Hoy conocí el blog "Reflexiones sobre Seguridad Informática para la empresa " y en ella me encontré con esta noticia:
El instituto SANS acaba de publicar un informe titulado “The Top Cyber Security Risks”. Ha recogido los datos de la proteccion que Tipping Point, el mejor IPS del mercado, ofrece a unas 6000 organizaciones, adicionalmente ha analizado los 9.000.000 de vulnerabilidades compiladas por Qualys y han añadido la informacion del analisis del ISC.
El instituto SANS acaba de publicar un informe titulado “The Top Cyber Security Risks”. Ha recogido los datos de la proteccion que Tipping Point, el mejor IPS del mercado, ofrece a unas 6000 organizaciones, adicionalmente ha analizado los 9.000.000 de vulnerabilidades compiladas por Qualys y han añadido la informacion del analisis del ISC.
Me gustaria destacar la siguiente informacion, contenida en el informe:
Prioridad 1: software de clientes que no esta debidamente parcheado.
Las conexiones que los usuarios realizan a sitios de confianza permiten en numerosas ocasiones que, debido a que el usuario esta convencido de que el sitio es seguro, aprovechan el exceso de permisividad que les ofrece el propio usuario para realizar ataques inesperados, indetectados que afectan a los sistemas. Los usuarios realizan descargas en Adobe o en Office en paginas webs que confia. La propia web es la que cuando se ejecuta el documento, a peticion del usuario, realiza descargas de codigo malicioso que se apodera de la red local del usuario o del pc, distribuyendo esta y otras vulnerabilidades a todo el sistema.
Prioridad 2: servidores web con vulnerabilidades.
En el periodo del analisis, el 60 % de los servidores web han sido identificados como generadores de ataques: SQL injection, XSS, PHP file... son ataques residentes en servidores de confianza. Cuando el usuario realiza la peticion de conexion, ejecutan la vulnerabilidad y se apodera de la maquina del cliente.
En este punto, de nuevo nos encontramos en la prioridad 1. Ataques continuos de los sistemas operativos que explotan vulnerabilidades y lanzan ataques masivos a traves de internet. Aumenta el numero de vulnerabilidades descubiertas el dia zero. Aumenten el mundo el numero de personas que descubreb vulnerabilidades del dia zero, ya que muchos son los que se repiten con sus logros.
Windows: Conficker/Downadup
Los ataques de sistema operativo Windows, dominaron en sus variantes de Conficker. Los ultimos 6 meses mas del 90% de los ataques reconocidos por Microsoft fueron reflejados en sus boletines de seguridad.
En resumen, Sans publica en este informe, las mejores recomendaciones para mitigar el impacto y controlar los ataques.
Hace unas semanas, el centro de estrategia y estudios internacionales publico un informe acerca de los 20 controles criticos para una efectiva ciberdefensa de las organizaciones. Estos controles reflejan el consenso entre la mayoria de paises que trabajan en la ciberdefensa y los paises generadores de ataques, los primeros deben aplicar las politicas de coreccion necesarias para salvaguardarse de forma inmediata de los ataques.
Usar aplicaciones que tengan vulnerabilidades pueden ser explotadas remotamente:
El control 2: inventario de software actualizado,
el control 3: configuraciones seguras y
el control 10: prevencion de vulnerabilidades pueden convertir un software vulnerable en un software seguro, siempre y cuando sea ejecutado de una manera oportuna.
Para el creciente numero de zero-days, en este tipo de aplicaciones, el control 12 (defensa anti malware ) es la mas efectiva de las prevenciones que mitiga la penetracion de la vulnerabilidad en la red del cliente. Los controles 2,3,y 10 tienen el minimo impacto sobre los exploits del zero-day el control 5 puede proveer defensas a los ataques mas conocidos.
Los ataques conceden al usuario de la red los mismos privilegios que cualquiera de las maquinas o que la propia red local, el control 5: defensa limite, permite que las maquinas host sigan trabajando y ofreciendo disponibilidad para los usuarios. Los controles 8 y 9 que hacen referencia a los controles de usuario y privilegios de administrador limitan el acceso interno a los atacantes.
Los controles 6 (auditoria de logs) y 11 (monitorizacion y control) ayudan a identificar el supuesto codigo malicioso y el control 18 (repuesta a incidencias) pueden ayudar tanto en la prevencion de intrusiones como en la recuperacion posterior ante una perdida de datos.
Las empresas (y son muchas mas de las que uno se puede imaginar), que han recibido ataques de conficker propagado a traves de su red local y residente en todos los clientes de la organizacion, corresponden a organizaciones con muy poca actividad de prevencion de intrusiones y con una planificacion de los controles poco definida, el control mas basico que deberian usar es el mantenimiento correcto de las actualizaciones del sistema operativo, advertidas por el mismo fabricante, a nivel mundial.
Prioridad 1: software de clientes que no esta debidamente parcheado.
Las conexiones que los usuarios realizan a sitios de confianza permiten en numerosas ocasiones que, debido a que el usuario esta convencido de que el sitio es seguro, aprovechan el exceso de permisividad que les ofrece el propio usuario para realizar ataques inesperados, indetectados que afectan a los sistemas. Los usuarios realizan descargas en Adobe o en Office en paginas webs que confia. La propia web es la que cuando se ejecuta el documento, a peticion del usuario, realiza descargas de codigo malicioso que se apodera de la red local del usuario o del pc, distribuyendo esta y otras vulnerabilidades a todo el sistema.
Prioridad 2: servidores web con vulnerabilidades.
En el periodo del analisis, el 60 % de los servidores web han sido identificados como generadores de ataques: SQL injection, XSS, PHP file... son ataques residentes en servidores de confianza. Cuando el usuario realiza la peticion de conexion, ejecutan la vulnerabilidad y se apodera de la maquina del cliente.
En este punto, de nuevo nos encontramos en la prioridad 1. Ataques continuos de los sistemas operativos que explotan vulnerabilidades y lanzan ataques masivos a traves de internet. Aumenta el numero de vulnerabilidades descubiertas el dia zero. Aumenten el mundo el numero de personas que descubreb vulnerabilidades del dia zero, ya que muchos son los que se repiten con sus logros.
Windows: Conficker/Downadup
Los ataques de sistema operativo Windows, dominaron en sus variantes de Conficker. Los ultimos 6 meses mas del 90% de los ataques reconocidos por Microsoft fueron reflejados en sus boletines de seguridad.
En resumen, Sans publica en este informe, las mejores recomendaciones para mitigar el impacto y controlar los ataques.
Hace unas semanas, el centro de estrategia y estudios internacionales publico un informe acerca de los 20 controles criticos para una efectiva ciberdefensa de las organizaciones. Estos controles reflejan el consenso entre la mayoria de paises que trabajan en la ciberdefensa y los paises generadores de ataques, los primeros deben aplicar las politicas de coreccion necesarias para salvaguardarse de forma inmediata de los ataques.
Usar aplicaciones que tengan vulnerabilidades pueden ser explotadas remotamente:
El control 2: inventario de software actualizado,
el control 3: configuraciones seguras y
el control 10: prevencion de vulnerabilidades pueden convertir un software vulnerable en un software seguro, siempre y cuando sea ejecutado de una manera oportuna.
Para el creciente numero de zero-days, en este tipo de aplicaciones, el control 12 (defensa anti malware ) es la mas efectiva de las prevenciones que mitiga la penetracion de la vulnerabilidad en la red del cliente. Los controles 2,3,y 10 tienen el minimo impacto sobre los exploits del zero-day el control 5 puede proveer defensas a los ataques mas conocidos.
Los ataques conceden al usuario de la red los mismos privilegios que cualquiera de las maquinas o que la propia red local, el control 5: defensa limite, permite que las maquinas host sigan trabajando y ofreciendo disponibilidad para los usuarios. Los controles 8 y 9 que hacen referencia a los controles de usuario y privilegios de administrador limitan el acceso interno a los atacantes.
Los controles 6 (auditoria de logs) y 11 (monitorizacion y control) ayudan a identificar el supuesto codigo malicioso y el control 18 (repuesta a incidencias) pueden ayudar tanto en la prevencion de intrusiones como en la recuperacion posterior ante una perdida de datos.
Las empresas (y son muchas mas de las que uno se puede imaginar), que han recibido ataques de conficker propagado a traves de su red local y residente en todos los clientes de la organizacion, corresponden a organizaciones con muy poca actividad de prevencion de intrusiones y con una planificacion de los controles poco definida, el control mas basico que deberian usar es el mantenimiento correcto de las actualizaciones del sistema operativo, advertidas por el mismo fabricante, a nivel mundial.
Visto en diagonalseguridadinformatica.blogspot.com
No hay comentarios:
Publicar un comentario