Open Source And Security Services

Open Source And Security Services

Arista Networks, Splunk y ProofPoint. Soluciones necesarias para la empresa.

Actualmente la cantidad de datos están creciendo muy rápido, de una forma exponencial. Los datos crecen en todas las partes del mundo día a día. Cada vez hay más dispositivos que producen y consumen datos y sobre estos dispositivos miles de aplicaciones.

Básicamente esta situación nos plantea un reto, ya que todos estos datos han de ser almacenados , accedidos, distribuidos y protegidos desde múltiples plataformas dentro y fuera del datacenter.

Necesitamos soluciones rápidas, seguras, escalables y fácilmente operables. Que estamos viendo en nuestros clientes hoy en día: leer más…

WannaCry. Protección y mecanismos que habrían evitado la infección

Desde OPEN3S hemos querido estrenar el blog después de la resaca WCry / WanaCrypt0r. No lo hemos querido realizar antes puesto que había suficiente información al respecto en otros medios, por lo que hemos querido darle un enfoque algo diferente.
El enfoque que queremos dar a este artículo es desde el punto de vista de la protección y mecanismos que habrían evitado la infección tanto del paciente 0 como consecución de ejecución del exploit.
En esta entrada queremos resumir el funcionamiento de WannaCry así como analizar los mecanismos de protección que habrían sido efectivos contra dicha amenaza.

RESUMEN WANNACRY

Hasta el momento no hay evidencias claras de la infección del paciente 0, pero parece bastante claro que no ha seguido la vía habitual del correo electrónico.
El método de propagación, tanto en intranet como internet, parece haber sido mediante el uso de MS17-010.
A continuación, se muestra de manera muy resumida el funcionamiento del malware:

  • 1. Beacon inicial a http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
  • 2. Si el paso anterior tiene éxito, el proceso finaliza
  • 3. Si el paso 1 no tiene éxito, se ejecutan 2 procesos diferentes:
  • a. Funcionalidad ransomware
  • b. Funcionalidad gusano, mediante el uso de MS17-010 para distribuir y ejecutar el malware

leer más…

Evolución de las vías de infección del Ransomware y cómo detenerlo

De un tiempo a esta parte, los ataques e infecciones por ransomware crecen significativamente. Es por ello, que las medidas de protección han ido evolucionando e incorporando nuevos mecanismos y técnicas de análisis.

Diferentes protecciones en distintas capas

Estos mecanismos incluyen protecciones en distintas capas, siendo habitual al menos un primer control genérico/perimetral (FW), un segundo control específico de aplicación (WAF, MTA,…) y una última protección de endpoint (en los puestos de trabajo).

Las tecnologías utilizadas son similares en todos los niveles, por ejemplo:

– AntiVirus,
– Sandboxing,
– IDS / IPS,
– Filtrado de tipos de fichero no permitidos (por ejemplo, EXE en los correos, o ZIPs con contraseñas,…).

El email es cada vez más importante

Dado que la principal vía de infección para este tipo de amenazas es el correo electrónico, los atacantes utilizan técnicas como:

– ZIP adjunto en un correo con un JS dentro: Este tipo de amenazas se bloquean fácilmente mediante bloqueo de extensiones ejecutables
– ZIP con contraseña: Este tipo de amenazas puede bloquearse por políticas de ZIPs con contraseña
– Documento de Office con macro que descarga y ejecuta el ransomware: Este tipo de amenazas se identifica por comportamiento mediante técnicas de sandboxing y se bloquea. leer más…

Crypt0L0cker: cómo protegerse contra nuevas amenazas de Malware.

 ¿Qué se puede hacer para obtener mayores niveles de protección ante las nuevas amenazas de Malware, como el conocido Crypt0L0cker y sus derivados?

El problema de Crypt0L0cker y sus variantes

     ¿Por qué las empresas han invertido tanto dinero en protección y, aun así, amenazas como Crypt0L0cker consiguen hacer tanto daño?

     – El Perímetro y Sandboxing:
La tendencia general ante estas amenazas es la protección en el perímetro, con equipamiento con Sandboxing que permita identificar amenazas APT y Zero-Day.
     – ¿A qué coste?
Porque muchas empresas no pueden permitirse la adquisición de equipos dedicados a ello.
     – Ineficacia:
¿Cómo es posible que, utilizando vulnerabilidades en su mayoría ya conocidas, este tipo de amenazas consigan burlar los filtrados de seguridad perimetrales tradicionales?

     Y en los entornos virtualizados, ¿qué se puede hacer? leer más…

SPLUNK – BigData Analytics, Mejor Solución

El pasado día 6 de Enero, la revista GSN: Government Security News nombró a Splunk Mejor solución de análisis de Big Data, dentro de los premios Homeland Security Awards.

     La publicación, que está considerada como el estándar de la seguridad para administración pública en los Estados Unidos, premia a Splunk y la reconoce como solución líder en el análisis de Big Data, gracias a su plataforma de Inteligencia Operacional en Tiempo Real.

     Y es que Splunk, leader en el Magic Quadrant de SIEM de Gartner, es un “pure player” en el campo del Big Data, lo que lo convierte en la solución ideal para Seguridad, yendo más allá de las herramientas SIEM.

     La aproximación de Splunk hacia los datos le proporciona algo de lo que carecen las típicas SIEM: tener una visión única y consolidada de toda la información relacionada con las amenazas corporativas.
leer más…

ROI y Big Data

Aunque no se domine con propiedad, Big Data es un término en boca de todos con el que las organizaciones buscan mejorar sus procesos de negocio. “Más de un 60%”, indicaba un estudio de McKinsey sobre el mercado de Retailer.

Pero, ¿son estos estudios suficiente justificación para que se inicien proyectos de BigData? Porque, como con cualquier otro proyecto,

¿qué ROI tendrá?

Para empezar, siempre hay que tener en mente tres puntos: los procedimientos a seguir, la tecnología empleada y las herramientas para conseguirlo. El truco está en definir un alcance correcto, una meta adecuada y alinear el objetivo final con el negocio. Al fin y al cabo, no es sólo qué datos se cogen, de dónde y cómo se usan, sino qué se va a obtener con ello.
leer más…