CHECK POINT - REPORTE DE SEGURIDAD 2015 | 3
04
10
18
32
40
48
01 INTRODUCCIÓN Y METODOLOGÍA
02 MALWARE DESCONOCIDO: EL GRAN DESCONOCIDO
03 MALWARE CONOCIDO: CONOCIDO Y PELIGROSO
04 SEGURIDAD MÓVIL: SIN BARRERAS
05 APLICACIONES: DÁNDOTE DONDE MÁS DUELE
06 PERDIDA DE DATOS: PROCESO LENTO Y DOLOROSO
07 CONCLUSIONES Y RECOMENDACIONES:
LA VÍA A LA PROTECCIÓN
REFERENCIAS
56
60
CHECK POINTREPORTE DE SEGURIDAD 2015
INTRODUCCIÓN Y METODOLOGÍA
“La primera vez que haces algo es ciencia. La segunda vez que lo haces es ingeniería”1 –Clifford Stoll, astronomer, author, digital forensics pioneer
4 | CHECK POINT - REPORTE DE SEGURIDAD 2015
01
INTRODUCCIÓN Y METODOLOGÍA | 5
En la ciencia, todo es acerca del descubrimiento—El estudio de la causa y efecto. Una vez algo es entendido puede ser previsto, ahí se convierte en un proceso de ingeniería, para replicar. En el mundo del Crimen Cibernético esto es lo mismo. Ciber criminales están estudiando estructuras y pensando cómo utilizar ciertos factores para ocasionar resultados deseados. Una vez tienen un modelo profético, utilizan la ingeniería para dar rienda suelta a su diseño, para así tener el mejor efecto.
Cuales Son Sus Herramientas?1. Malware— software de código malicioso desarrolladopor hackers para interrumpir o robar datos. Cuando el malware se da a conocer, se crean firmas para identificar, filtrar, y bloquear ataques subsecuentes. Es ahí, donde el código es modificado para poder crear malware nuevo y fresco.
2. Vulnerabilidades—defectos en software o sistemasoperativos que hackers utilizan para explotar, estos existen en todas las aplicaciones.
3. Dispositivos Mobil—Teléfonos Inteligentes, Fitbits,
iPads y otros sistemas mobiles no serán herramientas apropiadas; pero estas pueden ser haqueadas para darle acceso a hackers e infiltrarse en las redes empresariales.
Durante el 2014 , Check Point vio un incremento en las vulnerabilidades de los sistemas abiertos de software "open source" así cómo en las aplicaciones comunes de Adobe y Microsoft.
Malware conocido continúa penetrando e infligiendo daños. Pero con la ayuda de sistemas que ayudan a
identificar, filtrar y bloquear la creación subsecuente de intentos de malware desconocido, La concentración en la comunidad de hackers ha cambiando. Ahora, hackers miran hacia formas más fáciles y lucrativas; lanzando ataques nuevos usando malware desconocido y cambiando un poco el malware ya existente y así evadir ser detectados. Esta área poco conocida fue la que ha causado más atención durante el año 2014. Una cantidad poco esperada de malware fue lanzada teniendo cómo meta el robo de datos.
LA EVOLUCIÓN DEL MALWARE
25 AÑOS ATRÁS Se Inventa El Firewall
20AÑOS ATRÁS Se Inventa ElStateful Inspection
15 AÑOS ATRÁS Prevalece el uso de el Anti-Virus, VPN, IPS
10 AÑOS ATRÁS URL Filtracion, UTM
5 AÑOS ATRÁS NGFW
HOY EN DÍA Amenaza inteligente, prevención de amenazas, seguridad móvil.
>1988
Morris Worm1998
Melissa
2000I Love You
2006WikiLeaks
2011 Información de Autenticación Robada
2012Malware Flama
2013Dragonfly
2014Bitcoin
2017Automobil Sin ChoferHaqueado?
2020IoT En Todas Partes
2010DDoS
Ataques:StuxnetSCADA
2007Trojan Zeus
2003Anonymous
es formada
1994Loteria Green Card
6 | INTRODUCCIÓN Y METODOLOGÍA1.1 FUENTE: Check Point Software Technologies
CADA 24 SEGUNDOS un cliente accesa a una página
Web infectada
CADA MINUTO unagente "Bot" se comunica
con su línea de comando y centro de control
CADA 34 SEGUNDOS un malware desconocido es descargado
CADA 5 MINUTOS una aplicación de alto riesgo es
utilizada
CADA 6 MINUTOS un malware desconocido es
descargado
CADA 36 MINUTOS datos sensibles son enviados
al exterior de la empresa
UN DÍA PROMEDIOEN UNA EMPRESA
INTRODUCCIÓN Y METODOLOGÍA | 7
Contribuyendo al problema: Cambios culturales, movilidad, virtualización y otras tecnologias nuevas han cambiado la forma en que trabajamos. En el proceso, empresas han tenido que correr para adoptar estas herramientas y mejorar la productividad y eficiencia. Pero esto lo han hecho sin considerar las implicaciones en seguridad. Mientras se concentran en estabilidad y poca perdida de tiempo, tambien han dejado de pensar que sistemas con mejor seguridad equivalen a menos perdida de tiempo.
Entre la frecuencia de estos ataques y los perfiles altos de estas empresas que han sido blanco, el año 2014 envió un mensaje claro a todas estas:Todas están en riesgo.
Y cuando los líderes mundiales deciden concentrarse en Ciber Seguridad, cuando le hablan a sus naciones, parece claro que el crimen cibernético ya ha llegado a un punto crítico.
“Los primeros virus atacaron a computadores a principios de los años 80, y desde entonces hemos estado en una guerra de armas tomar. Hemos diseñado nuevas defensas pero los criminales y ciber terroristas han diseñado formas nuevas de
penetrarlas. Tenemos que ser así de rapidos y flexibles para que nuestras defensas crezcan.”2
-President Barack Obama
METODOLOGÍA
Casi toda empresa que fue estudiada sufrio ataques debido
a aplicaciones de alto riesgo.81%
de las empresas encuestadashan sufrido un ataque
de perdida de datos
Durante el 2014, Check Point recogió datos de eventos de tres fuentes diferentes al rededor del mundo para así dar luz a las tendencias en seguridad e identificar que estas están en alza y en otros casos en baja.
Fuentes Investigativas de Check Point:1. Desde eventos de seguridad encontrados en másde 1,300 organizaciones en sus Chequeos de Seguridad. Esta información provino de todo tipo de empresas e industrias a nivel mundial.
2. Desde eventos descubiertos a través de Check Point
ThreatCloud®, el cual esta conectado a fuentes de seguridad en más de 16.000 empresas.
3. Desde más de 3.000 fuentes conectadas a nuestro
servicio ThreatCloud Emulation.
¿En que nos concentramos?Malware Desconocido Malware Conocido Prevención de Intrusión Aplicaciones de Alto Riesgo Incidentes de Perdida de Datos
8 | INTRODUCCIÓN Y METODOLOGÍA1.2 FUENTE: Check Point Software Technologies
46
FABRICACIÓN
4466
1515
FINANZA
121122
GOBIERNO
44 3
TELCO
3
TETELCLCOO
222
CONSULTORIA
Mirando a los mercados verticales que participaron en nuestro estudio, la fabricación lidero con un 46%, con representación en todos los aspectos tanto financiero,
gubernamental, retail, telecomunicaciones y consultoría.
1717
OTHER
POR
CEN
TA
JE D
E O
RG
AN
IZA
CIO
N P
OR
IND
UST
RIS
ESTUDIO CHECK POINT EN TODAS LAS INDUSTRIAS
RETAIL
IINTRODUCCION Y METODOLOGÍA | 9
“Hackers no toman realidades del mundo por seguro; ellos buscan lo que esta roto y rehacen lo que no les gusta.
Ellos buscan como ser mas inteligentes que el mundo a su alrededor."5 -Sarah Lacy, journalist and author
Estadísticas de Seguridad 2014
I ncremento de malware nuevo 4
descargas de malware desconocido ocurrido cada hora de todas la empresas accedieron a páginas web infectadas de todas las empresas tenían infecciones "Bot" pre-existentes s ufrieron incidentes de seguridad en sus celulares.
en los últimos tres años.
En las próximas páginas, Check Point revela lo encontrado en uno de nuestros análisis profundos del área de ataques en seguridad y tendencias descubiertas en el 2014.
Queremos ayudar al área de seguridad y los líderes empresariales comprenden el riesgo y cómo crear una postura de seguridad.
más de US$250.000 en costos empresas utilizo por los menos una aplicación de alto
riesgo. perdieron datos durante un ataque
Perdida de información de propietario se incremento en un 71%.
1010 | CHECK POINT - REPORTE DE SEGURIDAD 2015
MALWARE DESCONOCIDO: El Gran Desconocido
“Siempre existe el riesgo de que existen desconocidos desconocidos.”6 –Nate Silver, statistician, journalist
02
MALWARE DESCONOCIDO: EL GRAN DESCONOCIDO | 11
Malware desconocido es malware típicamente no reconocido o desconocido por el sistema de anti-virus. Cada malware desconocido varia, a veces solo tiene alteraciones menores. Este malware es capaz de sobrepasar el anti-virus más actualizado y sus protecciones virtuales sandbox.
Mientras que el año pasado vimos una explosión de malware desconocido, este fue solamante la punta del iceberg. Visto a través del lente, hoy en día. Ahora la taza de cero días y desconocidos es masiva. Desde 2013 al 2014, malware nuevos han incrementado en un 71% de 83 millones a 142 millones, de acuerdo a AV-Test, un servicio independiente de anti-virus. Aun más malware fue encontrado en los pasados dos años que en los 10 años anteriores.
Durante 2014, Check Point analizo más de 3.000 fuentes "gateways" y encontró que el 41 por
ciento de empresas descargaron por lo menos un archivo infectado de un malware desconocido. Casi un incremento del 25% comparado al año anterior.
Lo peor es la velocidad con la cual esto ocurre. La investigación de Check Point demostró que diariamente 106 malware desconocidos son descargados cada hora. Esta figura increíble es 48 veces más grande que el año pasado la cual solo era de 2.2 descargas por hora.
Increiblemente, solo el 1% de las empresas utilizan tecnología para prevenir ataques cero días. Solo una de cada diez empresas consume servicios de inteligencia de amenaza. Teniendo en cuenta la cantidad de malware desconocido que fue descargado, el 52% de los archivos infectados fueron PDFs, mientras el 3% fueron archivos de Microsoft Office.
106 Malware desconocidos atacan a unaempresa cada hora
12 | MALWARE DESCONOCIDO: EL GRAN DESCONOCIDO
2.1 FUENTE: AV-Test
¿Qué tan malo es realmente?Definitivamente es malo, si no se puede reconocer la firma de un malware, no lo podrás atrapar. Las herramientas típicas ya no pueden hacer su trabajo. La cara nueva del malware es rapida y cautelosa gracias a las herramientas obsoletas las cuales dejan que los ataques pasan por encima de las herramientas más sofisticadas de soluciones anti-malware. Para los hackers que trabajan con malware desconocido esta se ha convertido en su herramienta favorita ya que es fácil y eficiente de crear dándoles variaciones del malware ya existente. Es tan fácil de manejar que alguien con poco conociemiento tecnico la puede utilizar.
Para ilustrar, investigadores de Check Point tomaron 300 malware conocidos,7 descargados de una muestra de malware muy famosos de tipo PDF, DOC y archivos ejecutables de la base de datos de Googles llamada "VirusTotal". La meta:
conocer la velocidad y tiempo que se toma un sistema para bloquear un malware. De hacer lo desconocido en malware conocido, ellos simplemente agregaron un nulo a la finalizacion de cada archivo PDF y DO (ejemplo: "echo'0000'>>1.doc"). Tambien, el ecobesado de cada documento no utilizado fue modificado por un archivo ejecutable. Depues, cada archivo fue abierto y corrido para validar que este ubiese quedado intacto y sin cambio alguno. En conclusion, al tomar malware conocido y hacerle algunas modificaciones es fácil hacer que este sea irreconocible.
Con esta tecnica simple, los investigadores pudieron crear variaciones nuevas y desconocidas (por ejemplo el "Unknown 300") que salio de un malware ya existente.
2009
2011
2010
142M
83M
34M
18M
12M
18.5M
142MMALWARE NUEVO EN 2014 Y UNINCREMENTO DEL 71% VERSUS 2013
2012
2013
2014
MALWARE DESCONOCIDO: EL GRAN DESCONOCIDO | 13
Estos archivos nunca antes vistos ensayaron la abilidad de los sistemas de seguridad para detectar malware desconocido.
De aqui, archivos sospechosos fueron descargados a un sitio detraz del dispositvo de seguridad, simulando la descarga accidental por un empleado de malware desde una página infectada.
En este caso del Unknown 300, si el archivo se manajase cómo lo esperado, la data ubiese ingresado a la red. Si no lo hizo, la tecnonologia de emulacion ubiese creado una firma de tal tipo que el archivo pudiese ser bloqueado. así despues esta firma comunico una alarma a todas los sistemas de seguridad, hacieno que el malware desconocido fue ahora reconcido.
Recientemente, Check Point descubrio un ataque que se origino en el 2012, pero desde ahí se ha venido mutando con versiones nuevas. Este es llamado Volatile Cedar y usa un implante hecho a me.dida exacta para implantar malware llamado "Explosivo."
Desde ahí se han venido generando más penetraciones a traves de todo el mundo, el cual a dejado que los hackers puedan monitorear a sus victimas, sus acciones y robar su información personal.
Al seleccionar sus victimas comunmente son contratistas de defensa, de telecomunicaciones and medios, al igual que instituciones educativas. Creemos que esto es debido a que sus servidores están publicamente expuestos y son fáciles de acceder a sus areas privadas y de seguridad interna. Estos tienen una meta de negocios en comun y su seguridad es comunmente sacrificada por tener más productividad, haciendo de ellos una victima fácil para los hackers.
Estos ataques facilmente pasan desarpercividos ya que limitan sus acciones para alcanzar metas especificas y así minimizan el riesgo a ser detectados. Un ataque Volatile Cedar comienza tipicamente escaneando el servidor de su victima. Una vez lo identifica comienza a explotar sus debilidades e injecta un
MALWARE CONOCIDO MALWARE DESCONOCIDO
MD5 fororiginalmalware.docfd96b96bd956a397fbb1150f3
echo '0000' >> originalmalware.doc
MD5 for modified83aac4393f17f1805111beaa76a4012e
41% de las empresas descargaron por lo menos un
archivo infectado con malware desconocido
14 | MALWARE DESCONOCIDO: EL GRAN DESCONOCIDO
El enfoque de primera generación en la mejora de las tasas de captura de malware era para ejecutar archivos sospechosos en un entorno limitado fuera de la red; el punto era emular un sistema operativo estándar (OS) en un entorno restringido para la observación segura. Luego, utilizando herramientas de la caja de arena, que le active archivos en diversos
maneras de simular un usuario real de abrir el archivo. A continuación, usted mirar para ver si se activa nada más allá de lo que normalmente se esperaba. El problema: Los cibercriminales reconocen estas garantías existe en algún porcentaje de las redes y ya están implementando técnicas de evasión simples.
código shell web en el servidor. La cáscara web se utiliza cómo el medio a través del cual el troyano explosivo se implanta en el servidor víctima. Una vez dentro, le permite a los atacantes envíar comandos a todos los objetivos a través de una serie de servidores de comando y control (C & C). La lista de comandos contiene toda la funcionalidad requerida por el atacante para mantener el control y extraer información de los servidores, cómo keylogger, registro de portapapeles, capturas de pantalla, y ejecutar comandos.
Luego, una vez que el atacante gana el control sobre estos servidores, él puede utilizar cómo punto de pivote para explorar, identificar y atacar objetivos adicionales situados más profundo dentro de la red interna.
Pero aún peor que el malware desconocido es malware de día cero. Cual es la diferencia? Malware desconocido se construye fuera de malware conocido; malware de día cero se construye con eficacia a partir de cero, para explotar el software
vulnerabilidades de los cuales los vendedores todavía ni siquiera son conscientes. En comparación con el costo de un kit de malware desconocido, los hackers encuentran que de día cero malware es mucho más caro. Esto, por sí solo, es probablemente la razón por ataques de día cero tienden a ser dirigidos selectivamente.Uno de los ataques notables de día cero de 2014 fue llamado "gusano de arena", una referencia a las criaturas de la serie de ciencia ficción, "Dune". En un ataque dirigido a la OTAN, el gobierno de Ucrania, y algunos otros objetivos políticos, hackers rusos explotados la vulnerabilidad, el gestor de paquetes OLE-CVE 2014-4114 en Microsoft Windows y Windows Server. El vector: archivos de PowerPoint maliciosos enviados cómo adjuntos de correo electrónico. Cuando un usuario hace clic en el archivo adjunto, un exploit fue activado e instalado código malicioso que abre una puerta trasera en el sistema. cómo resultado, los atacantes podrían entonces ejecutar comandos.
Dices que quieres una evolución: evolución de la tecnología MALWARE-EVOLUCIÓN
52% de los archivos infectados con
malware desconocido son PDFs
MALWARE DESCONOCIDO: EL GRAN DESCONOCIDO | 15
Por ejemplo, el malware podría permanecer latente hasta que se cumplan las condiciones específicas, tales cómo la apertura de un martes, o cuando el usuario hace clic en la derecha. Es por esto que es importante centrarse en constante innovación y lo último en tecnologías de seguridad, para mantenerse por delante de los hackers.
Soluciones sandbox nivel de sistema operativo de primera generación ayudan a prevenir algunos ataques de día cero y pueden detectar el malware una vez que se está ejecutando. Sin embargo, una gran cantidad de malware aún puede evitar la detección. Por esa razón, se necesita un método de protección de día cero de próxima generación: sandboxing nivel CPU.
Si bien hay un sinnúmero de vulnerabilidades, sólo hay un puñado de métodos de explotación que se pueden utilizar para descargar el malware y ejecutarlo. Sandboxing nivel CPU le permite detectar el uso de métodos de explotación examinando cuidadosamente la actividad de la CPU y el flujo de ejecución a nivel de código ensamblador mientras que el exploit se produce. cómo resultado, se antepone a cualquier posibilidad de hackers evadir la detección. La velocidad y la precisión de la detección
realizar a nivel de CPU sandboxing la mejor tecnología en la detección de día cero y ataques desconocidos.
Tomando este enfoque un paso más allá, al combinar os- ya nivel de CPU capacidades sandbox profundas con la extracción de amenaza, cómo Next Generation Zero-día de la Protección de Check Point, que subir la apuesta para la eliminación de amenazas. A nivel operativo, puede detectar ataques en ambos archivos ejecutables y de datos por igual. A nivel de la CPU profundo, usted es capaz de detectar una infección en los archivos de datos en el exploit fase. Extracción de Amenaza, la tercera pata de esta poderosa combinación, intercepta todos los documentos, ya sea malicioso o no, y elimina objetos dinámicos para protegerse contra cualquier ataque de día cero. Luego, se aplana el archivo y entrega el documento en un formato de imagen, como que es libre de amenazas.
cómo la evasión técnicas evolucionan y se vuelven más inteligentes, junto con los tipos de ataques, por lo que deben la tecnología para mantener su negocio seguro. Lo que se ha convertido en la vanguardia en el 2014 será simplemente el estándar para 2015.
IPS, antivirus y anti-BOT
CAPTURAS CONOCIDOS O MALWARE VIEJODe malware conocido, 71 en 1000 no son capturados
|
DETECTA nuevas o desconocidas de malware con tanto OS- y prevención a nivel de CPU|
EXTRACCIÓN DE AMENAZA | RCecOMPLETE THREAonstructs and delivT REMOer VAsmalwarL e-free documents
2.2 FUENTE: Check Point Software Technologies
CHECK POINT CIERRA LAS BRECHAS DE SEGURIDAD
y CPU NIVEL
16 | MALWARE DESCONOCIDO: EL GRAN DESCONOCIDO
Viernes Negro, que sigue a Acción de Gracias de Estados Unidos, es uno de los mayores días de compras del año. El lunes justo antes del 2014 de vacaciones, Check Point Equipo de Respuesta a Incidentes (CPIRT) fue contactado por un minorista que había descubierto los archivos desconocidos en sus sistemas. Estos archivos no fueron detectados por los principales proveedores de antivirus. Los bits de inteligencia disponibles en cada archivo individual pueden no haber sido suficiente para sonar las alarmas, pero la suma colectiva pintado una imagen mucho más grande. Los archivos parecían ser parte de un kit diseñado para entregar carga maliciosa lateralmente, a través de una red.
Los componentes del kit consistieron de herramientas utilizadas para:• Extraer, capturar y manipular datos de acceso de sistema de Windows• Pulsaciones de teclado de captura en los sistemas Windows• Transferir archivos
Aún así, los detalles recogidos sobre otros archivos en el equipo fueron más ambiguos. Continuando con la investigación, el equipo de respuesta trató de confirmar algunas sospechas ejecutando los archivos a través de Internet ThreatCloud Emulación Servicios de Check Point. Muchos de esos archivos fueron marcados como sospechosos y mostraron actividad francamente malicioso. Uno era particularmente interesante a esta situación: el archivo fue capturado escribir un archivo de texto en un directorio del sistema de Windows.
Al ver la escritura tracks.txt archivo en la carpeta C: \ Windows \ System32 \ directorio confirmó la creencia de que este archivo fue el malware PoS, diseñado para datos de la pista de tarjetas de cosecha. Con ese conocimiento, se hizo evidente que este malware fue parte de un equipo que podría capturar las credenciales; utilizarlos para instalar malware; moverse por el interior; y exfiltrate datos fuera de la red. Ha desplegado Emulación amenaza había, este malware y otros componentes en el kit podría haber sido bloqueado malicioso.
Cómo Emulación amenaza podría haber evitado un incumplimiento por menor
MALWARE DESCONOCIDO: EL GRAN DESCONOCIDO | 17
“Sólo lo desconocido asusta a los hombres.
Pero una vez que un hombre se ha
enfrentado a lo desconocido, que el terror
se convierte en lo conocido.”8
-Antoine de Saint-Exupery, writer and poet
Para hacer frente a malware y de día cero amenazas desconocidas, necesita ser capaz de identificarlos dentro y fuera del sistema operativo. El objetivo: no sólo detectar las amenazas, sino también frente a técnicas de evasión. Check Point recomienda la utilización de un enfoque de tres vertientes: una combinación de OS- y capacidades sandbox nivel CPU con extracción de amenaza.
Los factores clave a tener en cuenta en la selección de una buena caja de arena incluyen: Bloqueo y prevencion de ataques Evitar evasiones Deteccion rapida y exacta
Capacidad de descifrar SSL Soporte de archivos comunes Soporte de objetos en línea como Flash
RECOMENDACIONES
MALWARE CONOCIDO: CONOCIDO Y PELIGROSO
03
“Todos estamos digital, todos somos vulnerables y de instante todo-lo instantáneo. Éxito instantáneo y el fracaso inmediato.”9 –Madonna, la estrella del pop, en el robo digital y fugas de su álbum inacabado, “Rebel Heart,”
antes de que fuera puesto en el mercado.
1818 | CHECK POINT - REPORTE DE SEGURIDAD 2015
MALWARE CONOCIDO: CONOCIDO Y PELIGROSO | 19
Teniendo en cuenta lo fácil y potente malware desconocido es crear y puesta en marcha, se podría pensar que sería empezar a ver una disminución de malware conocido. La realidad, sin embargo, es que los hackers continúan manteniendo este método de ataque en su arsenal.En 2014, Check Point investigadores descubrieron que aproximadamente el 86% de las organizaciones acceder a un sitio malicioso. Lo que es más, cerca de 63% de
organizaciones descargan un archivo malicioso. En cuanto a la velocidad y frecuencia, los anfitriones acceder un sitio web malicioso cada 24 segundos (en comparación con cada minuto en el año anterior), y descargarse el malware cada seis minutos (frente a cada 10 minutos en el año anterior). Cuando se tiene en cuenta la rapidez con virus pueden propagarse y causar estragos, esto va mucho más allá alarmante.
En 2014 usuarios descargaron malware
cada 6 minutos
En 2014 usuarios accedieron a un sitio web
infectado cada 24 segundos
3.1 FUENTE: Check Point Software Technologies
ARCHIVOS MALICIOSOS
US
CANAD
AN
L
FRAN
CIA
UK
38
5 5 4 4
US
UKS
26
UCRA
NIA
22
RU
SIA
8
KK
8
2
POLO
NIA
2
PÁGINAS MALICIOSAS
ISRAEL
US
IND
IA
MEXIC
OL
17
S AS
14
AA
6
TURQ
UIA
4
O
3
DESCARGANDO ARCHIVOS
MALICIOSOS
US
UK
IND
IA
ISRAEL
MEXIC
O
38
87
65
ACCESANDO PÁGINAS
MALICIOSAS
5 CIUDADES PRINCIPALESPO
RC
ENT
AG
E D
E EM
PRES
AS
20 | MALWARE CONOCIDO: CONOCIDO Y PELIGROSO
Una de las maneras más eficaces para ampliar y acelerar la propagación de malware es a través de los robots-cuando un equipo ha sido infectado con un troyano o virus, puede permitir el control de terceros sobre algunas o todas las funciones de la máquina. Una botnet es una red de ordenadores zombis botted o bajo el mando de un individuo u organización que los utiliza para enviar correo electrónico no deseado, atacar a otros ordenadores o de lanzamiento de ataques DDoS.
Casi 83% de las organizaciones tenía infecciones de bots existentes en 2014. Y el 47% de los que estaban activos durante más de cuatro semanas, una longitud inquietante de tiempo dado que un robot se comunica con su comando y control (C & C) Centro de cada minuto. Lo que es más, que la velocidad y
frecuencia representa un salto del 66,7% respecto al año anterior, y un aumento del 95% desde 2012.
Al mirar los robots, ¿qué tipo de daños estamos hablando? Robo de credenciales bancarias y otra información sensible; deshabilitar los servicios de seguridad del sistema; instalación de malware; realizando click-fraude; ganando acceso remoto; y la apertura de una puerta trasera para ataques comprendía la mayor parte de la actividad bot en 2014.
Una de las infecciones de bots más notables se aprovechó de una vulnerabilidad en los ordenadores Mac de Apple en concierto con el, entretenimiento, y el sitio social de noticias Reddit. Una entrada de puerta trasera llamada
83% De las empresas encuestadas estaban infectadascon bots. Un bot se comunica con su C&C cada minuto.
3.2 FUENTE: Check Point Software Technologies
FAMILIA CONTEO DE ATAQUE DAÑO
ZEUS 51,848,194 Roba datos bancarios
GRAFTOR 21,673,764 Descarga ficheros dañinos
RAMNIT 12,978,788 Roba credenciales bancarias
CONFICKER 12,357,794Desactiva los servicios de seguridad del sistema, gana acceso remoto atacante
SALITY 11,791,594 Roba información confidencial
SMOKELOADER 9,417,333
RAMDO 5,771,478 Realiza fraude con un solo click
GAMARUE 3,329,930 Abre una puerta trasera para ataques
TORPIG 3,290,148 Roba información confidencial
LOS BOTS EXISTIRAN
MALWARE CONOCIDO: CONOCIDO Y PELIGROSO | 21
Torbellinos de cosecha de credenciales
Herramienta de automatización y distribución botnet hacen la recolección de credenciales a través de la fuerza bruta más fácil cada día. Forr ejemplo, priorr a 2014, ONLYY uno computerr a la vez podría romper una contraseña. El año pasado, sin embargo, una herramienta hash craqueo contraseña popular llamado Hashcat modificó su código fuente para permitir el agrietamiento tan distribuido más de una computadora podría ayudar a romper las operaciones de contraseña de decisiones mucho más rápido para los atacantes.así como funciona? Los delincuentes capturan grandes cantidades de datos de ataques. A veces codificado y no sensillopara utilizar de inmediato. ahí es donde las herramientas vienen en-theyy automatizar el agrietamiento de las contraseñas y puede ser alreadyy parte de una botnet que permite forr easierr distribución. Una vez que los hashes están agrietados, ataques de fuerza bruta tryy explotar reutilización de contraseñas; theyy también probar para ver si la contraseña de una persona trabaja forr de ingreso de otra persona. De hecho, Check Point ha observado constantes ataques de fuerza bruta semana, donde los intentos perr segundos / minutos / horas / días están sintonizados byy la attackerr para evadir la detección duraderos. Lo que es más, esto puede llevar a vertederos en los sitios de intercambio de texto abierto como Pastebin, donde la información puede entonces ser vendido.Para salvaguardar almacenamiento de contraseñas, generar un solo sentido criptográfica de hash de una contraseña. En palabras otherr, si una contraseña es "bluesky", un criptógrafo se convierten en algo así cómo "fna84K." Esto impide mantener las contraseñas en texto plano alrededor y permite la verificación de contraseñas suministradas por el usuario byy repitiendo el sistema de hash de una sola wayy. Adición de un valor randomlyy generada a una contraseña antes de crear theirr hash criptográfica también puede aumentar el difficultyy de una operación de contraseña de craqueo.
Desde herramientas alreadyy existen para crawll los hashes forr Internet y contraseñas-y automatizar contraseñas distribuido-fortificar la wayy almacenar estos datos es crítica. Para mantener esta información segura, tome precauciones adicionales y utilizar la autenticación de doble factor de verificación, fuera de banda del usuario, o incluso la autenticación biométrica. Recuerde, el hecho de que la gente vuelva a usar contraseñas similares significa que cada infracción de miles de nombres crea las semillas para, potencialmente, cientos de violaciones adicionales.
"Mac.BackDoor.iWorm" tuvo acceso a los Macs. A partir de ahí, lo que solía Reddit para conectar el ordenador hackeado con un servidor de comando. Después de infectar los ordenadores, los hackers podrían publicar a Reddit y luego tomar ventaja de la función de búsqueda del sitio para identificar esos puestos. Utilizando el iWorm, fueron capaces de capturar las direcciones del servidor de los postes y los utilizan cómo una guía para conectarse a la red de bots.
El robot que tenía la mayoría de la acción para el 2014, sin embargo, fue también el campeón reinante del año
anterior: ZeuS.
Parece que este año, los hackers siguen el principio de que si no está roto, no lo arregles. Según el Informe Resumen Spamhaus Botnet para 2014, ZeuS lideró la lista de los robots con 2.246 comandos y controles, prácticamente el doble que la Ciudadela, el siguiente bot líder.10
así, con el alcance y el poder de los robots a su disposición, ¿cuáles son los cibercriminales más centrado en? Esencialmente, los elementos críticos que dificultan significativamente la productividad de una organización.
22 | MALWARE CONOCIDO: CONOCIDO Y PELIGROSO
DDOS: LA NUEVA LÍNEA DE INICIO
3.3 FUENTE: Check Point Software Technologies
En el pasado, si quería impugnar las políticas de la empresa, que le reúnen algunas personas, hacer algunos signos, y de pie fuera de su lugar de trabajo para una manifestación pública de protesta. Ahora? Usted sólo tiene que ir en línea y comprar un kit de herramientas DDoS de bajo costo, introduce la dirección URL de la empresa que está protestando, y ya está hecho, el sitio web de la compañía ha sido borrado. Es fácil, conveniente y barato.En 2014, distribuidos de denegación de servicio (DDoS) fue el vector de ataque superior, que representa el 60% de todos los ataques, casi el doble que el año anterior. Los ataques DDoS, que golpean temporalmente un servidor u otro recurso de red fuera de servicio, se estaban produciendo 48 veces por día en el 2014 en marcha
de ocho veces por día en 2013. Esto representa un aumento del 500%! El año pasado, la mayoría de los ataques DDoS se encontró en gran medida en el sector de la consultoría. Este año, que se extiende por casi dos tercios de las empresas de todas las industrias. Después de DDoS, los próximos mayores vectores de ataque para el año fueron de desbordamiento de búfer, un ataque que puede dañar los datos, y la ejecución de código, lo que permite a un hacker para inyectar código arbitrario. Tanto aumentó significativamente respecto al año anterior.
48 ataques DDos ocurrieron
diariamente durante el 2014
NEGACION DE
SERVICIOABSORCION DE
DESBORDAMIENTOEJECUCION DE
CÓDIGOANOMALIA ESCRITURA A TRAVÉS
DE PÁGINASCORRUPCION DE
MEMORIA
60
23
39
51
22
35
43
36
19
47
23
POR
CEN
TA
GE
DE
OR
GS
CO
N P
OR
LO
MEN
OS
UN
AT
AQ
UE
ATAQUES más CONOCIDOS20132014
MALWARE CONOCIDO: CONOCIDO Y PELIGROSO | 23
El yearr pasado se registró un repunte de DDoS contra instalaciones educativas, proveedores de servicios, los gobiernos estatales de Estados Unidos y los gobiernos municipales. Independientemente de la política, los efectos de hacktivismo a través de ataques DDoS son sentidas por personas inocentes cómo mucho, si no más, los objetivos previstos. En los países donde el gobierno proporciona la mayoría de conectividad forr servicios educativos, un ataque a una pequeña escuela puede impactar la escuela everyy en la red. DDoS AA dirigidas a sitio web de una ciudad pueden causar (y ha causado) una pérdida de conectividad VPN con unidades de campo del orden público y los servicios de emergencia, y no sólo durante unas protes majorrt.
Mientras que el orden puede variar, hay cuatro técnicas principales utilizadas por hacktivistas:
1. Un ataque volumétrico de onda múltiple, utiliza millones de protocolos de datagrama UserR (UDP) de paquetesen el puerto 80. cómo un protocolo sin estado, UDP es muy fácil de falsificar, por lo que la appearr fuente cómo si ha sido enviado desde una dirección diferente de protocolo de Internet (IP). Esta inunda la conexión antes de los dispositivos de seguridad premisa organizaciones pueden detectar y reaccionar.2. Un sistema de nombres de dominio (DNS) de ataque "reflexión"; los atacantes envían millones de DNSs
a los servidores DNS legítimos, utilizando una dirección IP de origen suplantada a appearr cómo si se hubieran originado desde una serverr en la red de la víctima. Los servidores DNS legítimos reaccionan inundando respuestas DNS a la víctima, causando anotherr ola de ataques volumétricos.3. Un ataque de inundación SYN dirigido a un host específico. Spoofing la dirección de origen de gran volumensuficientes recursos para que el huésped no responde al tráfico legítimo.
4. Ataques lentos abren tantas conexiones cómo sea posible a un servidor y mantener esas conexiones abiertas porel tiempo posible para enviar bits de datos justo antes del protocolo de control de transmisión en tiempo sesiones (TCP) a cabo. El tráfico es bajo, pero el volumen de conexiones lentas congestiona el puerto de redes
entrantes. Esto es lo que puede hacer para asegurar su organización:
1. Entender y controlar el volumen de tráfico cómo las conexiones por segundo, paquetes por segundo, yrendimiento por segundo. Si se superan los umbrales de referencia, herramientas cómo Check Point DDoS ProtectorTM puede desplegarse frente a los gateways de seguridad para mitigar el tráfico DDoS antes de llegar a la puerta de entrada. Cuando los ataques al tráfico volumétricos supere la velocidad de circuito internet, saturará la conexión a la red antes de que llegue el Protecctor DDoS o la pasarela de seguridad, negando así el servicio. Para evitar que eso suceda, Protector DDoS desvía el tráfico a través de los centros de depuración Defense Pipe internet, donde se elimina el tráfico malicioso y el tráfico limpio 2.se Implementar controles estrictos en redes con acceso para invitados o bases tales usuarios desconocidos cómo instalaciones educativas, proveedores de nube, y empresas de servicios de hosting.
3. Implementar reglas de suplantación de IP de origen para evitar que los usuarios de las redes dirigidas desde la reflexión de
ataques. Dinámico, variantes, y de onda de varios estilos de ataques pueden hacer que sea difícil para detenertoda forma de DDoS. Pero, Check Point Software Blade de Firewall e IPS Software Blade tienen herramientas demitigación y protecciones integradas en ellos, tales cómo límites de la tasa, SYN Defender e IPS Ataque SYN, eIPS-DNS para ayudar a prevenir los ataques DDoS.
Hacktivismo: Cuando Manifestantes toman su ideología en línea
24 MALWARE CONOCIDO: CONOCIDO Y PELIGROSO
DÍA DEL JUICIO FINAL DE INFRAESTRUCTURA CRÍTICA: No "Si Pasara", pero "Cuando"
James Arbuthnot, ex presidente del Comité Selecto de Defensa del Reino Unido, lo dijo mejor: ". Nuestra red nacional se encuentra bajo ataque cibernético no sólo día a día, pero minuto a minuto" 11 De hecho, casi el 70% de las infraestructuras críticas (IC) empresas sufrido un fallo de seguridad en el último año.12 un ataque durante 2014, por un
grupo de hackers rusos llamado enérgico Bear, lanzó una campaña que tenía cómo objetivo las empresas de petróleo y gas. A través de la infección de software de control industrial que esas empresas dependían, los atacantes incrustados malware que descarga e instala automáticamente cuando las organizaciones de víctimas actualizan su software. Esto dio a los atacantes visibilidad en-y el control potencial de las redes específicas.
En un incidente separado, una acería alemana fue atacado, causando grandes daños a un alto horno.De acuerdo con la Oficina Federal Alemana de Seguridad de la información, BSI, los atacantes desplegaron una socialmente ingeniería campaña de spear phishing para engañar a individuos específicos en mensajes de apertura. Desde allí, los cibercriminales fueron capaces de capturar nombres de usuario y contraseñas, que les ayudó a acceder a la red de producción del molino. Una vez dentro, se fueron después de los sistemas de control, causando elementos fallen, que impedido que el horno se apague normalmente. cómo resultado, todo el sistema se deteriora.
Por qué está pasando esto?Cuando nos fijamos en las causas de los incidentes de CI, vemos algunas cosas pasando. Para empezar, el control de supervisión y adquisición de datos (SCADA), comúnmente utilizado por CI, no fue diseñado para la seguridad. No sólo son sus dispositivos vulnerables, sus redes son viejas y anticuadas. Además, los sistemas SCADA integrar los sistemas operativos Windows y Linux, que también son vulnerables. Una segunda causa es que, con demasiada frecuencia, la vista de la seguridad es miope, con énfasis sólo en el perímetro electrónico. Esto queda corto, ya que deja los sistemas de producción en riesgo. Por último, un tercer problema que vemos es la creencia errónea de que una buena seguridad física significa buena seguridad de la red. Al no reconocer la diferencia puede conducir a consecuencias graves.
Asegurar la infraestructura crítica: ¿Qué hacer?así cómo vemos tres causas de los incidentes de CI, también vemos tres caminos fundamentales para la prevención de estos hechos. A continuación se presentan los pasos para salvaguardar las infraestructuras críticas.
1. Arquitectura de Seguridad: Primero y ante todo, a proteger la red corporativa para bloquear la infiltración de lared de producción. Entonces, segmento y proteger su red de producción con seguridad especializada. Para la seguridad del perímetro, utilizar herramientas apropiadas tales cómo firewall, prevención de intrusiones, anti-virus, anti-bot, y la emulación amenaza.
2. Productos de Seguridad con Granular SCADA Soporte: Utilice siempre productos diseñados específicamente para SCADAsistemas. Recuerde, las industrias de CI se basan en sistemas dedicados en redes especializados con protocolos únicos. Soluciones cómo las soluciones de seguridad SCADA Check Point incluyen la tala SCADA, firewall, control de aplicaciones, prevención de intrusiones, seguridad de punto final y de estación de trabajo SCADA.
3. Inteligencia de amenaza: Asegúrese de iniciar sesión de forma independiente todas las actividades SCADA utilizando el tráfico SCADA en profundidadseguimiento y análisis de amenazas.
MALWARE CONOCIDO: CONOCIDO Y PELIGROSO | 25
Uno de los grandes problemas que las organizaciones necesitan abordar para ayudar a apuntalar su seguridad es parchear y actualizar software. Cuando esto se pasa por alto, crea una vulnerabilidad de negocios serio que puede interrumpir innecesariamente el rendimiento del hombre y la máquina. En cuanto a la cantidad total de común
vulnerabilidades y exposiciones en los últimos tres años, hemos visto un pequeño aumento entre 2012 y 2013. Sin embargo, desde 2013 hasta 2014, vimos un salto de poco más de 53%.13 así, mientras que la buena noticia es que la conciencia es cada vez mayor en torno a estas exposiciones potenciales , la mala noticia es que todavía existen y están creciendo.
SENTIRSE VULNERABLE
NÚMERO TOTAL DE vulnerabilidades y exposiciones comunes
2014
2013
2009
2012
2010
2008
2011
7945
5191 52974651
5736
4155
5632
1
4155
8
5632
0
4651
9
5736
3
5191
4
7945
2
5297
2014: TOP POR VENDEDORVulnerabilidades y exposiciones
IBM
ORACLE
MIC
ROSOFT
APPLE
LINUX
REDHAT
CISCO
ADOBE
450431
376
287
156135138
368
155
E
138
O
368
T
155
X
135
E
287
156
E
431
M
450
T
376
MOZIL
LA
120
A
120
NÚ
MER
O D
E V
ULN
ERA
BIL
IDA
DES
3.4 FUENTE: Common Vulnerabilities and Exposures (CVE) Database (top charts), Check Point Software Technologies (bottom chart)
POR
CEN
TA
GE
POR
OR
GA
NIZ
AC
ION
NOVELL
2
L
2
2013
MIC
ROSOFT
67
T
67
ADOBE
15
E
15
VIDEOLAN
10
N
10
3COM
4
M
4
SQUID
4
D
4
SUN
/ORACLE
4
E
4
APPLE
3
E
3
CA
3
A
3
MIC
ROSOFT
77
T
77
ADOBE
14
E
14
APACHE
6
E
6
HP
6
P
6
SUN
/ORACLE
5
E
5
MOZIL
LA
3
A
3
JOOM
LA
3
A
3
2014 2012
MIC
ROSOFT
68
T
68
SUN
/ORACLE
15
E
15
ADOBE
13
E
13
NOVELL
5
L
5
SQUID
2
D
2
VIDEOLAN
1
N
1
EVENTOS DE SEGURIDAD POR TOP PROVEEDORES DE SOFTWARE
26 MALWARE CONOCIDO: CONOCIDO Y PELIGROSO
Los hackers entienden la wayy más impactante para atacar objetivos es atacar theirr fundaciones. Forr mayoría de sistemas operativos, esa base es una serie de comandos fundamentales, a menudo ejecutados en Unix. En el centro de la línea de comandos shell de uso común en Apple Mac OS X y Linux / UNIX sistemas operativos es un processorr comando llamado Bash, orr Bourne Again Shell.
En Septemberr 2014, una vulnerabilidad de seguridad majorr fue descubierto en Bash que permiten a atacantes ejecutar remotamente comandos de shell. Funcionó adjuntando código malicioso en las variables ambientales utilizadas por el sistema operativo.
Desde una perspectiva hackerr, no hay nada mejor. A pocos días del anuncio vulnerabilityy, defectos de diseño adicionales también fueron descubiertos y se crearon una serie de parches. La carrera fue el de huelga redes antes de que se insertan los parches. En cuestión de horas, los atacantes explotaron Shellshock mediante la creación de redes de bots en los equipos comprometidos, para llevar a cabo ataques de denegación distribuida de servicio y análisis de vulnerabilidades. Mientras que las redes protegidas-IPS de Check Point fueron parcheados el mismo día, Shellshock comprometida millones de servidores y redes sin parches.Ver clientes Point apoyaron byy IPS protección SAWW bloqueado intentos cómo los ataques HTTP prominente dirigidos, de correo (SMTP / POP3 / IMAP), FTP y protocolos DHCP. Resultados de la investigación mostraron que los EE.UU. era tanto el objetivo de la parte superior y el atacante parte superior por un margen significativo.
FUERTE GOLPE: HERIR A LAS REDES EN SU CENTRO
Compartir comunitario no es siempre una buena cosa. Tome el software de código abierto (OSS), por ejemplo. A diferencia del software propietario típico que está cerrado, el software de código abierto está escrito para que su código fuente está disponible gratuitamente al público y puede ser modificado por cualquier persona. Peor aún, OSS no se maneja tan de cerca, ya que no siempre es parte del proceso de adquisición de TI. Y, debido a que es gratuito, no es tan de cerca mantiene cómo otro software. Los cibercriminales saben esto, por lo que se repliegan hacia ataques menos cuidadas, aplicaciones y sistemas menos visibles. cómo resultado, OSS
se ha convertido en un objetivo atractivo para robar datos, propiedad intelectual, y otra información sensible. Por lo tanto, se convierte en una puerta abierta a la red para los hackers para explotar.
Por ejemplo, OpenDaylight, un proyecto de software de código abierto de múltiples proveedores, se vio obligado a centrarse en la seguridad cuando una creación de redes definidas por software (SDN) defecto salió a la luz. En agosto de 2014, una vulnerabilidad crítica fue encontrado en su plataforma, pero tardó unos cuatro meses para ser parcheado. la persona
NUEVO OBJETIVO EXPLORADO: Software de código abierto y Sistema Operativo
MALWARE CONOCIDO: CONOCIDO Y PELIGROSO | 27
3.5 FUENTE: Check Point Software Technologies
En 2013, los servidores fueron el blanco preferido. El año pasado todo esto cambió: Los clientes ahora son el eslabón más débil.Cuando nos fijamos en el cambio en la distribución de los principales eventos de IPS entre cliente y servidor, vemos que el lado del cliente saltó dramáticamente a 60 de 32%. Mientras tanto, el lado del servidor
Nadie a quien culpar sino a nosotros mismos
EVENTOS TOP IPS
SERVIDOR
40%
PORCENTAGE TOTALCLIENTE
60%
quien encontró la vulnerabilidad tenía inicialmente trató de informar de forma privada, pero desde OpenDaylight no tenía un equipo de seguridad, sus esfuerzos se fue a ninguna parte. En su lugar, terminó la publicación de la vulnerabilidad en una lista de correo popular por fallas de seguridad. Se trataba de la posibilidad de que un controlador SDN se vea comprometida, lo que permitiría a los atacantes tomar el control de la red.14
Una vulnerabilidad de código abierto descubierto durante 2014 fue con la plataforma MediaWiki, que se utiliza para ejecutar Wikipedia y miles de otros sitios wiki en todo el mundo. Ver investigadores Point descubrieron que un defecto en el código podría permitir a atacantes inyectar código malicioso en cada página en Wikipedia.org, así cómo a otros sitios wiki internos o con orientación web que se ejecutan en MediaWiki. Con más de 94 millones de visitantes únicos al mes a Wikipedia por sí solos, y casi 2 millones de sitios que enlazan con él, es fácil ver el potencial de daño generalizado.Los mayores hazañas de código abierto del año fueron Heartbleed, Shellshock y caniche. En el pasado año, parecía que las empresas se vieron afectadas con el nuevo malware, devastadora que fue el nuevo malware peor, hasta que meses más tarde, la próxima grave de la historia llegó a la escena. Heartbleed fue descubierto en abril de 2014, una vulnerabilidad en el software OpenSSL. Lo que hace es permitir que los hackers accedan a la memoria de datos de servidores de hasta 64 kilobytes por valor. Este acceso se les da la capacidad de robar información crítica
al igual que identidades de usuario, contraseñas y otra información sensible que está contienen en los servidores.
Luego, llegó Shellshock. La vergüenza asombroso de esto es que se debe a una falla de seguridad-cuarto de siglo de edad que permite la ejecución de código malicioso en el shell Bash. Esto permite que un hacker hacerse cargo de un sistema operativo y acceder a información confidencial. Sumado a eso, muchos programas se ejecutan shell Bash en el fondo. Cuando se añade código adicional dentro de las líneas de código existente, el error se suelta.15
Siguiendo Shellshock era caniche, un acrónimo lindo que significa relleno de Oracle On Degradado Legado cifrado. Su enfoque: un joven de 18 años de edad, la tecnología de encriptación SSL 3.0. Si un sitio web utiliza ese protocolo para cifrar el tráfico, los atacantes podrían llevar el equipo a rebajar su cifrado para esa misma norma anticuada, creando problemas de seguridad de las comunicaciones a los servidores.16
Vulnerabilidades de código abierto cómo Heartbleed, Poodle y Shellshock afectados casi todas las operaciones de TI en el mundo. Las organizaciones pueden no ser capaces de anticipar la próxima vulnerabilidad masiva, pero deben entender que los hackers les encanta encontrar y explotar las fallas en código abierto y plataformas de uso común (cómo Windows, Linux, y iOS) debido a las excelentes oportunidades que ofrecen.
28 | MALWARE CONOCIDO; CONOCIDO Y PELIGROSO3.6 FUENTE: Check Point Software Technologies
caído de 68% a 40%. ¿Por qué? Los hackers muestran una preferencia por la orientación a clientes, ya que pueden usar tácticas de ingeniería y phishing sociales para engañar a la gente. En otras palabras, los seres humanos son mucho más fáciles de engañar a que las máquinas.así que lo que está contribuyendo al problema? La negligencia en torno protecciones básicas. Además, las organizaciones están utilizando herramientas de seguridad legado que están a la altura para hacer frente a las amenazas en evolución de hoy. Si desea mantener sus puntos finales seguro, usted comienza con acciones fundamentales cómo asegurar sus computadoras están ejecutando firewall de escritorio; han actualizado paquetes de servicios y software; y tiene el último software antivirus instalado.Sin embargo, según nuestros resultados, el 20% de los ejércitos de la empresa no se están ejecutando un firewall de escritorio; 10% de los ejércitos de la empresa no lo ha actualizado el servicio
paquetes; 25% no lo han actualizado las versiones de su software; y el 17% no tiene antivirus instalado en absoluto. Además, el 35% de los ejércitos de la empresa están configuradas de tal manera que los usuarios tienen permisos de administrador local, poniendo sus sistemas operativos en mayor riesgo de explotación de malware.Si bien esas cifras podrían no parecer enorme, sigue siendo una bandera importante que hay algunas empresas que no están recibiendo el mensaje de seguridad: Sólo se tarda un host vulnerable a infectar a toda una red. Y pensar en el número de empresas con las que esas empresas interactúan e intercambian información. Parte de la gestión de la amenaza de la ciberdelincuencia significa ser un ciudadano cibernético responsable cuando se trata de las protecciones básicas -y el intercambio de información de seguridad importante con los demás.
PUNTO FINAL DE LA EMPRESAVulnerabilidades y errores de configuración
Los hosts que no se han actualizado las versiones de software
Los anfitriones que no tienen actualizados naturalezas sig AV
Los hosts que tienen al menos un dispositivo Bluetooth instalado
Los hosts que no se ejecutan firewalls de escritorio
Los anfitriones que no tienen el paquete de servicio más reciente
Hosts donde el usuario tiene permisos de administrador local
PERCENT OF HOSTS
MALWARE CONOCIDO: CONOCIDO Y PELIGROSO | 29
Aunque la mayoría de las empresas a entender theirr responsabilidades alrededor de cumplimiento y cumplimiento de las regulaciones de la industria cuando se trata de seguridad, sigue siendo un tema muy complejo. Usted podría ser totalmente compatible un día, y luego hacer un cambio relacionado con el negocio de yourr red y de repente encontrarse fuera de cumplimiento. Saber lo que quiere ver forr es crítica. Pero no caigas en la trampa de pensar que sólo porque yourr organización cumple es totalmente seguro. Cumplir con los requisitos reglamentarios se suelen ligada a amenazas específicas, por lo que es menos amplio que una postura de seguridad puede y debe ser. No debe ser la base de yourr política de seguridad. A continuación se muestra lo que Check Point descubierto en su investigación de 2014.
CHECK POINTENCONTRÓ
ANÁLISISCHECK POINT REGULACION
PAISES AFECTADOS POR EL REGLAMENTO
Anti-Spoofing no está activado para el 75% de los encuestados
Anti-spoofing verifica que los paquetes están viniendo y yendo a, las interfaces correctas en la puerta de entrada. Se confirma que los paquetes que dicen ser de una red interna son en realidad provienen de la interfaz de red interna. También verifica que, una vez que un paquetese encamina, va a través de la interfaz adecuada.
PCI DSS 3.0 Global - empresas que procesan o guardan datos crediticios.
NIST 800:41 Relevante al estado Federal de USA. Aplica a empresas para adoptar un firewall robusto.
ISO 27001 Global—empresas que esten siendo certificadas bajo este estandard de practica
Descubriendo Cualquiera Acepte regla en el 27% de los encuestados
El concepto fundamental de la base de reglas de cortafuegos es "Lo que no está explícitamente permitido está prohibido."
Para descubrir que el 27% de los encuestados tenía una Cualquier Cualquier regla Accept en su base de reglas fue una gran sorpresa. Se trata de firewall 101, el básico de lo básico.
PCI DSS 3.0 Global—empresas precesadoras de credito
NIST 800:41
Principalmente relevante a US Federal, pero igualmente aplicable a cualquier empresa estadounidense de adoptar una norma de firewall robusto
ISO 27001 Global-cualquier empresa siguiendo esta norma
Fuera del Estado TCP no los paquetes que se redujo en el 19% de los encuestados
TCP sesión de tiempo de espera es la longitud de tiempo que una conexión inactiva se mantendrá en la tabla de conexiones de puerta de enlace de seguridad. Esta sesión inactiva es el retraso en la cual un atacante puede intentar robar y usar el transporte del paquete de sesión de usuario existente.Los paquetes que se encuentran fuera del estado deben ser retirados. Se encontró que 1 de cada 5 empresas no están cayendo fuera de los paquetes estatales.
PCI DSS 3.0Global—empresas precesadoras de credito
ISO 27001 Global-ninguna empresa está certificada según la norma o adoptarlo cómo una buena práctica
Cumple Sin Queja
Esto suena a verdad en seguridad, también.
Mantenerse al día con los temas y el empleo de las mejores prácticas de seguridad pueden mantener a las empresas de todos los tamaños a salvo de la condenación de reproducir los errores del pasado. A continuación se muestra un resumen de las mejores prácticas que pueden ayudar a evitar algunos de los escollos de seguridad de los clientes grandes y pequeños.
Proteccion en Detectar Vs PrevenirCon protecciones de la red, 'Detect' modo se utiliza forr amenazas de bajo riesgo, mientras que el modo "Prevención" se utiliza severityy forr crítica y amenazas de alto riesgo. A menudo hearr de los clientes que un ataque fue 'detecta' pero no 'impidió' porque era mal categorizado. Asegúrese de revisar las políticas de amenaza regularmente para entender cómo categorizar adecuadamente.
Parches VencidosA pesar de que los parches están disponibles vulnerabilidades forr años de edad, en las plataformas, a menudo no están instalados. Los atacantes zoom en esta debilidad; la vulnerabilidad, más común es un código abierto exploit que está disponible. Para evitar ser un blanco fácil, se recomienda parchear temprano y con frecuencia.
Pobre Directiva de contraseñas o reutilización de contraseñasLa mayor parte de las credenciales cosechadas en ataques de fuerza bruta se toman porque una contraseña de cuenta es débil. Otherr veces, las cuentas se cosechan porque una contraseña forr un sitio fue utilizado en otro sitio que se vea comprometida. Al exigir políticas de contraseñas strongerr y educar a los usuarios acerca de la reutilización de contraseñas, las empresas pueden minimizar cuenta incumplimientos. Por otra parte, las buenas políticas de contraseñas hacen redes strongerr.
Compartimentacion Inter-DepartamentalEn organizaciones grandes, a menudo observamos un tema común de la información compartimentación y, a veces, el dedo que señala entre los departamentos. En su forma más inocente, algunas empresas carecen de mecanismos de intercambio de información internos Orr políticas de TI consistentes; esto se traduce en un grupo que tiene una red mucho más moderno que otro. Por desgracia, muchos no están segmentados internamente de modo un incumplimiento forr uno puede dar lugar a un incumplimiento por todasl.
No Dejar Que La Historia Se Repita
‘Aquellos que no aprenden de la historia están condenados a repetirla.’
30 | MALWARE CONOCIDO: CONOCIDO Y PELIGROSO
MALWARE CONOCIDO: CONOCIDO Y PELIGROSO | 31
"No hay tal cosa cómo la seguridad perfecta, sólo diferentes niveles de inseguridad."17
–Salman Rushdie, author
Se podría pensar que si se sabe algo, que sería más fácil de mantener en jaque. cómo usted ha leído acerca de malware conocido en este capítulo, es claro que la idea es equivocada.
La lucha contra el malware conocido requiere un enfoque múltiple. El principio básico: Automatizar y coordinar múltiples capas de defensa. punto final cuchillas de software anti-virus, junto con el filtrado de URL. Esto ayuda a evitar conexiones con distribuidores conocidos de malware.
de detectar malware y botnets comunicaciones contundentes.
Cubrir lo mas critico Extender tu proteccion de IPS paraasegúrarse de que usted es capaz de defenderse de los ataques críticos de gravedad. Cubra sus sistemas de servidor de red e infraestructura de TI, independientemente del proveedor
o la plataforma. Manejo y Mantenimiento con parchesprocesos para todos los sistemas y aplicaciones..
restringir el uso de privilegios de administrador; desactivar Java y otras secuencias de comandos; y regular las aplicaciones que se pueden instalar en los puntos finales.
RECOMENDACIONES
SEGURIDAD MÓVIL: SIN BARRERAS
"Aparte de lo conocido y lo desconocido, ¿qué más hay?"18 –Harold Pinter, Nobel Prize-winning playwright, screenwriter, director, actor
04
32| CHECK POINT - REPORTE DE SEGURIDAD 2015
SEGURIDAD MÓVIL: SIN BARRERAS | 33
42% sufrieron incidentes en seguridad mobil
con un costo de US$250.000
Cuando llegó la movilidad, por lo que surgió la promesa de la productividad sin ataduras. Pero para muchos, la seguridad móvil fue una idea de último momento. La meta para todos debe ser la identificación de soluciones que permiten a la productividad, sin importar si usted está en o fuera de las instalaciones. Y esto es especialmente importante cuando vemos un aumento en el uso de los teléfonos inteligentes y las tabletas, junto con sus asociados aplicaciones-para hacer nuestra vida más fácil. Porque con esa subida ha recorrido un deseo de hacer negocios con los mismos dispositivos, poniendo los datos corporativos en riesgo.
cómo era de esperar, la tendencia al alza de traer su propio dispositivo (BYOD) ha dado
lugar a una gran cantidad de móviles
problemas de seguridad. cómo un vector de ataque, los dispositivos móviles ofrecen acceso directo más fácil de valiosos activos de la organización que en cualquier otro punto de intrusiones en la red, por lo que el eslabón más débil en la cadena de seguridad.
En un estudio mundial patrocinado por Check Point de más de 700 empresas, 42% de la muestra de la encuesta había sufrido incidentes de seguridad móvil que cuestan más de $ 250,000 para reparar y 82% espera incidentes aumentando durante 2015.
34 | SEGURIDAD MÓVIL: SIN BARRERAS
Entre los encuestados, el 91% ha visto un aumento en el número de dispositivos móviles personales que se conectan a las redes corporativas durante los últimos dos años. Es alarmante que el 44% de las organizaciones no logran los datos corporativos en dispositivos propiedad de los empleados. Añadir a eso, el 33% de los desarrolladores de aplicaciones no probar sus aplicaciones para la seguridad.21
Así que no es sorpresa que los dos principales problemas de seguridad que enfrentan los BYOD están asegurando la información reportada por el 72% de la muestra de las empresas; y la gestión de los dispositivos personales que contienen los datos y las aplicaciones corporativas y personales, citado por el 67% de los encuestados.
Cuando la seguridad móvil es débil, puede proporcionar atacantes con información personal, contraseñas, empresarial y personal de correo electrónico, documentos corporativos, y el acceso a las redes y aplicaciones de la compañía. En el entorno de negocios, que la preocupación se convierte en
magnificada. De hecho, el 87% de los profesionales de TI dicen empleados descuidados son una mayor amenaza para la seguridad de los cibercriminales. Y, el 92% dice que los comportamientos de los empleados podrían haber hecho una diferencia en la prevención de las violaciones de seguridad de alto perfil.
FUERA DE CONTROL
4.1 FUENTE: Check Point Software Technologies
cc | PROPIEDAD
INTELECTUAL
| LLAMADAS| COMUNICACIONPRIVILEGIADA
| CREDENCIALESDE RED
| LUBICACION
DEL EMPLEADO
DATOS CORPORATIVOS EN RIESGO
SEGURIDAD MÓVIL: SIN BARRERAS | 35
Retos BYOD se vuelven aún más notable en el contexto de un estudio global independiente realizamos. Kits de vigilancia móviles Comerciales, normalmente utilizados para el seguimiento de los niños, o en algunos casos, fueron espionaje ponen bajo el microscopio. La razón: Estos productos son vulnerables a los troyanos de acceso remoto móviles (mRATs), que encabezan la lista de malware móvil. más de 500.000 de Android y iOS 400.000 dispositivos que conectan a las empresas Wi-Fi a través de servidores de seguridad de Check Point en más de 100 paises estudiados.
Si los dispositivos se comunican con un comando y control (C & C) del servidor, que se considera infectado. Los investigadores encontraron que uno de cada 1.000 dispositivos se infectan. Y de hecho, los investigadores determinaron que si hay dispositivos 2000 o más en una organización, hay it una probabilidad del 50% que por lo menos seis dispositivos móviles infectados o dirigidos en su red. Por plataforma, que se desglosa en un 60% y 40% Android iOS.
4.2 FUENTE: Check Point Software Technologies
RETOS DE SEGURIDAD BYOD
FIJACIÓN DE información CORPORATIVA
72
GESTIÓN DE DISPOSITIVOS PERSONALES que contienen datos y aplicaciones corporativas y personales 67
SEGUIMIENTO Y CONTROL DE ACCESO A REDES CORPORATIVAS Y PRIVADAS 59
46
ENCONTRAR SOLUCIONES DE SEGURIDAD Agnóstico (gestión de todos los
sistemas operativos)42
PORCENTAGE POR EMPRESA
NINGUN PROBLEMA CON BYOD 5
OTROS 2
SISTEMAS OPERATIVOS Y OPCIONES DE APLICACIONES ACTUALIZADAS
36 | SEGURIDAD MÓVIL: SIN BARRERAS
Los atacantes pueden dirigirse a una empresa y extraer información sensible de los dispositivos móviles de sus empleados. MRATs maliciosos pueden permitir a los atacantes potenciales robar información sensible de un dispositivo. Ellos pueden tomar el control de los diferentes sensores para ejecutar keylogging, robar mensajes, activar cámaras de vídeo, y más.
Curiosamente, los investigadores descubrieron que los empleados de las empresas son el blanco de mRATs. Más concretamente, el estudio mostró que los atacantes estaban escogiendo ciertas organizaciones
y atacar múltiples objetivos dentro de ellos-contra atacar empleados corporativos de las organizaciones de azar y la focalización de ellos sin relación con su organización.
En la encuesta anterior de referencia, cuando se le preguntó qué dispositivo móvil plataforma plantea más problemas, el 64% de los profesionales de TI citó Android cómo la más riesgosa. Apple iOS y Windows Mobile siguieron, tanto en el 16%. Sólo 4% citó BlackBerry.
Cuál es el daño?
- Encuestamás de 500KK Android y 400KK iOS dispositivos de más de 100 paises.
InfeccionesAproximadamente 1.000 dispositivos infectados: 60% de Android, el 40% de iOS.
Malwaremás de 20 variantes y 18 familias de productos diferentes MRAT encontrado.
RiesgoDatos de la empresa en forma de correos electrónicos, mensajes, las pulsaciones de teclado, llamadas, ubicación de los empleados.
INVESTIGACIÓN DE AMENAZA MÓVIL :Ataques dirigidos a empresas de dispositivos móviles
SEGURIDAD MÓVIL: SIN BARRERAS | 37
4.3 FUENTE: Check Point Software Technologies
18 FAMILIAS MRAT ENCONTRADOS
Espia Mobil
Shadow Copy Mspy
Espia a Mobil
MobiStealth Mi Watchdog móvil
Otros
Bosspy
TalkLogog
38 | SEGURIDAD MÓVIL: SIN BARRERAS
La belleza de comunicación entre procesos (IPC) es que permite procesos especializados dispares función cruz dentro de un sistema operativo. En Android, el mecanismo de paso de mensajes de ese sistema es Binder. En octubre de 2014, Check equipo de investigación € ™ s punto A expone un defecto fundamental asociado con ese sistema en un informe titulado â € œMan en el Cuaderno: El que controla el IPC, Controla el Droid.â € ?? En esencia, nuestro equipo de investigación encontró que es posible capturar los datos transmitidos a través del protocolo Binder y interceptar datos sensibles.
Otros Desubrimientos: información enviados y recibidos a través de aplicaciones en un dispositivo, incluyendo los those
asegurado a través de la autenticación de dos factores, las líneas de cifrado, y otra securitymedidas, pueden ser interceptados.
Datos interceptados utilizando un teclado dentro de la aplicación en actividades
bancarias y mensajes de texto.
Aprenda más sobre el hombre en el Binder y otros resultados de la investigación de Check Point en checkpoint.com/threatcloud-central.
CUIDADO CON LA CARPETA
Con factor de riesgo de Android mucho más alto que los demás, no es ninguna sorpresa que los hackers están teniendo un día de campo con él. Uno trucos maliciosos descubiertos recientemente usuarios de Android en la creencia de que han apagado sus dispositivos, cuando en realidad, no lo han hecho. El malware permite los informes, los usuarios remotos para realizar llamadas, enviar y recibir mensajes, y tomar photos.22 En última instancia, esto puede permitir a un camino más simple para robar identidades, así cómo de datos.
Ser consciente de los riesgos asociados con la tecnología móvil es crítica. En los próximos meses
vamos a
considerar las implicaciones de seguridad de los dispositivos portátiles de alta tecnología y de compañías como Fitbit, Google Glass, smartwatches y otros que se conectan a las tabletas y teléfonos inteligentes. A medida que la Internet de las Cosas (IoT) se convierte en un sitio común en muchos hogares y lugares de trabajo, la interconexión de las tecnologías permitirá leer todo lo que pasa de un dispositivo a otro. Esto es ¿Por qué tenemos que conseguir un asimiento en seguridad móvil ahora?
SEGURIDAD MÓVIL: SIN BARRERAS | 39
Proteja el EspacioEstablecer un ambiente de negocios seguro, segregando sus datos y aplicaciones empresariales, incluyendo aquellos en los dispositivos de propiedad personal. Si el dispositivo se ve comprometida, protecciones pueden ser activadas para proteger la información corporativa hasta eliminar la amenaza.
Frustrar amenazasIdentificar y prevenir las amenazas cibernéticas para proteger toda su dispositivo móvil. Asegúrese de que su solución de seguridad móvil le ayuda a evitar las descargas de archivos sospechosos, bloquear sitios web maliciosos, y evitar las amenazas antes de que hagan daño.
Conectarse a la NubeProteja su tráfico de red utilizando los servicios de nube que se extienden las políticas corporativas a los dispositivos móviles personales (BYOD) para asegurarse de que está conforme. Busque una solución que impone una única política de seguridad tanto dentro cómo dispositivos fuera del establecimiento, y sigue los usuarios móviles fuera del perímetro de seguridad de la empresa.
RECOMENDACIONES
No confíe en MDM cómo Catch-All Mobile Device Management (MDM) permite que un departamento de TI para controlar lo que el usuario puede y no puede hacer con el dispositivo. Sin embargo, hay dos grandes déficits con MDM: En primer lugar, desde el lado del usuario, las políticas de MDM pueden ser muy restrictiva dependiendo del departamento de TI; cuando los empleados se sienten restringido, tienden a encontrar maneras de evitar las protecciones de seguridad. En segundo lugar, desde el lado organización, MDM en realidad no protege el dispositivo ya que las soluciones MDM no incluyen capacidades de protección de malware. Por lo tanto, usted todavía tiene que identificar soluciones que pueden proteger el propio dispositivo y controlar los datos que entran y salen de ella.
Protejase en el camino
Protección de documentos es un aspecto pasado por alto de seguridad móvil. Controle sus documentos de negocio, independientemente de dónde se dirigen. Cifrar archivos y garantizar el acceso de sólo los usuarios autorizados. Soluciones cómo Check Point Cápsula proporcionar seguridad de los documentos y controles granulares sobre quién puede acceder a los datos.
"Lo que estamos viendo con tecnologías cómo los dispositivos móviles y la computación en nube es que están permitiendo a los modelos de negocio que
simplemente no existían antes .... Gigantes de todas partes están maduras para la interrupción por las nuevas empresas que entienden cómo utilizar la tecnología para crear una nueva marca, la propuesta de valor-nunca antes posible para sus
clientes ".23
-Eric Schmidt, chairman of Google
APLICACIONES: DÁNDOTE DONDE MÁS DUELE“A medida que nuestros consejos de la sociedad hacia una basada en los datos, nuestras decisiones colectivas en torno a cómo se puede utilizar esos datos determinarán qué tipo de
cultura en que vivimos.”24
–John Battelle, entrepreneur, author, journalist
4040 | | CHECK POINT - REPORTE DE SEGURIDAD 2015
APLICACIONES: DÁNDOTE DONDE MÁS DUELE | 41
Está claro que el panorama digital es una traidora. Las amenazas pueden venir por el ataque, por error interno, por sabotaje. Lo único que se hace pasar por un punto de entrada para las empresas especialmente vulnerables es la que se basó en más de productividad de la organización: las aplicaciones.
Algunas aplicaciones, cómo el intercambio de archivos, son, evidentemente arriesgada. Pero otros no vienen tan rápidamente a la mente, porque son parte de lo que ahora se conoce cómo la sombra de TI-aplicaciones que no son patrocinados o apoyados por la organización de TI central. En su lugar, estas tecnologías y aplicaciones se compran y se instalan fuera de las TI cómo herramientas necesarias para realizar el trabajo.
Dada la dependencia de los otros en estas aplicaciones, no puede bloquear el uso de ellos. así que, si se les permite, prevención de amenazas debe ser proporcionada. La red debe protegerse mientras se opera bajo el supuesto de que estas aplicaciones de alto riesgo son maliciosos, no que podría ser.
Para que os hagáis una idea de la capacidad de penetración de aplicaciones de alto riesgo, Compruebe investigadores Point encontraron evidencia de ellos en el 96% de las organizaciones estudiadas, un salto de 10 puntos respecto al año pasado.Las principales categorías que miramos son:
TeamViewer, RDP, y LogMeIn permite a distancia
operadores para trabajar con su máquina y sus funciones que aunque físicamente, en persona. Una herramienta muy útil para los problemas de TI de solución de problemas, es también una herramienta útil que puede dar a los hackers una cantidad alarmante de
control y poder sobre su red. DropBox y otros que permiten el intercambio y trabajar
con archivos más grandes que usted podría normalmente de correo electrónico.
SoulSeek son sólo dos ejemplos populares de lo que es normalmente utilizado para el intercambio de medios cómo música, vídeos, o la comunicación en tiempo real. cómo Tor o OpenVPN permiten a los usuarios
interactuar
96% de las empresas utilizan una
aplicación de alto riesgo.
42 | APLICACIONES: DÁNDOTE DONDE MÁS DUELE
en línea, de forma anónima. Estos pueden ser utilizados legítimamente, para minimizar el riesgo, pero con demasiada frecuencia, se utilizan para propósitos maliciosos.En 2014, las herramientas de administración remota (RAT) encabezaron la lista de los delincuentes más grandes en aplicaciones de alto riesgo, con el 92% de las organizaciones estudiadas afectada. De todas las herramientas de administración remota disponibles, TeamViewer desplazados RDP para el primer lugar para los vectores de ataque en esa categoría, con un 78% de las organizaciones informantes incidentes.
Check Point encontró que el uso de anonimizadores aumentó de forma generalizada en todos los verticales.
Y mientras que los tres principales vectores de cada categoría principal de aplicaciones de alto riesgo se mantuvo un poco consistente desde el año pasado a este año, había más sacudida en la categoría anonymizer. Por ejemplo, la parte superior del año pasado incluyó tres Tor, UltraSurf y Hide My Ass. Este año: Tor cayó al tercer lugar; OpenVPN y Coralcdn fueron números uno y dos. UltraSurf deslizó por la lista y
5.1 FUENTE: Check Point Software Technologies
Herramientas de administración remota se encontraron en el 92% de
las organizaciones
ADMIN REMOTO ALMACENAMIENTO DE ARCHIVOS Y COMPARTIR
Intercambio de archivos P2P
ANONYMIZER
92 90
8186 86
77 75
6256
43
POR
CEN
TA
GE
POR
EM
PRES
A201220132014
80
61
organizaciones que utilizan aplicaciones de alto riesgo
APLICACIONES: DÁNDOTE DONDE MÁS DUELE | 43
Whetherr violar forr orr ganancia financiera de hacking para hacer un punto, los atacantes tienen varias herramientas a su disposición para enmascarar theirr ubicación y las identidades. Y al contrario de lo que Hollywood puede retratar, la localización y la identificación de los criminales es muy complejo.
Investigadores de Delitos Cibernéticos admiten que theyy están poniendo al ONLYY 'la parte inferior de la cadena alimentaria "cuando se trata de computerr crimen. Eso es porque las empresas criminales Gestionado byy informados y atacantes experimentados son likelyy a pasar desapercibida. Dado que theyy se distribuyen geographicallyy, bien estructurado y compartimentados, hackers afiliados ONLYY knoww una pequeña parte de la largerr organización furtherr minimizar la exposición de la organización criminal.
En funcionamiento underr el radar, los ciberdelincuentes emplean una gran cantidad de herramientas para mantener theirr anonimato. Se inicia con borrar el rastro de nuevo a internet theirr ubicación de origen. La herramienta más básica forr esto es un proxy web. También se llama anonimizadores, el servidor proxy actúa cómo un equipo cliente intermediario, redirigiendo las peticiones al destino deseado en última instancia. En los primeros días de la Internet, proxies web ayudó a ocultar la dirección IP de una fuente, pero hoy en día son más fácilmente contrarrestados y remontar.
Oculta Tu UbicaciónEl uso de las conexiones VPN permite a los remitentes cifrar el tráfico entre los puntos finales. El servidor VPN se puede utilizar para ocultar la identidad del remitente, haciendo imposible de encontrar la fuente IP (en tiempo real). La conexión entre la máquina y el attackerr serverr VPN está cifrada por lo que el tráfico no puede ser decodificado. El serverr VPN en sí no está enmascarado, norr son los datos una vez que se envía más allá de los confines de la conexión VPN.
Oculta Tu RutaPara obtener más anonimato avanzada, algunos se basan en herramientas cómo las redes de Tor. El "proyecto Tor" utiliza software libre que aprovecha una red de 5.000 relés de voluntarios de todo el mundo, diseñados para ocultar la ubicación de cualquier usuario individual y el uso. Derivado del término 'enrutamiento cebolla,' la red Torr utiliza capas de cifrado en abordar de manera cada relé sólo ve la dirección para el próximo relevo, no la fuente odestino final.
Oculta La Identificación de tu ComputadorCada máquina para acceder a la Internet tiene una huella digital única: la dirección MAC interno de la máquina, única para cada procesador del ordenador, combinado con su sistema operativo y los certificados de web. Una de las maneras más populares para enmascarar la identidad del ordenador es "colas", un sistema operativo en directo que se puede arrancar desde un CD o memoria USB. Dispone de una función de "estación de trabajo de una sola vez" que transfiere las firmas de identificación de la máquina para el sistema operativo de CD / USB. Los hackers lo utilizan una vez, luego simplyy destroyy el CD / USB. Esto permite a un atacante "interruptor" identidades máquina tantas veces cómo quieran en el mismo equipo.En algunos casos, los hackers utilizan múltiples capas de camuflaje, cómo la conexión a una VPN detrás de la red de Torr, procedente de un público Wi-Fi, ocultando tanto el equipo de origen y lugares de enrutamiento de Internet.
Donde Esta Waldo?
44 | APLICACIONES: DÁNDOTE DONDE MÁS DUELE5.2 FUENTE: Check Point Software Technologies
AMERICAS EMEA APAC2014
2013Tor ∙ Ultrasurf ∙ Hotspot Shield OpenVPN ∙ Coralcdn
Proxy SuppliersUltrasurf ∙ Tor ∙ Hide My AssANONYMIZER
Dropbox ∙ Windows Live Office
Hightail
Dropbox ∙ Windows Live Office
Hightail
Dropbox ∙ Windows Live Office
Hightail
ALMACENAMIENTO DE ARCHIVOS Y COMPARTIR
RDP ∙ LogMeIn ∙ TeamViewer RDP ∙ TeamViewer ∙ LogMeIn TeamViewer ∙ RDP ∙ LogMeInADMIN REMOTO
BitTorrent Protocol ∙ SoulSeek
BoxCloud
BitTorrent Protocol ∙ SoulSeek
eDonkey ProtocolIntercambio de archivos P2P
BitTorrent Protocol ∙ Xunlei
SoulSeek
Hola ∙ Tor ∙ Coralcdn OpenVPN ∙ Coralcdn
Proxy SuppliersOpenVPN ∙ Coralcdn ∙ TorANONYMIZER
BitTorrent Protocol ∙ SoulSeek
BoxCloud
BitTorrent Protocol ∙ SoulSeek
iMeshIntercambio de archivos P2P
Dropbox ∙ Hightail
Windows Live OfficeDropbox ∙ Hightail ∙ Jalbum Dropbox ∙ Hightail ∙ Mendeley
ALMACENAMIENTO DE ARCHIVOS Y COMPARTIR
RDP ∙ LogMeIn ∙ TeamViewer TeamViewer ∙ RDP ∙ LogMeIn TeamViewer ∙ RDP ∙ LogMeInADMIN REMOTO
BitTorrent Protocol ∙ Xunlei
QQ Download
TOP APLICACIONES DE ALTO RIESGO POR REGIÓN
APLICACIONES: DÁNDOTE DONDE MÁS DUELE | 45
Hide My Ass no estaba a la vista. Probablemente, OpenVPN ganó popularidad tras las revelaciones de Edward Snowden sobre la NSA espiar. La razón es que cómo un estándar de la industria, OpenVPN utiliza tecnología de cifrado que no se puede romper si se aplica correctamente, manteniendo así las comunicaciones privadas. Mientras tanto, otros anonimizadores han subido enormemente en popularidad, sin embargo, incluso si no es uno de los tres primeros.
Por ejemplo, la aplicación de Hola anonymizer aumentó de 3% a 17%. Parte de su fama podría ser acreditado a estar en el lugar correcto en el momento adecuado. Hola surgió de pruebas beta justo antes de los Juegos Olímpicos de Sochi 2014. Porque permite el acceso a Internet a través de fronteras, la programación que sería de otro modo sólo está disponible para las personas en una geografía específica es accesible para aquellos que utilizan hola para encubrir sus geolocalizaciones.
5.3 FUENTE: Check Point Software Technologies
APLICACIONES TOP REMOTAS
ADMINISTRATIVAS
POR
CEN
TA
GE
POR
EM
PRES
A
TEAMVIE
WER
RDP
LOGMEIN
VNC
AMM
YY A
DMIN
GOTOASSIS
T-
REMOTESU
PPORT
78
69
43
24
12 11
BITTO
RRENT
SOULSEEK
XUN
LEI
IMESH
EDONKEY
APLICACIONES DEL
PROTOCOLO TOP
Intercambio de archivos P2P BitTorrent +
60
2113 12 11
DROPBOX
HIG
HTA
IL
WIN
DOWS L
IVE O
FFICE
IMAGEVEN
UE
JALBU
M
MEN
DELEY
SUGARSYN
C
DROPBOX
WIN
DOWS L
IVE O
FFICE
HIG
HTA
IL (Y
OUSEN
DIT)
SUGARSYN
C
IMAGEVEN
UE
MEN
DELEY
DROPBOX
HIG
HTA
IL (Y
OUSEN
DIT)
WIN
DOWS L
IVE O
FFICE
MEN
DELEY
IMAGEVEN
UE
TOP de almacenamiento de archivos
Y APLICACIONES DE PARTICIPACIÓN
69
51
2213
914
48
85
26
16 15 14
84
1420
14 11 11
201220132014
2014
2014
Las organizaciones experimentaron 12.7 eventos de aplicación de alto riesgo por hora, 305 veces al día
46 | APLICACIONES: DÁNDOTE DONDE MÁS DUELE
Para el almacenamiento y el uso compartido de archivos, así cómo de punto a punto (P2P), las principales aplicaciones señaladas año pasado fueron más o menos lo mismo. La buena noticia: un menor número de ocurrencias de éstos en las organizaciones. Con la importante cobertura de los medios en el último año de filtrado fotos y correos electrónicos privados, sin duda esto ayudó a hacer muchos más conscientes y precavidos.
Pero la gran novedad en aplicaciones de alto riesgo se puede ver en el número promedio de eventos por hora y por día. Investigadores de Check Point estudiaron 4,049.111 eventos. Estas empresas experimentaron 12.7 eventos de aplicaciónes de alto riesgo por hora, 305 veces al día. Compare esto con la velocidad de 162 veces por día el año pasado y tiene un incremento del 88%.
5.4 FUENTE: Check Point Software Technologies
MAYORÍA DE LAS APLICACIONES POPULARES
Anonymizer
POR
CEN
TA
GE
POR
EM
PRES
AUSO DE APLICACIONES
Anonymizer POR REGIÓN
17
TOR
ULT
RASURF
HID
E MY
ASS
OPENVPN
2012
23
8 7
3
TOR
OPENVPN
CORALCDN
PROXY SU
PPLIERS
HOLA
2014
23 1918
17
TOR
ULT
RASURF
HID
E MY
ASS
OPENVPN
CORALCDN
2013
15 14 12 10 10
49
35
AMERICAS EMEA APAC
20122013
58
40
64
54
49
63
54
59
2014
APLICACIONES: DÁNDOTE DONDE MÁS DUELE | 47
necesario para garantizar la productividad y la innovación. Entonces, un mapa de las personas que deben tener acceso a dichos programas. Controle su red para garantizar que no haya aplicaciones falsas presente.
3. Cifrar los documentos para evitar la pérdida de datos. Si sese envía a alguien que no debería verlo, cifrado ayuda a bloquear el receptor de ver o abrir el documento.
4. Definir y practicar aplicación basada en la categoríacontrol. Ayude a sus administradores para ayudarle. Potenciar a ellos con la capacidad de bloquear categorías enteras de aplicaciones según sea necesario. Esto simplifica la administración mediante la ampliación de la política de control de aplicaciones nuevas cómo sean adoptadas.
"Vivimos en un mundo donde hay muchos riesgos,
y es hora de que empiece a tomar seriamente cuáles
deberíamos estar preocupados."25
-Lisa Randall, physicist
RECOMENDACIONES
Mientras tanto malware conocido y desconocido, a veces puede parecer fuera de control, el uso de aplicaciones de alto riesgo por lo menos ofrece algo parecido a la regulación.
Aquí hay cuatro pasos que puede tomar para reducir al mínimo los peligros de estas aplicaciones:
1. Educa a tus empleados en tu organizaciónpara entender los riesgos asociados con aplicaciones específicas. No asuma que saben. Por otra parte, señalar que más seguro, IT apoyaron herramientas que pueden hacer frente a sus necesidades de negocio y de productividad.
2. Estandariza un modulo de seguridad con
aplicaciones. Identifique las aplicaciones específicas
PERDIDA DE DATOS: PROCESO LENTO Y DOLOROSO
06
“Los errores son un hecho de la vida. Es la respuesta al error que cuenta.”26 –Nikki Giovanni, poet, writer, educator, and activist
PERDIDA DE DATOS: PROCESO LENTO Y DOLOROSO | 49
Las violaciones no son la única manera de que los malos hacer el trabajo. A veces necesitan cómplices, incluso si son los inconscientes. Y ahí es donde la ingeniería social y phishing vienen en. Los criminales cibernéticos se han vuelto tan bueno en conocer la psicología en torno a sus objetivos que sus mensajes de correo electrónico llegan a ser tan creíble para incluso algunos que se consideran conocedores. Por ejemplo, un empleado recibe un correo electrónico de alguien que dice ser un reclutador y le dice a la persona acerca de una posición abierta. Cuando la persona que expresa su interés, el llamado reclutador pide más información sobre la compañía y posiblemente otra información sensible. En otros casos, los empleados reciben correos electrónicos de personas se hacen pasar por los compañeros de trabajo y pidiendo información sensible,
sabiendo exactamente el fraseo derecho a obtener una respuesta. De hecho, algunos empleadores han comenzado a crear pruebas de phishing. Debido a un error interno puede ser una importante fuente de la fuga de datos, las empresas están enviando correos electrónicos de phishing parodia a los empleados. Si caen por ello, se convierte en un momento de aprendizaje. Si bien la cuestión interna podría no captar la mayor atención de los medios, es definitivamente algo que debe estar en el radar de cualquier negocio de la seguridad de mente. En 2014, el 81% de las organizaciones experimentaron al menos un potencial incidente de pérdida de datos. La perforación hacia abajo, una organización experimenta 1.7 eventos de pérdida de datos por hora, 41 veces al día, un aumento de 41% respecto al año pasado.
Organizaciones sufrieron la pérdida de datos en una tasa de 1,7 veces
por hora, 41 veces por día
50 | PERDIDA DE DATOS: PROCESO LENTO Y DOLOROSO6.1 FUENTE: Check Point Software Technologies
DATOS ENVIADOS POR EMPLEADOS HACIA EL EXTERIOR
PORCENTAGES POR EMPRESA
2014 2013 2012
INFORMACIÓN DE PROPIEDAD
EMPRESARIAL
DATOS CREDITICIOS
REGISTROS DE DATOS Y NEGOCIOS
INFORMACIÓN PERSONAL Y SENSIBLE
INFORMACIÓN SALARIAL
INFORMACIÓN DE LARED
ARCHIVOS PROTEGIDOS POR CLAVE
MENSAJE CONFIDENCIAL VIA OUTLOOK
NUMEROS DE CUENTAS BANCARIAS
OTROS
41% 35% 24%
30% 29% 29%
13% 14% 13%
10% 10% 14%
27% 31% 21%
5% 5% 7%
5% 4% 3%
20% 21% 6%
25% 22%
13% 14%
PERDIDA DE DATOS: PROCESO LENTO Y DOLOROSO | 51
En cuanto a los tipos de datos que han sido robados, información de propiedad está a la cabeza, al 41%. Lo que es notable es que sólo sigue subiendo. Desde 2012, hemos visto un aumento de casi 71%. Datos de la tarjeta de crédito fue el segundo tipo de líder de información filtrada, aunque se queda constante año a año. El mayor salto mirando a los últimos tres años de datos, en relación con el tipo de datos perdidos, estaba con los registros de datos de negocios, que era de 6% en 2012 y ahora es 20%. ¿cómo es posible? En algunos casos, un empleado podría incluir accidentalmente a alguien de fuera de la organización en un correo electrónico confidencial. Por ejemplo, ¿cuántos de nosotros hemos empezado a escribir el nombre de alguien en el campo "Para", sólo para darse cuenta de que los completa automáticamente a cliente de correo electrónico con un destinatario diferente con un nombre similar? En otros casos, un empleado malintencionado
podría incluir destinatarios externos en el campo CCO de un correo electrónico confidencial. Curiosamente, el porcentaje de empresas que ven que esto ocurra se redujo entre 2012 y 2013, pero comenzó a deslizarse de nuevo en 2014. En promedio, las empresas experimentó cuatro eventos de pérdida de datos por día, cómo resultado de un correo electrónico que va a varios destinatarios internos y un solo uno externo; cuando nos fijamos en los correos electrónicos que se envían a destinatarios internos visibles (Para y CC) y más de un destinatario externo en el campo CCO, vimos 15 eventos de pérdida de datos por día.
Pero los datos también se filtra a cabo por otras razones: Un empleado inadvertidamente hace que la información privada disponible en línea o un tercero proveedor, tal vez un trabajador temporal o contratista-roba los datos.
Cada 36 minutos datos sensibles son enviados fuera de la organización
La pérdida de la propiedad informatica ha aumentado 71%
en los últimos tres años
52 | PERDIDA DE DATOS: PROCESO LENTO Y DOLOROSO
Independientemente de si los datos se está saliendo debido a la ingeniería externa o interna, el apetito por el que la información es alimentada por una cosa: el beneficio económico. Ciberdelincuencia no sólo se ha convertido en rentable; se ha convertido en un gran negocio. En el otro lado del espejo, los datos pasáses no es sólo que se venden en el mercado negro, que está siendo comercializado. Sitios web publican las tarjetas de crédito que están disponibles para su compra con el banco emisor de criterios relevantes, cómo "fresco" que es. No es sólo en silencio pasó a una o dos personas en un callejón oscuro. Ha transmitido, a plena luz del día.
Y está sucediendo más rápido de lo que imaginas. Dentro de los 30 minutos de salir de una tienda por departamentos, información de su tarjeta de crédito podría ser "a la venta" en el mercado negro.
El más fresco el robo de los datos, más el dinero que obtiene.
Entonces, ¿quién paga? En los Estados Unidos, debido a las malas prácticas de seguridad al por menor, los jueces han dictaminado que los minoristas pueden ser demandados, lo que permite a los bancos a recuperar
sus costos.
411773 DEBIT PLATINUM 10/17 Yes 101 BANK OF AMERICAN.A. 52.5$VISA +United States, NY
Rochester, 14623American Sanctions 1
432388 DEBIT PLATINUM 05/15 Yes 101 WELLS FARGON.A. 52.5$VISA +United States, IA
Bettendorf, 52722American Sanctions 1
414548 DEBIT BUSINESS 05/16 Yes 101 MEMBERS 1ST F.C.U. 52.5$VISA +United States, PAHanover, 17331
American Sanctions 1
486831 DEBIT PLATINUM 04/17 Yes 101 WELLS FARGON.A. 52.5$VISA +United States, CO
Littleton, 80129American Sanctions 1
448055 DEBIT CLASSIC 01/16 Yes 101 ITS BANK 22.5$VISA +United States, WIGreen Bay, 54303
American Sanctions 1
414709 CREDIT SIGNATURE 10/16 Yes 101 CAPITAL ONE BANK(USA) N.A. 42.01$VISA +United States, CA
Mission Viejo, 92692American Sanctions 1
ALL OVER THE WORLDPROVIDE BULK CARDING SERVICES ALSO
ELECTRONICS CARDING SERVICE
FRESH WEEKLY UPDATES SNIFFED FROM POS
DONDE nos lleva todo esto?
PERDIDA DE DATOS: PROCESO LENTO Y DOLOROSO | 53
Al igual que los cazadores en busca de presas fáciles, los ciberdelincuentes han concentrado en el punto de venta (POS) cómo su coto de caza. La razón principal: terminales Tantos puntos de venta están ejecutando sistemas operativos obsoletos cómo Windows XP, que terminan yendo sin parchear y no administrado. Si estaba sintonizado en los medios durante el pasado año, habría parecido cómo un importante minorista tras otro se iba a golpear con las brechas de seguridad.El año comenzó con una explosión cuando Neiman Marcus fue violada y perdió 1,1 millones de registros de cuentas, sólo para ser superado ese mismo mes por el almacén de la manía Michaels, que perdió tres millones. A medida que continuaba el año, los taxis, tiendas de belleza, de buena voluntad, UPS, y Dairy Queen siguieron. En septiembre, Home Depot todos ellos cubierto con 56 millones. Todo esto se suma a 112.250.000 registros perdidos dentro de los Estados Unidos, afectando a uno de cada tres estadounidenses. Infecciones de malware PoS ciertamente ocurren en todo el mundo, pero Estados Unidos encabeza la lista con el mayor número de infecciones, en parte debido a que aún no está en el sistema de chip y PIN de tarjeta de crédito se utiliza en
DINERO FÁCIL
otros países. Chip y PIN es un estándar global de pago que incorpora un circuito integrado (IC) chip en la tarjeta y sólo puede ser autorizada cuando se utiliza con un PIN. cómo parte de esta norma, los minoristas tendrán que actualizar sus sistemas de punto de venta para asegurar la compatibilidad. Pero incluso con chip y PIN, los minoristas todavía tendrán que estar un paso adelante. Infecciones cómo el malware "BackOff", que afectó a un gran número de empresas de Estados Unidos, destacaron una gran vulnerabilidad de la seguridad: Las herramientas preinstaladas de malware en las líneas de suministro de siete principales fabricantes de terminales de punto de venta antes de ser enviados a los comerciantes. Contraseñas de administrador débiles o sin cambios permiten a los piratas informáticos acceder El Departamento de manera remota en los dispositivos.de Seguridad Nacional informa que más de 1.000 empresas de los Estados Unidos se vieron afectadas por PoS malware, 27 teniendo una enorme factura a empresas y particulares. De hecho, el costo de reposición de tarjeta solos añadió hasta $ 1,3 mil millones. Un estudio LexisNexis llamado El verdadero costo de Fraud28 dice que el comerciante promedio sufrió 133 transacciones fraudulentas exitosas al mes en 2014, un 46% respecto al año anterior.
FABRICACIÓN FINANZAS GOBIERNO TELCO
61
78
87
7079
POR
CEN
TA
GE
POR
EM
PRES
A
5045
828888
7886
6.2 FUENTE: Check Point Software Technologies
ORGANIZACIONES CON POR LO MENOS UN POTENCIAL DE EVENTOS - PÉRDIDA DE DATOS, POR INDUSTRIA
201220132014
54 | PERDIDA DE DATOS: PROCESO LENTO Y DOLOROSO
Durante 2013 y 2014, el sector del comercio minorista experimentó un numberr alarmante de datos y brechas de seguridad. Estos ataques resultaron en la pérdida de millones de tarjetas de crédito de los clientes y la información personal. Las empresas involucradas efectos financieros negativos experimentados desde el evento, con el mayor retailerr experimentando una caída del 13% en su valoración de mercado y una reducción en las ventas de tiendas comparables. Estas empresas brechas de impacto grandes y pequeños. Entre 2013 y 2014, los nombres notables cómo Michaels, Neiman Marcus, PF Chang, Target y Home Depot han sufrido enormes pérdidas de las violaciones de datos de punto de venta relacionadas.
Preocupaciones de los clientes sobre la privacidad y la seguridad financiera se agitan, y los consejos de administración están buscando activamente los cambios estructurales. Los efectos a corto plazo se acaba saliendo a la luz. El impacto a largo plazo sólo se conocerá en los próximos años.
En respuesta a este tipo de incidentes, las empresas a menudo persiguen tácticas reacción instintiva. Por ejemplo, que se centrarán en la debilidad más obvia o elegir un método que parece más prominente en las noticias.
En el caso de las recientes violaciones de datos al por menor, mucho se ha hecho hincapié en un movimiento para "chip y PIN" tarjetas de crédito, un estándar global de pago que utiliza autenticación de dos factores a través de un chip físico en una tarjeta que se ata a un numberr identificación personal del usuario (PIN). Pero, una revisión superficial de los métodos de ataque asociada a la menor
Pos: Usted no puede tener apenas un chip
infracciones muestra que chip y PIN no habrían evitado estos incidentes.
Los atacantes dirigidas a las tiendas al por menor utilizan conexiones remotas disponibles para acceder a redes de tiendas y se instalan múltiples variantes de malware y herramientas de software para capturar y datos de los clientes de exportación. Las deficiencias en el diseño de redes tiendas y puntos de venta de configuración (PoS) habilitadas aún más los ataques de la simplificación de movimiento horizontal y la infestación de malware.
Para proteger contra este tipo de ataques, tener una visión más amplia e implementar un enfoque de
múltiples capas que se ocupa de los enteros red no sólo las partes que se consideran más vulnerables.
PERDIDA DE DATOS: PROCESO LENTO Y DOLOROSO | 55
Recuerde que la seguridad no se detiene. Cuando el balance de su cuerpo, hay un montón de movimientos sutiles en el juego que le mantienen en pie. Lo mismo ocurre con la forma en que usted necesita para pensar en su seguridad. Para mantenerse a la vanguardia de las amenazas, es necesario estar constantemente evaluando y actualizando a medida que avanza. No deje con sólo asegurarse de que está protegido de ataques externos; asegúrese de que usted está cubierto internamente, también. En concreto, se recomienda: Protección de los datos mediante el cifrado que-ya sea en reposo o en tránsito. El objetivo es proporcionar una capa de protección de los datos, dondequiera que vaya. cuando
está cifrada, sólo las personas que están autorizadas para ver la información podrán verlo.
creación de capas de protección con pesos y contrapesos.
Ayudar a todos, desde arriba hacia abajo de entender la importancia de la mitigación de los riesgos relacionados con los ciber-para proteger la propiedad intelectual.
La participación de su fuerza de trabajo en la mejora de la información de su postura de seguridad al educarlos sobre cómo pueden ayudar. Crear políticas de seguridad de la información que los empleados puedan entender y ayudar a reforzar.
“Es mejor mirar hacia adelante y prepararse que para mirar hacia atrás y
arrepentirse.”29
-Jackie Joyner Kersee, athlete and olympic medalist
RECOMENDACIONES
56 | CHECK POINT - REPORTE DE SEGURIDAD 2015
CONCLUSIONES Y RECOMENDACIONES: LA VÍA A LA PROTECCIÓN
“Estatus quo, ya sabes, en latín significa "el lío en que estamos’.”30
–Ronald Reagan, actor and former President of the United States
07
CONCLUSIONES Y RECOMENDACIONES: LA VÍA A LA PROTECCIÓN | 57
Está claro que los ciberdelincuentes no se están desacelerando. De hecho, sobre la base de lo mal que 2014 fue, desde la perspectiva de la seguridad cibernética, los analistas esperan que la industria de la seguridad para crecer diez veces.Las amenazas pueden venir de cualquier dirección y se ha convertido en imposible decir que cualquier organización está a salvo de los ataques. De hecho, el error más grande que cualquier organización puede hacer es creer que está protegido, y el abandono de volver a examinar su infraestructura de seguridad con regularidad.Cuando se piensa a través de su postura de seguridad, tomar el tiempo para entender realmente sus amenazas y vulnerabilidades. Busque factores contribuyentes, y también mirar el cuadro grande de donde es tratando de llevar a su organización. Las empresas más preparadas saben que la política de seguridad tiene que provenir de los objetivos estratégicos, los objetivos de negocio,
y la formulación de políticas y empresarial vinculado a los procedimientos y requisitos, medidas de rendimiento, y por supuesto, la gente en todos los niveles de la organización.Planifica tu proceso y asegurarse de que incluye incluso los pasos más básicos, cómo la aplicación de los parches y actualizaciones de software. Piense también en su ecosistema de socios y cómo se vinculan con el proceso de seguridad.
Cuando se trata de tecnología, su programa de seguridad debe unificar múltiples capas y controles.
Dado que las amenazas provienen de múltiples lugares, arquitecturas de seguridad de una sola capa y soluciones puntuales de múltiples proveedores ya no son adecuadas.
Comience con pensar en su arquitectura cómo tres niveles interconectados.
“La Guerra Fría no terminó en la década de 1990. Simplemente se movió
en línea.”31
-Jose Paglieri, journalist
58 | CONCLUSIONES Y RECOMENDACIONES: LA VÍA A LA PROTECCIÓN
Una arquitectura de protección definido por software basado en un enfoque de seguridad de tres capas es la mejor defensa contra los ataques de rápida evolución.
Capa de RefuerzoCrear un Gateway- y plan de protección a base de punto final que explora, identifica y bloquea el malware, botnets y en armas de contenido que está diseñado para recoger y exfiltrate información de los clientes. Asignar reglas de autenticación de red y aplicaciones de acceso a prohibir a los usuarios y los sistemas no autorizados accedan a las zonas sensibles de la red.
Capa de ControlEstablecer políticas de seguridad por el administrador determine y protecciones automáticas. Crear reglas que definen específicamente las políticas de control de acceso y seguridad de datos con puntos de aplicación. Restringir las aplicaciones y el comportamiento del sistema según las directrices de "menor privilegio".
Al mirar a soluciones específicas, considere los que le permiten (1) investigar cualquier tipo de archivo de entrada, incluidos los archivos seguros y encriptados; (2) identificar las amenazas de día cero, tanto dentro cómo fuera del sistema operativo; y (3) entregar documentos seguros con cero de malware en cero segundos. La mejor protección es una combinación de la solución más rápida operativo que ofrece la tasa de captura superior y protege a su empresa de los ataques.
Check Point recomienda la prevención de amenazas que incluye:
• Capacidades sandbox os- Profundo y de nivel de CPUpara detectar y bloquear el malware
• Extracción amenaza para reconstruir entrantedocumentos con cero de malware en cero segundos
Este enfoque busca actividades maliciosas en el nivel de sistema operativo y explota a nivel de CPU, evitando los ataques antes de que ocurran. Detectar explotar intentos durante la etapa previa a la infección le ayuda a evitar las técnicas de evasión.
Cuando se combinan OS- y nivel de CPU sandboxing con la extracción de amenaza, tiene una tecnología de última generación que ofrece la mejor tasa de captura posible en busca de amenazas.
Capa de GestiónControlar todos los privilegios de administrador de negocio alineado y crear informes completos. Implementar prevención de amenazas basado en inteligencia que se actualiza de forma independiente y distribuye de forma proactiva nuevas protecciones a los puntos de aplicación. No mantener al día es una de las grandes vulnerabilidades en la mayoría de las redes. Implementar la gestión de eventos, la tala y las herramientas que identifican eventos en tiempo real, e incluye herramientas de filtrado y análisis de informes. El punto es asegurar los administradores tienen visibilidad en ataques sin perderse en el ruido menos crítica.
Dado que los dispositivos móviles se vuelven cada vez más dispositivos primarios, esperamos que los piratas informáticos se ven a ellos cómo a sus nuevos vectores de ataque. Desafortunadamente, según el Instituto Ponemon, 40% de aplicación móvil
los desarrolladores no analizan sus aplicaciones para las vulnerabilidades antes de soltar them.32 Ante esta realidad, y después de revisar lo que ha venido del pasado año, vemos 2015 cómo el año para definir su seguridad móvil .
QUE SIGUE?
CONCLUSIONES Y RECOMENDACIONES: LA VÍA A LA PROTECCIÓN | 59
“Lo más riesgoso que podemos hacer es simplemente mantener el estatus
quo.”35
-Bob Iger, businessman, chairman/CEO of Walt Disney Company
y tomar una postura más agresiva con su postura de seguridad. Eso se convierte en especialmente importante cómo el crecimiento de los sistemas de pago móvil comienza a acelerarse.
Aunque algunas soluciones cómo Apple pago, Google Wallet y PayPal ofrecen múltiples capas de seguridad que implica tokenización y cifrado, no todos estos sistemas se han probado a fondo para resistir las amenazas del mundo real. Es una apuesta segura que los atacantes estarán buscando a cabo para explotar vulnerabilidades.A esto se añade, ABI Research estima que el número de envíos de dispositivos informáticos portátiles llegará a 485 millones de unidades por 2.018,33 firma de analistas Gartner estima que 4,9 mil millones de cosas estarán en uso en 2015, un 30% desde el año pasado. Por eso, la firma espera de fabricación, servicios públicos y las industrias de transporte verán al máximo el uso de la Internet de las Cosas (IoT) - con 736 millones de cosas conectadas combinados. En 2020, se espera ver 25 mil millones de cosas conectadas.34
En última instancia, con todo lo que la conectividad, podemos esperar más vulnerabilidades, más amenazas. Al Check Point, nuestra misión es clara: Aseguramos el futuro. Del mismo modo, las organizaciones también deben ser con ideas positivas. Ser claro acerca de los objetivos a largo plazo y la forma de optimizar la infraestructura de seguridad para apoyar su visión es
esencial.
Mediante la comprensión de las amenazas y vulnerabilidades potenciales; la creación de un plan
sólido que se alinea con su negocio; y las protecciones
que garanticen están integrados en su infraestructura de
TI, puede activar la seguridad en un facilitador. Y al
hacerlo, usted es capaz de desbloquear la innovación y
fomentar un ambiente para el alto rendimiento y la
productividad.
Si desea obtener una verdadera evaluación de la
seguridad de su empresa, crea una conexión
Check Point Security Check Up en
www.checkpoint.com/resources/securitycheckup.
O bien, para aprender más acerca de Check Point
y cómo podemos ayudar a proteger su negocio,
por favor visite www.checkpoint.com.
1 Stoll, Cliff. “The Call to Learn.” TED Talk. February 2006.
2 Obama, Barack. The Cybersecurity and Consumer Protection Summit. February 13, 2015.
3 Check Point Software Technologies. http://www.checkpoint.com/resources/securitycheckup/
4 AV-Test. http://www.av-test.org/en/statistics/malware/
5 Lacy, Sarah. “The Irony of the Social Media Era: It Was Created By the World’s Least Social People.”
Huffington Post, July 15, 2012. http://www.huffingtonpost.com/sarah-lacy/social-media-entrepreneurs-
mark-zuckerberg_b_1518471.html
6 Amira, Dan. “Q&A With Nate Silver on His New Book, Whether Romney Has a Shot, and Why He
Doesn’t Play Fantasy Baseball Anymore.” New York Magazine, September 28, 2012.
http://nymag.com/daily/intelligencer/2012/09/nate-silver-book-signal-noise-interview.html
7 Check Point Software Technologies. “The Unknown 300 Test Report,” 2014.
https://www.checkpoint.com/downloads/300TestReport.pdf
8 Saint-Exupery, Antoine de. Wind, Sand and Stars, 1939.
9 Pareles, Jon. “Madonna on ‘Rebel Heart,’ Her Fall and More.” The New York Times, March 5, 2015.
http://nyti.ms/1A29332
10 Spamhaus. “The Spamhaus Project.” http://www.spamhaus.org/news/article/720/spamhaus-botnet-
summary-2014
11 Ward, Jillian. “Power Network Under Ciber-Attack Sees U.K. Increase Defenses,” Bloomberg Business,
January 8, 2015. http://www.bloomberg.com/news/articles/2015-01-09/power-grid-under-Ciber-attack-
every-minute-sees-u-k-up-defenses
12 Prince, Brian. “Almost 70 Percent of Critical Infrastructure Companies Breached in Last 12 Months:
Survey,” SecurityWeek, July 14, 2014. http://www.securityweek.com/almost-70-percent-critical-
infrastructure-companies-breached-last-12-months-survey
13 CVE Details. http://www.cvedetails.com/browse-by-date.php; http://www.cvedetails.com/top-50-
vendors.php?year=2014
14 Kirk, Jeremy. “An SDN vulnerability forced OpenDaylight to focus on security,” CSO, March 25, 2015.
http://www.csoonline.com/article/2902902/vulnerabilities/an-sdn-vulnerability-forced-opendaylight-
to-focus-on-security.html
15 Reilly, Claire and Musil, Steven. CNET, September 24, 2014.
http://www.cnet.com/news/bigger-than-heartbleed-bash-bug-could-leave-it-systems-shellshocked/
16 Gilbert, David. “What is POODLE? The Latest Online Security Threat After Shellshock and Heartbleed,”
International Business Times, October 16, 2014. http://www.ibtimes.co.uk/what-poodle-latest-online-
security-threat-after-shellshock-heartbleed-1470300
REFERENCIAS
60 | REFERENCIAS
17 Singh, Anita. “Hay Festival 2012: Salman Rushdie on security and The Satanic Verses,” The Telegraph,
June 3, 2012. http://www.telegraph.co.uk/culture/hay-festival/9309641/Hay-Festival-2012-Salman-
Rushdie-on-security-and-The-Satanic-Verses.html
18 Pinter, Harold. The Homecoming, 1965.
19 Lunden, Ingrid. “Led By iPhone 6, Apple Passed Samsung In Q4 Smartphone Sales, 1.9B Mobiles Sold
Overall In 2014,” TechCrunch, March 3, 2015. http://techcrunch.com/2015/03/03/led-by-iphone-6-apple-
passed-samsung-in-q4-smartphone-sales-1-9b-mobiles-sold-overall-in-2014/#.w6n4vv:a9vl
20 Gartner. January 5, 2015. http://www.gartner.com/newsroom/id/2954317
21 Taft, Darryl K. “IBM Study Shows Mobile App Developers Neglecting Security,” eWeek, March 21, 2015.
http://www.eweek.com/developer/ibm-study-shows-mobile-app-developers-neglecting-security.html
22 Schroeder, Stan. “Android Malware Spies on You Even After Phone Is Shut Down,” Mashable,
February 19, 2015. http://mashable.com/2015/02/19/android-malware-spies-shut-down/
23 Schawbel, Dan. “Eric Schmidt and Jonathan Rosenberg: What We Can Learn From Google,” Forbes,
September 23, 2014. http://www.forbes.com/sites/danschawbel/2014/09/23/eric-schmidt-and-
jonathan-rosenberg-what-we-can-learn-from-google/
24 Battelle, John. “Thoughts on Ford’s OpenXC: In the Future, Brands with Open Data Will Win,”
August 18, 2013. http://battellemedia.com/archives/2013/08/thoughts-on-fords-openxc-in-the-future-
brands-with-open-data-will-win.php
25 Irion, Robert. “Opening Strange Portals in Physics,” Smithsonian Magazine, December 2011.
http://teachers.smithsonian.com/science-nature/opening-strange-portals-in-physics-92901090/?all
26 Giovanni, Nikki. Black Feeling, Black Talk, Black Judgment, 1970.
27 United States Computer Emergency Readiness Team. US-CERT, August 27, 2014.
https://www.us-cert.gov/ncas/alerts/TA14-212A
28 LexisNexis. “2014 LexisNexis® True Cost of FraudSM Study.”
http://www.lexisnexis.com/risk/downloads/assets/true-cost-fraud-2014.pdf
29 Schwartz, Larry. “Joyner Kersee Completes Huge Leap,” ESPN.com.
https://espn.go.com/sportscentury/features/00016055.html
30 Reagan, Ronald. “Address Before a Joint Session of the Tennessee State Legislature in Nashville,”
March 15, 1982. http://www.presidency.ucsb.edu/ws/?pid=42270
31 Paglieri, Jose. “Russia Attacks U.S. Oil and Gas Companies in Massive Hack,” CNN Money, July 2, 2014.
http://money.cnn.com/2014/07/02/technology/security/russian-hackers/
REFERENCIAS | 61
62 | REFERENCIAS
32 Vijayan, Jai. “Rush To Release Resulting In Vulnerable Mobile Apps,” Dark Reading, March 20, 2015.
http://www.darkreading.com/attacks-breaches/rush-to-release-resulting-in-vulnerable-mobile-
apps/d/d-id/1319566
33 ABI Research. “Wearable Computing Devices, Like Apple’s iWatch, Will Exceed 485 Million Annual
Shipments by 2018,” ABIResearch.com, February 21, 2013.
https://www.abiresearch.com/press/wearable-computing-devices-like-apples-iwatch-will/
34 Moore, Michael. “Internet Of Things To Hit 4.9 Billion Things By 2015,” TechWeekEurope, November 11,
2014. http://www.techweekeurope.co.uk/e-innovation/internet-of-things-4-9bn-gartner-155298
35 Iger, Bob. Disney Shareholder Meeting, Anaheim, NBC News, March 3, 2006.
http://www.nbcnews.com/id/11767409/ns/business-us_business/t/pixars-star-disney-
shareholders-meeting/#.VSRlovnF9Zt
Top Related