logo nova
Search
logo nova

Etiqueta: Tanium

Publicado en

Los ciberataques dirigidos a empleados son los más efectivos pero también los más evitables.

ciberataques dirigidos

Tanium, ha publicado un estudio que revela que los ciberataques dirigidos a empleados son la principal causa de incidentes de ciberseguridad que se pueden evitar.

En el informe se encuestó a responsables de TI de diversos sectores, público, servicios financieros, salud y el comercio minorista. Los resultados muestran que el 54% de los encuestados citaron al personal que hace clic en enlaces de ciberataques dirigidos (phishing) como el problema más común que puede facilitar el éxito de un ciberataque. El informe también revela problemas de ciberseguridad que se han visto agravados por el cambio al trabajo híbrido, ya que el 71% de los empresarios y socios consideran que hoy en día es más difícil defenderse de las amenazas que antes de la pandemia.

“De nuestra investigación se desprende claramente que muchas organizaciones tienen dificultades para protegerse frente a las ciberamenazas en el entorno de trabajo híbrido”, afirma Chris Vaughan, vicepresidente de gestión de cuentas técnicas para EMEA y el sur de Asia de Tanium.

  • El 54% de las organizaciones citan a los empleados que hacen clic en enlaces de phishing como la principal causa evitable.
  • El 50% culpa a la mala configuración de la seguridad.
  • Al 71% le resulta más difícil defenderse de las amenazas que antes de la pandemia.

“Durante la pandemia, las organizaciones tuvieron que implementar nuevas tecnologías de la noche a la mañana para garantizar la continuidad del negocio. El mosaico de soluciones que se puso en marcha a toda prisa dejó importantes lagunas de seguridad. Estas lagunas siguen existiendo y deben solucionarse, lo cual es una de las razones por las que los responsables de la toma de decisiones de TI tienen más dificultades para proteger sus entornos.”

Áreas en las que se gastarán las próximas inversiones en ciberseguridad

Al 71% de los empresarios y socios les resulta más difícil defenderse de amenazas y ciberataques dirigidos que antes de la pandemia. Esto los ha llevado a realizar nuevas inversiones en ciberseguridad, siendo la detección de amenazas y la seguridad de los endpoints las dos principales áreas destinadas a aumentar el gasto.

Casi la mitad de los encuestados (49%) espera invertir más en detección de amenazas el próximo año. Las organizaciones que sufrieron un ciberataque o una violación de datos en los últimos seis meses también son las más propensas a invertir en esta área (56%).

Se espera que la seguridad de los endpoints sea la segunda área de mayor inversión en los próximos 12 meses, con un 46% de las organizaciones que prevén aumentar el gasto.

La tercera área de mayor inversión prevista son las herramientas de recuperación de datos y copia de seguridad, con un 45% de todas las organizaciones dispuestas a aumentar su gasto en estas tecnologías, cifra que se eleva al 58% en el caso de las que han sufrido un ciberataque o una filtración de datos en los últimos seis meses.

La cuarta y quinta áreas de mayor inversión potencial son la formación para la concienciación de los empleados (43%) y los nuevos dispositivos endpoint (42%), respectivamente. 

Las amenazas más comunes de ciberataques dirigidos

El phishing y los errores de configuración de la seguridad son las principales preocupaciones de los responsables de TI. El 64% de los encuestados del sector público detectaron incidentes de seguridad evitables causados por empleados que hicieron clic en un enlace de phishing. El segundo incidente evitable más importante citado por el 50% de los encuestados, son los errores de configuración de la seguridad, como el hecho de que los empleados no protejan los datos sensibles con contraseñas. Este porcentaje se eleva al 57% entre las organizaciones con 250-500 empleados. 

Retos para superar

Las empresas no disponen de la tecnología adecuada para proteger su parque informático. El tercer incidente evitable más común es la falta de software para prevenir ciberataques, citado por el 47% de los encuestados. De hecho, algunas de las principales herramientas de ciberseguridad no son utilizadas por las organizaciones encuestadas o se han implantado recientemente. Por ejemplo, solamente el 19% utiliza un escáner de vulnerabilidades web, únicamente el 17% utiliza software de pruebas de penetración, y solo un 11% ha utilizado análisis de paquetes durante cinco años o más.

Los equipos de seguridad escasos de personal y de equipos, desean un enfoque de ciberseguridad más proactivo, pero a menudo no invierten en contramedidas hasta que se produce un incidente”. El estudio revela que el 86% de las organizaciones que han sufrido una brecha en los últimos seis meses creen que una mayor inversión en medidas preventivas, como la formación del personal o herramientas que proporcionen una mayor visibilidad de las redes, habría minimizado los incidentes de seguridad.”

Recomendación

Tanium, el único proveedor del sector de gestión convergente de endpoints (XEM), lidera el cambio de paradigma en los enfoques heredados para gestionar entornos tecnológicos y de seguridad complejos.

Tanium unifica equipos y flujos de trabajo y protege cada endpoint de las ciberamenazas integrando áreas de TI, cumplimiento, seguridad y riesgo en una única plataforma que ofrece una visibilidad completa de todos los dispositivos, un conjunto unificado de controles y una taxonomía común para un único propósito compartido: proteger la información crítica y la infraestructura a escala.

Te invitamos a seguir las redes sociales de Nova InstagramFacebook y LinkedIn para que estes enterado de ésta y más noticias y poder ayudarte a estar protegido a través del amplio portafolio de soluciones en Ciberseguridad con el que contamos.

Publicado en

El Impacto de las Vulnerabilidades Zero Day

impacto de vulnerabilidades zero day

De acuerdo a un artículo generado por Microsoft las vulnerabilidades de Dia Cero (Zero day), son una de las principales fuentes para que los atacantes puedan crear tácticas nuevas y únicas para lanzar ataques y evadir la detección. 

Las vulnerabilidades de zero day una vez expuestas públicamente pueden ser rápidamente utilizadas por otras entidades y cibercriminales, ya que éstas son particularmente efectivas para una explotación inicial.  A medida que los actores de amenazas cibernéticas, tanto de entidades como criminales, se vuelven más expertos en aprovechar estas vulnerabilidades, se ha observado una reducción en el tiempo entre el anuncio de una vulnerabilidad y la mercantilización de éstas.

Muchas organizaciones asumen que es menos probable que sean víctimas de ataques de explotación de Zero Day si la gestión de vulnerabilidades es parte integral de la seguridad de su red. Sin embargo, la mercantilización de los exploits, los están llevando a un ritmo mucho más rápido. De tal modo que, los parches físicos demoran bastante en ser publicados y a esto se suma la demora en que estos son desplegados.

Los cibercriminales que utilizan vulnerabilidades de Zero Day, tienden a limitar inicialmente la explotación de este tipo de vulnerabilidades en las organizaciones, pero éstas se adoptan rápidamente en el ecosistema de actores de amenazas más grandes. Lo cual inicia una carrera para que los actores de amenazas exploten la vulnerabilidad tanto como sea posible antes de que sus objetivos potenciales instalen parches.

Asi mismo no solo los cibercriminales van tras las vulnerabilidades de Zero day, éstas podrían llegar a convertirse en armas gubernamentales. China en septiembre del 2021 creó la regulación de informe de vulnerabilidades, siendo el primer gobierno que requiere los informes de vulnerabilidades que se descubren en su territorio, para su revisión antes de que la vulnerabilidad se comparta con el propietario del servicio o producto, con esta regulación se permite que elementos del gobierno chino acumulen vulnerabilidades informadas para convertirlas en armas.

En promedio, tan sólo bastan 14 días para que un exploit sea desarrollado y esté disponible después de que se divulgue una vulnerabilidad de zero day.  En la gráfica se proporciona un análisis de los plazos de explotación de las vulnerabilidades de zero day, desde el descubrimiento de una vulnerabilidad, hasta la llegada del exploit en herramientas automatizadas de hacking.

De acuerdo al estudio de Microsoft, las organizaciones tienen un promedio de 60 días para parchar los productos o servicios antes que el primer código fuente de un exploit sea publicado como PoC, y así mismo, tienen un promedio de 120 días para realizar dicho parcheo, antes de que los exploits lleguen a herramientas automatizadas de hacking como metasploit,  ya que cuando un exploit llega a esta fase, el exploit es usado a gran escala, por lo que es más probable que la infraestructura de las organizaciones se llegue a comprometer si cuenta con esta vulnerabilidad.

Microsoft hace un par de recomendaciones para la mitigación de este tipo de vulnerabilidades:

1.- Priorizar la aplicación de parches a las vulnerabilidades de día cero tan pronto como se publiquen; no esperar a que se implemente el ciclo de administración de parches.

Si bien no siempre es posible implementar un parche por temas de producción o incluso por que en la mayoría de las ocasiones un parche físico tarda en ser liberado, aquí es donde entran los parches virtuales (Virtual Patching), que son reglas de seguridad que cubren desde la tarjeta de red del host el intento de explotación de alguna vulnerabilidad. 

Además, este tipo de parches son publicados más rápido que un parche físico, por lo que la mitigación de la vulnerabilidad es en menor tiempo, sin tener que afectar la producción o esperar hasta el próximo despliegue de parches físicos.

De acuerdo con el ciclo de administración de parches, herramientas de seguridad como Cloud One – Endpoint & Workload Security de Trend Micro, con su módulo de seguridad llamado Intrusion Prevention, ofrece una gran cantidad de reglas de Virtual Patching, lo cual permite mitigar vulnerabilidades de Zero Day incluso con bastante anticipación vs la publicación de un parche físico.

Nova cuenta con esta herramienta dentro de su portafolio de soluciones.

2.- Documentar e inventariar todos los activos de hardware y software de la empresa para determinar el riesgo y determinar rápidamente cuándo actuar sobre los parches.

No todas las empresas llevan correctamente el inventario de sus activos de software y hardware, y en otras ocasiones sus inventarios no siempre se encuentran actualizados. Una de las herramientas con las Nova cuenta en su portafolio es Tanium, que ofrece diferentes módulos de seguridad, entre ellos Asset e Interact, con los cuales podremos conocer en tiempo real los host que tenemos en nuestra infraestructura, así mismo conocer que software tienen desplegados, también el descubrimiento de host o dispositivos desconocidos que lleguen a conectarse dentro de nuestra infraestructura.

Así mismo, con su módulo Patch podemos realizar el despliegue de los parches físicos de una forma centralizada y optimizada, el cual nos ayuda a priorizar las vulnerabilidades críticas y de zero day una vez que los fabricantes liberan los parches físicos, de esta forma tomando la recomendación 1 que nos marca Microsoft.

Consulta la fuente de este artículo aquí:

Te invitamos a seguir las redes sociales de Nova Instagram, Facebook y LinkedIn para que estes enterado de ésta y más noticias y poder ayudarte a estar protegido a través del amplio portafolio de soluciones en Ciberseguridad con el que contamos.

Publicado en

 “PHOSPHORUS” un peligroso grupo de actores ransomware

phosphorus

Los equipos de inteligencia de amenazas de Microsoft han estado rastreando múltiples campañas de ransomware y han vinculado ataques a “DEV-0270” también conocidos como Nemesis Kitten (un grupo de cibercriminales Iraní que a su vez son un subgrupo de PHOSPHORUS). Microsoft evaluó operaciones realizadas por “DEV-0270” de red maliciosas, incluido el análisis generalizado de vulnerabilidades.

“DEV-0270” aprovecha los exploits para vulnerabilidades de alta criticidad para obtener acceso a los dispositivos. “DEV-0270” también utiliza binarios (LOLBINs) a lo largo de la cadena de ataque para el descubrimiento y el acceso a credenciales, además, el grupo de ciberdelincuentes utiliza herramientas nativas de Microsoft como BitLocker para cifrar archivos en dispositivos comprometidos.

Según Microsoft, en algunos casos en los que el ransomware fue exitoso, el tiempo de rescate (TTR) entre el acceso inicial y la nota de rescate fue de alrededor de dos días. Se ha observado que el grupo exige USD 8.000 para las claves de descifrado.

Además, se ha observado que el actor busca otras vías para generar ingresos a través de sus operaciones. En un ataque, una organización víctima se negó a pagar el rescate, por lo que el actor optó por publicar los datos robados de la organización para su venta.

Recomendación contra grupos de ransomware

Salvaguardar la información hoy en día ante las nuevas brechas de seguridad representa un reto para las empresas, debido a que los riesgos en el área de tecnología evolucionan continuamente. Es por ello que el poder tomar el control del riesgo moderno conlleva una ardua tarea.

Tanium Enforce nos permite que la administración de políticas de Windows sea simple y automatizada de tal forma que se pueda supervisar de forma continua en todos los endpoints. Esto gracias a que algunos de sus métodos de detección:

  • Windows policy management. Administración de políticas de Windows para sistema operativo y servidor.
  • Device and removable storage control. Control de acceso a dispositivos de lectura o escritura, así mismo el control de acceso a endpoints.
  • Firewall management. Administración de procesos y aplicativos permitidos.
  • Antivirus management. Mejora de gestión de Windows Defender.
  • Drive encryption. Administración, configuración y aplicación de políticas de cifrado de endpoints.
  • Lightweight agent. Consola de administración ligera, donde se configuran, aplican y verifican políticas de endpoints.

Además, podemos utilizar Tanium Comply, de esta forma lograremos tener un alcance mayor de análisis y prevención ante alguna posible amenaza, dado que ayuda a:

  • Cumplir con configuraciones y escaneos de vulnerabilidades.
  • Correcciones, actualizaciones de software y cambios de políticas.
  •  Evaluación de sistemas operativos, así como aplicaciones, normas y configuraciones de seguridad.

Te invitamos a seguir las redes sociales de Nova, Instagram, Facebook y LinkedIn para que estés enterado de esta y más noticias y poder ayudarte a estar protegido a través del amplio portafolio de soluciones en Ciberseguridad con el que contamos.

Consulta la fuente de esta entrada aquí:

#Novainforma

Publicado en

El descubrimiento de endpoints es un objetivo en constante movimiento

descubrimiento de endpoints

No todos los endpoints de una red son computadoras de escritorio, portátiles o servidores. Hay impresoras, teléfonos, tabletas, un número creciente de dispositivos IoT, así como la gestión de dispositivos móviles (que es un campo de aplicación en crecimiento). Descubramos por qué el descubrimiento de endpoints es importante.

Tabla de contenido.

Pero, ¿por qué deberías preocuparte que un dispositivo IoT de consumo comprometa la red corporativa? 

Hay varios ejemplos de ataques en donde los delincuentes han encontrado el acceso a la red corporativa a través de impresoras, proyectores y hasta refrigeradores y termómetros de peceras, lo mismo podría ocurrir con un interruptor de luz inteligente, un termostato, una cámara de seguridad, lo que sea.

Esto también se aplica a las máquinas en la planta de producción, muchas de las cuales están equipadas con sensores que se comunican a través de redes inalámbricas y la web con aplicaciones de fabricación. Es un campo llamado tecnología operativa y, en esencia, convierte cada máquina en una planta de producción en un dispositivo de red.

Ninguna herramienta para descubrimiento de activos puede reconocer todos los tipos de dispositivos, por lo que la plataforma que utilice debe integrarse con aplicaciones que puedan identificar dispositivos como teléfonos, tabletas, impresoras, etc. Eso requiere un conjunto de soluciones que puedan funcionar de manera correcta con aplicaciones compatibles. Por eso, por ejemplo, Tanium está creando una integración entre Tanium Discover y Microsoft Intune para el inventario de dispositivos móviles.

El descubrimiento de endpoints es la base de las soluciones Zero Trust

Cuando todo es un dispositivo de red, todo es una potencial vulnerabilidad de seguridad. Por lo tanto, necesitas políticas y procedimientos que dividan los terminales en tres categorías: administrados, no administrados e inmanejables. El descubrimiento de endpoints es el primer paso crucial en la tendencia hacia las soluciones Zero Trust. CSO online describe Zero trust como “un concepto de seguridad centrado en la creencia de que las organizaciones no deben confiar automáticamente en nada dentro o fuera de sus perímetros y en cambio, deben verificar cualquier cosa que intente conectarse a sus sistemas antes de otorgar acceso”.

Las herramientas de respuesta y corrección de amenazas son tan buenas como la amplitud de los endpoints en los que se ejecutan. Entonces, el descubrimiento de endpoints es realmente donde comienza la seguridad e higiene de TI.  Ya sabes por dónde empezar.

Te invitamos a seguir las redes sociales de Nova Instagram, Facebook y LinkedIn para que estes enterado de ésta y más noticias y poder ayudarte a estar protegido a través del amplio portafolio de soluciones en Ciberseguridad con el que contamos incluyendo TANIUM

Fuente: David Irwin, director de gestión de productos, Tanium

 

Publicado en

Las herramientas más antiguas tienen dificultades con la demanda actual de las organizaciones

Las herramientas de descubrimiento de activos antiguas precedieron a muchas de las cosas con las que los entornos de TI modernos operan a diario.

 Dos ejemplos: contenedores y nubes híbridas. 

Tabla de contenido.

Estas herramientas no pueden manejar la tasa de cambio que vemos ahora. Sin embargo, las organizaciones suelen permanecer apegadas a las herramientas con las que se sienten cómodas, muchas de las cuales no son fáciles de usar. De hecho, pueden enorgullecerse de dominar herramientas difíciles de usar. Tal vez escribieron scripts personalizados para que funcionen de manera más efectiva. No solo eso, todo un ecosistema de ha surgido para ayudar a los departamentos de TI a hacer precisamente eso.

Las consecuencias desafortunadas de esto son políticas y procesos de TI creados, no porque sean la mejor manera de abordar un problema, sino porque se ajustan a las capacidades de las herramientas actuales.

Es la versión informática de “si tienes un martillo, todo debe ser un clavo”. Las herramientas arraigadas se vuelven parte del ecosistema de TI, pero las mejores políticas, deberían ser independientes de las herramientas.

Para que no sea tu caso, acércate a nosotros, podemos ayudarte a escoger las opciones más innovadoras en el mercado para el descubrimiento de activos.

Te invitamos a seguir las redes sociales de Nova Instagram, Facebook y LinkedIn para que estes enterado de éste y más temas donde podemos ayudarte a estar informado y protegido a través del amplio portafolio de soluciones en Ciberseguridad con el que contamos.

Fuente: David Irwin, director de gestión de productos, Tanium

Publicado en

No tener visibilidad y sus consecuencias

La falta de visibilidad es importante. ¿Qué crees que pase si manejas con los ojos cerrados?

No saber con qué activos contamos es igual.

Una de las primeras cosas con las que chocarás son las vulnerabilidades. Si no puede administrar un activo, si no sabes que lo tienes, por tanto no puedes asegurarlo y por ende pueden existir vectores de ataque ocultos por completo.

Tabla de contenido.

También es posible que la falta de visibilidad te esté haciendo perder dinero. Como ejemplo tomemos la suite de Microsoft Office, si estás pagando 10.000 licencias y solo utilizas 5.000 entonces no estás usando eficientemente tus licencias, o peor, si utilizas 20.000 entonces estás fuera de cumplimiento, esto podría generar multas y sanciones legales, ¿cuánto cuesta eso?.

Encima, el cumplimiento no se trata solo de licencias de software. Y es otra área de operaciones que depende mucho de saber qué activos hay en su red. 

Tomemos como ejemplo el cuidado de la salud. Las empresas de atención médica deben demostrar el cumplimiento de las disposiciones de HIPAA y PCI que cubren la información médica protegida y los datos de tarjetas de crédito. ¿Te habías preguntado donde se guardan esos datos? Si un hospital no puede contestar esta pregunta, no puede probar el cumplimiento. La incapacidad de demostrar el cumplimiento tiene dos desventajas importantes: sanciones regulatorias y clientes insatisfechos.

¿Con qué debe contar una herramienta para brindar visibilidad al inventario de activos?

  • Precisión
  • Velocidad
  • Escala
  • Facilidad de uso

Estas características están estrechamente relacionadas. Si lleva dos semanas o un mes hacer un inventario (velocidad), cuando haya terminado, la red habrá cambiado y sin duda se habrá perdido algo de información (precisión), por más que el equipo haya trabajado duro, este inventario ya no es exacto.

La complejidad de hacer un inventario crece exponencialmente con el tamaño de la red, por eso la escala es muy importante.

Por último una herramienta difícil de configurar producirá errores y con el tiempo las personas no querrán usarla.

Visibiidad de activos
Conoce la antiguedad de cada activo.

Para ayudarte a tener una buena higiene de TI, contar con precisión, velocidad, escala y facilidad de uso es vital, contáctanos y conoce la mejor opción para alcanzar visibilidad completa y gestionar tus activos fácilmente.

Te invitamos a seguir las redes sociales de Nova Instagram, Facebook y LinkedIn para que estes enterado de éste y más temas donde podemos ayudarte a estar informado y protegido a través del amplio portafolio de soluciones en Ciberseguridad con el que contamos.

Fuente: David Irwin, director de gestión de productos, Tanium

Publicado en

Higiene de TI en las organizaciones.

Higiene de TI en las organizaciones.

En las áreas de TI modernas, los activos están siempre en constante movimiento, no importa el tamaño de la empresa, es una necesidad tener información actualizada del inventario y la mejor forma de lograrlo es a través de la Higiene de TI en las organizaciones.

Tabla de contenido.

Si hablamos de higiene, seguramente imaginarás prácticas para preservar tu salud, como lavarte las manos, usar un cubre bocas y en general tomar medidas que prevengan la propagación de enfermedades. Hemos humanizado tanto los dispositivos que podemos aplicar este concepto a la tecnología.

La higiene básica de TI debe garantizar que todos los sistemas funcionen bien, estén correctamente administrados y protegidos.

El primer paso entonces para una correcta higiene de TI es conocer la cantidad exacta de activos, incluyendo IoT, Servidores, endpoints, etc. ¿Son 1.000, 50.000, 100.000 o 500.000? ¿Dónde están? ¿Qué son? ¿Qué hace? y ¿Qué les pasa?

Todas estas preguntas pueden ser contestadas con la información de un buen inventario, y para tenerlo debemos practicar lo que conocemos como: “El descubrimiento de activos”. En este artículo profundizaremos en la importancia de esta práctica.

No puedes proteger, lo que no conoces” Aplicación de la Higiene de TI en las organizaciones.

Para administrar los activos, necesitamos tres niveles de conocimiento:

  • ¿Qué activos tenemos y dónde están?
  • ¿Qué software se ejecuta en ellos? ¿Tienen licencias? Se necesita más que solo un nombre de host o una dirección IP.
  • ¿Cómo se relacionan entre sí las máquinas de su red y cuál es su propósito? 

Esta información es una necesidad para todas las empresas, sean grandes o pequeñas, pues como dijimos al principio del artículo, en las infraestructuras de TI modernas esta información cambia constantemente. Esto es porque los activos de la red entran y salen, especialmente con los nuevos modelos de trabajo híbridos o desde casa, las empresas se vieron obligadas a permitir usar sus propios equipos a los empleados y esto vuelve muy complejo el control del inventario.

Higiene de TI en las organizaciones.
Conoce lo que tienes en todo momento.

Podemos ayudarte a tener una buena higiene de TI, puedes conocer el 100% de tu inventario y gestionarlo de una forma fácil y conveniente.

¿Quieres saber cómo? Contáctanos.

Te invitamos a seguir las redes sociales de Nova Instagram, Facebook y LinkedIn para que estes enterado de éste y más temas donde podemos ayudarte a estar informado y protegido a través del amplio portafolio de soluciones en Ciberseguridad con el que contamos.

Fuente: David Irwin, director de gestión de productos, Tanium

Publicado en

Avance de la conferencia RSA: ¿Cómo los gobiernos pueden combatir el Ransomware?

La Conferencia RSA ha sido el evento de ciberseguridad líder en el mundo durante muchos años. Ofrece una amplia gama de oportunidades para aprender sobre las mejores prácticas de seguridad cibernética, hacer demostraciones de productos de seguridad de próxima generación y establecer contactos con colegas de la industria y proveedores y socios con los que quizás desee trabajar.

Ahí se presentan algunas de las siguientes problemáticas a las que se enfrentan gobiernos y organizaciones privadas como el Ransomware.

El Ransomware es un problema creciente. Sólo considere algunos datos:

  • La violación promedio de ransomware cuesta $ 4.52 millones en daños y costos de resolución.
  • La cantidad de incidentes de ransomware informados creció un 37 % año tras año y los costos de un incidente aumentaron un 147 %.
  • Se produce un ataque de ransomware cada 11 segundos, y se proyectó que el ransomware causó $ 20 mil millones en daños globales en 2021.

El ransomware es un problema de todos. En los últimos años, grupos de todos los sectores han experimentado infracciones de ransomware de alto perfil, y eso incluye al sector público y privado.

El 30 de marzo de 2022, el FBI publicó una notificación de que los ataques de ransomware están poniendo a prueba a los gobiernos locales de EE. UU. y otras entidades del sector público. La notificación destacó varios casos en los que el ransomware cerró oficinas públicas, desconectó sistemas y servicios y provocó el robo de gigabytes de datos.

Afortunadamente, el ransomware no es una fuerza imparable. Los gobiernos y las organizaciones pueden construir defensas efectivas que reduzcan el riesgo y el impacto de las infracciones de ransomware.

Un marco práctico para luchar contra el ransomware

El ransomware es un patrón de ataque complejo y multifacético. Comienza mucho antes de que el atacante envíe una nota de rescate y puede continuar mucho después de que la víctima pague el rescate o intente desalojar al atacante.

Para luchar contra el ransomware, debe crear una defensa que sea tan compleja y multifacética como el propio ataque. Debe desplegar una amplia gama de capacidades defensivas en cada etapa de la campaña del atacante.

Aquí hay un marco práctico que describe algunas de las principales capacidades y pasos necesarios para protegerse contra el ransomware. Esta descripción general le dará una buena idea de lo que realmente se necesita para combatir eficazmente el ransomware antes, durante y después de un ataque.

Antes del ataque, el atacante desarrolla inteligencia, control y apalancamiento para colocarlo en una posición desafiante. Para evitar esto, debe levantar una barrera de entrada a su red.

  • Establezca visibilidad continua de sus endpoints y sus actividades
  • Elimine las vulnerabilidades conocidas en sus activos a través de una fuerte higiene cibernética
  • Busque de forma proactiva indicadores de compromiso (IOC) que sugieran que se está produciendo un ataque no detectado

Durante el ataque, el atacante crea tantos problemas como sea posible antes de enviar la nota de rescate. Para luchar contra ellos, debe remediar el ataque y desalojar al atacante lo más rápido posible.

  • Descubra la causa raíz del ataque, la propagación lateral y los activos comprometidos
  • Cierre otras vulnerabilidades en su entorno para contener la propagación del ataque
  • Desaloje a los atacantes y recupere el control de sus sistemas sin pérdida significativa de datos

Después del ataque, el atacante puede lanzar ataques adicionales, ya sea desde un punto de apoyo oculto restante o desde una nueva brecha. Para detenerlos, debe fortalecer su entorno contra el atacante. Específicamente debe:

  • Encontrar y cerrar las instancias restantes de las vulnerabilidades que explotó el ataque
  • Encontrar cualquier punto de apoyo restante que los atacantes aún puedan tener y desalojarlos
  • Mejorar continuamente la salud y la seguridad general de su entorno

Cómo usar Tanium para combatir el ransomware

En nuestro portafolio contamos con la solución Tanium, que proporciona una plataforma de gestión convergente de herramientas, de la operación y seguridad de TI y de nuestros endpoints. La plataforma proporciona visibilidad y control en tiempo real sobre endpoints en redes distribuidas modernas y encaja perfectamente en una estrategia de seguridad más amplia y un ecosistema más grande de herramientas anti-ransomware.

Por sí solo, Tanium puede ayudarlo a combatir el ransomware en cada etapa de un ataque.

Antes del ataque, Tanium hace una higiene cibernética casi perfecta que reduce su superficie de ataque, reduce la posibilidad de sufrir una infracción y limita la posible propagación de cualquier ataque de ransomware que experimente. Con Tanium, puedes:

  • Crear un inventario completo y en tiempo real de sus endpoints
  • Parchar, actualizar, configurar y controlar sus endpoints en horas o días
  • Realizar escaneos continuos y búsquedas puntuales en tiempo real para IOC específicos

Durante el ataque, Tanium puede investigar incidentes casi en tiempo real y aplicar controles rápidamente para desalojar al atacante. Con Tanium, puedes:

  • Mapear toda la cadena de ataque e identifique que activos se vieron comprometidos
  • Identificar otros activos vulnerables al ataque y protegerlos proactivamente
  • Negociar con confianza, sabiendo que puede desalojar al atacante sin compromiso

Después del ataque, Tanium puede aprender del ataque y endurecer el entorno contra un segundo ataque o un patrón de ataques similares. Con Tanium, puedes:

  • Encontrar y cerrar las instancias restantes de las vulnerabilidades que explotó el ataque
  • Escanear en busca de rastros restantes de los atacantes y desalojarlos por completo
  • Mejorar la higiene cibernética fundamental para reducir la posibilidad de cualquier violación

Te invitamos a seguir las redes sociales de Nova, Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información.

#NovaInforma

Publicado en

Microsoft soluciona 3 vulnerabilidades Zero day.

Microsoft lanzo las correcciones para mitigar las tres, incluyendo además un error explotado de forma activa recientemente.

CVE-2022-26925

La vulnerabilidad identificada como CVE-2022-26925, es descrita como un error de suplantación de identidad en Windows LSA en la que se han confirmado casos de explotación en ambientes reales.

Se menciona que la vulnerabilidad es mucho más amenazante, si bien, las muestras de código disponibles no pueden ser probadas, se están utilizando exploits funcionales, pero que al combinar estos exploits con ataques  de relay NTLM en servicios de certificados de Directorio Activo, la vulnerabilidad puede alcanzar una puntuación de CVSS 9.8/10, sin embargo, la vulnerabilidad recibió una puntación de 8.1/10 según el Common Vulnerability Scoring Sistem. Debido a esta vulnerabilidad Microsoft ha solicitado a todas las organizaciones actualizar todos los controladores de dominio lo antes posible.

CVE-2022-29972

La vulnerabilidad denominada CVE-2022-29972 puede ser utilizada para ejecución remota de código (RCE) en Magnitude Simba Amazon Redshift ODBC Driver de Insight Software. Es probable que corresponda a los proveedores de servicios en la nube la solución de esta falla.

CVE-2022-22713

Por último, la vulnerabilidad CVE-2022-22713 es utilizada para la Denegación de Servicio (DoS) en Hyper-V, esta vulnerabilidad afecta a sistemas operativos Windows 10 de  64 bits y Windows Server 2019, para Microsoft esta vulnerabilidad puede obtener una puntuación CVSS de 5.6/10, por lo que su explotación tiene muy pocas probabilidades.

 
Recomendación

Tanium disponible en el portafolio de Nova, ofrece velocidad, visibilidad y control inigualables,  es una plataforma de seguridad y gestión unificada de endpoints (UES) diseñada para las organizaciones y los equipos de TI técnicamente más exigentes a nivel global, una herramienta perfecta para la gestión de parches de todo el parque informático y además.

  • Reduce la superficie de ataque: Mejora la eficacia de parches de primer paso para “día cero” de 60% a más del 99%. Acelera la efectividad de semanas o incluso meses a horas, mediante la implementación de acciones de recuperación, parches u otras actualizaciones de software, mejora en cualquier escala.
  • Detección y respuestas de amenazas: Brinda la mejor visibilidad a tu equipo para identificar amenazas y responder efectivamente a ellas en caso de un ataque.
  • Gestión Unificada de Enpoints: Controla totalmente todos los equipos de tu organización, remedia vulnerabilidades y optimiza la configuración, detección y respuesta del endpoint, privacidad de datos y riesgos, descubre el 100% de tuinventario de dispositivos.

Síguenos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información.

Consulta la Fuente de esta noticia aquí:

#NovaRecomienda

Publicado en

La guerra Rusia-Ucrania explotada como señuelo para la distribución de malware

Los grupos de distribución de malware actualmente están utilizando temas de phishing relacionados con la invasión de Ucrania, teniendo como objetivo infectar con troyanos de acceso remoto (RAT) como Agent Tesla y Remcos a las personas a las que les llegan estos correos.

Comúnmente los distribuidores de malware se aprovechen de las tendencias mundiales para engañar a los destinatarios para que abra los archivos adjuntos entregados por correo electrónico y, actualmente, no hay nada más vigilado que la invasión rusa a Ucrania.

Con este tema, los actores de amenazas envían emails maliciosos que instalan RAT en los sistemas de los destinatarios para obtener acceso remoto, extraer información confidencial, escanear nuestra red, desactivar el software de seguridad y, en general, preparar el terreno para cargas útiles más potentes, como los podría ser el despliegue de Ransomware.

Apuntando a fabricantes

Ucrania es un centro de fabricación de varias piezas, y el conflicto actual ha obligado a las fábricas a cerrar sus operaciones, creando inevitablemente problemas y escasez en la cadena de suministro.

Una de las principales campañas detectadas, es intentar explotar estas preocupaciones, dirigiéndose a los fabricantes con un archivo adjunto ZIP que supuestamente contiene una encuesta que deben completar para ayudar a sus clientes a desarrollar planes de respaldo.

Sin embargo, dicho archivo ZIP contiene un Agente Tesla RAT, que se ha utilizado mucho en  varias campañas de phishing  en el pasado.

La mayoría (83 %) de los correos electrónicos de phishing en esta campaña se originaron en los Países Bajos, mientras que los objetivos se encuentran en la República Checa (14 %), Corea del Sur (23 %), Alemania (10 %), Reino Unido (10 %), y EE. UU. (8 %).

Retenciones de pedidos falsos

La segunda campaña es una suplantación de identidad de una empresa médica de Corea del Sur que fabrica sistemas de diagnóstico in vitro.

El mensaje que le llega a sus objetivos afirma que todos los pedidos han sido suspendidos debido a restricciones de vuelos y envíos desde Ucrania.

El documento de Excel adjuntado en dicho correo supuestamente contiene más información sobre el pedido, pero en realidad, es un archivo con macros que explota la vulnerabilidad del Editor de ecuaciones de Microsoft Office, también conocida como CVE-2017-11882, para entregar el Remcos RAT en el sistema.

El 89% de estos correos electrónicos provienen de direcciones IP alemanas, mientras que los destinatarios se encuentran en Irlanda (32%), India (17%) y EE. UU. (7%).

Una de las soluciones para prevenir la ejecución de software no autorizado, así mismo detectar actividades potenciales de ransomware es Tanium, la cual se encuentra en el portafolio de  Ingeniería Aplicada Nova, dicha herramienta cuenta con una variedad de módulos que nos permiten tener una mejor visibilidad, control e incremento de seguridad en nuestra infraestructura, así mismo nos permite acelerar la respuesta ante incidentes, los principales módulos que nos permiten a detener la ejecución de software no autorizado, así mismo detectar actividades de ransomware son:

  • Tanium Threat Response

Este módulo supervisa la actividad en tiempo real de nuestros EndPoints y genera alertas cuando se detectan comportamientos maliciosos. 

  • Tanium Enforce 

Este módulo nos permite realizar listas blancas utilizando Applocker, para solo permitir la ejecución de software autorizado por la empresa y así evitar que se ejecute software no autorizado en los puntos finales.

Si deseas conocer más sobre esta solución, puedes consultar informaciones en: TANIUM, no olvides seguirnos en nuestras redes sociales FACEBOOK y LINKEDIN para revisar más contenido de ciberseguridad.

Consulta la fuente de este artículo aquí:

#NovaRecomienda.