Archivo de la etiqueta: Vulnerabilidad

Los sistemas de control industrial: víctimas de los hackers

Los ciberdelincuentes están, de forma activa, atacando a sistemas de control industrial (ICS), con el propósito de comprometer sus operaciones, de acuerdo a los datos recogidos de una red “cepo” (honeypot) que simula sistemas de bombeo de agua.

La honeypot que simulaba una bomba de agua, fue diseñada para atraer a los atacantes y fue creada por Kyle Wilhoit, un investigador de amenazas de Trend Micro. Él compartió algunos hallazgos encontrados en Marzo, basándose en sistemas originales desplegados en Estados Unidos.

El investigador compartió estos datos relativos a ataques en la conferencia Black Hat el pasado jueves y también puso en conocimiento las herramientas utilizadas para que los dueños de estos sistemas industriales lo tuvieran en cuenta.
Sigue leyendo

Ciberseguridad: esta asignatura pendiente por las empresas, con Trend Micro, se puede aprobar.

La ciberseguridad es una asignatura pendiente en organizaciones de mediano/gran tamaño en todo el mundo. Las estadísticas demuestran que un altísimo porcentaje de compañías no poseen medidas de seguridad adaptadas al panorama de amenazas existente hoy. Se hace crucial la utilización de soluciones que sean capaces de detectar y analizar Amenazas Persistentes Avanzadas. En este artículo se muestran estadísticas reales que ponen de manifiesto la situación de las empresas en cuanto a ciberseguridad.

ciberwar

Muchas veces, las empresas no se plantean el incorporar soluciones de detección de APTs porque piensan que tendrán que hacer un cambio en su infraestructura o hacer un gasto importante para disponer de las mismas; pero no es así: soluciones como las de Trend Micro (Custom Defense), a través de Deep Discovery o de los plugins de detección de APTs para OfficeScan o el gateway, pueden prevenir las infecciones y ataques actuales de forma ágil y suponiendo una inversión de futuro, económicamente hablando.
Sigue leyendo

El portal documental corporativo: la protección necesaria frente al panorama del malware actual

Es normal que en las empresas se fije la atención en los puestos de trabajo de los usuarios a la hora de aplicar la máxima seguridad. También se invierte en la seguridad para los dispositivos móviles, debido sobre todo al efecto de la consumerización y el BYOD (Bring Your Own Device). Los servidores también son protegidos, de forma genérica, a través de un agente antimalware que proporciona prevención frente a infecciones para cualquier tipo de malware. Pero en organizaciones, que cuenten o no con un datacenter, existen servidores con funcionalidades específicas que deben ser protegidos apropiadamente y con herramientas de seguridad adaptadas a sus requisitos. En relación a este punto, vale la pena detenerse en un tipo de servidor con el que interaccionan continuamente los trabajadores desde dentro de la red e incluso usuarios externos (teletrabajadores o colaboradores, partners etc…) y que alberga información de muy diversa índole e importancia. La pérdida de información confidencial almacenada en este servidor de forma intencionada o por error, puede acarrear pérdidas de todo tipo en la empresa (monetarias, por penalizaciones que imponga la ley; de confianza de nuestros colaboradores, de reputación…). Por eso, la protección de un servidor específico de este tipo no es trivial y tenemos que analizar sobre qué puntos tenemos que actuar y crear una barrera de seguridad que se ajuste y adapte a lo que se necesite.
Vamos a hacer un breve análisis de las necesidades de seguridad para estos servidores documentales:

1. Evitar el malware: Esta es la primera idea que nos viene a la cabeza; proteger nuestro servidor documental frente a amenazas. Es de vital importancia ya que si un virus, troyano, gusano, malware mixto entra en el portal, la propagación por el resto de la red puede ser rápida y afectar gravemente a otras máquinas.

1

2. Protección de cara a la web: Es también imprescindible monitorizar las interacciones que el servidor tenga con Internet ya que la mayor parte de las amenazas proceden de aquí. Contar con un sistema de reputación web que evite el acceso a sitios web maliciosos, fraudulentos, o que contengan malware, se hace fundamental hoy en día para nuestro servidor documental dado el panorama de las amenazas con el que nos encontramos.

2

3. Prevenir la fuga de datos: La pérdida o robo de información confidencial del servidor documental puede desencadenar problemas muy graves para la compañía. El instalar herramientas que monitoricen y bloqueen la salida de información de este tipo del servidor puede evitar que la empresa se vea involucrada en procesos legales, pago de multas por ley, pérdida de resputación e incluso confianza de sus colaboradores.

3

4. Mantener el servidor actualizado y monitorizar sus posibles vulnerabilidades: Muchas de las interacciones que se producen con el portal documental quedan fuera del control del departamento de IT corporativo: teletrabajadores, contratistas, partners, colaboradores, clientes…todos ellos acceden desde Internet a nuestro servidor de ficheros a través del portal documental. Al ser público, un hacker podría también interactuar con él, buscar vulnerabilidades abiertas e introducir su ataque o exploit en cuestión de segundos. Por eso, el disponer de una herramienta capaz de detectar/prevenir vulnerabilidades y en caso necesario poner un “parche virtual” para cerrar dichas vulnerabilidades, puede salvarnos de ser infectados o sufrir un ataque.

4

Las necesidades de seguridad para los portales documentales han ido creciendo a medida que ha ido pasando el tiempo. Estudios nos demuestran que ya no es suficiente con proteger el servidor frente a malware o evitar cargar ficheros maliciosos. Todas las recomendaciones anteriores demuestran que ahora la seguridad que tenemos que implantar en nuestro servidor de ficheros debe ser mucho más sofisticada. Pero además, algo que afecta muy de cerca al portal documental y a su seguridad son las amenazas persistentes avanzadas y los ataques dirigidos. Los cibercriminales monitorizan los servidores en busca de “puertas traseras” por las que colarse. Pueden llegar a analizar exhaustivamente el servidor, recopilar datos importantes a todos los niveles y utilizarlos en nuestra contra. Estos ataques dirigidos y creados específicamente para ciertas víctimas están afectando últimamente a organismos públicos, gobiernos y empresas importantes en todo el mundo. Pero esto no quiere decir que los hackers no vayan a atentar contra nuestro servidor. Cualquier “ventana abierta” es válida para que ellos hagan uso de sus herramientas para sacar cualquier tipo de beneficio.

6

 

Trend Micro™ PortalProtect™ protege el portal documental SharePoint, el más utilizado en la industria,  con una  capa de protección específica que nos mantendrá seguro frente a malware,  enlaces maliciosos y otras amenazas que normalmente los administradores  de SharePoint no conocen. Su tecnología de reputación Web evita que los  enlaces maliciosos se introduzcan en los portales Web mientras que su  eficaz filtrado de contenidos analiza los archivos y los componentes Web  de SharePoint.

5

 

 

Trend Micro Deep Security protege a los usuarios de la vulnerabilidad RUBY ON RAILS

En enero de este año se dio a conocer una vulnerabilidad: Ruby on Rails (CVE-2013-0156).

En aquel momento, indicamos que no había ningún ataque conocido pero que sería cuestión de tiempo el que surgiera un exploit para esta vulnerabilidad. Recomendábamos, entonces, que los administradores parchearan/actualizaran su software de Ruby on Rails a la última versión.

Desde aquel momento, Deep Security ha protegido a sus usuarios de la vulnerabilidad a través de las siguientes reglas con el módulo de Deep Packet Inspection:

  • 1005331 Ruby On Rails XML Processor YAML Deserialization DoS
  • 1005328 Ruby On Rails XML Processor YAML Deserialization Code Execution Vulnerability

Estas reglas permiten que Deep Security bloquee el tráfico de red relacionado con esta vulnerabilidad, previniendo que ningún exploit pueda afectarnos.

El pasado 28 de Mayo, un exploit que atacaba esta vulnerabilidad, fue descubierto. Consiste en un código que consigue convertir los sistemas afectados en miembros de una red bot. El payload malicioso se detecta como “ELF_MANUST.A”

Para información más detallada, acceded aquí:  http://blog.trendmicro.com/trendlabs-security-intelligence/trend-micro-deep-security-guards-users-from-ruby-on-rails-exploit/

 

EL PARCHEO VIRTUAL: La solución que toda empresa necesita.

 Este artículo publicado por darkreading acerca de una iniciativa que Google va a tomar, es realmente interesante. Puede leerlo aquíSe trata de una medida de seguridad muy importante y que desde el punto de vista de la seguridad parece correctísima: se trata de informar a todos los usuarios de su buscador de qué fabricantes que ellos encuentren, tienen bugs día zero o malware que puede afectarles. Google da un plazo de 7 días a estos vendors afectados para que limpien sus sistemas de dichos bugs antes de informar a los usuarios de esto.

 ¿Cómo se puede integrar Trend Micro en este escenario y cómo puede ayudar a los usuarios y fabricantes en entredicho?

Gracias  a DEEP SECURITY (en concreto con el módulo de Deep Packet Inspection), somos capaces de implementar parcheo virtual sobre las máquinas en las que se detecten las vulnerabilidades a nivel de sistema operativo/aplicación de forma automática y conseguir así evitar problemas de infección . Cerramos la ventana de exposición a cualquier tipo de exploit que pudiera entrar en esas vulnerabilidades abiertas y, así, de esta manera, los usuarios que accedan no correrán riesgos.