Open Source And Security Services

Open Source And Security Services

Cohesity. La solución de almacenamiento secundario.

21 Ene 2020

En este artículo hablaremos sobre Cohesity. Un fabricante que basa su solución en el concepto de hiperconvergencia y la posibilidad de implementación en infraestructuras multicloud y cloud híbrido. Esta solución integra funcionalidades y usos bajo el concepto de almacenamiento secundario.

¿A qué llamamos almacenamiento secundario?

Es aquel almacenamiento considerado no crítico para las organizaciones y que necesita gran capacidad para copias de seguridad, servidores de ficheros de criticidad menor, archivado y para entornos de pruebas y desarrollo.

Tener nuestros datos dispersos y no controlados produce lo que Cohesity denomina Mass Data Fragmentation. Muchas organizaciones se encuentran inmersas en este problema por el crecimiento de sus datos y por la complejidad en su gestión.

Los datos secundarios consumen el 80% del almacenamiento empresarial, un fragmentado, complejo e ineficiente mosaico que la solución de Cohesity permite consolidar y gestionar de manera eficiente.

¿Cuál es la solución que ofrece Cohesity?

Cohesity hace frente a esta necesidad, a través de la plataforma de software DataPlatform.

DataPlatform se puede desplegar tanto en hardware propietario como no propietario, así como en modalidad cloud con escalabilidad ilimitada. Posee un potente sistema distribuido de almacenamiento, SpanFS, que garantiza el acceso a través de diferentes protocolos.

Este sistema nos permitirá ejecutar diferentes cargas de trabajo como backup (Dataprotect), NAS (NFS/SMB) y objetos (S3). Cohesity revoluciona el concepto de copias de seguridad y almacenamiento de nuestras aplicaciones, entornos y modelos de continuidad de negocio.

 

Con datos fragmentados entre silos, las empresas necesitan una forma simple y eficiente de gestionarlos. Cohesity SpanFS lo resuelve consolidando los silos de almacenamiento.

La fortaleza de Cohesity es la forma en como soluciona el problema de la fragmentación de los datos: ofrece una solución de fácil gestión, que integra aplicaciones y usos sobre un almacenamiento secundario, eliminando los problemas de gestión y el cumplimiento de requisitos de acceso al mismo tiempo.

Desde Open3s, hace tiempo que apostamos por la importancia de la Gestión del Dato, para muchos el nuevo petróleo del siglo XXI.

Cohesity es una de esas soluciones que entendemos como necesarias para gestionar el Ciclo de Vida de nuestros datos y aplicaciones.

Nosotros te ayudamos en cómo hacerlo.

Autor: Carlos Zavala Pasco, Area Manager Sistemas, Virtualización y Cloud

 

 

 

 

 

 

Apostando por un fabricante único para comunicaciones y seguridad

9 Dic 2019

Cuando toca proyecto de renovación de comunicaciones y seguridad, si eres CIO/CTO o Responsable IT, tendrás que refrescar lo que está ofreciendo el mercado. Los partners especialistas iremos a contarte que se cuece en el mundo del Data Center, seguridad prerimetral, protección del dato, etc. y tú, como decisor dentro de la empresa, tienes la tarea de separar el grano de la paja.

Ya conocemos la oferta del mercado, tienes una aproximación económica e incluso un ganador que te ha convencido especialmente por su solución técnica. Y entonces, cuando se valora internamente, salta la alarma: “¿Nos vamos a casar con un único fabricante?“.

Sí, la mejor solución técnica y económica, a veces implica apostar parte de tu cadena IT (Firewall, Switch, WiFi) a un único fabricante. Pero, ¿es esto realmente un problema?

En este artículo, vamos a exponer las ventajas y desventajas de apostar por un único fabricante para las comunicaciones y seguridad perimetral. Y en que escenario podemos considerarla como apuesta ganadora.

El mantra del vendor lock-in

“Poner todos los huevos en la misma cesta”, “apostar todo al rojo”, en general son expresiones que denotan cierto componente negativo. Dicho de otra manera, el mantra más extendido es “no casarse con ningún fabricante”. Pero, ¿realmente es esto siempre un problema? O más aún, ¿es realmente evitable el bloqueo o lock-in de manera general?

Siempre vamos a tener bloqueo de uno u otro tipo. Vamos a ser dependientes de una arquitectura definida o de una tecnología concreta, o de un producto (aunque sea software libre), o incluso de una persona del equipo que es quien tiene el conocimiento. Este punto es importante remarcarlo: siempre vamos a tener algún tipo de dependencia. Martin Fowler, Arquitecto software, lo define perfectamente en su blog, en el artículo Shades of lock-in, donde repasa los diferentes tipos de bloqueo que podemos sufrir en un proyecto.

Ventajas del vendor lock-in

La primera es una ventaja técnica. Tener toda tu infraestructura homogénea es una gozada desde el punto de vista operativo. Consola de gestión única, analítica integrada, interacción entre los elementos (Firewall, Switch, WiFi) muy fluida. Por supuesto, si nuestro equipo IT es pequeño, esta ventaja se maximiza. No es lo mismo aprender a operar 5 fabricantes que 1.

Pongamos un ejemplo en el que seguro nos hemos visto todos. En la oficina de Barcelona tenemos 10 Switches HP y un Firewall FortiGate, en la oficina de Madrid 10 Switches Dell y un Firewall Palo Alto, en ambas sedes tenemos WiFi de Cisco Aironet, pero en el resto de sedes remotas, como son pequeñitas, hemos puesto un par de Switches D-Link y un AP de Ubiquiti. ¿Quien puede gestionar una infraestructura tan dispar? Apostemos por un fabricante y simplifiquemos las operaciones de IT.

La segunda gran ventaja es económica. Desde el punto de vista del cliente podemos tender a pensar: “estos de $VENDOR me tienen cogido de la… campanilla y me van abusar“. Pero generalmente ocurre lo contrario, el fabricante ha colocado gran parte de su portfolio y te conviertes en un cliente estratégico. Va a hacer el mayor esfuerzo posible para que ese cliente permanezca contento, y esto se traduce en una ventaja económica importante al negociar el paquete.

Piensa que es lo típico que hacen los grandes ISP cuando negocian el contrato marco. Si te gastas 1 millón de euros al año en líneas móviles, Internet y MacroLAN, vuestra posición como cliente es dominante. Y desde Open3s como partner tecnológico, podemos ayudaros a ejercer esa posición de fuerza.

Un buen ejemplo de esto, podemos leerlo en este artículo de Ignacio del Castillo sobre el acuerdo de Orange y MÁSMÓVIL.

Desventajas del vendor lock-in

La desventaja de apostar por un fabricante en toda nuestra cadena IT, es que podemos llegar a atarnos. ¿Que ocurre si el fabricante cambia las condiciones? ¿O descontinúa el producto? ¿O nos duplica el precio de soporte en la renovación (un saludo a los fabricantes de cabinas)? En esos casos, asumimos ese pequeño/gran coste o buscamos una alternativa.

Y aquí voy a volver a tirar de nuestro amigo Martin Fowler que tiene una Matriz muy simple y directa (créditos Martin Fowler).

Apostamos por la innovación pero con seguridad. Asumimos el vendor lock-in, pero solo en los casos en que el valor diferencial sea importante.

Por un lado, tendemos a irnos con un fabricante cuanto más diferencial es su solución, es decir, nos aporta un valor único con respecto a la competencia. Y además, debemos buscar tecnologías/fabricantes que tengan un coste de cambio lo más bajo posible. Con esta definición, la matriz es autoexplicativa:

Asumimos el vendor lock-in, pero solo en aquellos casos en que el valor diferencial sea importante.

El caso Fortinet: apostando por un único fabricante para comunicaciones y seguridad

Hasta aquí el plano teórico. Pasemos a la práctica con el caso de Fortinet.

La mayoría reconocerán a Fortinet como un fabricante de Firewalls, los FortiGate. En nuestra experiencia, son equipos de primera división, con multitud de funcionalidades, una amplísima documentación y un coste muy competitivos. Pero el mundo de la seguridad perimetral es finito, y los fabricantes lo saben. Para seguir creciendo, Fortinet se está posicionando cada vez en otros mercados con FortiCosas. como por ejemplo FortiSwitch y FortiAP.

La ventaja diferencial aquí, es que todos estos equipos se integran en un único punto central, el Firewall FortiGate. Desde un punto de vista técnico, el Firewall hace de Switch Controller o de WiFi Controller. ¿Y que ganamos con esta integración?

En mi opinión, hay 3 grandes ventajas:

  • Gestión unificada. Toda la operativa de la red (Firewall, Switch, WiFi) se realiza desde un punto único. Se acabó ir consola por consola gestionando y que, además, la configuración quede coherente.
  • Visibilidad. Tengo todos los datos de la red en un punto único, la trazabilidad desde el Switch/AP hasta el perímetro es completa. Y si queremos llegar a la última milla, añadamos FortiClient como endpoint protector.
  • Seguridad. Integrando la red de campus en el Firewall, conseguimos añadir una capa de seguridad extra en nuestros Switches y AP.

Las ventajas están claras, ¿en que escenario aplica? Típicamente en redes de acceso con sedes pequeñas o medias y donde haya pocas manos para operar la red. Si nuestro equipo IT se compone de pocas personas, verá con muy buenos ojos esta integración porque le facilita la vida. Y de cara arriba, con Dirección, estamos reduciendo enormemente los costes operativos con respecto a comunicaciones.

A partir de aquí, cada cliente es un mundo con unas necesidades muy específicas. Desde Open3s, como partner especialista en Fortinet, estaremos encantados de atender tus necesidades de comunicación y seguridad y explicarte como Fortinet puede ayudarte con su solución única de Firewall, Switch y WiFi ¡No dudes en consultarnos!

Autor: Miguel Ángel Corzo Lozano, Area Manager Red y Seguridad

Splunk, the Data-to-Everything Platform

2 Dic 2019

Nos lo creamos o no, todas las cifras nos dicen que “Researches predict that by year…”. Lo que sí es cierto es que cada vez todo es más tecnológico y se generan más datos.

Si todos son útiles o no, dependerá de cada uno. Pero que una buena parte de ellos es esencial para que una empresa funcione, es indiscutible.

Y aquí es donde Open3s, como primer Partner en España, desde 2009, con TB de licencias vendidas, más de 1 PB de datos gestionados y más de 200 clientes multinacionales, IBEX 35 y PyMEs, apuesta por Splunk y su nueva filosofía Data-to-Everything.

To bring data to everything. Every question, every decision and every action.

Splunk, the Data-to-Everything Platform

Esta nueva filosofía viene, además, acompañada de nuevas opciones y precios, más predecibles y versátiles, relacionadas con los datos o la infraestructura.

Splunk: viendo el bosque y los árboles

Donde unos ven servidores y dispositivos, aplicaciones y registro, tráfico y nubes, nosotros vemos datos útiles y valiosos a través de la plataforma de Inteligencia Operacional líder del sector.

Splunk provides mobile friendly dashboards

Desde ITOps a DevOps e IoT, pasando por Seguridad. Como Líder del SIEM Magic Quadrant de Gartner por cuarto año consecutivo y como el que más ‘Completeness of Vision’ aporta, Splunk permite ver tanto el bosque como los árboles.

Splunk provides drilldown capabilities for dashboards and KPIs

Porque sin datos, solo existen opiniones

Sin datos solo se pueden dar opiniones. Pero las decisiones corporativas no deberían realizarse en base a opiniones, sino a datos reales. Datos que proporcionan una visión en Tiempo Real sobre todas las plataformas corporativas, sin silos, aunando Operaciones y Negocio, y haciendo a IT un partner imprescindible dentro de la corporación.

Splunk glasstable - Visibilidad total de los procesos

Porque con las Métricas podremos preguntarnos: ¿Tengo un problema?

Con las Trazas podremos preguntarnos: ¿Dónde está el problema?

Y con los Logs podremos responder qué nos está causando el problema.

Si cuando tengas un problema quieres saber qué lo está causando…aprovecha al máximo la información que te dan tus datos.

Monitorización al servicio del negocio (Parte II)

25 Nov 2019

Hoy continuamos con la serie de artículos de Monitorización al servicio del negocio. En el artículo anterior hacíamos un recorrido sobre la necesidad de implementar este tipo de monitorizaciones y por qué. Hoy queremos hablar del nuevo enfoque que puede tener la monitorización ofreciendo una visión orientada a servicio, cubriendo los gaps que históricamente tenían las monitorizaciones tradicionales.

 

El enfoque que la monitorización debería tener hoy en día

Con la transformación digital cada vez se añaden más capas que deben ser monitorizadas, comprobando el estado de distintos servicios o flujos. Antes bastaba con monitorizar de manera aislada distintos componentes de tu ecosistema IT; ahora es necesario modelar la monitorización para que te ofrezca un control de todas las capas IT de manera holística; lo que llamamos monitorización E2E.

Tras la era de la digitalización, las maneras de operar han cambiado por completo. Cualquier compañía tiene ya aplicaciones móviles o portales web que dan servicio a sus clientes. Estos pueden comunicarse con asistentes virtuales que les facilitan la ejecución de acciones. Por ejemplo: abrir una nueva cuenta en un banco, contratar una nueva tarifa móvil e incluso buscar productos y añadirlos a la cesta en una tienda online.

Como vemos en la imagen, son capas tecnológicas que se van añadiendo y requieren su propia monitorización. No sólo existen las propias capas de tu ecosistema, también debemos monitorizar las de terceros (por ejemplo, pasarelas de pago).

 

¿Y si ponemos un ejemplo para contextualizarlo?

Imaginemos un cliente con aplicación móvil/site online cuyo negocio depende de éstos, por ejemplo de comida a domicilio. Para su negocio es totalmente crítico que el usuario reciba un error por el cual no pueda operar. Ese error, con tantas capas tecnológicas, puede tener su origen en múltiples puntos: una base de datos que está caída, un servidor de aplicaciones que devuelve un timeout, un problema de comunicaciones, etc.

Con una monitorización holística se puede identificar la causa raíz de una incidencia de manera muy rápida. Además, facilita el troubleshooting disminuyendo así los tiempos de recuperación y el impacto en negocio.

Este tipo de monitorizaciones permiten tener en cuenta todas las posibles casuísticas, cubriendo el gap de reproducibilidad que tienen las monitorizaciones tradicionales. Por ejemplo, pongamos el caso de un cliente con 3 aplicaciones móviles que dan servicio a sus usuarios.


Dichos usuarios, usan Android o iOS como plataforma, pudiendo tener hasta 50 versiones distintas de sistema operativo. No todos los usuarios actualizan las aplicaciones móviles, por lo que hay casuísticas con 34 versiones distintass. Un cálculo sencillo: si multiplicamos las variables para las distintas combinaciones que podrían desencadenar un error para el usuario nos encontramos con más de 10200 posibilidades. ¿Cómo plantearse replicar el comportamiento de cada una de esas combinaciones con monitorizaciones tradicionales o sondas? Además de tener en cuenta la navegación del usuario, que poniendo el caso de un cliente que tenga 10000/hora, hace que las posibilidades sean infinitas.

 

¿Qué permiten estos nuevos enfoques de monitorización?

Con sistemas de monitorización que permiten la recolección de grandes cantidades de datos real time (tanto estructurados como desestructurados) y que posibilitan la aplicación de lógicas complejas, podemos llegar a aplicar este tipo de monitorizaciones. Volviendo al ejemplo de las aplicaciones móviles, si la plataforma de monitorización permite recolectar en tiempo real todos los datos de navegación, usabilidad y errores de éstas, podemos tener una monitorización que cubra todas las posibilidades.

El hecho de tener en una plataforma distintas fuentes de datos hace posible la ejecución de monitorizaciones más avanzadas e inteligentes. Pasamos de levantar una alerta a aplicar lógicas complejas correlando distintas fuentes de datos. Por ejemplo, cruzar datos de consumo de recursos con el número de transacciones por minuto.

Estas monitorizaciones ofrecen un enfoque de servicio gracias a la capacidad para modelarlas con jerarquías, dependencias y ponderación de impactos. Si volvemos a la imagen anterior, tendríamos distintos elementos de IT que dan servicio a las aplicaciones móviles y a los bots. Un fallo en un componente IT que da servicio a las apps móviles se puede modelar para que tenga impacto en éstas. Así, podremos ver que el estado de nuestras aplicaciones móviles se ha visto degradado e identificar dónde está el fallo. Además de establecer dependencias, podemos modelar los impactos.

¿Un ejemplo?

Pongamos como ejemplo la monitorización de una web. Los usuarios podemos efectuar una reserva, hacer un pago, darnos de alta, solicitar una cancelación, etc… El negocio dependerá de todos esos servicios aunque no en la misma medida; un fallo en el servicio de pagos es mucho más crítico que un fallo en el servicio de cancelaciones. Todos estos servicios se pueden modelar de acuerdo a su importancia.

Si la monitorización se ha modelado para que el servicio de pagos tenga una importancia alta si este falla, degradará por completo nuestro negocio:


Sin embargo, si el que falla es el servicio de devoluciones, veremos que nuestro negocio está experimentando algún problema pero no crítico; el resto de servicios con mayor peso están OK:

 

 

¿Cuáles son los objetivos de estas monitorizaciones?

• Ofrecer una visión orientada a servicio.
Identificar causa raíz y mejora de tiempos operacionales. Permitir de una manera rápida identificar cuál es el origen del problema para trabajar en su resolución lo antes posible.
Minimización de impacto, el objetivo principal. Si se logra una rápida (incluso anticipada) identificación y actuación sobre los problemas el tiempo de impacto se ve reducido.
• Pasar de un comportamiento reactivo a proactivo. Tratamos de lograr identificar los problemas antes que los usuarios.
• Ofrecer servicios de calidad. Podemos detectar y resolver problemas de manera más óptima, y tener una visión de la salud de los servicios que previamente no teníamos.
Cubrir los gaps que tienen las herramientas de monitorización tradicional complementándolas (no tienen porqué sustituirlas).

Todos hemos vivido la situación de enfrentarnos a una incidencia crítica cuando las distintas monitorizaciones, de manera aislada, reflejaban que todo estaba bien. Lo que buscamos con estas monitorizaciones es evitar esas situaciones a nuestros clientes. Si buscas monitorizar tus procesos de manera avanzada, inteligente y con una visión de servicio y negocio, no dudes en contactar con nosotros para que te contemos más y ver cómo ayudarte en tu caso concreto.

¡Hasta la próxima!

Autora: Nerea Sánchez Fernández, Area Manager Big Data.

Monitorización al servicio del negocio (Parte I)

14 Nov 2019

En los últimos tiempos se está produciendo una transformación digital que está cambiando el negocio y los procesos internos de todas las compañías. El principal objetivo es ofrecer un mejor servicio a los clientes, ser más ágiles y efectivos, obteniendo mayores beneficios. Este cambio que tienen que afrontar las compañías no es sencillo ni rápido; debe armonizarse con todas las piezas del puzzle IT, como por ejemplo, la monitorización la cual ha de soportar todos esos nuevos elementos y nuevas tecnologías que se van incluyendo a los procesos de las compañías.

Dicha transformación está presente en temas muy cotidianos. A continuación vamos a comentar algunos ejemplos de ello.

Compras

Hace años para efectuar una compra debías desplazarte a un comercio concreto, en un horario concreto y cargar con tu compra hasta casa.
Actualmente, tenemos las compras a golpe de click. Cuando se nos pasa por la cabeza la necesidad de adquirir cualquier artículo es tan sencillo como entrar en una web o aplicación móvil, seleccionar lo que se necesita comprar, efectuar el pago y el método de envío.

Banca

Probablemente el sector que más se está digitalizando sea este. Antes de la era de la transformación digital la única manera de operar en banca era desplazándote de manera física a una oficina para efectuar operaciones como la apertura de una cuenta o una transferencia de dinero.

Hace un año tuve que abrir una cuenta nueva (la verdad, llevaba años sin hacerlo); me sorprendí de la facilidad puesto que ya se puede hacer completamente en remoto, videollamada incluida de un gestor para verificar tu identidad.

Hoy en día poca gente se desplaza a una sucursal para efectuar una transferencia. En lugar de eso, entramos en nuestra aplicación móvil o portal web de cliente y operamos desde allí; cómodo, flexible, y supone un importante ahorro de tiempo.

Seguros

Cuando antes necesitabas contratar un seguro, debías desplazarte a una oficina; hablar con un asesor de las opciones disponibles, ver cuál se adaptaba mejor a tus necesidades, y firmar de manera física un contrato. En los tiempos que corren, tú mismo de manera autónoma podrías entrar en el site de una aseguradora y contratar de manera digital el seguro que mejor se adapta a lo que buscas. De hecho, las propias aseguradoras pueden ofrecerte el mejor seguro en función a algoritmos capaces de obtener el mejor resultado para tu perfil de cliente.

 

Y en la monitorización, ¿qué supone este cambio?

En Open3s hemos vivido este cambio. Nos dimos cuenta de que la monitorización debía avanzar y adoptar otro enfoque. Identificamos que la monitorización tradicional comenzaba a tener gaps no cubiertos, lo cual impactaba de manera negativa en nuestros clientes.

Veamos cómo era la monitorización antes de esta era digitalizada:

Imaginemos un call center de cliente, al cual llaman los usuarios para efectuar consultas o comunicar incidencias. Con los procesos antiguos, el foco era únicamente monitorizar IT de manera aislada. Se efectuaban monitorizaciones de los sistemas y si estos no funcionaban quien se percataba de la incidencia eran los propios operadores del call center.

La monitorización tradicional podía hacer saltar alertas que indicaban que: el servidor X se había caído, o que tenía la CPU saturada, o que el uso de RAM estaba por encima de un umbral establecido (por cierto, de manera manual y de acuerdo al criterio de la persona que definiese la alerta).

Ahora, con esa monitorización…

 

¿Cómo saber qué afectación estaba teniendo un fallo en el servicio de negocio?

Muchos clientes nos han mostrado una situación común a todos, independientemente del tipo de negocio o industria de éstos. La situación es que recibes una llamada de arriba: que tu servicio de venta no funciona, que las nuevas contrataciones han caído más de un 70% de lo que sería normal en este momento, que el servicio de citación online se ha parado, que las facturas no se han emitido…

Acto seguido: Gabinete de crisis… Sudores fríos… Busca de manera rápida la causa del problema… Llama a tus distintos proveedores para que confirmen que todo está bien…

 

Y, de repente, la respuesta que todos temen: las monitorizaciones nos dicen que todo está OK.

 

Ahora, ¿cómo sabes cuál es el problema?, ¿cómo sabes su origen? Porque lo importante para resolver el problema es identificar de dónde viene y por qué se ha producido, lo cual da la capacidad de actuar rápido y con foco. En este momento, surgen las dudas que una monitorización tradicional difícilmente nos puede ayudar a resolver:

  • ¿Es un problema tuyo?
  • ¿Es de terceros?
  • ¿Cuál es el origen del problema?
  • ¿Cómo identificar su impacto?
  • ¿Cómo minimizo los tiempos de resolución?

 

Esta es la situación que una monitorización orientada a negocio intenta evitar, gracias al enfoque a servicio, y a la monitorización avanzada no sólo de tus propios sistemas sino también de los sistemas de terceros que dan soporte a tu negocio.

Con este artículo comenzaremos una serie sobre cómo la monitorización puede aportar más valor teniendo un enfoque orientado a negocio. En este artículo hemos hablado del origen de esta necesidad de cambio de enfoque, y de cómo tradicionalmente se efectuaba una monitorización. En el siguiente artículo nos gustaría contaros cómo estamos enfocando a negocio esta monitorización IT siendo capaces de hacer una monitorización E2E contemplando todas las capas de transformación digital.

Si alguna vez has vivido una situación similar a la comentada, en la que has tenido incidencias cuando en teoría las monitorizaciones decían que todo estaba verde, no dudes en contactarnos a través de nuestra web para que podamos a ayudarte a hacer esa transformación de enfoque de la monitorización.

¡Hasta la próxima!

Autora: Nerea Sánchez Fernández, Area Manager Big Data.

El ataque de los RANSOMWARE

29 Oct 2019

De un tiempo a esta parte se habla mucho del término RANSOMWARE. En el ámbito de la Ciberseguridad y en los departamentos de IT, todos conocemos sus terribles consecuencias desde una perspectiva de impacto en la continuidad de los procesos de negocio de las organizaciones.

En los últimos años se ha erigido como el enemigo número uno de las empresas en materia de ciberseguridad. Extraña es la persona, aunque no sea del sector, que no conozca alguna infección por RANSOMWARE.

En este nuevo artículo de nuestro Blog, describiremos que es un RANSOMWARE, como ha ido evolucionando desde su aparición a mediados del año 2000, pasando por el Cryptolocker en el 2013, con más repercusión mediática, junto con Wannacry o Petya en el año 2017.

Explicaremos, a través de un caso práctico, como afrontar un episodio de ataque de un RANSOMWARE, desde nuestro punto de vista y experiencia.

Con todo ello esperamos destacar porque consideramos tan importante la prevención en materia de seguridad y la protección de nuestros sistemas.

Definición y evolución

Un RANSOMWARE o Scareware es una categoría de Malware (software malicioso) que “secuestra” los sistemas informáticos a través de una herramienta tan común, como legítima en seguridad, como es el cifrado de datos.

Y creemos que es ahí donde radica su complejidad, porque este mecanismo de protección lo realizamos a diario en nuestros desarrollos. Los RANSOMWARE, una vez propagados, restringen el acceso a los sistemas, exigiendo posteriormente un rescate para eliminar esa restricción.

En su inicios, los primeros Malware criptograficos empleaban una clave simétrica, lo que suponía el uso de la misma clave tanto para cifrar como para descifrar. Con el tiempo, los ciberdelicuentes empezaron a evolucionar hacia algoritmos de cifrado asimétricos, teniendo sólo ellos las claves privadas para el descifrado de los ficheros. La evolución se ha producido tambien hacía variantes de algoritmos cada vez más sofisticados.

Pero no sólo la evolución radica en la concepción de los mecanismos de cifrado sino en la forma en que se produce el ataque. Los primeros RANSOMWARE se propagaban de manera más general, por ejemplo a través de campañas masivas de spam.

Los actuales RANSOMWARE se presentan a través de ataques dirigidos a menor escala, pero más efectivos al momento de penetrar. Atacan objetivos concretos explotando vulnerabilidades, ofuscando código antes del proceso de compilación o, simplemente, actuando sobre procesos o servicios para lograr acceder a sistemas “core” dentro de las organizaciones.

El daño causado por los ataques de ransomware a las empresas

Precisamente, un ejemplo de esta evolución ha sido el RANSOMWARE denominado RYUK,. Se trata de una variante más sofisticada del HERMES, que ha establecido ataques dirigidos a organizaciones muy concretas. Verticales como Industria , Sanidad y, concretamente en España, Ayuntamientos se han convertido en sus objetivos.

Su mecanismo de cifrado está diseñado para operaciones de pequeña escala, penetrando en primera instancia descifrando una contraseña RDP débil, para escalar privilegios realizando la propagación en los sistemas informáticos antes de encriptarlos, teniendo un nivel de profundidad de ataque que lo hace aún más peligroso y difícil de detectar.

Caso real de un ataque de RANSOMWARE

Como no hay mejor manera de demostrar conocimiento sino a través de la experiencia, recientemente asesoramos a uno de nuestros clientes para afrontar un ataque de RANSOMWARE en sus sistemas informáticos.

Se detectaron los primeros síntomas en el mal funcionamiento del servidor de base de datos y, posteriormente, se detectó en algunos equipos la presencia de ficheros encriptados y un fichero .html con dos direcciones de correo, habitual en este tipo de ataques, para el envío del rescate de los sistemas secuestrados.

Se confirma que el RANSOMWARE es el RYUK, porque se detectan inicios de sesión en escritorios remotos con un usuario desconocido ajeno a la organización. EL ATAQUE ERA INMINENTE.

Como sucede en estos casos, la primera medida fue apagar los equipos y aislar los servidores de la red, para que no continuase la propagación. También se procedió a la actualización del antivirus corporativo Kaspersky en los equipos y servidores.

Además, se detectó un segundo síntoma. Se observaron rastros del virus en forma de ejecutables y la afectación a las políticas GPO del servidor de dominio de Windows, realizándose la propagación a través del despliegue de las políticas. Era evidente que la profundidad del ataque era tal que resultaba casi imposible evaluar el impacto y el alcance de las afectaciones en los sistemas informáticos.

Las pruebas y análisis realizados con el antivirus Kaspersky, para la detección y eliminación del virus, no tuvieron éxito.

Se decide restaurar desde copia de seguridad e instalar los sistemas desde su configuración inicial, después del fallido intento de resolución a través del software corporativo de antivirus. Al intentar restaurar las copias de seguridad, se detectaron dos problemas: el tiempo de recuperación, debido a la infraestructura actual de protección de datos y backup y sus elementos que lo componen dentro de un proceso de restauración, y lo más grave, la inaccesibilidad a algunas copias de seguridad dentro del sistema de backup.

Era más que evidente que nos encontrábamos ante un escenario no sólo de ataque inminente de un RANSOMWARE y sus consecuencias, sino ante una situación posterior de aplicación de correctivos y mitigación de la incidencia que no daban los resultados esperados.

Y es que en un escenario de crisis, disrupción e indisponibilidad de los procesos de negocio, se hacía más que patente porque el tiempo jugaba en contra y no se encontraba una solución definitiva al problema, ni la garantía de que no volviese a producirse un nuevo brote de los síntomas, dada la profundidad del ataque, característica fundamental de estas nuevas variantes de ataque de RANSOMWARE como hemos mencionado.

Por tanto, quedaba un largo camino hacía el restablecimiento de los sistemas, con las consecuencias que esto supone a nivel operativo, pero sobre todo de negocio.

Diagnóstico

De acuerdo con los síntomas, la afectación y a las características de ataque, todo indica que el inicio del incidente provino de una campaña específica de envío masivo de correos maliciosos que suplantaban la identidad de un usuario en los que había anexado un documento de tipo “Word“.

A pesar de que a nivel de cabecera del mensaje se veía claro que no provenía del servidor de correo corporativo, es probable que muchos usuarios procedieran a ejecutarlo pensando que era un documento inofensivo de trabajo habitual. Esto provocó la ejecución de una “macro” incluida en el documento que debía instalar algún tipo de software malicioso (por ejemplo, trickbot) para poder desplegar el ransomware Ryuk tras una fase de post-explotación y utilizando herramientas tipo “Cobalt Strike” de índole profesional.

El software de antivirus Kaspersky no pudo detectarlo como un posible elemento malicioso, posiblemente porque muchos de los equipos de los usuarios no tenían instalada la última actualización y las firmas asociadas.

Una vez dentro y antes de encriptar ficheros, este tipo de RANSOMWARE buscó los elementos Core, sobre todo servidores de Bases de Datos o de Directorio Activo. Para ello aprovechó vulnerabilidades de sistema operativo y deficiencias en gestión de contraseñas y permisos, habilitando sesiones de escritorio remoto con usuarios desconocidos, como fue en este caso.

Además, el mal uso de las cuentas con privilegios de administrador facilitó la propagación de la GPO y la profundidad del ataque. Precisamente, esta facilidad de acceso a los sistemas pudo ser el motivo de la posible afectación del sistema de backup, con el objetivo de no poder recuperar los datos afectados.

Resolución y planes de acción

Ante este tipo de situaciones, desde Open3s recomendamos, aunque suene a tópico, mantener la calma en la toma de decisiones, porque cualquier paso en falso en los Planes de Acción estipulados puede suponer una pérdida importante de tiempo, que impacta directamente en los plazos establecidos de restauración y, por ende, en el negocio.

No tener una visión clara de la afectación es un problema común en estos episodios de ataque. Por tanto, nuestra recomendación fue empezar desde la configuración inicial de los sistemas, restaurando de manera rápida los datos y los servicios, estableciendo un orden a partir de los sistemas más críticos, conociendo la correlación entre ellos para el restablecimiento de manera escalonada de los servicios. Por tanto…

Fue fundamental encontrar un sistema de antivirus capaz de detectar y eliminar este tipo de ataques y que, además, sea de fácil despliegue y gestión ante este tipo de situaciones. Por este motivo, nuestra recomendación fue SentinelOne, porque no sólo detectó y eliminó el virus, sino que nos garantiza desde el Endpoint una protección con más profundidad que su antecesor. Sobre todo, entiende el comportamiento para identificar cuando algo es malicioso, venga de una GPO o con credenciales validas ..

SentinelOne detecta el ataque del ransomware KeyPass

Establecimos un Plan de Acción por fases para ir restableciendo los servicios. Para esto fue sumamente importante tener un Gobierno de la infraestructura y de cada una de sus capas y elementos, para no dejar ningún cabo abierto, desde el usuario a los servidores y sistemas de backup.

De esta manera garantizamos, una vez detenido el ataque, tener un control de los servicios a medida se vayan restableciendo.

Lecciones aprendidas.

Es evidente que, por naturaleza, somos más reactivos que proactivos y actuamos en consecuencia. Como hemos mencionado, este tipo de ataques evolucionan muy rápidamente. Es la razón fundamental para estar prevenidos y, sobre todo, tener definidos Planes de Acción en constante evolución para prevenir, identificar y mitigar al máximo posible las afectaciones ante un episodio de esta índole.

Es importante tener los elementos necesarios en nuestra infraestructura para establecer un Plan de Continuidad de Negocio en condiciones.

Les dejamos unas recomendaciones, de acuerdo con nuestra experiencia, que debemos de tener en cuenta:

  • Disponer de un inventario y diagramas actualizados de nuestra infraestructura IT en sus diferentes capas y elementos.
  • Tener un Plan de Actualización periódico de los sistemas y aplicaciones, esencialmente a nivel de sistema operativo.
  • Tener un Plan de Seguridad de las aplicaciones y sistemas informáticos, a través de políticas, por ejemplo, de contraseñas seguras.
  • Mantener actualizado el software antivirus en todos sus niveles, desde el usuario a los servidores y sistemas de ficheros.
  • Disponer de una solución de protección de correo que nos garantice la detección, el análisis y la detención de cualquier ataque de Malware o Phishing, con la granularidad y visibilidad adecuada para la rápida detección de un episodio de ataque.
  • Establecer un Gobierno elaborado y actualizado de los servicios de directorio, como el Directorio Activo, para la gestión de usuarios, permisos, grupos y políticas de toda nuestra infraestructura.
  • Tener un Sistema de Backup que nos garantice niveles de recuperación inmediata, consistencia de las copias de seguridad en función de las aplicaciones y, sobre todo, ser inmutables y seguros ante cualquier ataque de RANSOMWARE o de otra índole.
  • Tener un Sistema de Ficheros estructurado a nivel de accesos y permisos, que posea o se integre a un sistema de protección antivirus. Así mismo, se debe valorar tener analíticas de comportamiento de ficheros y auditorias, siendo una de las maneras de detectar un ataque.
  • Establecer políticas, procedimientos o formación de concienciación a nivel usuarios finales, con la finalidad que sean capaces de detectar o sospechar que están siendo víctimas de un ataque.

Si después de leer este artículo piensas que tu organización podría ser víctima de un ataque de estas características, desde Open3s estaremos encantados de ayudarte a definir un Plan de Seguridad y Gobierno de tu infraestructura para prevenir episodios de este tipo.

Tenemos en nuestro portfolio soluciones que nos permiten garantizar, de manera eficiente, la continuidad de negocio dentro de las organizaciones.

Créanme. En estos tiempos en que los ciberdelicuentes están constantemente buscando y perfeccionando métodos de ataques, no podemos ser menos, así que… No debemos bajar la guardia.

Autor: Carlos Zavala Pasco, Area Manager Sistemas, Virtualización y Cloud.