CIS CONTROLS V8: 18 CONTROLES DE SEGURIDAD NECESARIOS

El Center for Internet Security ha actualizado su conjunto de medidas de seguridad para protegerse de los cinco tipos más comunes de ataques a los que se enfrentan las redes empresariales: hacking de aplicaciones web, uso indebido de privilegios e información confidencial, malware, ransomware e intrusiones dirigidas.

En mayo, con la publicación de su informe CIS Controls V8, la organización ha buscado presentar acciones prácticas y específicas que las empresas pueden realizar para proteger sus redes y datos. Estas van desde la realización de un inventario de los activos de la empresa, hasta la gestión de las cuentas y la auditoría de los registros.

En parte, la nueva versión era necesaria para abordar los cambios en el funcionamiento de las empresas desde que se publicó V7 hace tres años. "El traslado hacia la computación basada en la nube, la virtualización, movilidad, outsourcing, el trabajo desde casa y el cambio de tácticas de los atacantes han sido temas fundamentales en todos los debates”, señala el nuevo documento de controles.

CIS ha cambiado un poco el formato de los controles, pues ahora describe las acciones que se deberían tomar para abordar las amenazas y debilidades sin decir quién debería realizar esas tareas. De este modo, se pone toda la atención a las tareas sin vincularlas a equipos específicos dentro de la empresa.

Cada uno de los controles viene con procedimientos detallados para implementarlos junto con enlaces a recursos relacionados. A continuación, se presenta una breve descripción de los 18 controles.

Control 1: Inventario y control de los activos empresariales

Esto requiere gestionar activamente los inventarios, el seguimiento y la corrección de todos los dispositivos de los usuarios finales: portátiles y móviles, dispositivos de red, dispositivos no informáticos/Internet de las cosas (IoT) y los servidores que se conectan a la infraestructura de forma física, virtual, remota y dentro de entornos de nube. El inventario ayudará a identificar los dispositivos que se deben eliminar o remediar.

Control 2: Inventario y control de activos de software

Las empresas deben inventariar, rastrear y corregir activamente todos los sistemas operativos y aplicaciones en la red para detectar y bloquear el software no autorizado y no gestionado, de modo que solo se instale y se pueda ejecutar el software autorizado.

Control 3: Protección de datos

Deben implementarse procesos de datos y controles técnicos para identificar, clasificar, manejar, retener y eliminar los datos de forma segura.

Lo ideal para esto es poner en una sola red todos los datos que tengan el mismo nivel de sensibilidad y aislados de los datos con otros niveles de sensibilidad. Los firewalls controlarían el acceso a cada segmento, y el acceso se otorgaría solo a los usuarios que tengan una necesidad empresarial de acceder a ellos.

Control 4: Configuración segura de activos y software

Debe establecerse, almacenarse y mantenerse una configuración segura de los dispositivos de los usuarios finales, incluyendo los portátiles y móviles, dispositivos de red, dispositivos no informáticos/IoT, servidores, sistemas operativos y aplicaciones. Se recomienda instalar VPNs delante de los servidores y utilizar servidores DNS controlados por la empresa.

Control 5: Gestión de cuentas

Se recomienda utilizar procesos y herramientas para gestionar la autorización de los activos y el software de la empresa. Esto incluye las cuentas de administrador y de servicio. Una recomendación es que se restrinjan los privilegios de administrador a las cuentas de administrador dedicadas, y se le otorguen esos privilegios solo a quienes realmente administran los activos de la red. Estos administradores también deben tener cuentas separadas para acceder al correo electrónico, la navegación web y las aplicaciones de productividad.

Control 6: Gestión del control de acceso

Las empresas deben utilizar procesos y herramientas para crear, asignar, gestionar y revocar las credenciales de acceso y los privilegios de las cuentas de usuario, administrador y servicio para el software y los activos empresariales. El acceso basado en roles debe ser asignado a cada cuenta en función de la necesidad de saber, el privilegio mínimo, los requisitos de privacidad y la separación de funciones.

Control 7: Gestión continua de vulnerabilidades

Las vulnerabilidades dentro de la infraestructura empresarial deben ser continuamente evaluadas y monitoreadas para que puedan ser remediadas de una manera adecuada que minimice la ventana de oportunidad que tienen los atacantes para explotarlas. Se deben utilizar fuentes públicas y privadas de información sobre nuevas amenazas y vulnerabilidades para ayudar en este proceso.

Control 8: Gestión de registros de auditoría

Los registros de auditoría deben ser recopilados, revisados y conservados para documentar los eventos y ayudar a detectar, comprender y recuperarse de los ataques. Los registros pueden mostrar cuándo y cómo se producen los ataques, a qué información se accedió y si se filtraron los datos. La conservación de los registros es fundamental para las investigaciones de seguimiento, o para entender los ataques que permanecen sin ser detectados durante un largo período de tiempo.

Control 9: Protecciones de correo electrónico y navegador web

Este control insta a mejorar las protecciones y detecciones de las amenazas por correo electrónico y por la web que pueden manipular el comportamiento humano a través de la participación directa; estos son los objetivos principales tanto para el código malicioso como para la ingeniería social. Las medidas preventivas incluyen el uso de servicios de filtrado de DNS para reducir la exposición y la implementación de filtros de URL basados en la red.

Control 10: Defensas contra el malware

Las empresas deben prevenir o controlar la instalación, propagación y ejecución de software en los activos de la empresa, utilizando métodos que incluyan software antimalware, escaneando en busca de malware en medios extraíbles como memorias USB y habilitando funciones contra la explotación "tales como Microsoft Data Execution Prevention (DEP), Windows Defender Exploit Guard (WDEG), o Apple System Integrity Protection (SIP) and Gatekeeper”.

Control 11: Recuperación de datos

Se deben implementar las prácticas de recuperación de datos necesarias para restaurar los activos de la empresa dentro del alcance a un estado previo al incidente y de confianza. Debido a que los cambios de configuración pueden crear vulnerabilidades que luego son aprovechadas por atacantes, es importante tener copias de seguridad recientes para recuperar los activos y datos de la empresa a un estado de confianza conocido.

Control 12: Gestión de la infraestructura de red

Las empresas deben rastrear, informar y corregir los dispositivos de red para evitar que los atacantes exploten los puntos de acceso y servicios de red. La infraestructura incluye puertas de enlace físicas y virtuales, firewalls, puntos de acceso inalámbricos, enrutadores y conmutadores. Estas medidas deben abordar aquellas vulnerabilidades que pueden ser introducidas mediante el uso de la configuración predeterminada, el seguimiento de los cambios y la reevaluación de las configuraciones actuales. Un ejemplo es ejecutar la última versión estable de software o utilizar las ofertas de red como servicio (NaaS) actualmente soportadas.

Además, las empresas deben mantener los diagramas de red y otra documentación del sistema,revisarlos y actualizarlos anualmente. Los recursos informáticos utilizados para tareas administrativas deben estar separados física o lógicamente de la red empresarial principal y aislados del acceso a Internet.

Control 13: Supervisión y defensa de la red

Debe establecerse una supervisión y defensa exhaustiva de la red contra las amenazas, incluyendo la detección de intrusiones, el filtrado de tráfico entre los segmentos de la red y la implementación de controles a nivel de puerto, como los soportados por la autenticación 802.1x.

Control 14: Concientización y capacitación en materia de seguridad

Debe crearse un programa para crear conciencia sobre la seguridad entre los trabajadores y proporcionarles las habilidades necesarias para reducir los riesgos de ciberseguridad.

Control 15: Gestión de proveedores de servicios

Debe establecerse un proceso para evaluar a los proveedores de servicios que cuentan con datos confidenciales o que son responsables de plataformas o procesos de TI críticos de la empresa, para garantizar que brinden la protección adecuada. Las empresas deben establecer requisitos para los proveedores de servicios, que pueden incluir programas mínimos de seguridad, notificación y respuesta a incidentes de seguridad y violación de datos, requisitos de cifrado de datos y compromisos de eliminación de datos. Las empresas deberían revisar los contratos de los proveedores de servicios anualmente para asegurarse de que incluyan los requisitos.

Control 16: Seguridad del software de aplicación

Las empresas deben gestionar el ciclo de vida de seguridad del software desarrollado, alojado o adquirido internamente para prevenir, detectar y remediar las debilidades de seguridad antes de que afecten a la empresa. Además, las organizaciones deberían usar plantillas de configuración estándar recomendadas por la industria para reforzar los servidores subyacentes, las bases de datos y los servidores web. Esto también se aplica a los contenedores en la nube, los componentes de plataforma como servicio (PaaS) y los componentes de SaaS.

Control 17: Gestión de respuesta a incidentes

Se deben asignar roles y responsabilidades clave para la respuesta a incidentes, incluyendo al personal legal, de TI, de seguridad de la información, de instalaciones, de relaciones públicas, de recursos humanos, personal de respuesta a incidentes y analistas, según corresponda. El plan debe revisarse anualmente o cuando se produzcan cambios significativos en la empresa que puedan afectar la respuesta a incidentes.

Control 18: Pruebas de penetración

Un programa de pruebas de penetración debe simular las acciones de un atacante para identificar y explotar las debilidades entre las personas, los procesos y la tecnología. El programa debe ser apropiado para el tamaño, la complejidad y la madurez de la empresa. Las vulnerabilidades deben remediarse según la política de la empresa para el alcance y la priorización de la remediación.

Fuente: cioperu.pe

El creador de C++ critica un informe de la NSA que defiende la superioridad de los 'lenguajes seguros' como Rust

Hace dos años, Google afirmó que el 70% de las vulnerabilidades de alta gravedad de Android se debían a errores de memoria propios de los lenguajes C y C++ que siguen constituyendo la base del sistema operativo móvil. Ese dato se enarboló como la razón para introducir entonces Rust en el desarrollo de Android.

El pasado mes de noviembre, la Agencia Nacional de Seguridad (NSA) estadounidense difundió un breve informe titulado 'Software Memory Safety' (PDF) en el que recomendaba explícitamente dejar de usar los vetustos (y muy populares) lenguajes de programación C y C++ en favor de 'lenguajes con gestión segura de la memoria', cuyos ejemplos más conocidos serían C#, Java, Ruby o el pujante Rust.

Pero ahora el portal del Open Standards Project ha publicado un documento (PDF) que contesta al de la NSA, titulado "Un llamamiento a la acción: piensa en serio acerca de la seguridad y luego haz algo sensato al respecto"; su autor es nada menos que Bjarne Stroustrup, catedrático de computación danés que creó lenguaje C++ en 1979. En esta respuesta al informe original, nuestro protagonista se lanza a argumentar contra lo que percibe como una excesiva simplificación por parte de la agencia federal estadounidense:

"Ahora bien, si considerase que uno de esos lenguajes 'seguros' es superior a C++ para la gama de usos que me interesan, no vería la desaparición de C/C++ como algo negativo, pero no es el caso. Tal como se describe [por la NSA] 'seguro' se limita a la seguridad de la memoria, dejando de lado una docena de formas distintas en que un lenguaje podría (y será) usado para violar cualquier clase de protección".

"No hay una única definición de seguridad"

Stroustrup tiene claro que "ignorar los problemas de seguridad perjudicaría a grandes sectores de la comunidad de C++ y socavaría gran parte del resto del trabajo que estamos haciendo para mejorar C++", pero por ello propone no ceder ante quien ve Rust y cía. como la solución a dichos problemas: "podemos lograr varias clases de seguridad a través de una combinación de estilos de programación, bibliotecas complementarias y aplicaciones de análisis estático".

Un ejemplo de las citadas bibliotecas sería SLIMalloc, que según su autor convierte C en un lenguaje "más seguro que los lenguajes 'seguros para la memoria'". El creador de C++ menciona también otro documento de su autoría (PDF) que "proporciona un breve resumen del proceso" que propone.

Plantea que un analizador estático que cumpla con las directrices básicas de C++ elaboradas en los últimos años puede garantizar la seguridad del código a un coste mucho menor que el necesario para iniciar una transición de código a nuevos lenguajes. Algunas de dichas directrices ya han sido implementadas en el analizador estático de MS Visual Studio, o en el Clang-Tidy.

También señala que si trabajamos en dominios de aplicación que priorizan el rendimiento sobre la seguridad de tipos, se podrían "aplicar las garantías de seguridad sólo cuando sea necesario y usar nuestras técnicas de ajuste favoritas" en el resto de los casos.

Igualmente, Stroustrup sentencia que:

"Por desgracia, gran parte del código C++ está atascado en el pasado distante, ignorando las mejoras, incluidas las formas de mejorar drásticamente la seguridad. [Pero] las miles de millones de líneas de código C ++ no van a desaparecer mágicamente, e incluso el código 'seguro' (en cualquier lenguaje) tendrá que llamar o ser llamado por código C o C++ tradicional que no ofrezca garantías de seguridad específicas".

Fuente: genbeta.com

LOS DIEZ RIESGOS DE ChatGPT PARA LA SEGURIDAD

El ChatGPT se ha popularizado a ritmos vertiginosos en los últimos meses. Junto a este, están apareciendo propuestas, que no se limitan a ofrecer resultados textuales basados en modelos de lenguaje, sino a la generación y combinación de cualquier tipo de contenido.

Siguiendo con esto, Prosegur Research ha analizado las implicaciones de ChatGPT desde la perspectiva de la seguridad, y ha identificado los 10 principales riesgos que puede haber al usar esta aplicación en diferentes ámbitos.

Riesgos de ChatGPT

Estos son los 10 riesgos a los que se pueden enfrentar los usuarios con el uso de ChatGPT:

• Polarización social: Las IA generativas, dada su capacidad de producir contenidos multimedia, pueden ser utilizadas para difundir mensajes de odio o discriminación, así como mensajes de carácter radical o extremista.

• Phishing: Generación automatizada de correos de apariencia real con objeto de engañar a usuarios a efectos de acceder a información confidencial o a los sistemas informáticos.  Hay que tener en cuenta que las IA generativas redactan con gran calidad, lo que invalida las sospechas que sí puede despertar un phishing con baja calidad.

• Desinformación: a través de la generación de noticias falsas, se trata de influir en la opinión pública, dañar la cohesión social o afectar a procesos electorales. La desinformación es una clara cuestión que afecta a la seguridad nacional, dañando la cohesión social y los principios democráticos. 

• Doxing: la desinformación también es susceptible de afectar a empresas y organizaciones, con la difusión de bulos, informaciones sesgadas, la creación de falsos perfiles laborales, o la manipulación de documentos para dañar la credibilidad de las organizaciones. Su finalidad puede ir desde la parodia hasta el ataque a la reputación o la influencia en los mercados.

• Fuga de información y robo de datos: empresas como Amazon o Google han alertado a sus empleados sobre los riesgos de compartir información sobre la empresa en ChatGPT y aplicaciones similares, que posteriormente pudiera ser desvelada en las respuestas que ofrece a usuarios.

• Fraudes y estafas: son tipologías delictivas que están creciendo con durante estos últimos años. Los fraudes tradicionales, existentes en todos los sectores económicos, son potenciados por el uso de internet, redes sociales y nuevas tecnologías. Las IA generativas pueden contribuir a diseñar fraudes con mucha más calidad, así como a perfilar objetivos.

• Generación de chatbots maliciosos con objetivos delictivos: pueden interactuar con individuos para la obtención de información sensible o fines ilícitos económicos. 

• Suplantaciones de identidad: mediante la utilización de las denominadas “deep fakes” y la capacidad de la IA para generar textos imágenes, videos e, incluso, simular la voz. Con el apoyo de la creación de avatares que integren todos estos elementos, se aumenta la verosimilitud de la identidad.

• Generación de código malicioso, como virus, troyanos, malware, ransomware, spyware: el objetivo es cometer ciberdelitos de diferente naturaleza.

• Lucha de poder geopolítico y geoeconómico: en un contexto de poderes difusos y fragmentados, el liderazgo ya no sólo se mide por la capacidad económica, la diplomática o la militar. Ya en el año 2017, Vladimir Putin señaló que quien dominara la IA dominaría el mundo. La geopolítica y la geoeconomía presentan nuevos riesgos, pero también oportunidades para estados y empresas que sean capaces de leer el futuro. Los datos, junto a las tecnologías, están en el centro de configuración del poder, lo que genera una asimetría entre quienes disponen de ellos y quienes no.

Fuente: revistabyte.es

QUÉ HACER SI NUESTROS DATOS (PERSONALES O CORPORATIVOS) HAN SIDO FILTRADOS

Lamentablemente, y sin pretender ser catastrofistas, es cuestión de tiempo que los datos de nuestra organización, o los nuestros personales, acaben expuestos en Internet.

Y fíjate que da igual que seas una persona o marca con mucha presencia digital, o con poca. Por supuesto, en el primer caso es más fácil que ocurra (aunque también más difícil que nos afecte). Pero a la consultora nos llegan clientes preocupados porque han visto cómo, de la noche a la mañana, y sin tener ellos presencia digital alguna, acaban con sufriendo una crisis reputacional.

En algunos casos se debe a que nuestro nombre (o el de la empresa) se relaciona con algún suceso reputacionalmente negativo que nos salpica, aunque sea de forma indirecta.

En otros casos (los más comunes) es simplemente una filtración masiva en un servicio del que somos usuarios el que expone dicha información.

Cómo saber si hemos sido víctima de una filtración masiva

Para ello, lo suyo es utilizar herramientas profesionales de escucha activa, como las que tenemos en la consultora, y que nos avisan cuando hay un aumento de menciones de marca tanto en redes sociales como en crawling web.

Pero de forma gratuita, es posible hacer algo parecido (aunque mucho menos exacto) con herramientas como Google Alerts (ES), un servicio de Google que nos permite configurar una alerta sobre un tema en particular (por ejemplo, nuestro nombre, el correo de la empresa, el nombre de la compañía, un número de teléfono) y que nos avise si este aparece en algún contenido web nuevo (solo funciona con los contenidos nuevos e indexados en Google, lo cual limita bastante su funcionalidad).

Otra herramienta muy útil para buscar tu email o número de teléfono es HaveIBeenPwned.com (EN). Gracias a este servicio, es posible que descubras que ese dato, seguramente junto con otros más, han sido ya expuestos públicamente en una de las múltiples filtraciones masivas de estos últimos años.

Ya puedes tener el mejor sistema de seguridad posible, que si a quien atacan es a un tercero que tenía tus datos, tu información quedará expuesta en Internet.

Sin ir más lejos, un servidor hace de vez en cuando esta comprobación, y hoy en día, de los cuatro correos principales que gestiono tanto a nivel personal como corporativo, tres de ellos ya han sido comprometidos:

• El correo personal que utilizo para identificarme en páginas no importantes (típicos servicios que necesitas en un momento dado, pero que no vas a dar uso de ellos en mucho tiempo) lleva ya años apareciendo en numerosos filtrados masivos de datos. Algunas veces asociados solo al correo, otros a cuentas de usuario y contraseñas. Nada que me preocupe en exceso por lo que comentaba, pero a considerar igualmente.

• El correo personal que sí uso para temas importantes también ha estado ya expuesto en Internet por una filtración masiva que afectó a la base de datos de LinkedIn hace ya unos cuantos años. No es que hackearan a LinkedIn, sino a un stakeholder de la compañía, y desde ella accedieron a la base de datos de millones de usuarios, entre los que estaba yo.

• Uno de los correos corporativos, concretamente el de mi marca personal, también está a día de hoy expuesto en, al menos, otro filtrado masivo que afectó a GitHub, una reconocida plataforma de código de programación. Para que te hagas una idea de lo grave que puede llegar a ser esto, en aquel caso se expuso junto con los correos de millones de personas, los datos biográficos y hasta la geoposición desde donde subíamos nuestro código. Que, teniendo en cuenta que por aquel entonces trabajaba para Telefónica I+D, por ahí aparecerán tanto datos geolocalizados de la central de Telefónica en Madrid, como (y esto es lo más peligroso) datos geoposicionados de donde yo vivía por aquel entonces. Si siguiera viviendo en el mismo sitio, alguien que quisiera hacerme daño podría utilizarlos para saber dónde está mi casa, con lo que eso conlleva.

Qué hacer cuando nuestros datos están expuestos en Internet

Lo primero de todo es sentarse y analizar la situación con calma y mente fría.

¿Es tan grave la información que se ha expuesto sobre mí?

¿Qué potencial daño reputacional, personal, profesional, familiar y/o económico puede conllevar?

Informarse sobre el impacto real de esa filtración (qué datos han quedado expuestos), y pensar qué posible impacto tendría si cayesen en malas manos.

Hay que analizar dicha información y generar un plan de contingencia reputacional, que es el documento necesario para realizar las siguientes acciones.

¿Y una vez tenemos claro su alcance?

Pues toca valorar entre las siguientes acciones:

1.- Cambio de contraseñas

Si en la filtración se ha visto expuesto datos de acceso a alguno de nuestros perfiles o servicios que utilizamos, lo recomendable es antes de nada realizar un cambio de contraseña, y cerciorarnos que tenemos un segundo factor de autenticación activo por defecto.

Esto, de hecho, evita la amplia mayoría de ataques asociados a filtraciones masivas.

2.- Revisar cuentas asociadas

Una vez hemos cambiado la contraseña, lo siguiente es revisar que los datos y servicios que tenemos ahí no se han visto afectados.

Si por ejemplo hablamos de una filtración con datos bancarios, que nuestra cuenta no tiene movimientos extraños, y en tal caso, cancelarlos y dar de baja las tarjetas asociadas para evitar movimientos futuros.

También revisar qué otros servicios y APIs tienen acceso y permisos por defecto activados a nuestra cuenta, que una táctica muy habitual tras una filtración de datos es sincronizar la cuenta con un servicio malicioso para que, aunque cambiemos la contraseña, el cibercriminal pueda seguir operando en nuestro nombre.

3.- Petición de eliminado/desindexación de contenido

Si esos datos son de carácter personal y/o se han obtenido fraudulentamente, es posible realizar una petición oficial tanto a la plataforma que los aloja como a Google para que desindexe ese contenido de su base de datos, haciendo que dicho contenido desaparezca o no sea accesible por terceros.

4.- Mitigación de daños reputacionales

Por último, es importante tomar medidas disuasorias que minimicen el potencial daño reputacional que esa filtración tiene para nuestra persona y/ empresa.

Fuente: cyberbrainers.com