PERSPECTIVAS DE LOS CISO: LOS CVE VPN DE IVNTI Y LOS EXPLOITS DE DÍA CERO REFUERZAN LAS RAZONES PRINCIPALES PARA MIGRAR AL ACCESO UNIVERSAL A LA RED ZERO TRUST

Cuatro Ivanti CVE... vaya, qué lugar tan difícil para estar. Pero estos son sólo los últimos ataques de día cero a la infraestructura crítica que subrayan los fallos de seguridad inherentes a las VPN. El jueves pasado, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) emitió una directiva de emergencia sin precedentes que obliga a todas las agencias federales a desconectar los electrodomésticos Ivanti en 48 horas. Entonces, ¿cuántos CVE VPN críticos más se necesitarán para que los equipos de TI y de seguridad descarten las VPN riesgosas y de puerto abierto en favor de una infraestructura de encubrimiento con acceso universal a la red Zero Trust (ZTNA) universal y comprobado?.

Inicialmente, las fallas de Ivanti Connect Secure y Policy Secure surgieron a mediados de enero. Estaban siendo explotados activamente por piratas informáticos respaldados por China. Las fallas fueron un error de inyección de comandos (CVE-2024-21887) y una falla de omisión de autenticación (CVE-2023-46805). Ivanti informó la semana pasada de dos vulnerabilidades más (CVE-2024-21888 y CVE-2024-21893).

Estas CVE (vulnerabilidades y exposiciones comunes) de Ivanti sirven como un claro recordatorio de las debilidades de las VPN y los peligros de la infraestructura expuesta. A pesar de la urgencia de solucionar los problemas (no sólo para las agencias gubernamentales, sino para todos los clientes de Ivanti), los desafíos de Ivanti se han visto agravados por retrasos en un cronograma de lanzamiento de parches escalonado  que actualmente se proyecta finalizar la semana del 19 de febrero.

Oculte su infraestructura con acceso universal a la red
Zero Trust

Seamos realistas, esos mismos dispositivos destinados a mantenerte seguro pueden cambiar y convertirse en la fuente del ataque... ¿qué sucede cuando los dispositivos de ciberseguridad son el vector de ataque? Ciberseguridad 101: asegúrese de que sus dispositivos de protección no sean el camino para la explotación.

Durante mi carrera, que incluyó seis años como CISO del FBI, me di cuenta de que debemos encontrar un camino diferente. La respuesta no es esperar a que se descubra un exploit para que un proveedor pueda publicar un parche. La respuesta es que las agencias federales y las empresas privadas oculten su infraestructura con acceso universal a la red Zero Trust (ZTNA) para que los piratas informáticos no puedan ver la infraestructura... si no pueden encontrarla, no pueden atacarla. 

Ycpartamento de Defensa, otras agencias federales y empresas globales, hace precisamente eso con tecnología patentada de autorización de paquete único (SPA) . Esto significa que incluso si sus usuarios autorizados están comprometidos, los actores de amenazas no pueden buscar sistemas adicionales para moverse lateralmente, porque esos sistemas están ocultos y la infraestructura en sí es invisible. Este documento técnico es una introducción a SPA e incluye una lista completa de lo que hace que la implementación de SPA en Appgate SDP sea única.

¿Qué sigue?

Las vulnerabilidades de Ivanti son un toque de atención que resalta una tendencia que hemos estado siguiendo aquí en Appgate...las tácticas avanzadas de amenazas persistentes utilizadas por los adversarios han pasado de apuntar a puntos finales a apuntar a infraestructura expuesta. Necesitamos un sentido de urgencia cuando se trata de proteger nuestra empresa porque la mayoría de las organizaciones nunca serán tan rápidas como el adversario, especialmente los esfuerzos patrocinados por el estado que emplean vastos recursos.

No podemos pretender que las soluciones heredadas, como las VPN con acceso a Internet , sean seguras y que las estrategias de castillos y fosos sigan funcionando. Simplemente no es suficiente. Los CISO y sus equipos deben dar el siguiente paso para cubrir la infraestructura empresarial con la única solución ZTNA universal con SPA integrado... y esa es Appgate SDP.

Fuente: www.appgate.com

Una guía fundamental para la seguridad de endpoints

 

Cualquiera que utilice la tecnología en su vida diaria comprende que está en constante cambio y el sentimiento es especialmente cierto dentro de la industria de la ciberseguridad. Los adversarios continúan evolucionando con nuevas tácticas para eludir las defensas, por lo que es necesario que los métodos para detectar y prevenir estas amenazas lo hagan a un ritmo aún más rápido.

Sin embargo, mantenerse al día con todos los cambios puede resultar bastante difícil, incluso para el profesional de ciberseguridad más experimentado. La forma en que trabajamos ha cambiado no sólo en dónde sino también en cómo. Hoy en día, los empleados realizan negocios desde múltiples dispositivos, algunos proporcionados por la empresa y otros de propiedad privada. Los datos confidenciales se almacenan en muchas ubicaciones, incluidos estos dispositivos, dentro de los centros de datos corporativos y en la nube. Esto significa que es probable que las organizaciones necesiten más de una tecnología para defender sus terminales contra violaciones de seguridad o pérdida de datos. Dado que los proveedores de ciberseguridad comercializan una amplia gama de nombres de productos de marca para sus ofertas, puede resultar complicado determinar cuáles son ideales para su entorno particular. Este artículo tiene como objetivo ayudar a desmitificar las diversas tecnologías de seguridad de terminales que puede encontrar durante su investigación, resaltar las diferencias principales y explicar cómo pueden complementarse entre sí. Esta no pretende ser una lista exhaustiva y debe tenerse en cuenta que existen algunas tecnologías que pueden pertenecer a más de una categoría, por ejemplo, seguridad de terminales y de nube.

Cuatro tecnologías clave de seguridad para terminales

Para empezar, definamos exactamente qué es un punto final. En el nivel más fundamental, un punto final es cualquier dispositivo que se conecta e intercambia datos en una red. Eso podría incluir computadoras de escritorio y portátiles, tabletas, teléfonos inteligentes, impresoras y servidores tradicionales. Los puntos finales también abarcan dispositivos de red como enrutadores, conmutadores o firewalls, y una amplia gama de dispositivos de IoT, como dispositivos portátiles, cámaras de seguridad, sensores y equipos médicos o de fabricación conectados. Pero también debemos pensar más allá de los dispositivos físicos y considerar las máquinas virtuales. que alojan aplicaciones y datos en nubes públicas o privadas.

​Aunque esto puede parecer trivial, es importante tenerlo en cuenta porque todos representan puntos de entrada a la red que pueden explotarse y oportunidades para la pérdida de datos confidenciales. Como tales, se deben tener en cuenta todos al crear una estrategia de seguridad para endpoints . Las siguientes son algunas de las tecnologías de seguridad de terminales más comunes que probablemente encontrará:

Gestión unificada de puntos finales (UEM) o gestión de dispositivos móviles (MDM) : existe un concepto ampliamente aceptado dentro de la industria de la ciberseguridad de que no se puede proteger eficazmente lo que no se puede ver. Por lo tanto, el primer paso para crear una política integral de seguridad de terminales es hacer un inventario de todos los dispositivos que acceden a su red, y esto se puede lograr con tecnologías UEM o MDM. La principal diferencia entre los dos es que MDM es para los sistemas operativos (OS) iOS y Android, mientras que UEM incluye esos sistemas operativos más los sistemas operativos Windows y Mac, incluso dispositivos de productividad y dispositivos portátiles en algunos casos. Una vez que se descubran y perfilen los dispositivos, los administradores podrán aplicar políticas de seguridad consistentes en todos ellos, independientemente de dónde se encuentre el punto final.

Una característica clave tanto de UEM como de MDM es que permiten a una organización establecer estándares con respecto a la postura de seguridad de los dispositivos que acceden a la red. Por ejemplo, se pueden crear reglas según las cuales no se puede hacer jailbreak a un dispositivo y debe ejecutarse con la última versión del sistema operativo. También pueden restringir qué aplicaciones pueden instalar los usuarios y qué pueden hacer en un dispositivo administrado. Los administradores pueden usar la consola de administración para enviar sistemas operativos o actualizaciones de aplicaciones a dispositivos que no cumplen con los requisitos, o incluso para borrar dispositivos perdidos o robados o que fueron utilizados por ex empleados. Sin embargo, MDM y UEM van más allá de reducir el riesgo para una organización y, de hecho, pueden aprovecharse para mejorar la experiencia del usuario. Estas soluciones permiten a las empresas entregar nuevos dispositivos a los usuarios finales que ya están configurados, completos con todas las aplicaciones aprobadas necesarias para completar sus tareas laborales.

Detección y respuesta de puntos finales (EDR) : como se mencionó anteriormente, las políticas de seguridad se pueden aplicar a los puntos finales mediante UEM y MDM; sin embargo, estas soluciones carecen de la capacidad de detectar y bloquear amenazas. El propósito de EDR es proteger en tiempo real sus computadoras de escritorio, portátiles y servidores contra amenazas como ransomware, malware conocido y desconocido, troyanos, herramientas de piratería, vulnerabilidades de memoria, uso indebido de scripts, macros maliciosas y otros.

Esta tecnología comenzó hace muchos años como software antivirus, que se basaba en firmas de amenazas conocidas o ya identificadas para crear listas de bloqueo. Evolucionó hasta convertirse en lo que se llama una plataforma de protección de endpoints, o EPP, que utiliza aprendizaje automático, inteligencia artificial y tecnología de espacio aislado para detectar malware sin archivos o nunca antes visto (también conocido como ataques de día cero). Más recientemente, los proveedores de seguridad de endpoints han comenzado a agregar capacidades forenses y de respuesta, transformando la tecnología EPP en lo que se conoce como detección y respuesta de endpoints, o EDR.

Defensa contra amenazas móviles (MTD) : los dispositivos móviles son sin duda puntos finales y tienen cosas en común con las computadoras portátiles y de escritorio en términos de su vulnerabilidad a ataques como phishing y malware, pero son únicos en cuanto a cómo se llevan a cabo los ataques. . Algunos ejemplos serían los mensajes SMS con enlaces de phishing, códigos QR maliciosos o aplicaciones sin escrúpulos. Es por esta razón que los dispositivos móviles requieren su propia solución de seguridad dedicada, comúnmente conocida como seguridad móvil o defensa contra amenazas móviles (MTD). MTD protege los dispositivos móviles administrados y no administrados contra cuatro categorías de amenazas :

• Dispositivo: detección de dispositivos con jailbreak o rooteados, sistemas operativos obsoletos y configuraciones riesgosas
• Aplicación: marcar aplicaciones que se sabe que son maliciosas pero también aquellas que filtran o comparten datos
• Red: identificación de redes de riesgo para proteger contra ataques de intermediario, suplantación de certificados u otros ataques que aprovechan sesiones TLS/SSL vulnerables.
• Contenido y web: bloqueo de enlaces maliciosos enviados por correo electrónico, SMS, navegadores y redes sociales o aplicaciones de productividad.

Desafortunadamente, MTD es una tecnología de seguridad que actualmente está infrautilizada; un estudio reciente de IDC indica que fue implementada por menos de la mitad de las PYMES o empresas empresariales encuestadas. Esto presenta una brecha de seguridad considerable considerando la cantidad de información confidencial que se transmite y almacena en los dispositivos móviles en la actualidad. Los teléfonos inteligentes y las tabletas son objetivos particularmente atractivos para los atacantes debido a la facilidad de ataque a través de SMS, correo electrónico y aplicaciones de mensajería, así como a la frecuente falta de controles de seguridad en el dispositivo. Además, los teléfonos inteligentes y las tabletas pueden aprovecharse como punto de acceso a la red, desde donde se pueden lanzar ataques más impactantes.

Plataforma de protección de cargas de trabajo en la nube (CWPP): las iniciativas de transformación digital han dado como resultado que las empresas trasladen más aplicaciones del centro de datos a la nube. Los beneficios aquí incluyen menores costos generales, mayor rendimiento y una mejor experiencia de usuario. Los proveedores de servicios en la nube (CSP) más utilizados son AWS, Azure y Google Cloud. El 87% de las organizaciones utilizan múltiples proveedores de nube y el 72% tiene una estructura de nube híbrida que combina nubes públicas y privadas.

Si bien esta migración a la nube es necesaria para el crecimiento futuro, también aumenta la superficie de ataque. Esto se debe a que cuando los recursos de la nube son accesibles públicamente, ya sea por diseño o por error, se convierten en un objetivo para los actores de amenazas . Los CWPP proporcionan detección de amenazas para servidores, máquinas virtuales, contenedores y clústeres de Kubernetes en todos los entornos de nube. Los CWPP protegen contra una amplia gama de ataques, incluidos ransomware, ataques sin archivos y de día cero. Pueden alertar a un administrador de seguridad no sólo sobre vulnerabilidades, sino también sobre violaciones de cumplimiento.

Determinar las tecnologías adecuadas para su negocio

Quizás se pregunte si su organización realmente necesita todas estas protecciones. La respuesta podría ser tan simple como evaluar dónde se almacenan sus datos confidenciales. Incluso las empresas más pequeñas tienen datos valiosos, incluidos detalles de clientes y de pago, y para las empresas vinculadas a la atención médica, el derecho, los seguros o las finanzas, es probable que exista aún más información privada que podría aprovecharse para el robo de identidad. Según un estudio reciente , en promedio, un empleado de una empresa con menos de 100 empleados estará sujeto a un 350% más de ataques de ingeniería social que un empleado de una empresa más grande. Los empleados de empresas de todos los tamaños pueden realizar contabilidad u otras tareas en computadoras portátiles, utilizar tabletas para procesar transacciones o recopilar información de los clientes y usar teléfonos móviles para responder mensajes de texto o correos electrónicos comerciales.

Para todas las organizaciones, la seguridad de los terminales debe verse no solo como una forma de reducir el riesgo, sino también como una inversión fundamental para garantizar la continuidad del negocio.

Fuente: cybersecurity.att.com

Sophos MDR y Sophos XDR ahora se integran con Veeam

Detecta y detén las amenazas dirigidas a los datos de copia de seguridad críticos para la empresa.

Las organizaciones que utilizan Veeam Backup and Replication ahora pueden reforzar sus defensas contra el ransomware con Sophos MDR y Sophos XDR. Sigue leyendo para saber cómo la nueva integración de Sophos con Veeam ofrece una mejor visibilidad para detectar y detener las amenazas dirigidas a los datos de copia de seguridad.

La copia de seguridad y la recuperación son partes integrales de una estrategia holística de ciberseguridad. Los adversarios intentan manipular las soluciones de copia de seguridad para impedir la recuperación de los ataques de ransomware: la detección temprana de esta actividad maliciosa es fundamental.

La nueva integración de Sophos con Veeam intercambia sin problemas información de seguridad cuando surge una amenaza, ampliando la visibilidad para ayudar a detectar, investigar y responder a los ataques activos.

Esta nueva y potente asociación proporciona la tranquilidad de que los datos de las copias de seguridad están siempre disponibles y protegidos, permitiendo a las organizaciones detectar amenazas, investigar actividades sospechosas y, en última instancia, recuperar los datos rápidamente.

Con Sophos y Veeam, las organizaciones pueden garantizar la integridad y disponibilidad de las copias de seguridad, reduciendo el riesgo de pérdida de datos por malware, borrado accidental, amenazas internas a la seguridad y otros escenarios de pérdida de datos.

• El servicio Sophos MDR proporciona supervisión de seguridad 24 horas al día, 7 días a la semana, filtra las alertas redundantes e investiga las amenazas a los entornos Veeam, como los intentos de eliminar repositorios de copias de seguridad, desactivar la autenticación multifactor, eliminar contraseñas de cifrado, etc.

• Las organizaciones que utilizan la solución Sophos XDR para la investigación y respuesta internas también pueden integrar la telemetría de Veeam para identificar actividad potencialmente maliciosa, combinada con detecciones de amenazas de otras fuentes en una única plataforma y consola unificadas.

La mejor protección contra los ataques de ransomware

La solución Sophos XDR y el servicio Sophos MDR incluyen la tecnología CryptoGuard, líder del sector, que detecta y detiene universalmente el ransomware antes de que afecte a los sistemas de los clientes, incluidas las nuevas variantes y el cifrado local y remoto.

Las capacidades superiores de prevención, detección y respuesta de Sophos, combinadas con las copias de seguridad inmutables y el control de versiones proporcionado por Veeam, garantizan que los datos de las copias de seguridad permanezcan seguros y recuperables.

Eleva tus defensas con la nueva integración de Sophos con Veeam

La nueva integración de Veeam ya está disponible como complemento para las suscripciones de Sophos MDR y Sophos XDR mediante una nueva licencia de paquete de integración “Copia de seguridad y recuperación”.

Fuente: news.sophos.com

Wazuh y DigiFors se unen para fortalecer las ofertas de ciberseguridad

 Wazuh, líder mundial en soluciones de gestión de eventos e información de seguridad (SIEM) y de detección y respuesta extendidas (XDR) de código abierto, se enorgullece de anunciar una asociación estratégica con DigiFors GmbH , una empresa altamente especializada. Reconocido por su experiencia en análisis forense digital y seguridad de TI.

Aspectos destacados clave de la asociación:

Wazuh y DigiFors unen fuerzas para ofrecer soluciones integrales de ciberseguridad que aprovechan su experiencia combinada en análisis forense digital, seguridad de TI y detección y respuesta a amenazas.

DigiFors, con su amplia experiencia en el manejo de multitud de casos de delitos cibernéticos, aporta un gran conocimiento y una trayectoria comprobada en la preparación de informes periciales para procedimientos tanto civiles como penales.

A través de esta asociación, DigiFors integrará la plataforma de seguridad avanzada de Wazuh en su centro de operaciones de seguridad, mejorando sus capacidades en respuesta a incidentes, análisis de evidencia digital y evaluaciones de vulnerabilidad.

Nico Mueller, director ejecutivo de DigiFors GmbH, enfatizó la importancia de la asociación y afirmó: “Las vulnerabilidades y la falta de transparencia son invitaciones para los piratas informáticos: Wazuh es la clave para la defensa. Nos encanta la seguridad informática con tecnología de código abierto. Podemos conectar la plataforma con nuestras propias herramientas y conseguir aún más posibilidades. Esperamos trabajar junto con personas que piensan igual”.

Para explorar más a fondo las ofertas y la experiencia de DigiFors, visite su sitio web oficial . Para obtener información adicional sobre las asociaciones de Wazuh, visite la página de nuestros socios.

Acerca de Wazuh

Wazuh es una plataforma de seguridad potente, gratuita y de código abierto diseñada para mejorar la ciberseguridad en todos los puntos finales. Sirve como una solución integral, que integra capacidades de detección y respuesta extendidas (XDR) con funcionalidades de gestión de eventos e información de seguridad (SIEM) para proteger los puntos finales y las cargas de trabajo en la nube de manera efectiva. Su naturaleza de código abierto permite a las organizaciones personalizar y ampliar sus capacidades para satisfacer sus necesidades de seguridad específicas, garantizando estrategias de defensa adaptables contra amenazas en evolución.

Acerca de DigiFors GmbH

DigiFors GmbH es una empresa altamente especializada que ofrece soluciones de seguridad informática y análisis forense digital. Centrándose en las investigaciones de delitos cibernéticos y la garantía de la seguridad de TI, DigiFors ofrece informes de expertos, evaluaciones de vulnerabilidad y servicios de capacitación a fiscales, tribunales, organismos encargados de hacer cumplir la ley y empresas.

Fuente: wazuh.com