Protegiendo la Infraestructura de Escritorio Virtual (VDI) de VMware

Mike Smith

 

Combinando VMware NSX y Horizon con Trend Micro Deep Security

Durante años la infraestructura de escritorio virtual (VDI) ha sido una opción popular para la virtualización de muchas organizaciones y los clientes de VMware han dependido en gran medida de Trend Micro Deep Security para asegurar estos entornos.

VMware y Trend Micro han estado trabajando juntos para seguir evolucionando y mejorar en la protección de las implementaciones de VDI. Más recientemente, la atención se ha centrado en la introducción de controles de seguridad avanzada con Trend Micro Deep Security, que aseguran un entorno combinado VMware NSX (Network Virtualization platform) y Horizon 6  (VDI). Esta solución ofrece a las organizaciones la oportunidad de dar un  gran salto hacia adelante en la seguridad y la gestión de sus implementaciones de escritorios virtualizados.

Dos son los grandes desafíos que han retrasado la adopción de la virtualización del escritorio a gran escala en el pasado:

  • La falta de seguridad eficaz que sea igual o mejor que en un escritorio físico. • La dificultad para escalar implementaciones rápidamente sin perder la visibilidad o el control.

En los centros de datos de hoy en día, la seguridad de estas implementaciones es aún más crítica debido a la necesidad de limitar el “tráfico Este-Oeste”, el tráfico interno que se produce entre los servidores del centro de datos. Sin embargo, “el tráfico Este-Oeste” no se monitoriza bien, en todo caso, por las tradicionales defensas perimetrales. Y una navegación básica o un error de correo electrónico de un usuario final de confianza podría acarrerar una amenaza directa que traspase esas defensas en su centro de datos, una violación que puede que resultar muy costosa.

Sigue leyendo

El email y el Web Gateway: sus primeras líneas de defensa contra el ransomware

El ransomware se ha convertido rápidamente en el azote de los departamentos de TI de todo el mundo. En los últimos 2 años ha pasado de ser una molestia menor a convertirse en una amenaza importante – dañando el negocio y  la marca y reputación de un sinfin de organizaciones. No hay bala de plata para detener esta nueva amenaza de malware. Pero dedicar tiempo a poner en marcha la protección por capas, junto con otras medidas preventivas, es lo mejor para mitigar el riesgo de infección.

La protección por capas siempre debe comenzar por el email y el Web Gateway. Estamos hablando de Deep Discovery, InterScan Web Security y Cloud App Web Security para Office 365.
Protegiendo a sus usuarios

¿Por qué el Web Gateway? Porque el bloqueo en este punto protege a la parte más vulnerable de su organización – a sus usuarios. Aunque los autores del ransomware se dirigen cada vez más a diversas partes del entorno de TI – incluyendo servidores y redes – la mayoría de los ataques todavía viene a través del email y de la web. Podría tratarse de un correo electrónico adjunto malicioso, o una URL ligada a una descarga; cualquier cosa para romper el eslabón más débil de su organización.
De los 99 millones de amenazas de ransomware que Trend Micro bloqueó entre octubre de 2015 y abril de 2016, el 99% se detuvo en la puerta de entrada – en los correos electrónicos maliciosos o en los enlaces de Internet. Puede conseguirlo en esta etapa y sus usuarios ni siquiera estarán expuestos al riesgo de hacer clic.
La defensa comienza aquí

Trend Micro ofrece un amplio conjunto de soluciones diseñadas para bloquear las amenazas ransomware en el email y el Web Gateway.
Deep Discovery Email inspector puede mejorar cualquier solución de gateway de correo electrónico, detener y bloquear correos electrónicos de phishing que evitan muchos filtros tradicionales.

En concreto, ofrece:

  • Análisis de adjuntos de correo electrónico y direcciones URL – Documentos de Office y macros, archivos PDF, archivos, ejecutables, secuencias de comandos, multimedia, etc.
  • Análisis virtual de direcciones URL incorporadas en los mensajes o documentos
  • Emulación de secuencias de comandos y detección de debilidades de día cero de los spots de lo que podría indicar ransomware, tales como la modificación de archivos en masa, encriptación, etc.

Cloud App Security es una herramienta importante que mejora sus soluciones de correo electrónico basadas en la nube. A pesar de que estas plataformas por lo general están basadas en la seguridad, vale la pena tener una protección adicional. Ha bloqueado más de un millón de amenazas que no fueron detectados por Office 365.

Ofrece:

  • Evaluación de análisis de malware y archivos de riesgo
  • Análisis de malware de sandbox •
  • Detección de documentos de vulnerabilidades
  • Reputación Web

InterScan Web Security ha sido diseñado para proteger a las organizaciones en el gateway de Internet, para evitar que los usuarios que visitan los sitios maliciosos o comprometidos.

Cuenta con:

  • Explorador de ataques de día cero y exploits. Estos son los métodos típicos de ransomware para entrar en la organización
  • Reputación Web en tiempo real por Smart Protection Network para erradicar a los URLs maliciosas
  • Integración con Deep Discovery para el análisis de seguridad avanzada del sandbox

Recuerde, el email y las soluciones de gateway web que se aplican por sí solas no son suficientes para evitar todas las amenazas ransomware. Para evitar la infección, considere complementarlas con puesto de trabajo, red y seguridad a nivel de servidor, así como con medidas adicionales, incluyendo copias de seguridad automatizadas, formación de usuarios y desagregación de redes.

En Trend Micro nos comprometemos a ayudarle a proteger su organización. Con la creciente epidemia de ransomware, nuestro objetivo es prevenirle de las amenazas actuales e informarle sobre cómo proteger mejor su organización. Diga NO al ransomware!

Revise nuestro blog con regularidad para obtener más información. Nuestros próximos posts detallarán las siguientes líneas de defensa en la lucha contra el ransomware: el puesto final, la red y el servidor.

Es tu negocio. Conoce tu responsabilidad compartida en Azure.

Por Lauren Newby

Ya no se trata de una cuestión de si te estás moviendo a la nube, sino de cuándo. Conocer las responsabilidades de seguridad que recaen sobre tus hombros podría ser la diferencia entre un viaje sin turbulencias a la nube y otro incómodamente repleto de baches.

Con tanto que tener en cuenta, es de importancia vital entender cuáles son tus responsabilidades cuando se trata de la seguridad de tus aplicaciones y datos en la nube. Durante años, Trend Micro ha estado ayudando a sus clientes a entender su responsabilidad en la seguridad compartida en la nube y, en última instancia, protegiendo los recursos empresariales sensibles a través de entornos Cloud Híbridos.

Basándome en esto, me complace compartir el último documento de Microsoft sobre “Responsabilidades compartidas para el Cloud Computing“ (Shared Responsibilities for Cloud Computing (PDF), un recurso excelente para los clientes que están considerando o que han comenzado a migrar a la nube. Microsoft define claramente las responsabilidades para el cliente y para el proveedor de servicios cloud en diferentes escenarios dentro de los entornos On-Prem, IaaS, PaaS o SaaS

Este documento te guiará a través de cada responsabilidad y de lo que tú o el proveedor de servicio cloud sois responsables en materia de seguridad. Es una lectura obligada para cualquier despliegue cloud de Azure.

Trend Micro Deep Security ha sido diseñado desde cero para proteger las cargas de trabajo en la nube sin las sacudidas adicionales y los retrasos por los que los productos de seguridad heredados son conocidos. Ayuda a satisfacer muchas de tus responsabilidades de seguridad compartidas, incluyendo:

  • Defensa contra las amenazas de red con detección y prevención de intrusiones (IDS/IPS)
  • Protección inmediata contra vulnerabilidades de aplicaciones y servidores como Shellshock y Heartbleed sin la necesidad de parches de emergencia
  • Mantener el malware fuera de las cargas de trabajo Windows y Linux
  • Saber cuándo se realizan cambios no planificados o sospechosos en tus sistem
  • Aumentando los controles en Azure para ayudar a acelerar el cumplimiento de PCI-DSS.
  • Saber cuándo se realizan cambios no planificados o sospechosos en tus sistemas

Para obtener más información acerca de mejores prácticas para la seguridad en la nube, hemos desarrollado 10 pasos para ayudar a mejorar los despliegues de Azure  de modo que puedes confiar en saber que has cumplido con tu parte para asegurar tu negocio en la nube.
Visita trendmicro.com/azure para conocer más sobre cómo Deep Security y Microsoft trabajan juntos para asegurar tus cargas de trabajo Azure. Para profundizar en información más específica de Microsoft Azuere, visita Microsoft Trust Center.

Por favor, añade tus comentarios más abajo o sígueme en Twitter en @LaurenNewby.

 

 

Paraísos fiscales: no sólo para ricos y famosos

Autor: Max Goncharov y David Sancho (Senior Threat Researchers)

Es más que probable que haya oído hablar de los Papeles de Panamá, los documentos de un bufete de abogados de ese país que revelaron que políticos, empresarios y personalidades de países de todo el mundo estaban usando compañías offshore para evadir el pago de impuestos. Se nos ocurrió preguntar: ¿los cibercriminales hacen uso de estos servicios? Nuestra investigación reveló que los anuncios de la banca offshore también se pueden encontrar en foros clandestinos. Las sociedades offshore en Panamá, las Islas Vírgenes Británicas y la República Dominicana se utilizan para ocultar el resultado de la ciberdelincuencia.

¿Cómo nos hemos dado cuenta de esto? Una vez que el tema de los Papeles de Panamá salió a la palestra, decidimos ir a nuestras fuentes para ver si podíamos encontrar cualquier cosa relacionada con empresas fantasmas o compañías pantalla en las diversas comunidades clandestinas que supervisamos. Al final del día, la misma persona que está tratando de infectar su ordenador y/o suplantar su identidad está recibiendo un montón de dinero de víctimas de todo el mundo. ¿Son cibercriminales que utilizan compañías offshore para ocultar sus ganancias ilícitas? Profundizamos un poco más en el asunto.

Las compañías fantasma han sido populares desde hace algún tiempo. Su propósito es claro: permitir a los individuos operar fuera de sus países de origen, ocultar sus identidades reales, y hacer que los fondos sean inaccesibles a los organismos fiscales. Los cibercriminales han estado utilizando los servicios de lavado de dinero para mover fondos sin levantar alertas, por lo que los fondos de deslocalización son una obviedad para ellos.

Un vistazo rápido a las comunidades subterráneas revela la existencia de una variedad de anuncios que promueven el lavado de dinero en países que son paraísos fiscales. Varios actores en estos foros subterráneos ofrecen servicios opacos para establecer empresas ficticias.

¿Qué ofrecen estos anuncios? Ellos establecen una empresa falsa para usted, y tendrá un representante nombrado como responsable de la misma que se encargará de todas las cuentas bancarias, trámites de apertura, y usted recibe un conjunto de tarjetas de crédito. Esto  es lo que uno puede esperar como parte de esta oferta:

  1. Una persona o empresa es nombrada propietaria nominal de la nueva compañía offshore del cibercriminal.
  2. Se firmará un acuerdo de “confianza” especificando que el propietario nominal no tiene el control de los activos de la empresa offshore.
  3. Se registra un conjunto de cuentas bancarias en el paraíso fiscal para procesar cualquier fondo.
  4. Se llevan a cabo transacciones monetarias falsas en estas cuentas para demostrar que la compañía está activa.
  5. Se proporciona un conjunto de tarjetas de crédito vinculadas a las cuentas bancarias.
  6. Se le ofrece al cliente un pasaporte formal WebMoney (WM), que se une en la cartera a las tarjetas. WM es una forma muy popular entre los ciberdelincuentes para mover el dinero.

Un buen ejemplo de este tipo de anuncios es de un proveedor apodado A6. Se ofrece una gama completa de servicios de lavado de dinero en cuentas deslocalizadas.

Cuando comparamos las ofertas de cuentas offshore con los servicios de simples lavados de dinero, encontramos grandes diferencias. Los anuncios de lavado de dinero, por lo general, ofrecen servicios de intercambio de moneda, así como comprar/almacenar /vender. Por ejemplo, un usuario llamado Seva ha estado ofreciendo estos servicios desde el año 2011. Incluso se le considera uno de los vendedores más fiables en el mercado negro. Su registro de actividades incluye cientos de notas de agradecimiento por un “servicio excelente y rápido”.

La mayoría de los servicios offshoring, o de deslocalización, encontrados en foros clandestinos alemanes y rusos parecen utilizar empresas ubicadas en Panamá, las Islas Vírgenes Británicas y la República Dominicana. Todo apunta a que estos tres países son los destinos internacionales más demandados por la comunidad criminal cibernética.

No hemos obtenido mucho feedback de los usuarios de estos servicios offshore de comunidades clandestinas. Esto puede deberse a que los delincuentes que mueven mucho dinero ya son clientes de estos servicios, pero quieren comportarse de una manera discreta y, por lo tanto, no proporcionan mucha información. Por otro lado, los principiantes y otros usuarios más  pequeños no necesitan recurrir a estos servicios y utilizan otros servicios de lavado de dinero más sencillos en su lugar.

En función de lo que hemos visto, está claro que algunos ciberdelincuentes también son titulares de cuentas en paraísos fiscales. Es bueno tenerlo en cuenta si usted está interesado en este tema. Nosotros lo estamos, por supuesto.

http://blog.trendmicro.com/trendlabs-security-intelligence/cybercriminals-panama-papers/

 

Motivos oscuros online: cibercriminales y organizaciones terroristas ¿son más similares de lo que pensamos?

Por: Trend Micro

¿Son los terroristas realmente tan diferentes de los cibercriminales? Nos hemos topado con contenidos terroristas durante nuestras investigaciones sobre la actividad cibercriminal en el mercado clandestino de la red, también conocido como underground, y después de un análisis exhaustivo de la misma, hemos descubierto paralelismos en la forma en que estos dos grupos distintos operan online.

El uso que hacen los terroristas de Internet en sus operaciones ha sido objeto de intensos debates en las últimas fechas, especialmente tras acontecimientos recientes como los ataques de París y Bélgica, sacando a la palestra un tema de gran controversia. Cuando los grupos terroristas utilizan las últimas tecnologías, técnicas y aplicaciones cibernéticas a través del móvil, la web superficial, así como de las denominadas deep y dark web, hace que el problema de seguirles sea mucho más difícil.

Por ejemplo: las técnicas y tecnologías utilizadas por los terroristas incluyen plataformas y tecnologías empleadas no sólo por los ciberdelincuentes, sino también por muchos otros tipos de usuarios online. Hemos visto que las directrices de OPSEC (seguridad operacional) para los terroristas son similares a las destinadas a periodistas y activistas. También hemos visto que las organizaciones terroristas y sus partidarios utilizan la misma variedad de recursos en las denominadas deep web, dark web y surface web que aquellos que son utilizados por los ciberdelincuentes para permanecer en el anonimato y para comunicarse con sus contactos.

Por otro lado, también hemos visto algunas diferencias clave entre el comportamiento online de ambos. Así, hemos encontrado que mientras los ciberdelincuentes y terroristas emplean las mismas tecnologías, lo hacen de diferente manera.

Iremos publicando más detalles de nuestras observaciones relacionadas con las actividades online de las organizaciones terroristas en los próximos días.