estas fallas críticas en servidores Citrix se han identificado ya con los siguientes CVE´s:

  • CVE-2022-27510: Se identifica como una falla de acceso no autorizado a las capacidades del usuario de Gateway y afecta a productos Citrix. Por lo que un usuario malintencionado puede explotar esta vulnerabilidad para obtener acceso no autorizado al dispositivo, ejecutar una adquisición de escritorio remoto e intentar eludir las medidas de seguridad de inicio de sesión.
  • CVE-2022-27518: Se identifica como una falla de ejecución remota de código arbitrario no autenticado. Por lo que los atacantes pueden ejecutar comandos remotos en dispositivos vulnerables para controlarlos sin necesidad de autenticarse.

En un escaneo realizado por analistas de TI, se encontraron más de 28 000 servidores Citrix activos en Internet.

Los investigadores tuvieron que aprender el número de versión de cada uno de los expuestos que no se proporcionó en la respuesta HTTP de los servidores, para determinar cuántos eran vulnerables a estas dos fallas.

Tan pronto como Citrix publicó una actualización de seguridad para corregir CVE2022-27518, se descubrió que los actores de amenazas estaban explotando activamente esta vulnerabilidad, por lo cual se recomendó instalar las actualizaciones de seguridad proporcionadas por Citrix.

Recomendación 

La solución Tanium que está disponible en el portafolio de Nova es una de las soluciones que ofrece en su módulo Patch la posibilidad de simplificar y acelerar la gestión y el cumplimiento de parches.

Con Tanium Patch, los equipos de operaciones de TI pueden mantener los sistemas actualizados con parches automatizados en toda la empresa, a gran velocidad y escala. Esto ayuda a las organizaciones a reducir la complejidad y aumentar la resiliencia empresarial.

Tanium Patch nos ofrece opciones para accionar con las fallas críticas en servidores Citrix:

  • Mitigar el riesgo, mantener el cumplimiento y reducir las interrupciones. 
  • Para evitar brechas de seguridad, mantenga los endpoints actualizados con los parches más recientes.
  • Reducir los gastos generales y la complejidad
  • Parche a escala con poca o ninguna infraestructura y un tiempo de inactividad mínimo.
  • Parche con confianza
  • Mida la higiene cibernética con tasas de éxito de parches en tiempo real en toda la organización.
  • Te invitamos a seguir las redes sociales de Nova InstagramFacebook y LinkedIn para que estes enterado de ésta y más noticias y poder ayudarte a estar protegido a través del amplio portafolio de soluciones en Ciberseguridad con el que contamos.

Brute ratel C4 el próximo (o ya lo es) gran dolor de cabeza para los CISOs

En mayo del año pasado analistas de ciberseguridad detectaron una carga maliciosa que no fue detectada por 56 antivirus que la habían evaluado previamente, esta fue la primera aparición oficial de BRc4 (Brute Ratel C4)

Tras una investigación, especialistas detectaron esta nueva amenaza en importantes organizaciones de distintos países. Además, lograron asociar la amenaza con el grupo “Cozy Bear”, también conocidos como APT-29 un peligroso grupo de piratas expertos en informática.

¿Pero qué es Brute ratel C4 exactamente?

“BRc4” en realidad es una herramienta legítima desarrollada por Chetan Nayak, un ex ingeniero especializado en detección de amenazas de ciberseguridad y red teamer, pensada para ser utilizada en pruebas de penetración. Está diseñada para evadir las herramientas de detección y respuesta (EDR) y antivirus (AV) a propósito y el lanzamiento oficial de la versión 1.0 fue en mayo, pero resultó ser una peligrosa arma en manos de los delincuentes.

El problema es que una versión fue filtrada junto a un kit de herramientas de post-exploración de BRc4 y fue hackeado presuntamente por el grupo “Molecules”. Esta versión se está compartiendo entre las comunidades de hackers de Rusia y Reino Unido, al haberse removido la verificación de licencia Chetan Nayak,  perdió la visibilidad y control de quien o para qué se usa la herramienta.

En malas manos, esta herramienta podría ser muy potente, ya se están compartiendo capturas de pantallas en foros de hackers probando el kit.

Brute Ratel tiene la capacidad de genera código Shell que no es fácil de detectar por software de seguridad, lo que está siendo aprovechado por los ciberdelincuentes, esta herramienta con evasión de detección puede establecer acceso a la información de compañías con suficiente tiempo para hacer movimiento lateral sin ser detectada así tener presencia en varios puntos de la red.

Unit 42 de Palo Alto Networks ya ha proporcionado un análisis técnico de BRc4 que puedes consultar aquí.

Es importante que las empresas y organizaciones reconozcan la amenaza inminente que representa esta herramienta ya que sus capacidades seguramente van a ser explotadas.

Recomendación.

Actualmente para defenderte de BRc4 se recomienda utilizar oportunidades de detección basadas en comportamiento tales como Threat Prevention, Cortex XDR y WildFire de Palo Alto Networks.

Threat Prevention brinda protección contra Brute Ratel C4. La firma “Detecciones de tráfico de comando y control de la herramienta Brute Ratel C4” es el ID de amenaza 86647.

Cortex XDR detecta y protege endpoints desde la herramienta Brute Ratel C4.

El servicio de análisis de amenazas basado en la nube de WildFire identifica con precisión las muestras de Brute Ratel C4 como malware.

Te invitamos a seguir las redes sociales de Nova InstagramFacebook y LinkedIn para que estes enterado de ésta y más noticias y poder ayudarte a estar protegido a través del amplio portafolio de soluciones en Ciberseguridad con el que contamos.

Un ataque de ransomware cierra plantas mineras

ransomware en mineras

La Corporación Minera Copper Mountain (CMMC) de Canadá fue atacada por un ransomware el 27 de diciembre de 2022.

En respuesta a este incidente, la empresa implementó rápidamente sistemas y protocolos de gestión de riesgos. Además, la empresa está cerrando plantas de forma activa para evaluar el impacto en sus sistemas de control, aislando operaciones y pasando a procedimientos manuales cuando sea posible.

La CMMC de 18,000 acres, que es propiedad parcial de Mitsubishi Materials, produce un promedio de 100 millones de libras de cobre por año y se estima que tiene más de 32 años de reservas minerales. “Los equipos de TI internos y externos de la empresa continúan evaluando los riesgos e implementando medidas de seguridad adicionales para mitigar cualquier riesgo adicional para la empresa”, dijo Copper Mountain Mining Corp en un nuevo comunicado.

Alcance del ataque

Según el consejo de CMMC, la brecha de seguridad cibernética no comprometió las medidas de seguridad de ninguna manera y no puso en peligro el medio ambiente. “No hubo incidentes de seguridad o ambientales como resultado del ataque. La principal prioridad de la compañía sigue siendo garantizar operaciones seguras y limitar el impacto operativo y financiero”, dijo la compañía.

Reanudar el negocio lo antes posible puede ayudar a las organizaciones a minimizar el impacto financiero de un incidente. “Copper Mountain está investigando el origen del ataque y se está comunicando con las autoridades correspondientes para ayudar a la empresa” – Copper Mountain Mining Corporation of Canada

El 13 de diciembre de 2022, un ciberdelincuente publicó la información de la cuenta de un empleado de CMMC en el mercado de piratas informáticos. Dada la fecha reciente entre la oferta de venta de las credenciales y el informe del ataque de ransomware, es probable que los piratas informáticos hayan utilizado las cuentas comprometidas para obtener acceso a la red de la empresa.

Los hallazgos de la empresa de seguridad Dragos revelaron que 86 ataques se dirigieron específicamente a los sistemas de las organizaciones de fabricación, en particular las relacionadas con los productos metálicos y la industria automotriz. Dragos señaló que solo la pandilla de ransomware LockBit apuntó a las industrias de tratamiento de agua y minería. Según la empresa alemana Aurubis, “esto es claramente parte de un ataque mayor a la industria de los metales y la minería”.

Recomendación: soluciones para evitar ransomware

Las siguientes soluciones están disponibles en el portafolio de Nova:

Apex One

Una solución de seguridad de Trend Micro. Es una solución que ofrece una amplia gama de funcionalidades de seguridad, como protección de amenazas en tiempo real, prevención de intrusiones, parcheo virtual, detección de comportamientos sospechosos y protección contra ransomware. Apex One se puede utilizar tanto en endpoints como en servidores y se puede integrar con otras soluciones de seguridad de Trend Micro y con sistemas de gestión de seguridad de terceros.

Una característica destacable es su adaptabilidad constante, aprendiendo y compartiendo de forma automática información sobre amenazas en su entorno.

Email Security

Solución de Trend Micro diseñada para proteger tu organización de amenazas a través de correo electrónico, ayuda a evitar spam, phishing, correos sospechosos, virus y otros tipos de malware que se distribuyen a través de correo electrónico, además nos ayuda a proteger la información confidencial de nuestra organización.

Te invitamos a seguir las redes sociales de Nova InstagramFacebook y LinkedIn para que estes enterado de ésta y más noticias y poder ayudarte a estar protegido a través del amplio portafolio de soluciones en Ciberseguridad con el que contamos.

Los ciberataques dirigidos a empleados son los más efectivos pero también los más evitables.

ciberataques dirigidos

Tanium, ha publicado un estudio que revela que los ciberataques dirigidos a empleados son la principal causa de incidentes de ciberseguridad que se pueden evitar.

En el informe se encuestó a responsables de TI de diversos sectores, público, servicios financieros, salud y el comercio minorista. Los resultados muestran que el 54% de los encuestados citaron al personal que hace clic en enlaces de ciberataques dirigidos (phishing) como el problema más común que puede facilitar el éxito de un ciberataque. El informe también revela problemas de ciberseguridad que se han visto agravados por el cambio al trabajo híbrido, ya que el 71% de los empresarios y socios consideran que hoy en día es más difícil defenderse de las amenazas que antes de la pandemia.

“De nuestra investigación se desprende claramente que muchas organizaciones tienen dificultades para protegerse frente a las ciberamenazas en el entorno de trabajo híbrido”, afirma Chris Vaughan, vicepresidente de gestión de cuentas técnicas para EMEA y el sur de Asia de Tanium.

  • El 54% de las organizaciones citan a los empleados que hacen clic en enlaces de phishing como la principal causa evitable.
  • El 50% culpa a la mala configuración de la seguridad.
  • Al 71% le resulta más difícil defenderse de las amenazas que antes de la pandemia.

“Durante la pandemia, las organizaciones tuvieron que implementar nuevas tecnologías de la noche a la mañana para garantizar la continuidad del negocio. El mosaico de soluciones que se puso en marcha a toda prisa dejó importantes lagunas de seguridad. Estas lagunas siguen existiendo y deben solucionarse, lo cual es una de las razones por las que los responsables de la toma de decisiones de TI tienen más dificultades para proteger sus entornos.”

Áreas en las que se gastarán las próximas inversiones en ciberseguridad

Al 71% de los empresarios y socios les resulta más difícil defenderse de amenazas y ciberataques dirigidos que antes de la pandemia. Esto los ha llevado a realizar nuevas inversiones en ciberseguridad, siendo la detección de amenazas y la seguridad de los endpoints las dos principales áreas destinadas a aumentar el gasto.

Casi la mitad de los encuestados (49%) espera invertir más en detección de amenazas el próximo año. Las organizaciones que sufrieron un ciberataque o una violación de datos en los últimos seis meses también son las más propensas a invertir en esta área (56%).

Se espera que la seguridad de los endpoints sea la segunda área de mayor inversión en los próximos 12 meses, con un 46% de las organizaciones que prevén aumentar el gasto.

La tercera área de mayor inversión prevista son las herramientas de recuperación de datos y copia de seguridad, con un 45% de todas las organizaciones dispuestas a aumentar su gasto en estas tecnologías, cifra que se eleva al 58% en el caso de las que han sufrido un ciberataque o una filtración de datos en los últimos seis meses.

La cuarta y quinta áreas de mayor inversión potencial son la formación para la concienciación de los empleados (43%) y los nuevos dispositivos endpoint (42%), respectivamente. 

Las amenazas más comunes de ciberataques dirigidos

El phishing y los errores de configuración de la seguridad son las principales preocupaciones de los responsables de TI. El 64% de los encuestados del sector público detectaron incidentes de seguridad evitables causados por empleados que hicieron clic en un enlace de phishing. El segundo incidente evitable más importante citado por el 50% de los encuestados, son los errores de configuración de la seguridad, como el hecho de que los empleados no protejan los datos sensibles con contraseñas. Este porcentaje se eleva al 57% entre las organizaciones con 250-500 empleados. 

Retos para superar

Las empresas no disponen de la tecnología adecuada para proteger su parque informático. El tercer incidente evitable más común es la falta de software para prevenir ciberataques, citado por el 47% de los encuestados. De hecho, algunas de las principales herramientas de ciberseguridad no son utilizadas por las organizaciones encuestadas o se han implantado recientemente. Por ejemplo, solamente el 19% utiliza un escáner de vulnerabilidades web, únicamente el 17% utiliza software de pruebas de penetración, y solo un 11% ha utilizado análisis de paquetes durante cinco años o más.

Los equipos de seguridad escasos de personal y de equipos, desean un enfoque de ciberseguridad más proactivo, pero a menudo no invierten en contramedidas hasta que se produce un incidente”. El estudio revela que el 86% de las organizaciones que han sufrido una brecha en los últimos seis meses creen que una mayor inversión en medidas preventivas, como la formación del personal o herramientas que proporcionen una mayor visibilidad de las redes, habría minimizado los incidentes de seguridad.”

Recomendación

Tanium, el único proveedor del sector de gestión convergente de endpoints (XEM), lidera el cambio de paradigma en los enfoques heredados para gestionar entornos tecnológicos y de seguridad complejos.

Tanium unifica equipos y flujos de trabajo y protege cada endpoint de las ciberamenazas integrando áreas de TI, cumplimiento, seguridad y riesgo en una única plataforma que ofrece una visibilidad completa de todos los dispositivos, un conjunto unificado de controles y una taxonomía común para un único propósito compartido: proteger la información crítica y la infraestructura a escala.

Te invitamos a seguir las redes sociales de Nova InstagramFacebook y LinkedIn para que estes enterado de ésta y más noticias y poder ayudarte a estar protegido a través del amplio portafolio de soluciones en Ciberseguridad con el que contamos.

Los grupos Ransomware as a service más activos de 2022.

RaaS actividad

De acuerdo con la actividad de seguimiento de Trend Micro con respecto al ransomware as a service para el segundo y tercer trimestre de 2022, se centra en las cuatro familias que registraron la mayor cantidad de ataques, las cuales son: LockBit , BlackCat , el recién llegado Black Basta y Karakurt, considerado como el brazo de extorsión del grupo de ransomware Conti.

La mayor cantidad de víctimas en el segundo y tercer trimestre combinados fueron registrados por LockBit y Black Basta. Los datos mostraron que LockBit contó un total de 436 organizaciones de víctimas, mientras que Black Basta tuvo un total de 101 durante el período de seis meses. Karakurt, por otro lado, ocupó el segundo lugar en el tercer trimestre, un lugar que ocupó BlackCat en el segundo trimestre del año.

El modelo de ransomware como servicio (RaaS) durante el período de abril a septiembre de 2022 se ha visto favorecido al tener una velocidad de implementación de malware y pagos más elevados dentro del período comprendido entre abril a septiembre de 2021. Estos informes se basan en datos de los sitios de RaaS y grupos de extorsión, la investigación de inteligencia de código abierto (OSINT) de Trend Micro y Trend Micro™ Smart Protection Network™, recopilados del 1 de abril al 30 de septiembre de 2022.

Las detecciones de ransomware en el tercer trimestre aumentaron un 15.2% en comparación con el trimestre anterior, ya que los grupos RaaS activos aumentaron un 13.3%.

Según los datos recopilados de los sitios de los grupos de ransomware, la mayor cantidad de ataques exitosos en el período de seis meses se atribuye a operadores RaaS conocidos: LockBit, BlackCat, Black Basta y el grupo de extorsión de datos Karakurt.

Grupos de ransomware
Ilustración 1. Familias de ransomware más utilizadas en RaaS

No sorprende que los ciberdelincuentes apunten a organizaciones percibidas como altamente vulnerables. Los actores de ransomware saben que toda la operación de las pequeñas y medianas empresas puede detenerse por completo cuando se enfrentan a ataques cibernéticos, ya que estas empresas tienen menos recursos de seguridad de TI para responder a los ataques cibernéticos.

  • Las pequeñas empresas comprendían el 43,1% de las víctimas de Black Basta en el segundo trimestre y el 40% en el tercer trimestre.
  • Por su parte, las medianas empresas obtuvieron participaciones de 35,3% y 38% en el segundo y tercer trimestre, respectivamente.
  • Las grandes empresas constituyeron el 21,6% en el segundo trimestre, descendiendo al 16% en el tercer trimestre.

Las organizaciones de América del Norte y Europa dominaron la lista de víctimas de LockBit desde abril hasta septiembre de 2022, ya que estas regiones ocuparon alternativamente el primer y segundo lugar en el segundo y tercer trimestre del año. Asia-Pacífico y América Latina ocuparon el tercer y cuarto lugar en el segundo y tercer trimestre, manteniendo las participaciones que tenían en ambos trimestres.

Independientemente del tamaño, las organizaciones son vulnerables a los ataques de ransomware modernos. Los actores maliciosos tienen todos los motivos para actualizar constantemente su arsenal de malware, idear esquemas más sigilosos para superar a la competencia y obtener una mayor parte de la recompensa. Por lo tanto, es clave una mentalidad proactiva para mitigar los riesgos de los ataques de ransomware.

Los correos electrónicos se han convertido en la principal puerta de entrada de ataques cibernéticos en las empresas, es por ello que recomendamos tomar medidas y adoptar soluciones que nos informen si estamos siendo atacados y mitiguen las principales amenazas.

Recomendación para prevenir ser victima del ransomware as a service.

Trend Micro Email Security y Vision One incluida dentro del portafolio de soluciones de seguridad dentro del portafolio de Nova. Son soluciones que nos ayudan a gestionar la ciberprotección en un panorama de amenazas que evolucionan continuamente y nos pueden ayudar a tener una protección todo en uno automatizada y detallada, dentro de la cual Trend Micro Email Security™ ofrece protección continuamente actualizada contra BEC, ransomware, spam y ataques dirigidos avanzados y Trend Micro Vision One™ ofrece una perspectiva más amplia y un mejor contexto para detectar amenazas con las capacidades de XDR líderes de la industria.

Con Trend Micro Email Security, los administradores de correo configuran políticas para gestionar los mensajes de correo electrónico en función de las amenazas detectadas. Por ejemplo, los administradores pueden eliminar el malware detectado de los mensajes entrantes antes de que lleguen a la red corporativa o poner en cuarentena el spam detectado y otros mensajes inapropiados.

Además, Trend Micro Email Security ofrece Email Continuity contra eventos de tiempo de inactividad planificados o no planificados, lo que permite a los usuarios finales continuar enviando y recibiendo mensajes de correo electrónico en caso de una interrupción.

Dentro de las características principales que nos puede ofrecer se encuentran las siguientes:

  • Protección por capas
  • Protección contra el fraude por correo electrónico
  •  Protección contra exploits de documentos
  • Protección avanzada contra amenazas
  • Extracción de contraseñas de archivos
  • Tiempo de clic en la URL
  • Verificación y autenticación de la Fuente

Gracias a esto podemos detectar y reaccionar contra los ataques antes de cualquier daño y tener visibilidad en las diferentes capas de nuestra estrategia de ciberseguridad blidando toda la organización.

Te invitamos a seguir las redes sociales de Nova InstagramFacebook y LinkedIn para que estes enterado de ésta y más noticias y poder ayudarte a estar protegido a través del amplio portafolio de soluciones en Ciberseguridad con el que contamos.

Importancia de un Service Desk en las organizaciones.

Con la tendencia al desarrollo de la digitalización, la informatización y la inteligencia de la gestión empresarial, la dirección de las organizaciones presta cada vez más atención a la integración de las TI y a la remodelación del valor de estas, el service desk es un portador muy importante de ello. Como todos sabemos, la dificultad de los service desk de TI no está en la planificación y la puesta en línea, sino en la puesta en marcha y la promoción efectiva del negocio.

¿Qué es el servicio de asistencia técnica de TI?

Los service desks de TI permiten una gestión eficaz de las operaciones y el mantenimiento de TI, mejoran en gran medida la eficiencia de las operaciones y el mantenimiento, reducen los costes y riesgos, controlan los recursos en su organización, optimizan la asignación de recursos, estandarizan los procesos de gestión de las operaciones y el mantenimiento, registran, rastrean y contabilizan cada evento. Esto, unido a las ventajas obvias de bajo coste, rápida implantación, resultados rápidos, apertura y escalabilidad, lo ha convertido en la primera opción para los CIO en la gestión de operaciones y mantenimiento de TI.

Recomendación.

En NOVA contamos con la solución Proactivanet, esta herramienta ha sido reconocida por el Customer’s Choice 2021 de Gartner Peer Insights en la categoría de herramientas ITSM.

Se especializa en la gestión de servicios de TI en total conformidad con las mejores prácticas de ITIL, su mapa de soluciones es:

Proactivanet Service Desk incorpora un catálogo de servicios proporcionado por la organización y estándares internacionales de buenas prácticas como ITIL e ISO 20000 para facilitar la gestión de incidencias, peticiones, problemas, cambios, entrega, niveles de servicio, capacidad, disponibilidad y continuidad.

Proactivanet Inventory, un módulo complementario del servicio de asistencia técnica que permite acceder fácilmente a un inventario de sus dispositivos, licencias y configuraciones en un momento dado, de forma automática y completamente desatendida. Simplifica enormemente la gestión y administración de los dispositivos y permite una rápida y fácil implementación de los procesos de gestión de la configuración (CMDB) y de los activos de software (SAM).

La CMDB de Proactivanet es el punto de conexión esencial entre las TI y el negocio y, por lo tanto, proporciona un modelo de cómo la infraestructura de TI se relaciona consigo misma para prestar servicios de TI al negocio, apoyando la gestión financiera, la mitigación de riesgos, el análisis de amenazas y vulnerabilidades…

Proactivanet ha sido certificada para 13 procesos por PinkVERIFY 2011 y ha sido aprobada para ITIL Software Scheme (ISS) Gold, el nivel más alto de reconocimiento otorgado a los proveedores que ofrecen herramientas ITSM. Estas dos certificaciones no sólo demuestran que la herramienta ha demostrado su conformidad con las mejores prácticas de ITIL, sino también que el consumidor final está seguro de su facilidad de uso y su alto nivel de automatización de procesos.

Proactivanet Inventario, Service Desk y CMDB pueden integrarse para formar una suite indispensable para optimizar cualquier servicio de soporte de TI.

Te invitamos a seguir las redes sociales de Nova InstagramFacebook y LinkedIn para que estes enterado de ésta y más noticias y poder ayudarte a estar protegido a través del amplio portafolio de soluciones en Ciberseguridad con el que contamos.

Campaña masiva de “Black Hat SEO” que compromete a casi 15, 000 sitios webs.

campaña black hat seo

Informe realizado por investigadores de seguridad cibernética afirma que ciberdelincuentes están llevando a cabo una campaña masiva de Black Hat SEO que compromete a casi 15, 000 sitios webs.

Según los especialistas, la campaña se observó por primera vez en septiembre de 2022, cuando el equipo detectó un aumento de software malicioso en varios sitios que funcionan con el gestor de contenido WordPress. Sitios que se vieron comprometidos contienen casi 20,000 archivos.  Estos, se estaban utilizando como parte de la campaña maliciosa, que estaban llevando a cabo los actores de amenazas, y la mayoría de los sitios eran WordPress.

Este ataque funciona cuando los ciberdelincuentes modifican los archivos de WordPress, para inyectar redireccionamientos a foros de discusión de preguntas y respuestas apócrifos.

Los archivos infectados o modificados contienen un código malicioso que verifica si los visitantes del sitio web están conectados a WordPress y, si no lo están, los redirige a la URL https://ois.is/images/logo-6.png , El usuario no verá una imagen, sino que al hacer clic se activa un código informático que lo redirige a un sitio promocionado.

Recomendación contra el Black Hat SEO

La solución Palo Alto Networks que está disponible en el portafolio de Nova, Con Advance URL Filtering de Palo Alto Networks proporciona análisis de URL en tiempo real y prevención de malware para generar un análisis de URL más preciso que el que es posible con las técnicas tradicionales de filtrado de bases de datos web por sí solas. 

Con Advance URL filtering obtenemos:

  • Protección en tiempo real
  • Prevención de phishing
  • Control total de tu tráfico web
  • Optimice la postura de seguridad

Consulta la fuente de este artículo aquí:

Te invitamos a seguir las redes sociales de Nova InstagramFacebook y LinkedIn para que estes enterado de ésta y más noticias y poder ayudarte a estar protegido a través del amplio portafolio de soluciones en Ciberseguridad con el que contamos.

 “PHOSPHORUS” un peligroso grupo de actores ransomware

phosphorus

Los equipos de inteligencia de amenazas de Microsoft han estado rastreando múltiples campañas de ransomware y han vinculado ataques a “DEV-0270” también conocidos como Nemesis Kitten (un grupo de cibercriminales Iraní que a su vez son un subgrupo de PHOSPHORUS). Microsoft evaluó operaciones realizadas por “DEV-0270” de red maliciosas, incluido el análisis generalizado de vulnerabilidades.

“DEV-0270” aprovecha los exploits para vulnerabilidades de alta criticidad para obtener acceso a los dispositivos. “DEV-0270” también utiliza binarios (LOLBINs) a lo largo de la cadena de ataque para el descubrimiento y el acceso a credenciales, además, el grupo de ciberdelincuentes utiliza herramientas nativas de Microsoft como BitLocker para cifrar archivos en dispositivos comprometidos.

Según Microsoft, en algunos casos en los que el ransomware fue exitoso, el tiempo de rescate (TTR) entre el acceso inicial y la nota de rescate fue de alrededor de dos días. Se ha observado que el grupo exige USD 8.000 para las claves de descifrado.

Además, se ha observado que el actor busca otras vías para generar ingresos a través de sus operaciones. En un ataque, una organización víctima se negó a pagar el rescate, por lo que el actor optó por publicar los datos robados de la organización para su venta.

Recomendación contra grupos de ransomware

Salvaguardar la información hoy en día ante las nuevas brechas de seguridad representa un reto para las empresas, debido a que los riesgos en el área de tecnología evolucionan continuamente. Es por ello que el poder tomar el control del riesgo moderno conlleva una ardua tarea.

Tanium Enforce nos permite que la administración de políticas de Windows sea simple y automatizada de tal forma que se pueda supervisar de forma continua en todos los endpoints. Esto gracias a que algunos de sus métodos de detección:

  • Windows policy management. Administración de políticas de Windows para sistema operativo y servidor.
  • Device and removable storage control. Control de acceso a dispositivos de lectura o escritura, así mismo el control de acceso a endpoints.
  • Firewall management. Administración de procesos y aplicativos permitidos.
  • Antivirus management. Mejora de gestión de Windows Defender.
  • Drive encryption. Administración, configuración y aplicación de políticas de cifrado de endpoints.
  • Lightweight agent. Consola de administración ligera, donde se configuran, aplican y verifican políticas de endpoints.

Además, podemos utilizar Tanium Comply, de esta forma lograremos tener un alcance mayor de análisis y prevención ante alguna posible amenaza, dado que ayuda a:

  • Cumplir con configuraciones y escaneos de vulnerabilidades.
  • Correcciones, actualizaciones de software y cambios de políticas.
  •  Evaluación de sistemas operativos, así como aplicaciones, normas y configuraciones de seguridad.

Te invitamos a seguir las redes sociales de Nova, Instagram, Facebook y LinkedIn para que estés enterado de esta y más noticias y poder ayudarte a estar protegido a través del amplio portafolio de soluciones en Ciberseguridad con el que contamos.

Consulta la fuente de esta entrada aquí:

#Novainforma

Ciberataque a UBER: análisis según expertos

ciberataque a uber

En 2017 Uber admitió ser víctima de un ciberataque que afectó a 57 millones de clientes y socios de la firma, ataque que habían mantenido oculto desde octubre de 2016.

Este ataque resultó en un robo a nivel mundial de datos como e-mail, nombres completos y números de teléfono de 50 millones de usuarios de Uber y 7 millones de conductores en todo el mundo a quienes además robaron copias de sus licencias de conducir.

Aunque Uber estaba obligado a alertar a los reguladores y conductores cuyos números de licencia estaban comprometidos, el startup más caro del mundo decidió pagar 100,000 dólares para que los ciberdelincuentes borraran los datos robados y esconder lo sucedido.

El ciberataque a Uber “Un grave error en la seguridad de nube”

Uber como muchas empresas contrataron el servicio de Amazon Web Services para almacenar su información, el gran error fue no cifrar la información de sus usuarios, los cibercriminales accedieron a las credenciales de AWS de algunos ingenieros de Uber a través de movimientos laterales desde otros portales como GitHub, una herramienta de programación que usan los desarrolladores de la aplicación.  

¿Malas decisiones?

Joe Sullivan, quien era el responsable de seguridad de ese entonces en Uber decidió mantener en secreto la filtración de datos, además pagó 100,000USD para que los criminales borraran la información robada.

Casi un año después del ataque, la verdad salió a la luz y Joe Sullivan fue despedido.

¿Crees que sus decisiones estuvieron bien? ¿Tú qué hubieras hecho en su lugar?

Hoy, muchos años después del ataque que afectó a casi 60 millones de personas los expertos dan su opinión del caso y nos dicen porque es tan peligroso pagar a los ciberdelincuentes.

Diferentes firmas de seguridad se muestran en total desacuerdo con la decisión del responsable de seguridad de pagar a los ciberdelincuentes, el motivo es que el pago en si establece un peligroso precedente que incentiva a los ciberdelincuentes aún más.

Opinión de un experto del ciberataque a Uber

Ricardo Maté, director general de Sophos, nos habla del caso y dice que es “una muestra más de que es necesario tomarse la ciberseguridad en serio y que nunca se debe incrustar o implementar tokens de acceso (generadores de claves) o claves en repositorios de códigos fuente”. Menciona también que este tipo de “secretos” no son descubiertos mientras las empresas lo decidan así, como en esta ocasión Uber pagó a los ciberdelincuentes 100.000 dólares para que ocultaran la brecha de seguridad. Además dice “nos hace ver que hoy en día muchos equipos de desarrolladores no tienen un alto estándar de las prácticas de seguridad y que ha compartido credenciales”.

Uber no ni será la última compañía en ocultar una filtración de datos o un ciberataque. Pero esto expone a los consumidores a un mayor riesgo de ser víctimas de fraude. Por esta razón que muchos países están impulsando regulaciones que obligue a las empresas a divulgar las brechas de seguridad, como es el caso de Corea del sur, en donde ocultar esta información es un delito.

La marca recomienda Intercept X, una poderosa solución para detener la más amplia variedad de amenazas y prevenir accesos no autorizados, así como proteger la infraestructura con Sophos XG Firewall que ayuda a las empresas a detectar riesgos ocultos y detener amenazas desconocidas, también permite responder en caso de un ataque aislando sistemas infectados e interceptando exploits peligrosos.

Te invitamos a seguir las redes sociales de Nova Instagram, Facebook y LinkedIn para que estes enterado de ésta y más noticias y poder ayudarte a estar protegido a través del amplio portafolio de soluciones en Ciberseguridad con el que contamos.

#Novarecomienda