jueves, 4 de junio de 2015

Ciberamenazas 2015

El pasado abril Websense publicó el “2015 Threat Report”, en el cual se dan a conocer las diferentes ciberamenazas para el 2015, los factores que se deben tener en cuenta y cómo estamos preparados para afrontarlas.

El análisis incorpora 2 secciones:
  • Una primera sección basada en comportamientos humanos, donde se explica cómo afecta el comportamiento humano en diferentes ciberataques.
  • Una segunda sección de tendencias basadas en técnicas, donde trata los nuevos comportamientos que se están aplicando a los ciberataques.

A continuación presentamos un resumen con los aspectos más relevantes de la citada publicación:


SECCIÓN 1: COMPORTAMIENTOS HUMANOS
  1. Cómo los ciberatacantes pueden disponer más fácilmente de aplicaciones para poder provocar ciberataques.
    • Aparición del nuevo fenómeno Malware as a service: la capacidad de que un ciberatacante o una organización que quiere perpetrar un ciberataque le sea muy fácil, ya que cada vez se dispone de más infraestructura, herramientas y troyanos personalizados para cometer este tipo de ataques.
    • Cada vez se disponen de mayores capacidades de ataque a un precio muy asequible para cualquier persona. Se están utilizando alrededor de un 90% de las url’s utilizadas en ataques anteriores. El ciberatacante ya no necesita disponer de sus recursos propios.

  2. Atribución de un ataque
  3. Cuando una compañía sufre un ciberataque lo primero que suele interesar a la gerencia es quién ha sido. Se pueden cometer muchos errores en la atribución indebida de un ataque. Cuando se sufre un ciberataque se invierte mucho tiempo en saber quién está detrás de ese ataque, lo que se recomienda es dejar eso a las agencias oportunas, y ocuparse de la contención.

  4. Capacidad de elevar el conocimiento en ciberseguridad
  5. Cada vez es más fácil para un ciberatacante disponer de más herramientas, incluso dentro el mercado negro hay cursos para aprender a realizar ciberataques. Con tal de poder hacer frente a los ciberataques las empresas deben desarrollar cursos de información, pero debido a los pocos recursos, tanto a nivel humano como económico, se hace necesario también que las herramientas utilizadas puedan proporcionar una inteligencia que permita tomar una decisión a la hora de hacer frente a estos ciberataques.

  6. Usuario interno
  7. Ha sido el principal riesgo para la fuga de información y podemos diferenciar dos tipos:
    • Alguien que para seguir trabajando en casa sube información confidencial en Gmail, Dropbox o algún disco duro virtual, y con eso facilita que otro usuario o atacante infiltrado en los sistemas pueda acceder fácilmente.
    • Usuarios que cogen información de forma malintencionada, normalmente personas que están a punto de abandonar la organización.




SECCIÓN 2: TENDENCIAS BASADAS EN TECNOLOGÍA
  1. Vulnerabilidades presentes en la infraestructura
  2. Se han descubierto nuevas vulnerabilidades en sistemas (estables y seguros) que llevan muchos años en las organizaciones. Este tipo de vulnerabilidades de productos que existen en las organizaciones han estado presentes en 2014 y lo estarán en 2015.
    A continuación se detallan una serie de recomendaciones de como mitigar las amenazas:
    • Tener presente las revisiones de seguridad en los sistemas con el objetivo de detectar las vulnerabilidades lo antes posible.
    • Estar pendiente de las actualizaciones.
    • Mejorar los procesos de parcheado para reducir el nivel de exposición de esta vulnerabilidad.
    • Disponer de otras herramientas capaces de bloquear la comunicación el control con los servidores.

  3. ¿Se trata de algo nuevo o algo que hemos visto?
  4. En algunos casos se han utilizado herramientas sofisticadas, pero una de las vías más habituales para los ataques e infecciones vuelve a ser el correo electrónico. El 81% de los correos se han clasificado como spam, lo que representa un aumento del 25% de los correos no deseados, y los correos maliciosos no son detectados por las firmas (el origen es bueno, el destinatario existe, el fichero no es un ejecutable). Se tienen que dotar a los sistemas de algo más para poder ser capaces de detectar este tipo de ataques.

    Las técnicas van evolucionando para no ser detectadas. El malware es capaz de utilizar la nueva tecnología para conseguir el éxito. Se siguen utilizando este tipo de técnicas para introducir malware a los sistemas.

  5. Internet of Things
  6. Este concepto hace referencia a pequeños dispositivos, como sensores de temperatura o sistemas de video vigilancia con información, conectados a la red para poder ser controlados remotamente, tanto en uso doméstico como industrial. Alrededor de 2020 puede haber entre 20 y 50 billones de dispositivos conectados. A medida que las organizaciones vayan introduciendo estos dispositivos para control industrial, el riesgo va a aumentar considerablemente. Nadie piensa que pueden ser explotados pero el impacto es altísimo ya que estos sistemas llegan a controlar refinerías de petróleo o centrales nucleares y por lo tanto hay que tener muy presente este nuevo fenómeno.

  7. Evolución de las amenazas
  8. Se ha detectado que normalmente el objetivo del ataque ya no pretende destruir un pc o servidor sino que pasa a ser económico. El malware se va orientando a este tipo de objetivo puramente económico y dirigido a una víctima en concreto. Se han dado cuenta en la potencia de los ciberataques para conseguir un objetivo económico.

    Se observa una sofisticación tanto a nivel de componentes como en las técnicas. El malware es capaz de detectar si está en un entorno virtual, y no activarse, y activarse cuando esté en un entorno de cliente


Para concluir, remarcar los siguientes aspectos más relevantes del documento:
  • Cada vez se disponen de mayores capacidades de ataque a un precio muy asequible para cualquier persona.
  • El usuario interno es el principal riesgo para la fuga de información.
  • Se han descubierto nuevas vulnerabilidades en sistemas estables y seguros que llevan muchos años en las organizaciones.
  • Se está volviendo a utilizar el correo como fuente de ataque informático.
  • El objetivo del ataque informático pasa a ser puramente económico y dirigido a una víctima en concreto.

Fuente consultada:
Threat Report Identifies 8 High-Risk Cyber Threats For 2015

martes, 13 de enero de 2015

3 Pilares de la Seguridad: Negocio, Tecnología y Capacidades, Economía

En nuestra entrada titulada cómo el CISO y el CEO pueden hablar el mismo idioma acabamos diciendo que la seguridad no es una persona al lado de un firewall, es desarrollar programas de gestión de riesgos que estén alineados con las necesidades del negocio.

A la hora de analizar cómo abordar el reto de la seguridad en una organización es importante tener en cuenta estos 3 elementos o aspectos:

1. Las principales 4 preocupaciones del negocio desde el punto de vista de la seguridad

Ante un incidente de seguridad, las principales preocupaciones para el Director General, el Director Financiero o el Director de Operaciones son que se produzca:
  • Una pérdida de reputación, confianza de los clientes.
  • Una parada en la operativa del negocio.
  • Una violación de cumplimiento.
  • Una una pérdida financiera.

2. Los 3 aspectos que debemos tener en cuenta para disponer de un nivel adecuado (responsable) de la seguridad en nuestra organización:

  • Nuestro negocio. Permitirá conocer qué riesgos corremos y qué leyes (riesgos legales) genéricas o específicas de nuestro sector debemos cumplir.
  • Nuestra madurez tecnológica. Permitirá conocer qué medidas técnicas, organizativas y procedimentales tenemos implementadas, y qué medidas no, que permitan eliminar o reducir dichos riesgos y cumplir con los requisitos legales que debemos cumplir.
  • Nuestras capacidades disponibles. Permitirá conocer si tenemos los recursos necesarios, capaces de gestionar los riesgos existentes y futuros.

3. El entorno económico global o particular en el que se mueve nuestra organización

Este entorno determinará que las medidas que tomemos para gestionar adecuadamente los riesgos TIC que afectan a nuestro negocio sean más o menos conservadoras o innovadoras. Introducir la variable económica es fundamental para saber de qué estamos hablando. Es fundamental para poder comparar el impacto económico asociado al riesgo, con el coste necesario para reducirlo o eliminarlo. De esta manera podemos decidir focalizarnos en implementar aquellas medidas y disponer de aquellas capacidades mínimas que traten aquellos riesgos (incluidos los legales) más importantes, o intentar proporcionar valor a la organización a través de medidas y capacidades más robustas y mejoradas.

Para hablar de todo ello, ofrecemos 3 workshops formativos que combinan la parte teórica con la aplicación práctica en tu organización.

El objetivo es formar y analizar a alto nivel, cómo complementar los objetivos de negocio con un nivel adecuado (responsable) del riesgo y de la seguridad de los sistemas y tecnologías de la información, que considere el impacto económico asociado.

Descárgate el siguiente pdf en el que encontraras el detalle y precio de estos workshops:

Workshopos formativos sobre seguridad.pdf