La encuesta realizada por Fortinet y Cybersecurity Insiders a más de 800 profesionales de la ciberseguridad de todo el mundo revela las experiencias y planes de las organizaciones respecto a la nube.
Ciudad de México, 13 de julio de 2022
La adopción de la nube va en aumento, actualmente 30% de las empresas ejecutan ahí más de la mitad de sus cargas de trabajo, lo que representa un aumento de 6% respecto al año pasado, mientras que un 58% adicional espera alcanzar este nivel en los próximos 12 a 18 meses.
Esto de acuerdo con datos recopilados dentro del Informe de Seguridad en la Nube 2022, publicado por Fortinet, líder mundial en soluciones de ciberseguridad amplias, integradas y automatizadas, y la comunidad online Cybersecurity Insiders, a partir de una encuesta mundial realizada en marzo de este año a 823 profesionales de la ciberseguridad de organizaciones de diversos tamaños e industrias.
Según el estudio, entre los beneficios que obtienen las empresas al migrar a la nube se encuentran una mayor rapidez de comercialización (51%), una mayor capacidad de respuesta a las necesidades de los clientes (50%) y un ahorro dentro de los costos (39%). Además, los encuestados confirman que la nube está cumpliendo la promesa de capacidad y escalabilidad flexibles (53%), más agilidad (50%) y mayor disponibilidad y continuidad del negocio (45%). Los servicios y cargas de trabajo más implementados en la nube son los de seguridad (58%), seguidos de los de computación (56%), almacenamiento (55%) y virtualización (53%).
Por otro lado, los principales imprevistos que frenan o impiden la adopción de la nube son la falta de visibilidad (para el 49% de los encuestados), el elevado costo (43%), la falta de control (42%) y la falta de seguridad (22%). La encuesta también revela que los mayores retos a los que se enfrentan las organizaciones no están necesariamente relacionados con la tecnología, sino con las personas y los procesos. La falta de personal capacitado es el mayor obstáculo para una adopción más rápida, según el 40% de los encuestados (frente al 37% del año pasado), seguido del cumplimiento de la legislación y la normativa (33%) y los problemas de seguridad de los datos (31%).
“La nube ya ha demostrado ser un importante facilitador para las empresas de todos los tamaños e industrias, pero sigue siendo un reto para las empresas en varios aspectos. Abordar temas como la seguridad y la gestión es fundamental para acelerar el proceso de su adopción y aprovechar el negocio, así como invertir en la formación de profesionales para este segmento ya que esto puede representar un punto de inflexión en la búsqueda de los beneficios que la nube puede traer “, dice Rafael Venancio, director de Negocios de la Nube de Fortinet para América Latina y el Caribe.
Actualmente, el 76% de las organizaciones utilizan dos o más proveedores de nube. AWS y Microsoft Azure lideran la lista empatados, aunque Google y Oracle están aumentando rápidamente sus inversiones y su cuota de mercado.
Los proveedores de servicio de nube más utilizados, según la investigación.
El Informe de Seguridad en la Nube de este año se produce en un contexto de ataques de ransomware cada vez más audaces y costosos y de la revelación de una grave vulnerabilidad de día cero en la popular herramienta de registro Apache Log4j, utilizada en muchas aplicaciones empresariales y plataformas en la nube. No es de extrañar que el 95% de las organizaciones estén preocupadas por la seguridad.
Pero ¿Cuáles son las amenazas a la seguridad en la nube que más preocupan a las empresas? Según la encuesta, la desconfiguración de la plataforma en la nube sigue siendo el mayor riesgo para la seguridad (62%), seguido de las interfaces/API inseguras (52%, frente al 49% del año pasado), la exfiltración de datos confidenciales (51%) y el acceso no autorizado (50%).
El informe también revela que, para integrar servicios variados, proporcionar escalabilidad o garantizar la continuidad del negocio, el 39% de las organizaciones está optando por un enfoque de despliegue de nube híbrida -un 3% más que el año pasado- o multicloud (33%).
Por ello, no es de extrañarse que se enfrenten a una complejidad y unos retos de seguridad cada vez mayores. La falta de conocimientos en materia de seguridad está a la cabeza (61%, frente al 57% del año pasado), seguida de la protección de datos (53%), la comprensión de cómo encajan las distintas soluciones (51%) y la pérdida de visibilidad y control (47%). Por esta razón, el 78 % de los encuestados considera que es muy o extremadamente útil tener una única plataforma de seguridad en la nube para proteger los datos de manera uniforme y completa en todo su espacio.
“Nunca se insistirá lo suficiente en que la seguridad en la nube es una responsabilidad compartida entre la empresa y el proveedor, y que para lograr los objetivos de migración a este servicio, la seguridad es esencial. Precisamente por ofrecer una seguridad más eficiente y una menor complejidad, la gran tendencia del mercado se dirige hacia una plataforma de ciberseguridad en malla, como Fortinet Security Fabric, que agrupa la gestión, la visibilidad y la automatización, reduciendo drásticamente el tiempo de respuesta a las amenazas y el impacto que pueden causar las carencias de recursos”, señala Venancio.
– Vea cómo Fortinet hace posible un mundo digital en el que siempre se puede confiar y descubra cómo la plataforma Fortinet Security Fabric ofrece una protección completa, integrada y automatizada en toda la infraestructura digital de una organización.
– Lea más sobre cómo las empresas están protegiendo sus organizaciones con Fortinet.
– Obtenga más información sobre la inteligencia e investigación de amenazas de FortiGuard Labs o la cartera de servicios de seguridad FortiGuard de Fortinet con inteligencia artificial.
– Únase a la comunidad de usuarios de Fortinet (Fuse). Comparta ideas y comentarios, aprenda más sobre nuestros productos y tecnología, y conecte con sus colegas.
Acerca de Fortinet Fortinet (NASDAQ: FTNT) hace posible un mundo digital en el que siempre podemos confiar a través de su misión de proteger a las personas, los dispositivos y los datos en todas partes. Esta es la razón por la que las empresas, proveedores de servicios y organizaciones gubernamentales más grandes del mundo eligen Fortinet para acelerar de forma segura su viaje digital. La plataforma Fortinet Security Fabric ofrece protecciones amplias, integradas y automatizadas en toda la superficie de ataque digital, asegurando dispositivos críticos, datos, aplicaciones y conexiones desde el centro de datos hasta la nube y la oficina en casa. Ocupando el puesto número 1 con la mayoría de los dispositivos de seguridad enviados en todo el mundo, más de 580.000 clientes confían en Fortinet para proteger sus negocios. Y el Fortinet NSE Training Institute, una iniciativa de la Agenda de Avance de la Capacitación (TAA) de Fortinet, ofrece uno de los programas de capacitación más grandes y amplios de la industria para hacer que la capacitación cibernética y las nuevas oportunidades de carrera estén disponibles para todos. Obtenga más información en https://www.fortinet.com, el blog de Fortinet o FortiGuard Labs.
Other trademarks belong to their respective owners. Fortinet has not independently verified statements or certifications herein attributed to third parties and Fortinet does not independently endorse such statements. Notwithstanding anything to the contrary herein, nothing herein constitutes a warranty, guarantee, contract, binding specification or other binding commitment by Fortinet or any indication of intent related to a binding commitment, and performance and other specification information herein may be unique to certain environments. This news release may contain forward-looking statements that involve uncertainties and assumptions, such as statements regarding technology releases among others. Changes of circumstances, product release delays, or other risks as stated in our filings with the Securities and Exchange Commission, located at www.sec.gov, may cause results to differ materially from those expressed or implied in this press release. If the uncertainties materialize or the assumptions prove incorrect, results may differ materially from those expressed or implied by such forward-looking statements and assumptions. All statements other than statements of historical fact are statements that could be deemed forward-looking statements. Fortinet assumes no obligation to update any forward-looking statements, and expressly disclaims any obligation to update these forward-looking statements.
No hay duda de que el ransomware es una amenaza creciente. Los ataques de alto perfil han paralizado varias ciudades de Estados Unidos, interrumpido oleoductos y alterado las cadenas de suministro en 2020 y 2021. Sin embargo, esos ataques reflejan solo el lado público de una industria cibercriminal mucho más grande que innova constantemente sus capacidades.
¿Cómo podemos evitarlo y darle un mejor manejo?
Crowdstrike aliado estratégico de SAFE nos comparte el siguiente documento:
En 2022, de la mano de los CISOS, las prioridades deben estar orientadas a estabilizar y adecuar la infraestructura innovando e integrando talento con tecnología con vista a mejorar la ciberseguridad bajo la responsabilidad de los CISOS en las organizaciones.
En los últimos años, muchos países han creado regulaciones para poder garantizar la privacidad y evitar la vulnerabilidad de la información empresarial. De esta forma, se incentiva a los CISOs en la implementación de estrategias orientadas a garantizar la información y su privacidad.
Apoyar estrategias de velocidad y crecimiento del negocio
Los CISOs deben tener un impacto significativo en la agilidad de la organización para prosperar económicamente en esta nueva realidad empresarial global asegurando activos, procesos, así como analizando riesgos y preparando planes de contingencia que ayuden al negocio a alcanzar sus metas.
El CISO tiene el reto de incorporar estrategias que ayuden a incrementar el crecimiento del negocio a corto y mediano plazo. Entre estas medidas deberá estar incluido un proceso de transformación digital que abarque toda la organización, teniendo en cuenta una automatización de procesos e internet dedicado 100% fibra óptica para agilizar la organización y lograr un impacto positivo en el negocio.
Asegurar los activos de la empresa, preparar planes de contingencia, agilizar y optimizar los resultados finales del negocio ayudarán a alcanzar las metas de la empresa.
Adaptar la confianza cero
Las estructuras empresariales bajo un correcto esquema de trabajo del CISO deben implementar estrategias de Confianza Cero (Zero Trust o ZTNA) para el acceso a las redes.
La arquitectura, los marcos y los modelos de ZTNA se basan en conceptos para validar la confianza y el acceso de usuarios y dispositivos. La actual expansión de la superficie de ataque corporativo requiere la adopción de una estrategia de confianza cero o ZTNA para para proteger las redes, los sistemas y los datos corporativos. Esto será un gran reto para los CISOs, ya que hoy día la mayoría de las empresas no cuentan con estrategias de cero confianza.
Será un proceso de educación general a todo el personal, pero con un fin único, adoptar una metodología de accesos para proteger redes, sistemas y los datos de la empresa.
Educar al equipo con herramientas actualizadas
Los CISOS que entienden que la educación en ciberseguridad es la mejor herramienta para mitigar los riesgos están un paso por delante de las prácticas de la industria.
Estos debieran enfocar sus esfuerzos de educación en ciberseguridad para incluir a socios comerciales y a clientes. La educación en ciberseguridad debe sumar esfuerzos sobre concientización y la adopción de conocimientos y procesos como mejores prácticas y estándares que ayuden a las organizaciones a prevenir y recuperarse de cualquier incidente o fuga de información.
Priorizar la seguridad en la nube
La adopción de servicios cloud sin una planificación estratégica de la gestión puede ocasionar más problemas que soluciones.
Los CISOS deberán impulsar el gasto en computación en la nube a un ritmo creciente, dejando a muchas organizaciones con lagunas en las habilidades de sus profesionales para abordar riesgos en la nube. No deben subestimar los riesgos de seguridad asociados a la adopción de la nube, ya que la seguridad es una responsabilidad compartida entre el cliente y el proveedor de nube.
Automatizar la seguridad
Automatizar la seguridad en la infraestructura ante ataques ransomwareserá la diferencia entre los CISOs como prioridad en este 2022.
Con la creciente proliferación de ciberataques llevados a cabo con automatización e inteligencia artificial, y el Ransomware-as-a-Service (RaaS), las organizaciones son más que nunca incapaces de responder en tiempo real a las ciberamenazas. Es imperativo acortar el tiempo necesario para defenderse de los ciberataques. La implementación de procesos y herramientas de automatización de ciberseguridad garantizará que su organización pueda responder ante una mayor cantidad de incidentes de manera ágil, haciéndola más resistente a los riesgos actuales y futuros.
Todos estos procesos y herramientas de automatización garantizarán que la empresa pueda responder más ágilmente ante una posible amenaza actual o futura.
Inversión en seguridad OT de inmediato
Los CISOs necesitan abordar el impacto de la seguridad de la tecnología operativa (OT) dentro de sus organizaciones. La integración de la tecnología operativa en las infraestructuras de red, incluidas las tecnologías emergentes como la 5G, está convirtiendo rápidamente a la tecnología operativa en un vector de superficie de ataque crítico para las organizaciones.
Cybersecurity mesh
Las empresas buscan controlar su infraestructura fragmentada contra riesgos de ciberseguridad. Las organizaciones necesitan una plataforma de ciberseguridad amplia, integrada y automatizada, lo que Gartner llama “cybersecurity mesh”, que proporcione administración y visibilidad centralizadas, admita e interopere en un vasto ecosistema de soluciones y se adapte automáticamente a los cambios dinámicos en la red.
De esta forma el CISO podrá tener una visión centralizada del entorno, permitiendo operar de forma amplia en las múltiples plataformas o soluciones integradas en la empresa bajo un entorno de seguridad automatizada.
La autenticación multifactor (MFA) es un enfoque de varios pasos para proteger sus cuentas en línea y los datos que contienen. Cuando habilita MFA en sus servicios en línea (como el correo electrónico), debe proporcionar una combinación de dos o más autenticadores para verificar su identidad antes de que el servicio le otorgue acceso.
El uso de MFA protege su cuenta más que solo usar un nombre de usuario y una contraseña. Los usuarios que habilitan MFA tienen un 99 % menos de probabilidades de ser pirateados, según Microsoft, ya que incluso si un factor (como su contraseña) se ve comprometido, los usuarios no autorizados no podrán cumplir con el segundo requisito de autenticación, lo que finalmente les impedirá obtener acceso a sus cuentas.
Tiene muchos nombres: autenticación de dos factores, autenticación de múltiples factores, autenticación de dos pasos, MFA, 2FA. Todos se refieren al uso de una combinación de algo que tenemos, algo que sabemos o algo que somos al confirmar que somos quienes decimos que somos en línea. Por lo tanto, los servicios en línea están dando un paso para verificar dos veces. En lugar de pedirle solo algo que sepa (por ejemplo, una contraseña), que se puede reutilizar, descifrar más fácilmente o robar, pueden verificar que es usted solicitando dos formas de información como un número PIN o una contraseña, junto con:
Una aplicación de autenticación o un texto de confirmación en su teléfono.
Una huella dactilar o un escaneo facial.
Comience por mirar la configuración de seguridad en sus cuentas más utilizadas. Es posible que vea opciones para habilitar MFA enumeradas como “Autenticación de dos factores”, “Autenticación de múltiples factores” o “Autenticación de dos factores”.
Hay muchas formas en las que se le puede pedir que proporcione una segunda forma de autenticación. Aquí están las formas más populares de MFA (en orden de fuerza) de la más débil a la más fuerte:
Mensaje de texto (SMS) o correo electrónico : cuando inicia sesión en una cuenta, el servicio enviará un código a su teléfono o cuenta de correo electrónico, que luego utilizará para iniciar sesión. Tenga en cuenta que este SMS/correo es la forma más débil de MFA, y solo debe usarlo si ninguna de las otras opciones está disponible.
Aplicación de autenticación : una aplicación de autenticación es aquella que genera códigos de inicio de sesión MFA en su teléfono inteligente. Cuando se le solicite su código MFA, inicie la aplicación y escriba el número que se muestra. Estos códigos suelen caducar cada 30 o 60 segundos.
Notificación automática : en lugar de usar un código numérico, el servicio “envía” una solicitud a su teléfono para preguntarle si debería dejarlo entrar. Verá una ventana emergente y podrá aprobar la solicitud de inicio de sesión o rechazarla si no la inició. la solicitud de autenticación.
Autenticación FIDO : FIDO significa “Fast Identity Online” y es el estándar de oro de la autenticación multifactor. El protocolo FIDO está integrado en todos los principales navegadores y teléfonos. Puede usar mecanismos seguros de autenticación biométrica, como reconocimiento facial, huella digital o reconocimiento de voz, y se basa en una criptografía sólida. A menudo, utiliza un dispositivo físico, una llave, esencialmente una versión cifrada de una llave de su casa.
Cualquier forma de MFA es mejor que ninguna MFA. Cualquier MFA aumentará el costo del ataque y reducirá su riesgo.
La implementación de MFA hace que sea más difícil para un actor de amenazas obtener acceso a los sistemas de información, como la tecnología de acceso remoto, el correo electrónico y los sistemas de facturación, incluso si las contraseñas se ven comprometidas a través de ataques de phishing u otros medios.
Los adversarios son cada vez más capaces de phishing o recolectar contraseñas para obtener acceso no autorizado. Se aprovechan de las contraseñas que reutilizó en otros sistemas. MFA agrega una fuerte protección contra la apropiación de cuentas al aumentar considerablemente el nivel de dificultad para los adversarios.
En un sector donde es de importancia vital anticiparse, es posible que se pregunte por qué debemos ir un paso delante de los adversarios, pero ahí radica la relevancia de este informe anual de CrowdStrike: comprender el significado de los incidentes recientes y hace posible tener visibilidad sobre la dinámica cambiante de las tácticas de los atacantes.
La inteligencia de código abierto (OSINT) es el acto de recopilar y analizar datos disponibles públicamente con fines de inteligencia.
En el contexto de OSINT, la inteligencia se refiere a la extracción y el análisis de datos públicos para obtener conocimientos, que luego se utilizan para mejorar la toma de decisiones e informar la actividad. Tradicionalmente, OSINT era una técnica utilizada por las comunidades de seguridad nacional y aplicación de la ley. Sin embargo, en los últimos años también se ha convertido en una capacidad fundamental dentro de la ciberseguridad.
Si bien se accede a la mayoría de los datos a través de Internet abierto y se pueden indexar con la ayuda de un motor de búsqueda como Google, también se puede acceder a través de foros más cerrados que no están indexados por los motores de búsqueda. Aunque la mayoría del contenido de la web profunda es inaccesible para los usuarios generales porque vive detrás de un muro de pago o requiere un inicio de sesión para acceder, todavía se considera parte del dominio público.
Los datos de fuente abierta son cualquier información que esté fácilmente disponible para el público o que pueda estar disponible a pedido.
También es importante tener en cuenta que a menudo hay una gran cantidad de datos secundarios que se pueden aprovechar de cada fuente abierta de información. Por ejemplo, las cuentas de las redes sociales se pueden minar para obtener información personal, como el nombre del usuario, la fecha de nacimiento, los miembros de la familia y el lugar de residencia. Sin embargo, los metadatos del archivo de publicaciones específicas también pueden revelar información adicional, como dónde se realizó la publicación, el dispositivo utilizado para crear el archivo y el autor del archivo.
En el ámbito de la ciberseguridad, los investigadores y analistas de inteligencia aprovechan los datos de código abierto para comprender mejor el panorama de amenazas y ayudar a defender a las organizaciones y las personas de los riesgos conocidos dentro de su entorno de TI.
OSINT se utiliza en el campo financiero, tecnológico, policial, militar (dónde tiene su origen), entre otros. Si nos centramos en el ámbito tecnológico, y más en concreto en la ciberseguridad, encontraremos que OSINT tiene varias aplicaciones:
Se utiliza en la etapa de reconocimiento de un pentesting: Descubrir hosts en una organización, información de Whois, encontrar subdominios, información de DNS,encontrar ficheros de configuración, passwords, etc…
Se utiliza para tests de ingeniería social: Buscar toda la información sobre un usuario (en redes sociales, documentos, etc) y ser consciente de la información que hay disponible en abierto para evitar “picar” en un ataque de phishing.
Prevención de ciberataques: Obtener información que nos haga estar a alerta ante una amenaza o un potencial ciberataque que pueda sufrir nuestra organización.
Cualquier investigación que se pueda resolver mediante la aplicación de conocimientos “Ciber”.
Hay que tener en cuenta que los cibercriminales también hacen uso de estas técnicas, por tanto es interesante hacer tests de los datos que obtenemos con OSINT, para saber si nosotros (como persona o como empresa) estamos revelando más información de la que nos interesa, y eliminarla en caso de que fuera posible para cerrar posibles vectores de ataque.
Podemos obtener información valiosa de infinidad de recursos (Redes Sociales, blogs, foros, noticias, documentos,etc..)Si observamos la información correspondiente a la cantidad de información que tiene internet en total, la cantidad de info que se almacena en RRSS en un minuto, la cantidad de personas que acceden a Internet, las que tienen Redes Sociales,…etc.(Se puede consultar aquí) Nos damos cuenta de las múltiples maneras que tenemos de obtener información que esta disponible de manera pública (Que no sea secreta no la hace menos importante) , y del gran poder del conocimiento que podemos conseguir tratando dichos datos.
Quizás el mayor desafío asociado con OSINT es administrar la cantidad verdaderamente asombrosa de datos públicos, que crecen a diario. Debido a que los humanos no pueden administrar tanta información, las organizaciones deben automatizar la recopilación y el análisis de datos y aprovechar las herramientas de mapeo para ayudar a visualizar y conectar puntos de datos con mayor claridad.
Con la ayuda del aprendizaje automático y la inteligencia artificial, una herramienta OSINT puede ayudar a los profesionales de OSINT a recopilar y almacenar grandes cantidades de datos. Estas herramientas también pueden encontrar vínculos y patrones significativos entre diferentes piezas de información.
Además, las organizaciones deben desarrollar una estrategia subyacente clara para definir qué fuentes de datos desean recopilar. Esto ayudará a evitar sobrecargar el sistema con información de valor limitado o confiabilidad cuestionable. Con ese fin, las organizaciones deben definir claramente sus metas y objetivos en lo que respecta a la inteligencia de fuente abierta.
Técnicas de recopilación OSINT
En términos generales, la recopilación de inteligencia de fuente abierta se divide en dos categorías: recopilación pasiva y recopilación activa .
La recopilación pasiva combina todos los datos disponibles en una ubicación de fácil acceso. Con la ayuda del aprendizaje automático (ML) y la inteligencia artificial (IA), las plataformas de inteligencia de amenazas pueden ayudar a administrar y priorizar estos datos, así como a descartar algunos puntos de datos según las reglas definidas por la organización.
La recopilación activa utiliza una variedad de técnicas de investigación para identificar información específica. La recopilación activa de datos se puede utilizar ad-hoc para complementar los perfiles de amenazas cibernéticas identificados por las herramientas de datos pasivos o para respaldar una investigación específica. Las herramientas de recopilación OSINT comúnmente conocidas incluyen búsquedas de registros de dominios o certificados para identificar al propietario de ciertos dominios. El sandboxing de malware público para escanear aplicaciones es otro ejemplo de recopilación de OSINT.
Dentro de la ciberseguridad, hay dos casos de uso comunes para OSINT:
Medición del riesgo para su propia organización
Entendiendo al actor, tácticas y objetivos
Medir su propio riesgo
Las pruebas de penetración o pentesting son la simulación de un ciberataque del mundo real para probar las capacidades de ciberseguridad de una organización y exponer vulnerabilidades. El propósito de las pruebas de penetración es identificar debilidades y vulnerabilidades dentro del entorno de TI y remediarlas antes de que sean descubiertas y explotadas por un actor de amenazas.
Si bien existen muchos tipos diferentes de pruebas de penetración, los dos más comunes dentro del contexto de OSINT son:
Prueba de penetración externa: evalúa sus sistemas orientados a Internet para determinar si existen vulnerabilidades explotables que exponen datos o acceso no autorizado al mundo exterior. La prueba incluye identificación del sistema, enumeración, descubrimiento y explotación de vulnerabilidades.
Evaluación de la superficie de amenazas: también conocido como análisis de superficie de ataque, se trata de mapear qué partes de un sistema deben revisarse y probarse para detectar vulnerabilidades de seguridad. El objetivo del análisis de la superficie de ataque es comprender las áreas de riesgo en una aplicación, hacer que los desarrolladores y especialistas en seguridad sepan qué partes de la aplicación están abiertas a ataques, encontrar formas de minimizar esto y notar cuándo y cómo la superficie de ataque. cambios y lo que esto significa desde una perspectiva de riesgo.
Prueba de penetración de aplicaciones web: evalúa su aplicación web mediante un proceso de tres fases: reconocimiento, en el que el equipo de seguridad descubre información como el sistema operativo, los servicios y los recursos en uso; descubrimiento, en el que los analistas de seguridad intentan identificar vulnerabilidades, como credenciales débiles, puertos abiertos o software sin parches; y explotación, en la que el equipo aprovecha las vulnerabilidades descubiertas para obtener acceso no autorizado a datos confidenciales.
Si bien hay una gran cantidad de información disponible públicamente que los profesionales de la seguridad cibernética pueden aprovechar, el gran volumen de datos OSINT, que se encuentran dispersos en muchas fuentes diferentes, puede dificultar que los equipos de seguridad extraigan puntos de datos clave. Además, es importante que la información relevante y de alto valor recopilada a través de la actividad OSINT se integre luego con las herramientas y los sistemas de ciberseguridad.
El marco OSINT es una metodología que integra datos, procesos, métodos, herramientas y técnicas para ayudar al equipo de seguridad a identificar información sobre un adversario o sus acciones de forma rápida y precisa.
Un marco OSINT se puede utilizar para:
Establecer la huella digital de una amenaza conocida
Reúna toda la inteligencia de disponibilidad sobre la actividad, los intereses, las técnicas, la motivación y los hábitos de un adversario
Clasifique los datos por fuente, herramienta, método u objetivo
Identificar oportunidades para mejorar la postura de seguridad existente a través de recomendaciones del sistema
OSINT consta de una serie de fases que permiten estructurar el trabajo de manera que se agilice la investigación. A continuación damos una breve descripción de estas fases:
Requisitos: Que problema queremos resolver? Que info necesitamos?
Identificación fuentes de información: Que fuentes nos pueden aportar información valiosa y veraz?
Adquisición: Etapa de obtención de la información
Procesamiento: Dar formato a toda la información “en bruto” obtenida en la anterior fase
Análisis: Generar inteligencia a partir de todos los datos obtenidos, encontrando relaciones entre estos que nos permitan llegar a conclusiones.
Presentación: Darle a la información un formato en el que se pueda comprender de manera eficaz y sencilla.
Consideremos una situación o escenario en el que necesitamos encontrar información relacionada con algunos temas en la web. Para esto, primero necesita buscar y hacer análisis hasta obtener los resultados exactos, esto consume mucho tiempo. Esta es la razón principal por la que necesitamos herramientas de inteligencia porque el proceso mencionado anteriormente se puede realizar en segundos utilizando estas herramientas.
Incluso podemos ejecutar múltiples herramientas para recopilar toda la información relacionada con el objetivo, que se puede correlacionar y utilizar más adelante.
Algunas de las mejores herramientas OSINT:
Shodan
Google es el motor de búsqueda más utilizado por todos, mientras que Shodan es un motor de búsqueda fantástico y de mina de oro para que los piratas informáticos vean activos expuestos.
En comparación con otros motores de búsqueda, Shodan le proporciona los resultados que tienen más sentido y están relacionados con los profesionales de la seguridad. Incluye principalmente información relacionada con activos que se están conectando a la red. Los dispositivos pueden variar desde computadoras portátiles, señales de tráfico, computadoras y varios otros dispositivos de IoT. Esta herramienta de código abierto ayuda principalmente al analista de seguridad a identificar el objetivo y probarlo en busca de diferentes vulnerabilidades, contraseñas, servicios, puertos, etc.
Además, proporciona a los usuarios las búsquedas más flexibles de la comunidad.
Por ejemplo, consideremos la situación en la que un solo usuario puede ver las netcams, webcams, semáforos, etc. conectados. Veremos algunos de los casos de uso de Shodan:
Prueba de “contraseñas predeterminadas”
Activos con visor VNC
Usando el puerto RDP abierto para probar los activos disponibles
Spyse
Spyse es un motor de búsqueda de ciberseguridad para obtener información técnica que suelen utilizar los piratas informáticos en el reconocimiento cibernético.
Spyse proporciona una gran cantidad de datos para explorar el objetivo a través de diferentes puntos de entrada. El usuario puede comenzar con un dominio y expandir el radio de investigación al verificar diferentes tipos de datos relacionados con el objetivo, como vulnerabilidades, IP, ASN, registros DNS, dominios en la misma IP, dominios con el mismo MX / NS y mucho más.
Todo esto es posible gracias a una enorme base de datos con datos almacenados e interconectados a los que los usuarios pueden acceder instantáneamente:
Dominios – 1.2 B
Hosts IP con puertos – 160M
SSL / TLS: 29 millones
Hosts IPv4: 3.6B
Sistemas autónomos – 67k
Vulnerabilidades – 140k
Registros DNS – 2.2B
Además, el motor de búsqueda ofrece a los usuarios oportunidades de búsqueda únicas que simplifican el proceso de obtención de los datos necesarios. Su característica distintiva es la posibilidad de aplicar 5 parámetros de búsqueda diferentes para una búsqueda precisa y detallada.
NexVision
NexVision es una solución OSINT avanzada impulsada por IA que proporciona inteligencia en tiempo real de toda la Web (Clear Web, Dark Web y Social Media). Brinda un acceso sin precedentes a las búsquedas en la web oscura a través de navegadores regulares como Chrome y Safari, sin el uso del navegador anónimo Tor.
Si está buscando realizar verificaciones de antecedentes, diligencia debida, cumplimiento de incorporación de clientes (KYC/AML/CFT), recopilar inteligencia de la organización, inteligencia de terceros, inteligencia de amenazas cibernéticas o incluso investigar direcciones de criptomonedas de una amenaza de ransomware, NexVision proporciona respuestas precisas en tiempo real.
NexVision es utilizado principalmente por el ejército y los gobiernos, pero desde 2020 ha estado disponible comercialmente y las empresas Fortune 500 y las pequeñas y medianas empresas (PYMES) confían en él para sus necesidades de inteligencia e investigación. Su servicio incluye una suscripción directa a su solución SaaS e informes de inteligencia de compras.
Cómo funciona:
En el primer paso, su motor impulsado por IA recopila datos continuamente, los analiza y los clasifica, proporcionando el lago de datos más grande disponible comercialmente. En el segundo paso, el motor utiliza el aprendizaje automático para reducir los falsos positivos y brindar resultados altamente precisos y contextualizados. Esto reduce en gran medida las horas de trabajo y el tiempo requerido en las investigaciones y la fatiga de alerta que enfrentan los analistas cuando se encuentran con grandes cantidades de datos irrelevantes. En el paso final, todos los resultados se reflejan en el tablero donde los usuarios pueden visualizar fácilmente y tomar decisiones informadas.
El tablero permite a los usuarios configurar alertas de palabras clave para monitorear objetivos en tiempo real, realizar investigaciones y analizar resultados mientras se mantiene anónimo.
El software tiene una interfaz simple que está diseñada para analistas de nivel de entrada. Los analistas pueden acceder y utilizar inteligencia integral y de grado militar sin depender de scripts o escribir una sola línea de código.
Su módulo de redes sociales monitorea datos de Meta (anteriormente Facebook), Instagram, LinkedIn, Discord, Twitter, Youtube, Telegram, etc., y viene equipado con tecnología de geolocalización para determinar la fuente y ubicación de la difusión de información.
Google Dorks
Google Dorks han llegado a existir en 2002, y da resultados efectivos con un rendimiento excelente. Esta herramienta de inteligencia de código abierto basada en consultas se desarrolla y crea principalmente para ayudar a los usuarios a orientar el índice o los resultados de búsqueda de manera adecuada y efectiva.
Google Dorks proporciona una forma flexible de buscar información mediante el uso de algunos operadores, y quizás también se llame Google Hacking. Estos operadores facilitan la búsqueda para extraer información. A continuación se muestran algunos de los operadores u opciones de indexación que proporciona Google Docker, y son:
Tipo de archivo: Este operador se utiliza principalmente para encontrar los tipos de archivos o para buscar una cadena en particular.
En el texto: Esta opción de indexación se utiliza para buscar un texto específico en una página específica.
Ext: Se utiliza para buscar una extensión específica en un archivo.
Inurl: Se utiliza para buscar la cadena o palabra específica en la URL.
Intitulo: Para buscar el título o las palabras mencionadas anteriormente en la URL
Maltego
Maltego está diseñado y desarrollado por Paterva, y es una de las herramientas integradas en Kali Linux. Esta herramienta de inteligencia de código abierto se utiliza principalmente para realizar una exploración significativa contra varios objetivos con la ayuda de varias transformaciones integradas (y también proporciona la capacidad de escribir otras personalizadas).
Un lenguaje de programación que utiliza en Maltego está escrito en Java y se muestra como un preempaquetado integrado en Kali Linux. Para utilizar esta herramienta, es necesario registrarse, el registro es gratuito y el usuario debe registrarse en el sitio paterva. Una vez que se realiza el proceso de registro, los usuarios pueden utilizar esta herramienta para crear y desarrollar huellas digitales efectivas del objetivo en particular en Internet.
Los resultados esperados pueden ocurrir con la conversión de IP, se identifica el número AS, también se identifica Netblock, incluso se identifican también las frases y ubicaciones. Estos son todos los íconos en Maltego que brindan una vista detallada e información sobre todos los íconos.
Incluso puede obtener más información sobre el objetivo profundizando más en el proceso. Finalmente, puedo decir que es una excelente herramienta para rastrear las huellas de todas y cada una de las entidades a través de Internet. Maltego está disponible en todos los sistemas operativos populares.
TheHarvester
¿¿The Harvester es una herramienta increíble para encontrar correos electrónicos, subdominios, direcciones IP, etc. a partir de varios datos públicos.
Recon-Ng
Recon-Ng es una herramienta eficaz para realizar reconocimientos en el objetivo.
Todo el poder de esta herramienta radica completamente en el enfoque modular. El poder de las herramientas modulares puede entenderse para aquellos que utilizan Metasploit. Recon-ng tiene varios módulos integrados que se utilizan para apuntar principalmente mientras se extrae información según las necesidades del usuario. Podemos usar los módulos Recon-ng simplemente agregando los dominios en el espacio de trabajo.
Los espacios de trabajo se crean principalmente para realizar las operaciones dentro de él. Los usuarios serán redirigidos al espacio de trabajo tan pronto como se cree. Dentro del espacio de trabajo, el dominio se puede especificar particularmente usando agregar dominio . Los módulos de Recon-ng se utilizan para obtener información sobre el dominio específico después de que (dominios) se agregan al reconocimiento.
Algunos de los excelentes módulos, como google-site-web y bing-domain-web, se utilizan para encontrar más dominios relacionados con el primer dominio de destino inicial. El resultado de estos dominios serán todos los dominios indexados a los motores de búsqueda. Otro módulo atractivo es bing_linkedin_cache, que se utiliza principalmente para obtener los detalles de las direcciones de correo electrónico relacionadas con el dominio. Este módulo también se puede utilizar para aprovechar la realización de ingeniería social.
Además, al usar otros módulos, podemos obtener información adicional o adicional sobre los objetivos. Entonces, finalmente, esta herramienta de inteligencia de código abierto es una herramienta fantástica y también debe incluirse en el conjunto de herramientas de los investigadores.
SpiderFoot
SpiderFoot es una herramienta de reconocimiento de código abierto disponible para Linux y Windows. Se ha desarrollado utilizando lenguaje Python con alta configuración y se ejecuta prácticamente en cualquier plataforma. Se integra con una GUI fácil e interactiva con una poderosa interfaz de línea de comandos.
Nos ha permitido automáticamente utilizar consultas en más de 100 fuentes OSINT para obtener información sobre correos electrónicos, nombres, direcciones IP, nombres de dominio, etc. Recopila una amplia gama de información sobre un objetivo, como bloques de red, correos electrónicos, sitios web. servidores y muchos más. Al usar Spiderfoot, puede apuntar según sus requisitos porque recopilará los datos al comprender cómo se relacionan entre sí.
Los datos recopilados de SpiderFoot proporcionarán una amplia gama de información sobre su objetivo específico. Proporciona información clara sobre posibles amenazas de piratería que conducen a vulnerabilidades, fugas de datos y otra información vital. Por lo tanto, estos conocimientos ayudarán a aprovechar pruebas de penetración y mejorar la inteligencia de amenazas para alertar antes de que sea atacada o robada.
Creepy
Creepy es una herramienta de inteligencia de geolocalización de código abierto. Recopila información sobre la geolocalización mediante el uso de varias plataformas de redes sociales y servicios de alojamiento de imágenes que ya están publicados en otro lugar. Creepy presenta los informes en el mapa, utilizando un filtro de búsqueda basado en la ubicación y fecha exactas. Estos informes están disponibles en formato CSV o KML para exportar y realizar análisis adicionales.
La funcionalidad principal de Creepy se divide en dos pestañas principales, a saber. Pestañas “Objetivos” y “Vista de mapa”.
Creepy está escrito en Python y también viene con un binario empaquetado para distribuciones de Linux como Debian, Backtrack, Ubuntu y Microsoft Windows.
El 99% de los ciberataques requieren de una interacción humana para tener éxito, es por esto que la mayor vulnerabilidad de una organización en términos de ciberseguridad es su propio personal. Por esta razón, para protegerse necesario conocer y entender todas las amenazas a las que las empresas se pueden enfrentar, además de implementar buenas prácticas de ciberseguridad.
A lo largo de los últimos años, los ciberdelincuentes perfeccionan sus técnicas e incrementan el uso de la ingeniería social confiando en la interacción humana, a diferencia del uso de exploits automatizados, con el objetivo de instalar malware, realizar transacciones fraudulentas, robar información y demás ciberdelitos.
En 2021,más del 80% de los ciberataques aprovecharon el factor humano: la facilidad de engañar a los usuarios para que reciban enlaces, hagan clic, descarguen, instalen, abran archivos y envíen datos o dinero, es el nuevo enfoque de ciberataques, pues la importancia de sus roles dentro de una organización, los datos a los que tienen acceso, y su probabilidad de hacer clic los vuelven un blanco fácil para cualquier intento y ejecución de ataque.
Además, se ha establecido que 1 de cada 5 brechas de seguridad tienen como origen un error, directo o indirecto, de un empleado, siendo en la mayoría de los casos de manera inconsciente y el costo de estos errores va en creciente aumento. Según IBM, el costo promedio de las violaciones de datos por error humano es de $3.33 millones . Ese es un gran gasto que la mayoría de las PYME no pueden permitirse.
El correo electrónico sigue siendo el principal punto de entrada de los ciberdelincuentes a través del envío de todo tipo de señuelos de phishing, payload y demás contenidos maliciosos y tácticas de ingeniería social. Sin embargo, pese a la magnitud de estas amenazas, muchos usuarios siguen sin estar preparados para identificarlas y prevenir cualquier ataque.
Durante el 2021 se pagó un total acumulado de casi US$50millones en todo el mundo en concepto de rescate ante ransomwares. Los grupos de ransomware que mayores ingresos registraron hasta la fecha son Conti, con más de U$S 14 millones, y REvil/Sodinokibi, con más de U$S 11 millones. El aumento de ataques se produce a partir de que el pago promedio, a comparación del 2020, aumentara un 171%, superando los US$312.000 por rescate.
Para los usuarios, el correo electrónico fue el punto de entrada de estos ataques. Generalmente el se entrega por correo electrónico que inicia una descarga con los archivos maliciosos cuando se activa mediante RDP o una VPN comprometida.
El robo de credenciales por medio de campañas de Phishing, también ha tenido un gran impacto en relación a vulnerar a las organizaciones por medio de sus empleados. Más de la mitad de todas las amenazas por correo electrónico fueron de este tipo, superando a todos los demás vectores de ataque combinados.
Un compromiso de credenciales exitoso puede permitir al ciberdelincuente cometer desde fraudes online hasta robos de identidad.
El robo de credenciales también contribuye directamente a uno de los incidentes más costosos a los que se enfrentan los equipos de ciberseguridad: el fraude del CEO o BEC. Se calcula que el año pasado los ataques BEC costaron a las empresas casi USD$2000 millones, causando casi la mitad de las pérdidas por ciberdelincuencia.
En cuanto a las novedades del panorama actual de las amenazas, se usan numerosos señuelos relacionados con la pandemia y con el conflicto en Europa del Este.
Fuente: Proofpoint Inc.
Los usuarios ‘target’ de los ciberdelincuentes no son generalmente los ejecutivos y directivos de las organizaciones sino aquellos con información más expuesta en internet y redes sociales.
La obtención de credenciales mediante técnicas de ingeniería social es la principal fuente de captura de información para posteriores ciberataques.
Los ataques en organizaciones están evolucionando hacia ciberataques desde varias identidades suplantadas a varios individuos de la misma organización por sus mejores ratios de efectividad.
Los sectores preferidos por los ciberdelincuentes son las entidades financieras, industrias, tecnología, salud y distribución (en este orden descendente).
Para poder definir los riesgos a los que se enfrenta una organización, hay que saber con precisión a qué tipo de información podrían acceder los ciberdelincuentes en caso de comprometer la seguridad de algún usuario. Generalmente se utiliza la estafa BEC (business email compromise), donde un empleado de cierto nivel, con acceso a datos sensibles y credenciales para acceder a las cuentas de la empresa, recibe un mensaje o un correo del CEO. En él, de “forma personal” y confidencial, le pide una transferencia urgente o una serie de datos importantes que puedan contener información sensible de la empresa como contraseñas, claves, entre otros.
El impacto de estos ataques dependerá en gran medida del nivel de privilegios del usuario o los usuarios atacados. Comprometer la seguridad de un usuario con mayores privilegios dará al atacante acceso a información más valiosa exponiendo a la empresa a graves consecuencias desde financieras hasta reputacionales.
Para supervisar, gestionar y proteger a los usuarios con privilegios, primero se debe identificar quiénes son los empleados más susceptibles (y si es el caso amenazados) y el nivel de acceso que tengan a datos y redes, para así establecer las regulaciones y recomendaciones adecuadas.
El error humano como tal no es tan fácil de resolver. Siempre hay una razón por la cual los usuarios en las organizaciones cometen algún error, por ello, la importancia de la Ciberseguridad Centrada en el Usuario para así comprender por qué se cometieron los errores y encontrar formas de evitar situaciones similares en el futuro.
La ciberseguridad debería hacer parte de la cultura empresarial. Por ello, es importante generar estrategias de ciberseguridad con el liderazgo de figuras relacionadas con la seguridad tales como el CISO. Puede tener en cuenta los siguientes factores para trabajar en su estrategia de ciberseguridad:
En la ciberseguridad, la autenticación es aquella acción mediante la cual se demuestra en un sistema físico o digital que somos quien realmente decimos ser. Existen diferentes mecanismos para autenticarnos, como las contraseñas, con biometría o con otros dispositivos o aplicaciones, que se han convertido en pilares primordiales para la ciberseguridad de cualquier negocio. De esta manera, la autenticación permite el acceso a nuestros sistemas de manera segura, sin embargo no está exenta de riesgos que pueden comprometer la información y los procesos a los que dan acceso.
Así, siempre que sea posible para tus cuentas personales y/o las de su empresa, elija mecanismos de autenticación de doble factor. En la autenticación de doble factor, el primer factor suele ser la contraseña y el segundo un código aleatorio generado por el usuario.
El primero factor son las contraseñas: para lograr una contraseña segura, procure mezclar mayúsculas con minúsculas, números y diferentes caracteres.
El segundo factor es una clave generada para cada inicio de sesión: esta funciona por medio de una operación criptográfica cuando ingresa o se conecta utilizando un protocolo estándar para generar una clave de un solo uso OTP (One-Time Password). La mejor manera para obtener este segundo factor es por medio de software que genere contraseñas de un solo uso OTP como los que utilizan una app en el móvil o una aplicación en el ordenador de sobremesa. Algunos de estos son:
Si los servicios que utiliza no le permiten activar el doble factor de autenticación, puede utilizar un gestor de contraseñas que soporte el doble factor.
Créditos: Este vídeo forma parte de la campaña “¡Contraseñas seguras!” (https://www.osi.es/es/campanas/contra…). Oficina de Seguridad del Internauta – OSI
El objetivo de los ciberdelincuentes al obtener las contraseñas personales u organizacionales, es acceder a los servicios, robar datos, extorsionar, etc. La doble autenticación mitiga en gran medida estos y otros ataques, pues el ciberdelincuente tendría como obstáculo el segundo factor.
C2USER recomienda utilizar SIEMPRE doble factor en servicios críticos, como la administración de sistemas, sus cuentas del banco o la gestión de su comercio virtual. De igual manera es importante activar la doble autenticación para acceder a los aplicativos de su empresa.
Pentesting o “test de penetración” consiste en atacar un sistema informático para identificar sus fallos, vulnerabilidades y demás errores de seguridad existentes, para así poder prevenir posibles ataques externos.
Un pentesting es un conjunto de ataques simulados dirigidos a un sistema informático con el objetivo dedetectar posibles fallos o vulnerabilidades para que sean corregidas y no puedan ser explotadas. Estos ataques simulados permiten saber si el sistema informático es vulnerable o no, evaluar si las defensas con las que cuenta son suficientes y eficaces, y valorar la repercusión de los fallos de seguridad que se detecten.
Tipos de Pentesting:
Pentesting de caja blanca: se reconoce todo a cerca del sistema, la aplicación o la arquitectura. Es el Pentest más completo. Este método parte de un análisis integral, que evalúa toda la infraestructura de red. Al disponer de un volumen tan alto de información, suele realizarse por miembros del propio equipo de TI de la empresa.
Pentesting de caja negra: no se dispone de ningún tipo de información sobre el objetivo. Es casi como una prueba a ciegas y el más cercano a seguir las características de un ataque externo. Su actuación es la más similar a la de los cibercriminales.
Pentesting de caja gris: se posee ya cierta información, pero no la suficiente, por lo que se invertirá tiempo y recursos para identificar las vulnerabilidades y amenazas en base a la cantidad de información que se tenga. Es elpentest más recomendado.
¿Cómo funciona?:
Las auditorías de pentesting inician con una recolección de información sobre la empresa, los empleados, usuarios, sistemas y equipamientos. Después de esto, se realiza un análisis de vulnerabilidades que se intentarán explotar, atacando a los sistemas hasta conseguir sus objetivos. Finalmente, se realiza un informe que indica si los ataques tendrían éxito, y en caso afirmativo porqué y qué información o acceso obtendrían.
Herramientas de Pentesting:
WIRESHARK: Analiza protocolos y tráfico de red, reconociendo y analizando en tiempo real los movimientos de la red .
NESSUS: Es un software de análisis de vulnerabilidades. Este tiene módulos para hacer el análisis a cualquier sistema.
NMAP (Network Mapper): Es un scanner de puertos que es capaz de detectar protocolos de servicios y las versiones de los sistemas que se encuentran detrás de cada puerto o acceder al ID de cualquier dispositivo.
SQLMAP: Detecta y explota fallos y brechas de seguridad en servidores de bases de datos basados en SQL.
METASPLOIT: Realiza la explotación y post explotación a cualquier sistema, sometiéndolo a mas de 900 exploits.
En esta prueba, quién realice el pentesting va a intentar traspasar las medidas de seguridad de los equipos informáticos, es por esto que realizar accesos a estos equipos y a su información, incurriría en conducta delictiva, de esta manera C2USER recomienda realizar esos test con su debida autorización, autorizando la vulneración de las medias de seguridad de la organización en ciertos equipos perfectamente identificados, seleccionados para la ocasión.
