Archivo de la etiqueta: Deep Security

La seguridad en la nube ha alcanzado un punto de inflexión, pero aún queda mucho por hacer

La ciberseguridad ha sido durante mucho tiempo la barrera número uno para los múltiples beneficios que ofrecen los despliegues de cloud computing. Pero un nuevo informe de la registradora del dominio .uk, Nominet, publicado esta semana parece indicar que los responsables de seguridad han dado un giro en términos de la percepción que tienen del riesgo relacionado. De hecho, casi dos tercios (61%) de los CISO del Reino Unido y Estados Unidos afirman que ahora sienten que las brechas en la nube son tan probables o menos probables que las brechas en las instalaciones. Esta es una gran noticia, pero no es el final de la historia.

Los responsables de seguridad TI todavía se enfrentan a múltiples desafíos para proteger sus datos en la nube, y existe un problema de concienciación persistente en torno al modelo de responsabilidad compartida. Aquí es donde la conferencia  CLOUDSEC de Trend Micro puede ayudar: ofreciendo ayuda, consejos y experiencias de la mano de un amplio elenco de expertos en el sector a nivel mundial.

Una nube más segura

El informe de Nominet ofrece una respuesta muy necesaria a la investigación sobre las amenazas de la nube que a menudo dominan los titulares de las noticias con un halo de pesimismo. Aparte de las percepciones cambiantes en torno a la seguridad de los despliegues en la nube, ha habido buenas noticias en el sentido de que la gran mayoría (92%) de las organizaciones que han participado en la investigación utilizan herramientas de seguridad basadas en la nube, y el hecho de que más de la mitad (57%) espera aumentar sus presupuestos para el próximo año.

Sin embargo, otros hallazgos nos recuerdan que la seguridad cloud es un desafío continuo para muchos. Los despliegues multi-cloud son particularmente vulnerables: más de la mitad (52%) de las organizaciones que respondieron que ejecutaban multiples nubes dijeron que habían sufrido una brecha en el último año, frente a una cuarta parte de los usuarios de una nube única o de cloud híbrida. Es más, el 69% de estas organizaciones multi-cloud comprometidas indicaron que sufrieron entre 11 y 30 brechas de seguridad, cifra significativamente mayor que aquellos negocios que operan con una sola nube (19%) o con cloud híbridas (13%).

Múltiples nubes, a menudo de diferentes proveedores, introducen una complejidad adicional que a su vez puede crear nuevas brechas de seguridad que los hackers están demasiado preparados y dispuestos a aprovechar. No ayuda que en algunas organizaciones se utilicen diferentes herramientas de seguridad para proteger diferentes entornos. Y en otras, todavía hay confusión sobre exactamente de qué parte del modelo de seguridad en la nube es responsable el proveedor (respuesta: no tanto como se podría pensar).

CLOUDSEC regresa

Afortunadamente, la popular conferencia CLOUDSEC de Trend Micro vuelve este año para responder a todas sus preguntas sobre la seguridad en la nube. Tenemos una gran cantidad de expertos internacionales, entre ellos una ex directora de sistemas de información de la Casa Blanca y al actual asesor de ciberseguridad de Naciones Unidas, quienes compartirán sus puntos de vista y experiencia. Además, estará el vicepresidente de investigación de seguridad de Trend Micro y el director del equipo de investigación Forward-Looking Threat Research para echar comentar lo que se avecina en la próxima década.

Este año también escucharemos los comentarios de la industria con más casos de estudio. En este sentido, los asistentes tendrán la ocasión de escuchar a Frank Thomas, director senior de Plataformas de Seguridad e Ingeniería de Thomson Reuters, que impartirá la ponencia: Lessons learned from my journey to the cloud. También se presenta el CISO global de la Universidad de Oxford, Marko Jung, en una conferencia titulada «Threat hunting – the journey to the cloud». Y también se ofrecerá la visión del CISO de Stena AB, Magnus Carling, en la presentación: From Titanic safety to cybersecurity.

Junto a todo esto, CLOUDSEC también ofrece una oportunidad inmejorable para poder charlar con los principales ponentes y compañeros del sector en un ambiente informal y distendido durante el día y hasta bien entrada la noche. Las plazas vuelan, así que no esperes y reserva ya la tuya.

Qué: CLOUDSEC 2019
Cuándo: 13 de septiembre de 2019
Dónde: Old Billingsgate Market, Londres Registro: https://www.cloudsec.com/uk/

Un nuevo zero-day en Adobe Flash utilizado en la campaña Pawn Storm dirigida a Ministerios de Asuntos Exteriores

pawnstorm-300x140

Análisis de Brooks Li, Feike Hacquebord y Peter Pi

El equipo de investigación de Trend Micro ha descubierto que los atacantes que están detrás de Pawn Storm están utilizando un nuevo exploit zero-day en Adobe Flash en su última campaña. Pawn Storm es una campaña de ciberespionaje de larga duración conocida por dirigirse a objetivos de perfil alto y por emplear la primera vulnerabilidad zero-day vista en Java en los dos últimos años.

En esta reciente campaña, Pawn Storm se dirigía a varios Ministerios de Asuntos Exteriores de todo el mundo. Los objetivos recibieron correos electrónicos de spear phishing que contenían enlaces que conducen al exploit. Los emails y direcciones URL se han creado a mano para simular que dirigen a información sobre temas de actualidad, empleando asuntos en el mensaje de correo electrónico que contienen los siguientes temas:

  • «Un suicida con coche bomba se dirige contra el convoy de tropas de la OTAN en Kabul”
  •  «Las tropas sirias ganan terreno mientras Putin defiende con ataques aéreos»
  • «Israel lanza ataques aéreos contra objetivos en Gaza»
  • «Rusia advierte que responderá a Estados Unidos sobre la acumulación de armas nucleares en Turquía, Europa»
  • «El ejército de Estados Unidos informa que 75 rebeldes entrenados por Estados Unidos regresan a Siria»

Sigue leyendo

Sandworm y SCADA

Al hilo de la noticia de que la vulnerabilidad «sandworm» (CVE-2014-4.114) se está utilizando en ataques contra la Organización del Tratado Atlántico Norte (OTAN) y varias industrias europeas, los investigadores de Trend Micro Kyle Wilhoit y Jim Gogolinski y el resto del equipo de Trend Micro FTR han descubierto nuevos y preocupantes ataques que utilizan esta vulnerabilidad. Nuestros investigadores acaban de encontrar ataques activos contra las organizaciones que utilizan el software de control de supervisión y adquisición de datos (SCADA), como un primer paso evidente en los ataques dirigidos de estilo APT.
Estos ataques se dirigen a PCs con Microsoft Windows que funcionan con la suite CIMPLICITY HMI con un spear phishing. El mail tiene un archivo adjunto malicioso que se abre en la aplicación CIMPLICITY e intenta aprovechar esta vulnerabilidad «sandworm» en Microsoft Windows. Si el ataque contra el sistema Microsoft Windows CIMPLICITY tiene éxito, intenta descargar el malware Black Energy en el sistema.
Black Energy es una familia de malware asociado con ataques dirigidos que controla por completo y de forma remota un sistema comprometido. Dos miembros de la familia de malware Black Energy BLACKEN.A y BLACKEN.B ya se han visto en otros ataques que utilizan la vulnerabilidad «sandworm».
Otro tema interesante que nuestros investigadores han encontrado es que los mails de spear phishing parecen venir de Oleh Tiahnybok, un político ucraniano con claros puntos de vista anti-rusos.
Microsoft ha lanzado una actualización de seguridad que protege contra los intentos de aprovechar la vulnerabilidad  “sandworm», MS14-060. En base a la actividad actual y anterior, esta actualización de seguridad debe ser una prioridad para el despliegue inmediato tan pronto como sea posible, especialmente en aquellos sectores de infraestructuras críticas.
Trend Micro ofrece protección contra esta vulnerabilidad con Trend Micro Deep Security y Office Scan con el plugin de Intrusion Defense Firewall (IDF). También ofrecemos protecciones contra BLACKEN.A y BLACKEN.B través de Office Scan y nuestros otros productos de seguridad de end point.
Puede encontrar información más detallada sobre la vulnerabilidad «sandworm» en este post y más detalles de nuestras investigaciones en estos nuevos ataques centrados en SCADA aquí.

Trend Micro Deep Security protege a los usuarios de la vulnerabilidad RUBY ON RAILS

En enero de este año se dio a conocer una vulnerabilidad: Ruby on Rails (CVE-2013-0156).

En aquel momento, indicamos que no había ningún ataque conocido pero que sería cuestión de tiempo el que surgiera un exploit para esta vulnerabilidad. Recomendábamos, entonces, que los administradores parchearan/actualizaran su software de Ruby on Rails a la última versión.

Desde aquel momento, Deep Security ha protegido a sus usuarios de la vulnerabilidad a través de las siguientes reglas con el módulo de Deep Packet Inspection:

  • 1005331 Ruby On Rails XML Processor YAML Deserialization DoS
  • 1005328 Ruby On Rails XML Processor YAML Deserialization Code Execution Vulnerability

Estas reglas permiten que Deep Security bloquee el tráfico de red relacionado con esta vulnerabilidad, previniendo que ningún exploit pueda afectarnos.

El pasado 28 de Mayo, un exploit que atacaba esta vulnerabilidad, fue descubierto. Consiste en un código que consigue convertir los sistemas afectados en miembros de una red bot. El payload malicioso se detecta como «ELF_MANUST.A»

Para información más detallada, acceded aquí:  http://blog.trendmicro.com/trendlabs-security-intelligence/trend-micro-deep-security-guards-users-from-ruby-on-rails-exploit/

 

EL PARCHEO VIRTUAL: La solución que toda empresa necesita.

 Este artículo publicado por darkreading acerca de una iniciativa que Google va a tomar, es realmente interesante. Puede leerlo aquíSe trata de una medida de seguridad muy importante y que desde el punto de vista de la seguridad parece correctísima: se trata de informar a todos los usuarios de su buscador de qué fabricantes que ellos encuentren, tienen bugs día zero o malware que puede afectarles. Google da un plazo de 7 días a estos vendors afectados para que limpien sus sistemas de dichos bugs antes de informar a los usuarios de esto.

 ¿Cómo se puede integrar Trend Micro en este escenario y cómo puede ayudar a los usuarios y fabricantes en entredicho?

Gracias  a DEEP SECURITY (en concreto con el módulo de Deep Packet Inspection), somos capaces de implementar parcheo virtual sobre las máquinas en las que se detecten las vulnerabilidades a nivel de sistema operativo/aplicación de forma automática y conseguir así evitar problemas de infección . Cerramos la ventana de exposición a cualquier tipo de exploit que pudiera entrar en esas vulnerabilidades abiertas y, así, de esta manera, los usuarios que accedan no correrán riesgos.