El año que pasó fue interesante para la región, quedando demostrado que las ciber amenazas globales no son el único problema a enfrentar, teniendo un salto importante en los ataques dirigidos, con clara motivación en el lucro.

En el año 2017, se constató que la velocidad con que las ciber amenazas globales hacen su “estreno” en la región, es casi simultáneo con el resto del mundo. No sólo la velocidad ha aumentado, sino que las variantes de amenaza existentes a nivel global, tienen presencia cada vez mayor. Por otro lado, el año 2018, será un año en que varias corporaciones y gobiernos, van a estar profundamente sumergidos en proyectos de transformación global, movimiento a la nube e implementación de prácticas de DevOps. Cada vez más nuestro quehacer va a estar relacionado con sistemas conectados. Esto, más allá de los obvios beneficios, trae dos consecuencias. Uno no lo deseamos y es que el aumento a más sistemas, muchos de ellos virtualizados o en ambientes donde tenemos un bajo control, como alguno de los muchos sabores de nube disponible, son un espacio fecundo para el ciber crimen y el ciber activismo. La otra consecuencia, es que las organizaciones, tienen la oportunidad en 2018, de incluir en sus transformaciones digitales, en sus movimientos a la nube, la necesaria actualización de controles de seguridad que estos ambientes requieren.

El reporte 2018 de Tendencias de Seguridad de NeoSecure, ha extendido este año su alcance, integrando elementos observados por los equipos del Grupo de Ciber Inteligencia, el Grupo de Respuesta a Incidentes, la Sub-Gerencia de Investigación y el CDC de NeoSecure en las diversas filiales en que NeoSecure opera. Buscamos acercar nuestro ejercicio de inteligencia a la realidad de la región, condición esencial para la buena toma de decisiones.

PRINCIPALES HECHOS 2 0 1 7

Enero

febrero

marzo

abril

mayo

junio

Global: Exploits de la NSA puestos a la venta Shadow Brokers pone a la venta una serie de herramientas que le robó a la NSAChile: Ransomware detiene operación en empresa de logística Un Ransomware infecta las redes de una empresa de logística y detiene su operaciónPerú: Fraude en cajeros ATM Extorsionando a los administradores de los ATM, implantan el malware Ploutus-D

Colombia: Xe3u roba información financiera Clientes de varios bancos son objeto de fraude a través de la captura de credencialesGlobal: 40 países atacados sin el uso de malware Bancos, Telcos, y agencias de gobierno fueron atacadas con técnicas similares a las usadas por

Stuxnet. Ecuador y Brasil en la lista de países

Global: Deloitte es víctima de ciber ataque Se filtra información sensible de los clientes de DeloitteColombia: Fraude a clientes de uno de los principales bancos El troyano Remcos captura las credenciales de los clientes de uno de los principales bancos de

ColombiaArgentina: Mazain infecta android El troyano roba la información financiera a sus víctimas

Global: Publican exploits de la NSA Shadow Brokers publica exploits de la NSA, incluyendo EternalblueGlobal: Dridex ataca con fuerza Nueva campaña infecta múltiples sistemas Windows, explotando vulnerabilidad de word

Global: Ataque Wannacry Nuevo malware se propaga globalmente y afecta varias empresas en LatamLatam: Telco top 3 víctima de Wannacry Dan orden a sus colaboradores de mantener sus equipos apagadosLatam: Marcher infecta los móviles Sus víctimas son usuarios de varios bancos latinoamericanos

Chile: Armada Collective extorsiona a empresas financieras En caso de no pagar 10 bitcoins, amenazan con atacar con DDoS PotenteGlobal: Afternight, framework de malware de la CIA Wikileaks libera documentación sobre la plataforma de malware

1

Global: Equifax anuncia fuga de datos Se considera la mayor fuga de la historia, debido a la cantidad y sensibilidad de los datos robadosGlobal: 711MM de correos comprometidos El Spambot “Onliner” utilizó una BD de 711MM de correos para enviar spam y troyanos bancarios

Global: Ropemaker cambia el contenido del correo Se trata de un exploit que cambia el correo incluso después de enviarlo a la víctimaGlobal: Maersk estima en USD300MM el impacto de Notpetya La empresa de transporte de contenedores más grande del mundo fue impactada gravemente por

Notpetya

Latam: 28MM cuentas de Taringa robadas La información robada contiene hashes MD5 de las contraseñas, fácilmente hackeableChile: Ransomware ataca red de hospitales Un Ransomware infecta las redes de un holding de clínicas y detiene su operación

Latam: Symantec desenmascara a Sowbug Ataques altamente sofisticados y focalizados en espionaje de gobiernos. Argentina, Ecuador, Perú

y Brasil entre los países atacados.Global: Badrabbit Un nuevo Ransomware con características de gusano impacta a 200 organizaciones

Perú: Ransomware afecta a uno de los mayores grupos económicos Un Ransomware bloquea la operación en uno de los mayores grupos económicos en el PerúArgentina: Mirai infecta 200.000 dispositivos ZiXEL Con variante de Mirai se infectan miles de equipos ZiXEL instalados por Telefónica Argentina en

sus clientesChile: Servidores usados para minar criptomonedas en un Banco Servidores expuestos fueron usados para minar criptomonedas, afectando la operación.Perú: Defacement afecta a empresa industrialChile: Empresa de alimentos es atacada con Ransomware Un Ransomware infecta las redes de una empresa de alimentos y detiene su operación

PRINCIPALES HECHOS 2 0 1 7

julio

agosto

septiembre

octubre

noviembre

diciembre Global: Tío Networks, empresa adquirida por Paypal, es suspendida de operación por presentar una brecha y exponer los datos de sus clientes.

Global: Malware Triton ataca los sistemas de control industriales en el medio oriente

2

TENDENCIAS DELA AMENAZAA partir de la información recolectada a nivel regional desde las plataformas de seguridad gestionadas en clientes, los eventos correlacionados en el SIEM y el análisis e investigación de los eventos correlacionados en el CDC, presentamos un análisis regional de la actividad relevante observada durante el 2017.

Distribución de las amenazasLa actividad de riesgo registrada se puede separar en dos mundos en cuanto a su origen:

Origen Externo: Que considera todo lo referente a reconocimientos, hacking, malware, etc.

Origen Interno: Que considera todo lo referente a anomalías, malas configuraciones, cumplimiento, etc.

En comparación con el período anterior se resgistró una baja en la actividad interna de alrededor de 9 puntos.

La mayor cantidad de “ataques de origen externo” recibidos, con alrededor del 82% de la actividad detectada, se concentra en la etapa de Reconocimiento Básico, caracterizada por descubrimiento de puertos y servicios, usualmente con herramientas robotizadas.

La actividad de mayor riesgo y probabilidad de impacto, que está representada en la gráfica excluyendo reconocimiento básico, la más relevante fue la explotación de vulnerabilidades aplicativas, seguida por los vectores de malware, explotación a infraestructura y reconocimiento avanzado. Esto se relaciona fuertemente con las vulnerabilidades de Microsoft y aplicativos web, que permitieron a su vez nuevas variantes de Ransomware y un explosivo aumento de la Criptominería.

Origen de la Amenaza

Amenazas por Etapa

Indicadores de RedActividad sospechosa de Salida

MalwareComportamiento anómalo de Host

Fuerza brutaExplotación a la aplicación

Explotación a la InfraestructuraLlamado ataques redes sociales

Reconocimiento avanzado

9,63%0,31% 14,33% 1,66% 9,98% 39,88% 13,21%0,08% 10,93%

0,00% 10,00% 20,00% 30,00% 40,00% 50,00%

3

Perímetro: Robots, Portscan y Portsweep

En términos estadísticos el puerto 445/tcp (SMB/NetBios) fue el más buscado mediante técnicas de reconocimiento, seguido por los tradicionales servicios web, como se puede apreciar en el gráfico de “Top Servicios volumétricamente más buscados”. Esto se relaciona con el lucrativo negocio del Ransomware y la Criptominería.

Del análisis de la información, se puede decir también, que el 445/tcp es el servicio más buscado desde diferentes orígenes, fenómeno que se reproduce también para el segundo rankeado, 22/tcp asociado a SSH.

Esto demuestra que los servicios están siendo constantemente probados y que su exposición en perímetro debe pasar por rigurosos controles para evitar ser víctima de un ataque exitoso. Además, es un indicativo de nuevos vectores de riesgo. También se aprecia la recurrencia sobre puertos 5900 (VNC), 123 (NTP) y 23 (Telnet), destacando así la importancia del uso de ACL´s en puertos usados para fines administrativos.

TENDENCIAS DELA AMENAZATop Mecanismos de AtaqueExplotación a la Aplicación: Los vectores más populares de ataque siguen siendo SQL Injection de la mano con XSS, lo que implica que los ciber atacantes mantienen sus exitosos resultados y reafirma la necesidad de la presencia de un WAF bien sintonizado o bien, los nuevos mecanismos usados con tecnología RASP para mitigar o evitar impacto de este tipo de actividad.

Reconocimiento Avanzado y Explotación a la Infraestructura: Se registra una gran cantidad de ataques relacionados con vulnerabilidades dadas a conocer para Apache, Weblogic, Wordpress, Microsoft. Además, se observa la robotización en la explotación, principalmente para generar granjas de Criptominería.

Malware: Se observa que se mantienen las campañas de Ransomware utilizando como medio de propagación/infección el correo electrónico y el uso de mecanismos propios de Gusanos. Se observa un incremento sustantivo en diversos tipos de aplicaciones de Criptominería. Prácticamente todas estas amenazas presentan interacción con servidores de Comando y Control (C&C), lo que hace efectivas las soluciones de seguridad que apuntan al bloqueo de este tipo de comunicaciones.

Top servicios volumétricamente más “buscados”

44522

1232380

5900443

33898545Otros

11,23% 4,05% 2,54% 2,46% 2,35% 2,18% 2,07% 1,87% 1,50% 69,75%

0,00% 20,00% 40,00% 60,00% 80,00% 100,00%

4

TENDENCIAS DELA AMENAZAEn términos simples durante el período se observan más de 2500 “ataques” diarios desde distintas direcciones IP relacionados con reconocimiento.

En el gráfico “Actividad Volumétrica por Origen” se aprecia que Rusia es el principal generador de barridos en este período, seguido por USA, China, Holanda, Alemania y Francia, quienes en conjunto acumulan más del 70% del volumen de la actividad.

No obstante, Rusia y USA lideran la actividad en cuanto a cantidad de direcciones IP distintas utilizadas para generar barridos y descubrimientos.

Actividad volumétricamente por País de orígen

OtrosFrance

SeychellesNetherlands

GermanyChina

United StatesRussian Federation

22% 3% 4% 4% 5% 6% 28% 29%

0% 5% 10% 15% 20% 25% 30% 35%

Por su parte, el equipo de Respuesta a Incidentes de NeoSecure, observó un panorama similar al anterior. En el segundo semestre del 2017 hubo un aumento significativo de incidentes relacionados con ciber minería, tanto a nivel de usuario final como a nivel de servidores y servicios expuestos a Internet. Los mecanismos de ataque fueron fundamentalmente dos:

• Para el caso de los servidores, por medio de la explotación de vulnerabilidades;

• Para el caso de las estaciones de trabajo, por medio de ingeniería social y también al visitar sitios infectados que explotan una vulnerabilidad del navegador.

Los ataques de tipo Ransomware continuaron siendo relevantes durante el primer semestre; durante el segundo semestre se observó una disminución, siendo reemplazados por la ciber minería, ya que este tipo de ataques va directo a la billetera del atacante, sin ser necesario que el afectado deba realizar una pago o transferencia. Dada esta última característica de la ciber minería, se estima un aumento de la amenaza para el año 2018.

A continuación, se presenta un resumen con los principales hallazgos realizados en análisis forenses:

• Ransomware• Industrias afectadas: Todas, amplio sector afectado• Impacto: Alto, disponibilidad de información.• Responsabilidades de TI / debilidades encontradas: Falta de

respaldos, exceso de permisos en carpetas compartidas facilita el cifrado de estos recursos.

• Capacidad de detección: Reactivo, es detectado por el usuario.

• Ciber minería• Industrias afectadas: Todas, amplio sector afectado• Impacto: Medio, consumo de recursos.• Responsabilidades de TI / debilidades encontradas: No se

reaccionó a las alertas tempranas generadas por el antivirus. Los encargados de seguridad no saben cómo detectar, reaccionar e identificar este tipo de amenaza. No se aplican parches de seguridad en forma oportuna.

• Capacidad de detección: Bajo, el usuario sólo percibe lentitud en su equipo, pero no lo asocia a un malware; la tecnología actual (antivirus) posee baja detección ante este tipo de amenaza.

5

TENDENCIAS DELA AMENAZA

Respecto a la Correlación, NeoSecure reinventa las reglas de las herramientas de forma constante, año a año. Nuevas reglas de correlación nacen a partir de los procesos de inteligencia de la amenaza y de la respuesta a incidentes. De esta manera, se mejora la capacidad de detección de actividad maliciosa que un control de seguridad por sí mismo no sería capaz de ofrecer. La continua evolución de las amenazas hace perentorio, para un buen desempeño del CDC, el cuestionar, revisar y renovar todos los procesos y estrategias de detección, siendo la correlación uno de sus pilares. Para actualizar la correlación acorde a la evolución de la amenaza, anualmente se realiza una revisión completa de los estudios de tendencias y de los principales referentes de las amenazas (entre ellos OWASP, IBM X-Force, HP, Mitre), con los cuales se actualiza la matriz de riesgo de controles (basada en el proceso de Cyber Kill Chain diseñado por Lockheed Martin), esto sumado al proceso de sintonización continuo, revisión de nuestras líneas base de las distintas tecnologías de protección gestionadas por NeoSecure, incorporación de nuevas tecnologías a los procesos de monitoreo, y las nuevas reglas de correlación generadas a partir de los procesos de inteligencia de la amenaza y de la respuesta a incidentes, han llevado a mantener sobre 950 reglas específicas creadas por NeoSecure (adicionales a las nativas de las plataformas de correlación). Los siguientes son algunos ejemplos concretos de mejoras llevadas a cabo durante el 2017:

• Incorporación de 7 tecnologías a la matriz de correlación de NeoSecure (Trend Micro Deep Security, CrowdStrike, F5 SilverLine, HPE Aruba, Barracuda AntiSpam, Plataformas Swift, Symantec BlueCoat Proxy ASG, Microsoft A.T.A.), con la incorporación de 34 nuevos controles y la actualización de otros 40.

• Amenazas de WannaCry y NotPetya. La aparición de ambas amenazas durante

el año 2017, llevó a la construcción específica de controles, reportes y vistas específicas de anomalías, destinadas a detectar la presencia de comunicación a los servidores de C&C, la presencia de hashes en plataformas de análisis de archivos (para el proceso de infección), y la detección de los patrones de las distintas plataformas de detección del endpoint.

• Amenazas de la explotación de criptomonedas: El auge de las criptodivisas y las

altas necesidades de cómputo requeridas para el proceso de criptominería hizo aparecer una nueva amenaza por la presencia de infecciones destinadas a la generación de bots para criptominería, las que comenzaron a impactar y detectarse en diciembre de 2017, siendo necesario construir reglas y sistemas de búsqueda específicos para su detección, identificando comportamientos, comunicaciones, y también la presencia de cualquier patrón desde cada una de las tecnologías del perímetro que pudiesen identificar la presencia de la infección.

6

El Grupo de Ciber inteligencia, ha realizado un aporte fundamental para mejorar los controles de seguridad que proporciona el Centro de Ciber defensa de NeoSecure, ya que ayuda de forma predictiva y proactiva respecto a las amenazas. Su fin es entender el modo de operación de las nuevas ciber amenazas, y en consecuencia actúa bajo distintos escenarios, tales como:

• Investigación sobre tendencias y ciber amenazas en mercados negros y DarkNet.

• Caza (Hunting) de amenazas en las redes de nuestros clientes.

Datos de interés que han resultado del análisis:

1. Las amenazas de tipo Malspam ya son commodities en la región y se observa que cada día son más sofisticadas, logrando evadir los controles tradicionales de seguridad. Múltiples técnicas de ofuscación de código y uso de Dropper (Software para instalar Malware) se ha convertido en un mecanismo fundamental de los ciber criminales.

2. En investigaciones realizadas, se ha observado que la mayoría de los ataques ejecutados por ciber criminales, se basan en la explotación de vulnerabilidades de Microsoft, en donde en algunos casos intentan explotar fallos de seguridad, los cuales fueron reportados el año 2014. Con esto se concluye que los Ciber Criminales entienden muy bien las malas prácticas de las víctimas y no escatiman tiempo en descubrir vulnerabilidades de día Cero.

Otra observación interesante, es que se ha incrementado el uso de herramientas que habitualmente utilizan los administradores de TI, para comprometer un endpoint o una red. Un alto porcentaje de análisis de malware que ha realizado el grupo de Ciber Inteligencia, deja en evidencia que Powershell se ha vuelto en el Top 1, siguiendo con psexec y wmi.

A continuación se presenta un resumen de las tendencias que se observan por los diferentes equipos de NeoSecure:

La migración a la norma PCI 3.0 hará más compleja la captura de Tarjetas de Crédito. Esto obligará a los ciber criminales a buscar otros métodos para lucrar, y se prevé que bloquearán los procesos de venta mediante Ransomware en los PoS, además de bloquear los procesos internos de las compañías con Ransomware en los ERP, CRM y otros tipos de servicios. En este tipo de Ransomware será más compleja la recuperación y se estima que podrían resultar en varios días de indisponibilidad si no se toman las medidas correspondientes.

Datos:• IBM: 70% de las empresas pagan el rescate.

7

TENDENCIA #1: RANSOMWARE BLOQUEARÁ LOS POS, ERP Y EQUIPOS MÓVILES

113%

90%

El auge de las criptomonedas acarreará una serie de nuevos vectores de ataques, por un lado para aprovechar recursos de cómputo para la minería de criptomonedas y por otro conseguir financiamiento para el ciber crimen a través del robo de billeteras virtuales. En este sentido, las víctimas que ya se han visto afectadas en el 2017 pasan por: equipos personales, casas de cambio de criptomonedas, nubes privadas y públicas, individuos y los datacenters tradicionales. Durante el 2018, veremos que el ámbito se ampliará a dispositivos móviles.

Datos:• Imperva: 90% de los ataques aplicativos que usan ejecución remota de

código, son usados para criptominería.

8

TENDENCIA #2: AUMENTARÁN LOS ATAQUES DE BOTNETS IOT’SA más de 1 año de la liberación del código de la botnet Mirai, ya existen más de 5 variantes activas de este código, cada una con 2 ó 3 nuevas funcionalidades: Cryptomining, escaneo de vulnerabilidades y generación de ataques DDoS.

Esto les da a los atacantes una enorme ventaja, que es la velocidad para realizar por ejemplo un scan de vulnerabilidades masivamente paralelo sobre toda la Internet, como también la automatización para implantar malware en equipos vulnerables.

Datos:• Akamai: incremento del 113% en ataques aplicativos usando botnets

TENDENCIA #3: NUEVOS TIPOS DE ATAQUES DETRÁS DE LAS CRIPTOMONEDAS

El aumento del movimiento a la nube (aplicaciones y datacenters) y el bajo conocimiento en seguridad de quienes las operan, dejará vulnerables varios sistemas que utilizan algún tipo storage en la nube, tales como Amazon S3, Google cloud y MS Azure. La gran mayoría de las brechas en el cloud que se registraron el 2017 se debieron a problemas de configuración de privilegios y de aplicaciones que no están listas para usarse en la empresa. Esto continuará mientras no exista conciencia de los riesgos.

Datos:• Netskope: 93% de las aplicaciones de Cloud no están listas para usarse

en la empresa

TENDENCIA #4 AUMENTARÁ EL SABOTAJE Y CIBER ACTIVISMOLa región, en términos político-económicos, se encuentra en un momento en que hay una combinación de gobiernos e instituciones desacreditados, gobiernos que ingresan a aplicar ajustes y restricciones. Este escenario da espacio a la generación de actividad ciber activista, que se puede ver reflejada en defacement de sitios web, pero principalmente en denegaciones de servicio, específicamente a servicios públicos. En el caso de aquellos países con problemas de crecimiento económico lento, donde la industria realice los ajustes, es probable que se repita el hecho ya observado, en que los paros, vienen acompañados de acciones como intentos de interrupción de servicios, principalmente a través de denegaciones de servicio.

Datos:• Wired: Github resiste ataque de 1.3Tbps

TENDENCIA #5 FUGA MASIVA DE DATOS DESDE LA NUBE

9

+50%CIFRADO 75%

2019

Este año, el tráfico SSL pasará a ser más del 65% del total, sumado a que los ataques FileLess serán automáticos para buscar a su próxima víctima: la visibilidad y detección se verá reducida de manera importante. También se prevé que el malware tendrá inteligencia para detectar la presencia de dispositivos que inspeccionan el tráfico SSL/TLS, pudiendo adaptar su manera de comunicarse con la infraestructura del ciber criminal, por ejemplo usando tráfico de comando y control por protocolo DNS.

Datos:• Symantec: más del 50% del tráfico hoy en día está cifrado• NSS Labs: el 75% del tráfico será cifrado para el 2019

TENDENCIA #6AUMENTO DEL PHISHING

La migración del correo a las nubes de MS Office y Gmail, y descubrimiento de vulnerabilidades en los clientes de correo ahora último, catalogado como Mailsploit, generarán más y mejor phishing que evade los controles de seguridad. La criptominería y los ataques de Ransomware serán sus principales objetivos.

Datos:• Kaspersky: 59% de aumento del Phishing, 9% de los usuarios son

atacados.

TENDENCIA #7DISMINUCIÓN DRÁSTICA DE LA VISIBILIDAD

10

El endpoint es una fuente de riqueza inacabable para el ciber crimen. Tradicional-mente utilizado para el robo de credenciales o para el fraude bancario, y luego, adoptado, a través de las botnets, como herramienta para las denegaciones de servicio, difusión de spam y diseminación de malware. Recientemente, el surgimiento del Ransomware, también tuvo al endpoint como uno de los puntos más afectados. El criptominado ilegal, tiene aquí un recurso vasto para generar ingreso. Los grupos ciber criminales van a entrar en una guerra para dominar su end-point share, y así aumentar sus puntos de ingreso. En este aspecto, el endpoint, es hoy también, el equipo móvil de las personas, útil para todos los fines antes mencionados. Evidentemente, quien siempre va a perder en esta guerra es el dueño del end-point.

Datos:• Wandera: incremento del 287% en Cryptojacking en dispositivos móviles

TENDENCIA #8INCREMENTO DE ACTIVIDAD HOSTIL EN REDES INDUSTRIALESEn conjunto con un aumento de la actividad hostil relacionada con scan de vulnerabilidades e intentos penetración, comenzarán los primeros incidentes de sabotaje a la operación y alteraciones en la calidad y seguridad del producto entregado. Las amenazas tradicionales han demostrado tener consecuencias importantes en redes industriales, por ejemplo, varios apagones en la red eléctrica de Ucrania fueron dirigidos desde Rusia usando una variante del malware Blackenergy. Esto demuestra que las redes industriales más seguras pueden ser vulneradas.

Datos:

• Radiflow: Se detecta el primer ataque a redes industriales usando criptominado.

TENDENCIA #9LA GUERRA POR EL ENDPOINT

11

FOCOS DESEGURIDADLos focos de seguridad, son las recomendaciones que NeoSecure plantea a sus clientes en relación con las tendencias de seguridad planteadas anteriormente.

12

FOCO #1 MOVERSE A SEGURIDAD PREDICTIVA

Las amenazas cambian rápidamente y los atacantes adaptan sus estrategias a los nuevos controles de seguridad. Un acercamiento que funciona frente a este escenario, es anticipar el próximo paso que tomará una amenaza. Esto es posible, al utilizar la información de inteligencia para descubrir aquellas amenazas que son más probables de impactar la organización. De esta manera, se utiliza esta información para aplicarla junto con una estrategia de prevención en los controles de seguridad y procesos relacionados. La repetición de esta tarea, genera un ciclo que finalmente predice el próximo movimiento y prepara a la organización frente a las amenazas que generan mayor impacto.

Recomendaciones:

• Contratar un servicio de Inteligencia de la Amenaza• Establecer un método y procesos que se encarguen de anticipar el

próximo paso de las amenazas

FOCO #2 LOS CONTROLES DE NUEVA GENERACIÓN ESTÁN AHÍ, PERO LAS ORGANIZACIONES NO

Los controles de seguridad de nueva generación, basados en técnicas de Machine Learning, u otras estrategias (como los FW de nueva generación, con capacidad de identificar usuarios y aplicaciones) están resultando efectivos. NeoSecure ha comprobado su eficacia frente a las amenazas avanzadas. Sin embargo, las organizaciones que han sido impactadas por estos tipos de amenazas, siguen insistiendo en los controles de seguridad tradicionales, optando más bien por una estrategia reactiva, asumiendo el riesgo del impacto. Muchas de ellas, por ejemplo, cuentan con firewalls de nueva generación, pero no activan todas sus capacidades, esto debido a que no consideraron en el dimensionamiento su operación o porque algunos proveedores, aún no cuentan con la madurez en sus productos para que estas capacidades operen sin afectar seriamente la capacidad del equipo

Recomendaciones:

• Migrar los controles de seguridad obsoletos a los de nueva generación

13

FOCO #3LA TRANSFORMACIÓN DIGITAL DEBE CONSIDERAR LA SEGURIDAD DESDE SU INICIO

Las organizaciones están migrando muchos de sus procesos a un entorno digital. Al realizar este proceso, también crean nuevas formas de interactuar con sus clientes. Sin embargo, los controles de seguridad tradicionales se siguen aplicando, dejando múltiples brechas de seguridad. Es el momento preciso para renovar estos controles por los de nueva generación, tales como RASP, UBA, protección de API, tokenización y cifrado de los datos, en conjunto con una estrategia de Data Lake para todas las plataformas de seguri-dad. Los controles de nueva generación consideran los aspectos técnicos relacionados con la transforma-ción digital, como el uso de nubes públicas y privadas, y la ausencia de un perímetro único de seguridad. Recomendaciones:

• Aprovechar las iniciativas de transformación digital para renovar e integrar controles de nueva generación• Concentrar todos los eventos de seguridad en un Data Lake

FOCO #4SON LAS VULNERABILIDADES…SÍ!!! LAS VULNERABILIDADES!!!

El gran ataque de Wannacry en mayo de 2017, y más adelante la fuga de datos de Equifax, dejó en evidencia que muchas organizaciones no dan importancia a la publicación de vulnerabilidades de Microsoft, ni tampoco a la mitigación ofrecida con los parches que usualmente se liberan meses antes de los ataques. Se repite la historia una y otra vez, donde las empresas siguen confiando exclusivamente en los controles de seguridad y las vulnerabilidades críticas no se mitigan.

Recomendaciones:

• Considerar controles de seguridad de parchado virtual para mitigar la explotación de vulnerabilidades• Revisar si el ciclo de gestión y parchado está en funcionamiento

14

FOCO #5VISIBILIDAD DEL TRÁFICO CIFRADO

Para 2019, se estima que el 75% del tráfico web estará cifrado. La gran mayoría del tráfico malicioso se sumará a este tráfico, lo cual significa una pérdida mayor en la visibilidad y en la protección. Es muy importante avanzar en una estrategia que permita obtener visibilidad del tráfico malicioso dentro del tráfico web SSL/TLS.

Recomendaciones:

• Implementar la visibilidad del tráfico web SSL/TLS para los usuarios• Establecer una estrategia para abrir y escanear el tráfico web SSL/TLS en el canal electrónico hacia los clientes

FOCO #6¿TIENES SEGURO EL AMBIENTE DE LA NUBE?

La nube no es un único ambiente homogéneo. Significa diversas cosas: un datacenter en Amazon, una nube privada basada en sistemas virtualizados, capacidad de cómputo en una telco local, un sistema de ofimática como Office 365, una aplicación como Salesforce o ServiceNow entre otras cosas. Los controles de seguridad necesarios y disponibles, para cada uno de esos casos son diversos y la realidad de la nube, con su pérdida de control, eliminación de barreras y alta exposición, requiere la consideración de una serie de nuevos controles. El diseño de una arquitectura de seguridad, que considere elementos como el acceso integrado a los diversos mundos o la compensación de las barreras eliminadas, además de la consideración de los elementos específicos (APIs, etc) hacen que este deba ser visto como un problema integral y lleve a un diseño global,

Recomendaciones:

• Considerar herramientas que chequeen periódicamente las configuraciones de seguridad de la nube• Evaluar mecanismos de control de acceso centralizado, que tomen en consideración la geolocalización y características del dispositivo cliente, entre otras cosas.

15

FOCO #7PROTECCIÓN DE LA DISPONIBILIDAD Y LA CAPACIDAD

Desde mediados de 2016 hay un punto de inflexión muy relevante en el tamaño de los ataques DDoS, debido principalmente porque las herramientas de ataque están disponibles públicamente. Más de 5 variantes del código de la botnet Mirai ya se han utilizado para atacar. Adicionalmente, en Latam se está haciendo cada vez más recurrente que dispositivos IoT, tales como routers de ISP’s, o cámaras de vigilancia, son vulnerados para hacerlos parte de las botnets. El ataque DDoS más reciente llegó a tasas superiores a 1.3Tbps, y en la región fácilmente han llegado a 180Gbps.

Recomendaciones:

• Implementar controles anti-DDoS en el canal electrónico, con capacidades de detección y mitigación de ataques aplicativos y volumétricos.• Considerar las soluciones que protegen el ancho de banda desde la Nube• Ejecutar ejercicios de denegación y respuesta para mantener entrenados los equipos

FOCO #8 VISIBILIDAD EN REDES INDUSTRIALES

Ya tuvimos, a escala global, el gran incidente en el mundo de las redes industriales, que estábamos esperando para tomar en serio la seguridad de estas críticas piezas de nuestra infraestructura. El caso de Ucrania, que dos veces, vio interrumpido a nivel nacional su sistema eléctrico, es la advertencia. Las estadísticas de ataques a redes industriales, van creciendo sostenidamente, pero la principal particularidad, es el fuerte impacto, en términos monetarios, políticos y mediáticos que este tipo de ataques implica. La industria ha respondido con tecnologías específicas, no invasivas, incorpo-rando elementos de Machine Learning, que permiten avances importantes en tener visibilidad de estos complejos y específicos ambientes.

Recomendaciones:

• Considerar soluciones que entreguen visibilidad de los activos y vulnerabilidades de la red SCADA

C Y B E R DEFENSEC E N T E RNeoSecure, como empresa de cyberseguridad; ha definido su CDC (Cyber Defense Center) como foco estratégico de su actuar. El CDC, se ha consolidado en torno a tres definiciones centrales:

El CDC de NeoSecure es capaz de proteger frente a las amenazas emergentes y de alta complejidad. Para ello, maneja tecnologías de última generación (correlación, sistemas de monitoreo de comportamiento, tecnologías de visualización y hunting, sistemas de Inteligencia de la Amenaza, sistemas de monitoreo de redes sociales, entre otros) y ha especializado a su equipo en diversas disciplinas (análisis, análisis reverso de malware, data science, análisis de inteligencia de la amenaza, explotación de vulnerabilidades y diversas tecnologías de seguri-dad (que opera para sus clientes). Un aspecto central de la protección es la capacidad de actuar durante una contingencia, dónde se ha puesto énfasis en la acción rápida y efectiva.

PROTECCIÓN

El servicio del CDC de NeoSecure parte anticipando, estudiando las Tácticas, Técnicas y Procedimientos (TTP) de la amenaza, recolectando Indicadores de Compromiso, Inteligencia de la Amenaza, reduciendo la superficie de ataque, monitoreando los eventos, analizando la actividad sospechosa y claramente agresiva, buscando activamente (hunting) las trazas de ataques y finalmente, respondiendo a los incidentes que se presentan, tanto desde el mismo CDC como on site.

SEGURIDAD END-TO-ENDProteger, es ser parte activa en todo el proceso en el cual una amenaza parte siendo un potencial y se convierte en un ataque activo.

Neosecure entiende a sus clientes como únicos. Sus redes, sistemas, organización, exposición al riesgo, cambian de uno a otro. Es por eso que el servicio de su CDC, está personalizado y mantiene un esfuerzo permanente por conocer sus particularidades y requeri-mientos específicos, los que se reflejan en la operación diaria de su servicio.

PERSONALIZACIÓN

Para construir este CDC, Neosecure ha trabajado desde el año 2002, contando con el equipo profesional de más alta experiencia y permanencia de la región. Seleccio-nando desde su origen tecnologías líderes a nivel mundial y certificando sus proceso (ISO27001). Las competencias del CDC de Neosecure han sido evaluados por actores de clase mundial desde el 2014 (HP a través de su práctica de HP SIOC). Hoy, puede ofrecer a sus clientes un CDC capaz de lidiar con las situaciones complejas que están afectando a las organizaciones latinoamericanas.

16

w w w . n e o s e c u r e . c o m