logo nova
Search
logo nova

Etiqueta: vulnerabilidad

Publicado en

¿Cómo hacer tu infraestructura más segura?

ciberseguridad nova

La ciberseguridad está entre los principales focos de las empresas en la actualidad. Tras la pandemia se han generado y siguen sucediendo nuevos escenarios en la forma de trabajar, por lo que ha crecido la exigencia de seguridad a la infraestructura de las organizaciones.

Las redes corporativas han enfrentado desafíos inesperados, como expandir sus redes hasta nuestros hogares, iniciar un camino hacia la nube apresurado, entre otros, ocasionando un incremento en los riesgos de seguridad.

Si te preguntas, ¿qué podemos hacer al respecto? Son muchas las medidas a considerar, pero en este artículo te contamos una de suma importancia en la actualidad: tener un inventario y gestión de activos.

Inventario y gestión de activos.

El Center for Internet Security (CIS) plantea controles que nos ayudan a conseguir mayor seguridad para nuestras infraestructuras, de los 20 puntos los primeros y esenciales son:

  • Inventariar y controlar los activos de hardware
  • Inventariar y controlas los activos de software

Partamos de la premisa que “No puedes proteger lo que no conoces”

Sabemos que en muchos casos las empresas no cuentan con un inventario completo de los dispositivos que utilizan en su día a día, es por ello que la gestión de activos de TI resulta un eslabón clave para la seguridad de la información de las empresas.

Una de las marcas que más fuerza está tomando en el ámbito ITSM desde el año pasado es Proactivanet. De hecho, ha sido la herramienta clave para que muchas empresas consiguieran visibilidad y control de todo su parque informático durante la pandemia.

Un gran ejemplo es una cadena hotelera, Proactivanet ayudó a la organización que tenía en su inventario 2,500 – 3,000 dispositivos, a descubrir 4,000 endpoints, casi 1,500 dispositivos extras de los que tenían contemplados.

Proactivanet resulta una gran herramienta ya que no solo te ayuda a controlar tus equipos, sino que también cuenta con Service Desk y CMDB para redondear la gestión de tus dispositivos e infraestructura.

Consulta la fuente de este artículo aquí.

No olvides seguirnos en Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información, estamos seguros de que no querrás perdértelo.

#NovaInforma

Publicado en

¿Están seguros tus datos en tus dispositivos?

spyware

En Nova sabemos que el delito cibernético no está presente únicamente en las empresas y negocios o las agencias de gobierno, muchas veces los delincuentes están mucho más cerca de lo que crees.

Por ello queremos ofrecerte una guía que te permita saber cómo proteger tus datos y mantener a salvo tu identidad en internet.

Identidad en línea.

Los correos que enviamos, nuestras charlas en redes sociales, las apps que usamos, las fotos y videos que compartimos y los sitios web que visitamos son los elementos que forman nuestra identidad digital, esta identidad forma parte de nosotros, pero únicamente existe en la red, el problema es que otras personas podrían tener acceso a estos datos y el acceso a los datos de otros es más común y sencillo de lo que podríamos imaginar.

¿Cómo estar protegido?

Entre los métodos más comunes para proteger nuestra identidad digital se encuentran las redes privadas virtuales o VPN, el cifrado de extremo a extremo y el uso de navegadores que no rastrean la actividad del usuario, sin embargo, usar estas medidas de prevención realmente no es algo común en el día a día de las personas.

Más opciones.

La mejor forma de estar protegido es conocer las amenazas, la recomendación si no tenemos costumbre de utilizar los métodos anteriores es saber identificar el software peligroso, muchas veces viene incluido en programas legítimos y gratuitos de tipo PUP (programas potencialmente no deseados), este tipo de software suele interrumpir la navegación con ventanas emergentes, cambiar configuraciones personales a la fuerza y recopilar sus datos de navegación con la intención de venderlos a agencias de publicidad y redes.

No obstante, existen amenazas que representan mayor peligro, pues pueden robar contenido como fotos, videos, conversaciones, interceptar llamadas e incluso rastrearlo a través de GPS y permitir el control de un atacante de manera remota del dispositivo, estas amenazas se llaman Spyware o Stalkerware.

¿Cuál es la diferencia entre estas amenazas?

El termino Spyware generaliza el software capaz de realizar estas acciones maliciosas, mientras que el termino Stalkerware suele utilizarse cuando el atacante es una persona cercana.

¿Y cómo sé si me están espiando?

En móviles Android e iOS, lo más común es que exista un gasto de batería excesivo o que los dispositivos se sobrecalienten sin razón aparente, también puede notar comportamientos que resultan extraños del sistema operativo o algunas aplicaciones del dispositivo, los usuarios de software espía intentan ser lo más silenciosos posibles para no levantar sospechas, aun así a menudo es posible darse cuenta que algo anda mal si es su caso no está demás tomar medidas.

También puede ser que su PC o Mac estén en peligro, recomendamos realizar análisis con antivirus periódicamente con desarrolladores confiables y versiones actualizadas, estos suelen reconocer y eliminar el software malicioso.

Creo que me están espiando ¿Qué puedo hacer al respecto?

Si cree que es víctima de software espía lo mejor tanto en dispositivos móviles como en ordenadores es ejecutar un escaneo de malware de un proveedor seguro.

Después de ello es recomendable cambiar todas sus contraseñas, y comenzar a tomar buenas prácticas de seguridad como autentificaciones de dos factores, mantener actualizado su sistema, y proteger físicamente su dispositivo con códigos PIN, patrones de seguridad o biometría, por supuesto mantener actualizada alguna solución antivirus instalada en su equipo y listo, ahora tienes el control de tu información.

Consulta las fuentes de este artículo aquí.

No olvides seguirnos en Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información, estamos seguros de que no querrás perdértelo.

#NovaInforma

Publicado en

Dos terceras partes del tráfico de Internet son bots

Tras los eventos que han marcado el año pasado y lo que vamos de 2021, aún existe un aumento constante del uso de internet, esto al mismo tiempo ha traído algunas consecuencias, una de ellas es el crecimiento acelerado del tráfico de bots (Programas informáticos que realizan de forma automática tareas reiterativas por medio de internet) por lo que muchos negocios electrónicos, así como portales de todo tipo, se han visto afectados.

Se han llevado a cabo diferentes investigaciones buscando entender los patrones de tráfico y el comportamiento de bots basados en tendencias actuales como podría ser de donde provienen, cómo se usan en ataques, en qué momento del día hay más probabilidad de ocurrencia y al mismo tiempo se examinan las tecnologías para frenar estos ataques.

Los bots ahora no solo recopilan información o se usan en ataques masivos, también influyen en debates sociales haciéndose pasar por usuarios humanos y muchas veces incluso no se califican como máquinas, sino solo como cuentas falsas.

Datos importantes

De los resultados de estas investigaciones se obtuvo:

  • Las aplicaciones de e-comerce son las más transitadas por bots.
  • Norteamérica representa el 67% del tráfico de bots malignos.
  • Un 22% provienen de Europa.
  • La mayoría de bots provienen de dos nubes públicas: AWS y Microsoft Azure.
  • Los Bots componen dos tercios del tráfico total en internet.
  • 40% de los bots de la red son maliciosos.

Si bien la mayor parte de los bots en internet tienen un fin no malicioso, algunos pueden robar datos, afectar al rendimiento de los sitios web o provocar problemas varios.

Es por ello que es muy importante detectar y bloquear eficazmente el tráfico de bots en cualquier organización.

Consulta la fuente aquí:

Síguenos en Facebook y LinkedIn  para más contenido de ciberseguridad y tecnologías de la información.

#NovaInforma

Publicado en

¡Alerta de ciberseguridad! Todo sobre Atlassian Confluence (CVE-2021-26084)

alerta Nova

La vulnerabilidad se ha calificado como “critica” según la escala publicada por Atlassian, también según la NVD (Base de datos nacional de vulnerabilidades) la vulnerabilidad alcanza una puntuación base de 9.8, confirmando de gravedad crítica.

El problema fue descubierto por Benny Jacob (SnowyOwl) a través del programa de recompensas de errores públicos de Atlassian.

Se trata de una vulnerabilidad de inyección OGNL que permite a usuarios no autentificados ejecutar código arbitrario remotamente en una instancia de Confluence Server o Data Center.

La vulnerabilidad se ha calificado como critica por diferentes medios y ha tenido un aumento de explotación en los últimos días.

Se han emitido ya diferentes alertas recomendando a los administradores priorizar sus esfuerzos para parchear sus servidores lo antes posible, pues la amenaza ha tenido un aumento de explotación en la naturaleza destacable.

Las versiones de Confluence Server y Data Center anteriores a la versión 6.13.23, de la versión 6.14.0 anterior a la 7.4.11 , de la versión 7.5.0 anterior a la 7.11.6 y de la versión 7.12.0 anterior a la 7.12.5 se ven afectadas por esta vulnerabilidad.

Es importante mencionar que los clientes de Confluence Cloud no se ven afectados, tampoco los clientes que han actualizado a las versiones 6.13.23, 7.11.6, 7.12.5, 7.13.0 o 7.4.11

Aquellos que hayan descargado e instalado versiones afectadas deben actualizar sus instalaciones para corregir la vulnerabilidad, si no es posible existen soluciones alternativas, como una plataforma de seguridad multicapa, Vision One de Trend Micro otorga las herramientas e información oportuna para hacer frente a amenazas de este tipo.

Para saber si su infraestructura está en riesgo con Vision One realice estos pasos

  • En la columna izquierda haga clic en Security Posture > Zero Trust Risk Insights
  • Haga clic en el cuadro de Vulnerability Detection
  • En el menú inferior ingrese en el buscador la vulnerabilidad: CVE-2021-26084
  • En los resultados de éste, visualizará el inventario de servidores que tienen la vulnerabilidad de Attlasian Confluence

Estás protegido si las soluciones se encuentran actualizadas, configuradas correctamente y aplicadas las siguientes reglas: “Preventative Rules, Filters & Detection”

Otra forma de protegerte de esta vulnerabilidad es con un Firewall

Palo Alto Networks proporciona protección contra la explotación de esta vulnerabilidad:

Los firewalls de próxima generación con una suscripción de seguridad de Prevención de amenazas (que ejecutan Aplicaciones y actualización de contenido de amenazas, versión 8453) pueden bloquear automáticamente las sesiones relacionadas con esta vulnerabilidad mediante el ID de amenaza 91594.

No olvides seguirnos en Facebook y LinkedIn estamos creando el mejor contenido de ciberseguridad y tecnologías de la información, estamos seguros de que no querrás perdértelo.

#NovaInforma

Publicado en

Importancia de la gestión de activos.

engranes

La tecnología se ha encargado de cambiar la forma de trabajar en todos los sectores, especialmente esta evolución se nota en la cantidad de equipos que necesita una empresa para funcionar en su día a día, el problema es que tantos avances hacen difícil algunas cuestiones que representan un riesgo para las empresas, nos referimos a las vulnerabilidades.

Desde la revolución industrial los procesos de manufactura se fueron transformando en procesos automatizados, estos cambios se han vuelto cada vez más necesarios y justamente en la actualidad la automatización se aprovecha por las empresas para su operación diaria, los procesos inteligentes son ahora de lo más común, pero, ¿qué necesidades nuevas surgen con todo esto?

Desde costos de operación hasta contingencias de seguridad, el nuevo modelo de operaciones requiere una solución que permita controlar, anticiparse y mitigar contextos que puedan ser perjudiciales para las organizaciones, esto se logra a través de procesos de gestión de activos.

La Gestión de Servicios de TI es una estrategia para administrar las tecnologías de la información y alinearlas con los objetivos del negocio, en la que su metodología está enfocada al cliente y orientada al servicio.

ITAM (Gestión de Activos de TI) permite conocer con total certeza y fiabilidad el inventario de todo el parque informático en cualquier momento, así como sus licencias de software y su configuración de manera automática. Este tipo de herramienta es muy importante para la toma de decisiones, y en los casos de ejecución de auditorías, tanto hardware como software, ya que además de poder conocer con exactitud las características hardware de nuestro parque informático también podremos conocer la cantidad de licencias de todos los productos software que están utilizando nuestros usuarios, y el uso real que se hacen de las mismas.

ITSM (Gestión de Servicios de TI) permite gestionar y atender las incidencias, peticiones y niveles de servicio de un Centro de Atención al Usuario (CAU). La herramienta de Service Desk se convertirá en el único punto de entrada de incidencias y peticiones, pudiendo integrar la centralita, el correo electrónico, el teléfono móvil y un portal de usuarios para poder atender a los usuarios.

En Nova te recomendamos el uso de una herramienta integral para la gestión de activos de TI algunos beneficios de una correcta gestión de activos son:

  • Mejorar la eficiencia y reducir costos operativos
  • Mejorar servicio y experiencia para los clientes
  • Reducir los tiempos de indisponibilidad de los servicios
  • Optimizar canales de acceso y comunicación de usuarios
  • Mejorar la visibilidad de operaciones de TI
  • ROI superior a la inversión corporativa

Una excelente opción para estas necesidades es Proactivanet, cuya herramienta de gestión de activos está certificada en 13 procesos PinkVERIFY 2011 e ITIL Software Scheme nivel Gold.

Su módulo de Inventario, audita y realiza el Inventario automático de todo el parque informático, así como toda la electrónica de red y las licencias de software (SAM, Software Asset Management). También es posible automatizar otras tareas, tales como el control del rendimiento real de los equipos, el control de uso del software, la distribución automatizada de software, el control remoto, etc…

También cuenta con módulos de alta integración como ProactivaNET Service Desk, que facilita la gestión de Incidencias, Peticiones, Problemas, Cambios, Entregas, Catálogo y Niveles de Servicio desde su registro inicial hasta su cierre, incorporando buenas prácticas como ITIL® e ISO 20000.

O su módulo de CMDB que da visibilidad a la dirección de los costes de provisión de servicio y justifica los gastos en TI con un mapa que relaciona los servicios técnicos y de negocio con la infraestructura que los soporta.

No olvides seguirnos en Facebook y LinkedIn estamos creando el mejor contenido de ciberseguridad y tecnologías de la información, estamos seguros de que no querrás perdértelo.

#NovaInforma

Publicado en

La mitad de los hospitales de EE. UU. cierran sus redes debido a ataques Ransomware.

ciberseguridad en hospitales

Casi la mitad (48%) de los hospitales de EE. UU. Han desconectado sus redes en estos últimos seis meses debido a ataques de ransomware, según un nuevo estudio de Philips y CyberMDX.

El informe ‘Perspectives in Healthcare Security’ se basa en entrevistas con 130 ejecutivos de hospitales de TI y ciberseguridad e ingenieros y técnicos biomédicos.

Los ataques de ransomware aún siguen generando grandes impactos, a pesar de que las organizaciones de atención médica (HCO) lucharon contra un aumento en los ataques durante los primeros meses de la pandemia.

Los encuestados que admitieron cerrar las redes debido a estos ataques, comentan que lo hicieron de forma proactiva para evitar una infracción dañina y así mismo los que se vieron obligados a hacerlo debido a una infección grave.

Uno de los primeros pasos para mejorar la postura de seguridad es el descubrimiento e inventario completos de activos. Sin embargo, aquí muchas HCO están fallando actualmente.

Casi dos tercios (65%) de los encuestados afirmaron que dependen de métodos manuales para calcular el inventario, y muchos de los de hospitales medianos (15%) y hospitales grandes (13%) admitieron que no tienen forma de determinar el número de dispositivos activos o inactivos en sus redes.

Una de las soluciones para prevenir ataques de Ransomware con las que Ingeniería Aplicada Nova cuenta en su portafolio es Tanium, esta solución ofrece una variedad de módulos para mejorar la seguridad ante ataques, mejorar la visibilidad, control y acelerar la respuesta ante incidentes, a continuación de muestran algunas caracterices que nos apoyan a prevenir ataques de Ransomware:

  • Gestión de activos

Apoya a la administración de activos en la red y así mismo la identificación de equipos aun no registrados.

  • Parcheo

Apoya a su organización a garantizar que sus puntos finales estén parcheados, pudiendo desplegar esto remotamente desde la consola centralizada, lo que reduce la superficie de ataque corporativa. 

  • Gestión de la configuración

Apoya a identificar y remediar configuraciones incorrectas en los recursos compartidos en nuestra red.

  • Limitar el movimiento lateral

Ayuda a las organizaciones a limitar el movimiento lateral en un entorno.  También puede integrarse con dispositivos de red para bloquear estos ataques a través de Cisco ISE o Palo Alto (Ofrecido por NOVA).

  • Limitar / descubrir datos confidenciales

Ayuda a identificar dónde se encuentran información sensible en nuestra red, lo que permite acciones adicionales para reducir la exposición al ransomware.

  • Identificación

Se cuenta con un módulo para la identificación de actividades potenciales de ransomware y alertar a los administradores para que comiencen a actuar.

  • Prevención

Gestión de Applocker, para evitar ejecución de software no autorizado para los puntos finales.

  • Alcance

Si un ransomware 0-day infecta su organización, Tanium apoya a identificar cuántos archivos se han cifrado y limitar cualquier daño adicional a través de sus módulos Tanium Live Response y Tanium Index.

Si deseas conocer más sobre esta solución, puedes consultar informaciones en: Tanium, no olvides seguirnos en nuestras redes sociales Facebook y LinkedIn para revisar más contenido de ciberseguridad.

“Solo existen dos tipos de organizaciones, las que han sido pirateadas y las que serán”

  • Robert Mueller
Publicado en

El novedoso ataque de phishing en código morse.

phishing

Hace poco se detectó un curioso actor de amenazas que utiliza el código Morse para ocultar URL maliciosas en su forma de phishing así evitar los filtros de seguridad de correo.

El código morse se inventó como una forma de transmitir mensajes a través de cable telegráfico, en el cada letra y número se codifica como una serie de puntos y guiones que representan un sonido corto y uno largo respectivamente, el phishing oculta URL en archivos adjuntos del correo electrónico.

Según investigaciones, no se pudo encontrar referencias al código Morse usado de esta manera en el pasado, por lo que hablamos de una técnica de ofuscación novedosa e ingeniosa.

¿Cómo funciona el ataque?

Comienza como un correo electrónico que parece una factura de la empresa, con títulos cómo: “Ingresos_pago_factura_febrero_miércoles 02/03/2021”

El correo incluye un archivo adjunto HTML que parece ser una factura de Excel, el formato del archivo permite crear nombres dinámicos, que hacen más convincente el engaño:  ‘[nombre_empresa] _factura_ [número] ._ xlsx.hTML’

El archivo en realidad es un script que abre una hoja de cálculo falsa y una ventana en donde indica que se agotó el tiempo de inicio de sesión y pide ingresar la contraseña nuevamente, si el usuario ingresa la contraseña se envía a un sitio remoto donde el atacante recopila las credenciales de inicio de sesión.

Al ser una campaña muy dirigida incluso puede existir el logo de la empresa blanco en el correo electrónico.

Hemos hablado mucho últimamente de los ataques de ransomware y su evolución, pero no podemos dejar atrás otros tipos de estafa vigentes en la red, el phishing también está evolucionando y las técnicas del mismo son cada vez más complejas, por ello te recomendamos prestar mucha atención en las URL y los nombres de archivos adjuntos que recibes, incluso aunque parezca un correo legítimo, es importante siempre estar alerta y listos para detectar una amenaza, si algo parece sospechoso, hay que comunicarlo de inmediato a quien corresponda en la organización.

Una recomendación que te hacemos es que las extensiones en tu equipo siempre estén habilitadas de esta forma es posible detectar archivos sospechosos más fácilmente.

No olvides seguirnos en Facebook y LinkedIn para revisar contenido de ciberseguridad y tecnologías de la información, estamos seguros de que no querrás perdértelo.

#NovaInforma

Publicado en

¿Cómo puedo proteger mi organización ante la nueva ola de ataques de ransomware?

ransomware

En mayo de este año fuimos testigos del ataque de ransomware por parte de una organización criminal llamada DarkSide al operador de oleoductos Colonial Pipeline, lo cual afectó en gran manera a la producción de refinado, ya que se trata de un oleoducto vital en los Estados Unidos. Se tuvieron que detener los envíos para evitar que los piratas informáticos pudieran tener oportunidad de realizar acciones adicionales, como apagar o dañar el sistema en caso de robo de información altamente confidencial de la corporación.

 Amenazas como esta suelen hacernos preguntar cómo podemos defendernos, sobre todo conociendo que este tipo de cibercriminales buscan conseguir un beneficio económico. Las organizaciones deben tener un plan de contingencia y respuesta para los ataques de ransomware. Debemos ser conscientes de los siguientes puntos:

  • TODOS podemos ser blanco de ataques.
  • Los atacantes siempre buscarán acceder a la red por métodos como el phishing, a través de un sistema con vulnerabilidades que se encuentre publicado en internet o un ataque a la cadena de suministro. El concientizar a los usuarios es una buena forma de estar prevenidos.
  • Las credenciales de cuentas administrativas y de aplicaciones serán el objetivo de los cibercriminales. Se debe contar con un buen esquema para la protección de contraseñas y que estas no se encuentren expuestas en medios fácilmente accesibles.
  • Un ataque de ransomware será la última opción de una organización criminal, pues esta herramienta es fácilmente visible y nosotros sabremos que hemos sido comprometidos, lo cual podría resultar contraproducente.

Una de las herramientas más completas en el portafolio de NOVA que nos permite visualizar amenazas en el interior de nuestra organización es Trend Micro Vision One, plataforma multicapa de ciberseguridad que puede ayudar a mejorar la detección y respuesta contra los últimos ataques de seguridad y mejorar su visibilidad. De manera adicional, y para una protección mayor, es posible implementar soluciones como Palo Alto Networks, un poderoso firewall con protección de DNS a profundidad que proporciona protección basada en la nube contra el acceso no autorizado, el mal uso, la extracción y el intercambio de información confidencial. Cuenta también con Enterprise DLP que proporciona un motor único para la detección precisa y la aplicación de políticas coherentes para datos confidenciales en reposo y en movimiento mediante la clasificación de datos basada en el aprendizaje automático, cientos de patrones de datos que utilizan expresiones regulares o palabras clave, y perfiles de datos que utilizan lógica booleana para buscar tipos colectivos. de datos.

Dados los antecedentes expuestos, debemos tener presente que el ransomware es el problema más visible, pero no necesariamente el más peligroso, pues es peor el enemigo al que no es posible ver hasta que nuestra información haya sido expuesta o utilizada de manera perjudicial.

No olvides seguirnos en Facebook y LinkedIn para revisar más contenido de ciberseguridad y tecnologías de la información, estamos seguros de que no querrás perdértelo.

#NovaInforma

Publicado en

Internet de las cosas (IoT) un desafío para la seguridad de las empresas.

ingraestructura

Un dispositivo IoT (por sus siglas en inglés “Internet of things”) es cualquier objeto que cuenta con una conexión a internet para realizar su funcionamiento, impresoras, proyectores, televisiones, teléfonos, sensores, refrigeradores, cámaras, puertas, la lista es gigantesca. Pero lo importante es que se trata de miles de millones de objetos que crecen cada día, de hecho, hoy hay más dispositivos IoT que personas conectados a internet y es que el número ronda entre los 8.74-11.7 mil millones y se estima que para 2025 existan 41mil millones de dispositivos, es decir habrá más dispositivos que humanos en el planeta.

Estos impresionantes números nos permiten hacernos una idea del peligro latente que existe en las organizaciones, pues ya se han usado estos dispositivos para acceder a información o redes privadas con fines deshonestos, por supuesto estos dispositivos están hechos para facilitar las tareas del día a día, pero, los desarrolladores en el mercado no se toman el tiempo de crear sistemas robustos en seguridad, dejando grandes vulnerabilidades en cada uno de estos dispositivos.

Tenemos un problema.

Es común que los dispositivos IoT pasen desapercibidos en las vastas redes de una organización, esto debido a la falta de visibilidad de los mismos, a su vez existe una incapacidad de proteger los dispositivos IoT, si lo pensamos es obvio, no podemos proteger lo que no podemos ver y no solo eso, muchos IoT no pueden ser protegidos con un software de endpoint, entonces:

 ¿Cómo protejo mi organización?

Por suerte otros se han enfrentado a estos dilemas antes y gracias a la tecnología contamos con varios modelos y arquitecturas de seguridad de IoT verdaderamente funcionales, tal es el caso de Palo Alto Networks, empresa multinacional líder en ciberseguridad y desarrolladores de IoT Security, Palo Alto utilizó otras herramientas como firewalls para resolver el problema de visualización de IoT, ya que todos los dispositivos, cableados o inalámbricos se conectan a los firewalls, y envían registros a otras soluciones como Cortex™ XSOAR Data Lake  (es una plataforma integral de orquestación, automatización y respuesta de seguridad (SOAR) que unifica la gestión de los casos, la automatización, la colaboración en tiempo real y la gestión de la inteligencia de amenazas para servir a los equipos de seguridad a lo largo del ciclo de vida de los incidentes.) (registros DHCP, registros de aplicaciones mejorados, registros de tráfico) esta información permite rastrear el riesgo de IoT,  crear alertas de seguridad y vulnerabilidad de todo tipo que con una integración a otras soluciones como XSOAR, son atendidas y resueltas en breve.

Algunas de las alertas de seguridad de IoT se convierten en incidentes, XSOAR también aprovecha su integración con Service Now Discovery (SNOW) para resolver estas cuestiones por diferentes partes interesadas como empresas de SOC e IoT, de esta manera esos incidentes son investigados y resueltos a través de parcheado o configuraciones IoT.

No cabe duda de que la seguridad de IoT no está en un mal lugar el día de hoy, pero hay que tener en cuenta que los dispositivos IoT seguirán creciendo y cada vez serán más en cada organización, por tanto, una arquitectura de seguridad escalable como la de Palo Alto, basada en Cortex Data Lake para que cualquier IoT nuevo en un sitio nuevo o existente se pueda descubrir de inmediato es indispensable.

No olvides seguirnos en Facebook y LinkedIn para revisar más contenido de ciberseguridad y tecnologías de la información, estamos seguros de que no querrás perdértelo.

#NovaInforma

Publicado en

Ataque a 4 vulnerabilidades críticas en servidores Exchange

vulnerabilidad

Ataque a 4 vulnerabilidades críticas en servidores Exchange

Las campañas de ciberataque se están presentando cada vez con más frecuencia, y los actores de amenazas encuentran día con día nuevas técnicas y herramientas para obtener acceso a sistemas críticos de las organizaciones, esto a través de los endpoints, el correo electrónico, equipos de red, servidores web, bases de datos, para a partir de ahí, realizar movimientos laterales intentando infectar la mayor cantidad posible de recursos y sistemas de la organización.

En esta ocasión se vieron afectados los servidores Microsoft Exchange por cuatro vulnerabilidades de “día cero” que fueron atacadas por un grupo que Microsoft denominó “Hafnium”, este aprovechó las vulnerabilidades para autenticarse como el servidor On-Premise de Exchange, ejecutar código y colocar archivos en cualquier ruta, el último paso habría sido desplegar Web Shells para robar datos, distribuir malware a través de la red y así facilitar el acceso a la organización a largo plazo. Las versiones de Microsoft Exchange que se han visto afectadas son 2013, 2016 y 2019.

Al menos 30,000 organizaciones se han visto afectadas en Estados Unidos, sin embargo, el número podría ser mucho mayor alrededor del mundo. A través del motor de búsqueda Shodan, se ha determinado que aproximadamente 63,000 servidores son vulnerables a estos exploits. Microsoft recomienda encarecidamente aplicar los parches liberados para solucionar las vulnerabilidades.

Una de las soluciones con las que NOVA cuenta en su portafolio es Trend Micro Vision One, los clientes de esta solución se benefician de las capacidades de XDR de los productos registrados en ella, como Cloud One Workload Security. Los indicadores relacionados con esta amenaza y vulnerabilidades asociadas de Exchange ya se incluyen en la funcionalidad Threat Intelligence Sweeping de Vision One, para poder buscar los IOC’s y que éstos sean agregados a los escaneos diarios de telemetría.

Los cibercriminales no descansan en su búsqueda por obtener beneficios personales afectando a muchas personas y organizaciones, sin embargo, del lado de IT y la organización en general, debemos estar atentos y actuar proactivamente en caso de detectar algún indicador de compromiso.

No olvides seguirnos en Facebook y LinkedIn para revisar más contenido de ciberseguridad y tecnologías de la información, estamos seguros de que no querrás perdértelo.

#NovaInforma

Regístrate para recibir nuestro newsletter

Nova logo
Insurgentes Sur 1524 / Piso 4 Crédito Constructor / 03940 Ciudad de México / México
T. +52 55 5524 8908
soluciones
servicios
acerca de
contacto
blog
service desk
Facebook-f Linkedin-in Instagram Youtube Twitter

© 2023 Ingeniería Aplicada Nova SA de CV

Insurgentes Sur 1524 / Piso 4 Crédito Constructor / 03940 Ciudad de México / T. +52 55 5524 8908

© 2023 Ingeniería Aplicada Nova SA de CV

aviso de privacidad
bolsa de trabajo