CEFIROS - Blog by Angel

Cefiros en el 17ENISE

Mon, 23 Oct 2023 17:20:05 +0200

Gracias a todos por visitarnos en 17ENISE

Durante los días 18 y 19 de Octubre de la pasada semana, se celebró en el Palacio de Exposiciones de León decimoséptima edición de ENISE (Encuentro Internacional de Seguridad de la Información), organizado por el Instituto Nacional de Ciberseguridad (INCIBE).

En esta ocasión, volvimos a participar con un stand en el que nos acompañaron varios fabricantes como WithSecure, Progress-Flowmon, Whalebone, KeySight y Beygoo, y en la que no paró de pasarse gente interesada en las distintas tecnologías durante los dos días. La verdad, que no sabemos como dar las gracias a toda esta gente y a Katherine Cardozo de Progress-Flowmon, Miroslav Dýšek de Whalebone, Eduardo Puente de WithSecure, a Adolfo de Lorenzo de KeySight y Fernando Campagnale de Beygoo además del equipo de Cefiros que estuvo dando soporte a la feria, en especial, a Sara Carreras del equipo de marketing.

Durante la tarde noche del día 18, fue una barbaridad la gente que se pasó por el evento que organizamos en el Pub Ginger... Se sumaron fabricantes como Datos101, Iberlayer, Tufin y Resility... no éramos capaces de dar abasto para saludar y dar las gracias a los clientes y resellers que se pasaron a echar un rato con nosotros... mil gracias a Raquel de Ginger por el trato antes, durante y después del evento, y a la Despensa de Lorenzo, por esas empanadas y embutidos que nos trajeron.

Mil gracias también a todo el que se interesó por la charla que dio el día 19 Fernando Campagnale de Beygoo en el peakers Corner 2, presentando la compañía y su plataforma de protección de riesgos digitales con foco en la la detección temprana de incidentes y prevención de fraudes, utilizando inteligencia artificial y procesos automatizados para monitorizar los activos digitales de las organizaciones.

De verdad, muchísimas gracias a todos, ha sido impresionante... repetiremos seguro la experiencia en 18ENISE.

Pentesting Autónomo como Tecnología emergente

Fri, 11 Aug 2023 13:38:13 +0200

Pentesting Autónomo: aumente sus ingresos por servicios de seguridad con validaciones de ciberseguridad

Nos hacemos eco de un informe que publicó Gartner y que hemos tratado de traducir para hacerlo más próximo y entendible, porque consideramos que es un documento muy interesante. En él, Gartner explica como los proveedores de servicios de seguridad pueden aumentar las ventas y mejorar las tasas de retención de sus clientes y aumentar sus ventas al proporcionar validaciones de ciberseguridad para probar la eficacia de sus servicios y guiar en mejoras proactivas de seguridad en sus clientes.

Visión general

Hallazgos clave

· A medida que más ejecutivos se involucran en la decisión de compra de ciberseguridad, los clientes que demandan servicios de seguridad desean algo más que detección y respuesta de amenazas para sus entornos de TI/OT/Cloud. Buscan una mejora proactiva y continua de su seguridad, y reducir su postura a la exposición.

· Muchos clientes finales expresan frustración por no saber lo que su proveedor de servicios hace por ellos, y cuestionan los beneficios del servicio.

· Los clientes finales, en gran medida, carecen de recursos de ciberseguridad y recurren a su proveedor para obtener orientación sobre qué hacer para mitigar el riesgo. Quieren un socio que les ayude de forma proactiva a mejorar su madurez de seguridad.

Recomendaciones

Para aprovechar el impacto de las tecnologías y tendencias emergentes en los productos y servicios, los líderes de productos de servicios de seguridad que buscan aumentar las tasas de adquisición, retención y ventas adicionales deben tomar estas medidas:

· Exhibir la transparencia del servicio mediante el uso de soluciones de validación de ciberseguridad para proporcionar a los clientes una evaluación previa al compromiso de su postura de seguridad de referencia, recomendaciones para mejoras críticas y una hoja de ruta de mejoras que puede ayudarlos a lograr sus objetivos futuros.

· Medir la eficacia del servicio utilizando evaluaciones de validación de ciberseguridad para probar sus servicios gestionados y la postura de seguridad del cliente. Esto le ayudará a informar los resultados del servicio y las recomendaciones de mejora de la seguridad a los equipos ejecutivos del cliente, de seguridad y de operación de red.

· Incentivar la mejora recompensando a los clientes con tarifas de servicio reducidas cuando incorporan las recomendaciones de las evaluaciones de validación de ciberseguridad y logran puntos de referencia de seguridad definidos basados en los hallazgos de la evaluación.

Supuestos de planificación estratégica

El número de proveedores de servicios de seguridad que proporcionan evaluaciones de validación de ciberseguridad a probar la eficacia de su servicio y la postura de seguridad de sus clientes crecerá de menos del 10% en 2023 hasta el 40% en 2025 y más del 50% para 2026.

Los proveedores de servicios de seguridad que adopten esta tendencia de evaluación de validación de ciberseguridad verán una mejora de más del 5% en sus tasas de retención y de adquisición y ventas adicionales.

Análisis

Los clientes finales continúan luchando para validar los resultados de su proveedor. En un mercado competitivo donde hay miles de proveedores de servicios de seguridad, esta falta de transparencia en la eficacia de los resultados y la dificultad en la medición de los resultados contribuyen a la insatisfacción y la rotación del cliente.

Los proveedores de servicios de seguridad que buscan continuamente fortalecer su capacidad para adquirir nuevos clientes y retener a los existentes proporcionarán a sus clientes las herramientas óptimas de validación de ciberseguridad para probar la eficacia y la alineación de esos servicios con los resultados deseados de los clientes.

Los proveedores también pueden usar estas evaluaciones para guiar en las recomendaciones y poder mejorar proactivamente la postura de seguridad de sus clientes.

Los proveedores de servicios de seguridad deben liderar el camino para hacer de esto parte de su propuesta de valor y distinguir su oferta de otras en el mercado. Adoptar un enfoque proactivo y diferenciado aumentará su reputación y la confianza de sus clientes en ellos. También aumentará su tasa de adquisición de nuevos clientes, tasas de retención de los actuales y ventas adicionales en comparación con los proveedores que no permiten dicha transparencia y mejora proactiva de la seguridad de clientes y proveedores. (Consulte la figura 1).

Figura 1: Acciones del MSSP para impulsar la adquisición, retención y ventas adicionales

Opciones de validación de ciberseguridad para que los líderes de productos consideren

Existen varios tipos de soluciones de validación de ciberseguridad que los proveedores de servicios de seguridad deben considerar:

1. Las tecnologías de evaluación de la superficie de ataque (ASA) ayudan a las organizaciones a evaluar su superficie de ataque y priorizar los riesgos en sus sistemas internos y externos y sus activos digitales. Estas involucran tres áreas emergentes que se centran en reducir la exposición que podría ser explotada por los actores de amenazas:

o La gestión de la superficie de ataques de activos cibernéticos (CAASM) se centra en permitir que los equipos de seguridad resuelvan la visibilidad persistente de los activos y los desafíos de vulnerabilidad. Permite a las organizaciones ver todos los activos a través de integraciones de API con herramientas existentes, consultar los datos consolidados, identificar el alcance de las vulnerabilidades y las brechas en los controles de seguridad y solucionar problemas.

o La gestión de superficies de ataque externo (EASM) utiliza procesos, tecnologías y servicios gestionados implementados para descubrir activos empresariales orientados a Internet, sistemas y vulnerabilidades asociadas, como servidores, credenciales, configuraciones erróneas de servicios de nube pública y vulnerabilidades de código de software de socios externos que podrían ser explotadas por adversarios.

o Los servicios de protección de riesgos digitales (DRPS) se entregan a través de una combinación de tecnología y servicios para proteger los activos y datos digitales críticos de amenazas externas. Estas soluciones proporcionan visibilidad en la open (surface) web, las redes sociales, la dark web y fuentes web para identificar amenazas potenciales a activos críticos y proporcionar información contextual sobre los actores de amenazas, sus tácticas y procesos para llevar a cabo actividades maliciosas.

2. Las tecnologías de simulación de brechas y ataques (BAS) y emulación de adversarios permiten a un proveedor de servicios de seguridad o a una organización obtener una mejor visibilidad de los puntos débiles de la superficie digital objetivo. Lo hacen automatizando la prueba de vectores de amenazas, como la actividad de actores de amenazas externas e internas, el movimiento lateral y la exfiltración de datos. Estas tecnologías complementan, pero no pueden reemplazar completamente, el red teaming o las pruebas de penetración. Validan la postura de seguridad de las organizaciones probando su capacidad para bloquear y detectar ataques simulados / emulados. Estas simulaciones se ejecutan desde plataformas SaaS, agentes de software y máquinas virtuales.

3. Las pruebas de penetración automatizadas y los avances de red teaming han progresado para automatizar casi por completo la penetración ad hoc de redes, aplicaciones e infraestructuras y algunas actividades del red teaming. Históricamente, las actividades de pentesting y red teaming han sido limitadas en frecuencia porque son intensivos en recursos humanos y se basan en gran medida en herramientas personalizadas.

Información crítica: el uso de evaluaciones de validación de ciberseguridad impulsará las tasas de adquisición de nuevos clientes, las de retención de los actuales y las de ventas adicionales

Las evaluaciones de validación de ciberseguridad son la convergencia de técnicas, procesos y herramientas utilizadas para validar cómo los atacantes potenciales explotarían realmente una superficie de ataque potencial identificada (interna y externa) y cómo la tecnología de protección, detección y respuesta y los procesos reaccionarían. Las herramientas de evaluación de validación de ciberseguridad están convergiendo hacia la intrusión automatizada y flexible para probar las defensas de una organización de una manera continua y rentable que hace factible incluir tales herramientas como parte de un servicio de seguridad.

El alcance de las evaluaciones de validación de ciberseguridad incluye:

· Superficie de ataque de seguridad: las evaluaciones de la superficie de ataque incluyen visibilidad de activos, configuraciones incorrectas, higiene de parches y amenazas explotables desde el punto de vista del adversario.

· Eficacia de la seguridad: las actividades automatizadas evalúan cuánto pueden bloquear los controles de seguridad existentes y detectar el rendimiento de los servicios de seguridad.

· Consistencia de seguridad: Las evaluaciones continuas, como el análisis de las configuraciones de las herramientas de seguridad, la eficacia de detección o la emulación de amenazas adversas, arrojan luz sobre las brechas de seguridad y proporcionan información sobre las mejoras necesarias para el cliente y el proveedor.

· Eficacia de la respuesta a incidentes: Las evaluaciones de la vida real de la puntualidad y efectividad de los servicios de seguridad y los mecanismos de respuesta del cliente miden el tiempo para detectar, investigar y responder a los escenarios de ataque probados.

· Mejora de la madurez de la seguridad: Los resultados detallados iluminan las fortalezas y brechas del sistema que se pueden convertir rápidamente en planes específicos del cliente para las mejoras recomendadas, así como posibles mejoras del proveedor de servicios de seguridad.

La inclusión de una oferta de servicios proactiva y diferenciada por parte de los proveedores de servicios de seguridad mejorará la transparencia del cliente en cuanto al valor de los servicios gestionados contratados. También ofrecerá claramente los resultados de seguridad para los que muchos clientes carecen de claridad. Esto dará como resultado que los proveedores vean mejorar la confianza del cliente y sus tasas e ingresos de adquisición, retención y ventas adicionales aumentarán. (Consulte la figura 2).

Figura 2: Información crítica sobre el crecimiento de los ingresos con validaciones de ciberseguridad

Implementación de evaluaciones de validación de ciberseguridad

Las mejoras recientes y la evolución de las opciones de validación de ciberseguridad ayudarán a disminuir las limitaciones de tiempo, coste y personal que hicieron que las evaluaciones de validación de ciberseguridad fueran menos viables para que un proveedor de servicios de seguridad ofreciera y para que las organizaciones pequeñas (e incluso grandes) las consideraran.

Por ejemplo, el coste de una sola prueba de penetración manual de hace unos años es similar al coste anual de las nuevas opciones de evaluación automatizada de ciberseguridad, con limitaciones mínimas o nulas en el número de evaluaciones que se pueden ejecutar. Aunque el tiempo y el coste para realizar evaluaciones de validación de ciberseguridad han mejorado enormemente, los proveedores aún necesitarán personal para operar las herramientas seleccionadas y ayudar a sus clientes a dar sentido a las oportunidades descubiertas para mejora. Asimismo, el cliente requerirá la ayuda del proveedor, o de su propio personal, para remediar cualquier hallazgo.

Los proveedores de servicios de seguridad progresivos que buscan diferenciar sus ofertas de servicios con la adición de evaluaciones continuas y proactivas deben considerar las siguientes opciones para la implementación:

Opción 1: Usar proveedores de servicios de validación de seguridad preseleccionados (integrados)

Utilizando este enfoque de implementación, el proveedor de servicios de seguridad preselecciona el proveedor o proveedores de servicios de validación de seguridad que utilizará y qué tecnología de validación de ciberseguridad considera mejor para el cliente y el proceso del proveedor de servicios.

1. Preseleccione los socios de servicios de validación de ciberseguridad que incluirá dentro de su oferta de servicios para proporcionar la mejor evaluación de seguridad proactiva, basada en su mercado / industrias objetivo.

2. Determine cómo incorporará este servicio de validación en su modelo de precios y servicio.

· Inclúyalo dentro de un plan de servicio específico (por ejemplo, plan premium versus plan de inicio).

· Agréguelo al plan / contrato de servicio seleccionado por el cliente por una tarifa adicional.

· Proporciónelo como una oferta de servicios profesionales independiente, donde la validación de ciberseguridad esté disponible para los posibles clientes para validar a su proveedor actual o para establecer una línea de base de sus capacidades de seguridad interna.

3. Defina la frecuencia de evaluación.

· Las eficiencias de automatización y validación hacen plausible la entrega semanal e incluso más frecuente de evaluaciones.

· La frecuencia debe combinarse con la capacidad del proveedor y del cliente para consumir los resultados.

· Independientemente de la frecuencia definida, las evaluaciones deben no programarse para entregar resultados reales y no percibidos como prevenidos.

4. Entregar los resultados y recomendaciones.

· El valor demostrado se logrará con la entrega adecuada y oportuna de resultados y recomendaciones: la visibilidad del cliente de los resultados recientes y pasados a través de un portal es fundamental.

· Las reuniones de revisión comercial del cliente deben celebrarse al menos una vez al mes para entregar resultados recientes y explicar las mejoras recomendadas.

· Se debe asignar un gerente de éxito del cliente o un rol similar para garantizar que los resultados y las recomendaciones se entreguen de manera efectiva a los equipos ejecutivos, de redes y de seguridad.

· Nota: Históricamente, la coordinación entre los equipos de red y seguridad ha sido deficiente. La entrega de resultados y recomendaciones a los constituyentes del cliente aumentará la transparencia de los resultados del servicio, aumentará la probabilidad de acción sobre las recomendaciones y aumentará la visibilidad del valor.

Opción 2: Usar proveedores de servicios de validación de seguridad precalificados

Este enfoque de implementación proporciona al cliente cierto control en la selección de un evaluador perceptiblemente más independiente y aumentará la confianza y la transparencia en los resultados. Sin embargo, el MSSP todavía mantiene cierto control en el proceso de selección de evaluadores precalificados.

1. Seleccione varios socios de validación entre los que su cliente pueda elegir para proporcionar el servicio de validación.

· Se recomienda una lista de tres o más proveedores.

· Se recomienda la variación del enfoque de validación; Seleccione un par de opciones de proveedor diferentes de las opciones técnicas enumeradas a considerar.

2. Determine cómo incorporará las opciones de servicio de validación en su modelo de precios y servicio.

· Se recomienda que el cliente contrate con usted para el servicio de evaluación. Esto hará proporcionarle acceso a los resultados de la evaluación, para que pueda incorporar el portal de resultados en su entregable al cliente.

· Otra opción es que el cliente contrate con uno de sus socios preseleccionados. Esto es menos deseable, ya que posiblemente le quitará la visibilidad de los resultados y eliminará su capacidad para proporcionar recomendaciones de mejora de la seguridad. Sin embargo, esto aumentará la confianza del cliente en los resultados específicos de la eficacia de su servicio, ya que serán verdaderamente independientes. Si permite este enfoque de contrato, exija al cliente que le permita tener acceso a los resultados de la evaluación para que pueda entregar recomendaciones y aprender cómo puede realizar mejoras en su servicio.

3. Definir la frecuencia de evaluación.

· Esto variará según el enfoque contractual mencionado anteriormente.

· Si el cliente contrata a través de usted para el servicio de evaluación, siga las mismas recomendaciones enumeradas anteriormente para la frecuencia proporcionada por el proveedor.

· Si el cliente contrata directamente con el proveedor de evaluación, la definición de frecuencia, momento y tipo de evaluación estará bajo el control de ese proveedor.

4. Entregar los resultados y recomendaciones.

· Estos también variarán según el enfoque contractual mencionado anteriormente.

· Si el cliente contrata a través de usted para el servicio de evaluación, siga las mismas recomendaciones enumeradas anteriormente para la entrega de resultados proporcionada por el proveedor.

· Si el cliente contrata directamente con el proveedor de evaluación y usted ha requerido que el cliente le permita acceder a los resultados de la evaluación, siga las mismas recomendaciones para la entrega de resultados mensualmente a través de un administrador de éxito del cliente. El compromiso de los equipos ejecutivos, de redes y de operaciones de seguridad son fundamentales para esta entrega, como se señaló anteriormente.

Recompensar a sus clientes por hacer mejoras

Con los servicios de evaluación de validación de ciberseguridad implementados, los MSSP pueden ayudar a sus clientes a lograr los siguientes resultados:

· Establecer una base de la postura de seguridad del cliente al comienzo de una asociación de servicios de seguridad.

· Proporcionar una evaluación continua de la mejora de la postura a lo largo de la relación.

· Validar la entrega de los resultados de seguridad contratados.

· Guiar al cliente con recomendaciones específicas con respecto a sus exposiciones que puede remediar para reducir proactivamente su superficie de ataque.

· Recompensar al cliente por lograr mejoras de madurez de seguridad específicas y definidas con tarifas de servicio reducidas.

Los hallazgos continuos y específicos del cliente de estos servicios de evaluación permitirán a los proveedores crear más fácilmente consenso y colaboración entre los equipos ejecutivos, de seguridad y de operaciones de red que a menudo no trabajan juntos a la perfección.

Los resultados de la evaluación, si se entregan adecuadamente al cliente:

· Facilitarán la planificación, las decisiones y el acuerdo entre equipos

· Alentarán a los responsables de la toma de decisiones ejecutivas a asignar los recursos necesarios para efectuar los cambios recomendados.

· Aumentarán la conciencia del valor del proveedor y la satisfacción del cliente

A medida que la entrega efectiva de resultados y recomendaciones reúne a los equipos de operación del cliente, también posiciona al proveedor para recompensar al cliente por lograr resultados de madurez definidos.

Implicaciones a corto plazo para los líderes de producto

De las muchas sesiones de consulta que desde Garner han celebrado con clientes finales, han descubierto que a menudo expresan frustración por no saber qué hace su proveedor de servicios de seguridad por ellos y, por lo tanto, cuestionan los beneficios del servicio. Los clientes han compartido que han pasado meses sin el alcance de su proveedor. También carecen de claridad para comprender si los servicios prestados son efectivos. Estos factores conducen a la rotación de clientes.

Del mismo modo, Gartner ha aprendido de las sesiones de consulta con los proveedores de servicios de seguridad que quieren ayudar a sus clientes a tener éxito en el logro de la resiliencia cibernética, previniendo de manera proactiva, detectando eficientemente y recuperándose eficazmente de los ataques cibernéticos. Sin embargo, carecen de claridad sobre cuál es la postura de seguridad del cliente y rara vez ven que los clientes asuman la responsabilidad de mejorar su posición.

Esta tendencia de servicio de validación de ciberseguridad proporcionará a los clientes y proveedores con:

· Definición de la línea base de la postura de seguridad del cliente al comienzo de una asociación de servicios de seguridad.

· Evaluación y mejora continua de cómo las tecnologías, los procesos y las personas del proveedor reaccionarían ante un ataque.

· Validación de la entrega por parte del proveedor de servicios de seguridad de los resultados de seguridad contratados.

· Orientación priorizada desde el punto de vista del atacante sobre las áreas de exposición que el cliente o su proveedor de servicios de seguridad deben remediar/mitigar para reducir de forma proactiva la superficie de ataque del cliente.

Acciones recomendadas para los próximos 6 a 18 meses

1- Identifique un socio de evaluación de validación de ciberseguridad más con el que pueda comenzar a asociarse para comenzar a ofrecer validación de ciberseguridad como parte de sus servicios existentes.

2- Desarrolle un plan, con un cronograma específico, que detalle y explique los servicios específicos de evaluación de validación que pretende incorporar a su portfolio de servicios de seguridad.

3- Prepare una oferta clara explicando sus ofertas de servicios mejorados. Luego, póngase en contacto con los líderes de negocios, seguridad y operaciones de red de sus clientes existentes para asegurarse de que conocen sus nuevas capacidades de validación de ciberseguridad y las características y beneficios relacionados.

F-Secure Business pasa a llamarse WithSecure

Thu, 31 Mar 2022 12:00:15 +0200

F-Secure Business es ahora WithSecure

Durante más de 30 años, F-Secure ha trabajado con sus partners hombro con hombro para dar respuesta y proteger a nuestros clientes frente a todas las amenazas a las que se han enfrentado. Ahora, desean que les acompañen también en su siguiente paso adelante, y desde el 22 de Marzo de 2022, su oferta B2B cambió de nombre.

En F-Secure daban por hecho que necesitaban una nueva marca que reflejara la identidad distintiva de su oferta B2B y los ayudara a satisfacer mejor las necesidades de sus clientes. Con la creación de WithSecure™ permitirá crear aún más demanda y dar seguridad a sus partners de que sus inversiones en desarrollo de marca ahora se centran al completo en B2B.

Ninguna persona, institución o empresa puede lograr la resiliencia cibernética por sí sola. En WithSecure™ creen en la colaboración con sus partners y socios para ayudar a las empresas a combatir sus amenazas de ciberseguridad. Su experiencia y capacidad, desarrolladas durante estos 30 años, protege todo tipo de negocios y empresas críticas en todo el mundo.

Es a través de esto acuerdos con sus partners lo que más les enorgullece al poder decir que ninguno de sus clientes ha sufrido una pérdida significativa mientras los han estado protegiendo. Es por eso que la mayoría de estos partnerships vienen durando una década o más.

Su visión sobre lo que es un buen Partnership tiene cuatro aspectos clave:

SEGURIDAD BASADA EN RESULTADOS:

El propósito de sus alianzas es lograr resultados para las empresas que confían en su tecnología. Esta seguridad a su vez, basada en resultados, se alinearán estrechamente con los resultados comerciales y formarán una parte integral de la estrategia de la empresa.

EXPERIENCIA COMPROBADA

La experiencia comprobada significa que nunca WithSecure™ les va a dejar solo. Brindan tecnologías y soportes basados en investigaciones líderes en el mundo. E independientemente del alcance de su acuerdo de partnership, los expertos de WithSecure™ estarán ahí para sus socios cuando los necesiten. Esto podría significar brindarle a todo el personal de sus socios todo el apoyo y capacitación necesaria e involucrarse directamente en los casos más difíciles a través de su servicio Elevate.

TECNOLOGÍA INSTINTIVA

Su tecnología instintiva simplifica tu vida adaptándose a las necesidades de sus clientes combinando su experiencia con inteligencia de automatización profunda y conocimientos conectados. La depuración constantes de todo eso permite a WithSecure™ hacer mucho más con menos y concentrarse en brindar seguridad basada en resultados a sus clientes.

ENFOQUE DE CO-SEGURIDAD

El enfoque de WithSecure™ de “Co-Seguridad para la colaboración” significa trabajar con sus socios dentro de parámetros claramente definidos. Para ayudar de manera conjunta a sus clientes a lograr los resultados de seguridad deseados, es importante que todos conozcan su función. Esto puede variar según la relación, desde brindarle únicamente la mejor tecnología que necesita, hasta asumir un papel proactivo para brindarle apoyo en la creación de su oferta de seguridad gestionada.

Ver evento de Lanzamiento de WithSecure

Cefiros, mayorista de Synopsys para Iberia

Tue, 25 Jan 2022 12:31:17 +0100

Acuerdo de distribución Cefiros - Synopsys para Iberia

Synopsys ha seleccionado para la distribución de sus soluciones de seguridad a Cefiros como su Mayorista para España y Portugal y poder para llevar a cabo sus objetivos de expansión en Iberia. Las soluciones de Synopsys (Software Integrity Group) ayudan a los equipos de desarrollo a crear software seguro y de alta calidad, minimizando los riesgos y maximizando la velocidad y la productividad, lo que hace que Synopsys sea un líder reconocido en pruebas de seguridad de aplicaciones (AST), proporciona herramientas de análisis estáticas / dinámicas / interactivas (SAST, DAST, IAST) y análisis de composición de software (SCA) y soluciones Fuzz Testing.

Con este acuerdo de distribución, los resellers e integradores de Cefiros podrán ofrecer nuevos servicios de alto valor añadido orientados a ayudar a sus clientes a prevenir ataques al encontrar y corregir rápidamente vulnerabilidades y defectos en código propietario, componentes de código abierto y comportamiento de la aplicación, ayudando en gran medida a las organizaciones a optimizar la seguridad y la calidad para ganar en integridad y confianza en los entornos DevSecOps y durante todo el ciclo de vida del desarrollo de software (SDLC).

“Para Cefiros, contar con un fabricante como Synopsys en nuestro portfolio, nos ofrece la posibilidad de completar nuestro mensaje en un área en la que teníamos carencias, y nos permitirá ofrecer a los equipos de DevSecOps la solución más completa y robusta del mercado. Synopsys ispone del más amplio portfolio de soluciones de integridad (seguridad y confianza) para el testeo de aplicaciones (AST), permitiendo testear las aplicaciones desarrolladas en cualquier tipo de lenguaje (como Java, .Net o Python), usando cualquier entorno de desarrollo IDE (como Eclipse o Visual Studio) e integrándose con las diferentes herramientas del ciclo de desarrollo del software (SDLC) dentro del paradigma CI/CD (como Jenkins o GitHub). Además, proporciona soluciones que permiten la orquestación, automatización, recolección, correlación y priorización (como son Intelligent Orchestration y CodeDX) de todo el ciclo de testeo de las aplicaciones, de tal forma que los tests se lancen de forma automatizada, inteligente y orquestada de la forma más adecuada y el momento apropiado, evitando colapsos en las entregas y análisis de los resultados de los testeos, lo que facilita la utilización de forma fluida de este tipo de procesos desde los SOCs que ofrezcan servicios de seguridad de aplicaciones”, comentó Ángel Carreras, Director de Cefiros.

“En Synopsys estamos muy entusiasmados en ofrecer nuestras soluciones en toda Iberia a través de esta relación con Cefiros", dijo Jesús Rodríguez, Sales Manager de Synopsys para Iberia. “Con su nuevo enfoque centrado en el mercado, Cefiros es un mayorista ideal para nosotros”.

Más información

Cefiros en Cyber Security World Madrid 27-28 Octubre de 2021

Thu, 14 Oct 2021 19:57:04 +0200

Cefiros contará con un stand en Cyber Security World Madrid

Cefiros contará con un stand en Cyber Security World Madrid, la feria líder en Londres, París, Frankfurt y Singapur y que abrirá las puertas de su primera edición a expertos y directivos C-level el 27 y 28 de octubre de 2021.

En el Stand contaremos con 4 areas en las que nuestros fabricantes Tufin, Exabeam, Goldilock y HP Wolf Security os podrán de primera mano presentar a los equipos comerciales y técnicos y las soluciones.

Además, participaremos en varias ponencias a las que estáis todos invitados a acompañarnos:

- Miércoles 27 a las 12:35 en el CyberSec Keynote Theatre - HP Wolf Security - Evitando los riesgos desconocidos (¡O descuidos!)

- Jueves 28 a las 11:35 en el DCW Keynote Theatre - Goldilock - TrueAirGap, aislando los datos y la infraestructura crítica bajo demanda en los DataCenters

- Jueves 28 a las 16:10 en el Cloud & Security Theatre - Mesa Redonda Tufin-Exabeam-Goldilock-HP Wolf Security - ¿Ciberseguridad Proactiva o Reactiva?

Regístrate en la web el evento, y si quieres acceder a las ponencias, no dudes en hacérnoslo saber para gestionar el pase apropiado desde Céfiros.

Regístrate en el Evento

¿Cuál es la forma correcta de detectar el sistema operativo mediante SMB?

Tue, 05 Oct 2021 12:28:46 +0200

¿Cuál es la forma correcta de detectar el sistema operativo mediante SMB como proceso básico en cualquier escaneo de vulnerabilidades o pentesting?

El reconocimiento del sistema operativo es un primer paso muy importante en un pentest o escaneo de vulnerabilidades. Esperamos que compartir esta información pueda facilitar tu trabajo de desarrollo y ayudarte a reducir los falsos positivos.

Te preguntarás “¿y cómo sabe una herramienta de pruebas de penetración de la caja negra de la información de mi servidor si sólo tiene la dirección IP de este?” El secreto es que un protocolo, como el Sever Message Block (SMB), revela esa información en la respuesta a sus peticiones especiales. SMB desempeña un papel fundamental en el reconocimiento de las huellas dactilares del sistema operativo.

(en este post del blog de Ridge Security, repasa cómo los diferentes proveedores utilizan SMB, y los pros y los contras de cada enfoque; y al final, los resumimos en unos pocos principios a seguir para conseguir un reconocimiento preciso del SO

https://ridgesecurity.ai/es/blog/como-utilizar-microsoft-smb-para-la-deteccion-del-sistema-operativo/)

Después de estudiar los enfoques de diferentes proveedores, aquí está nuestro resumen de cómo hacer la detección del sistema operativo SMB correctamente.

1- Tanto con SMBv1 como con SMBv2, se deben enviar tanto la “Session Setup Request “como las “NTLMSSP_NEGOTIATE requests”;

2- Especialmente para SMB v1, si sólo se envía “Session Setup AndX Request”, pero no una solicitud “NTLMSSP_NEGOTIATE”, alguna versión superior de Windows Server (muy probablemente superior a 2012) no responderá con información sobre el sistema operativo.

3- Con SMB v1, se puede obtener una respuesta de texto claro con información del SO tanto de NativeOS como de NativeLanMan. Sin embargo, recomendamos utilizar el resultado del campo NativeLanMan en lugar de NativeOS para determinar su sistema operativo; de lo contrario, existe la posibilidad de que reconozca falsamente a Linux como Windows.

4- Con SMB v2, no hay un texto claro de la versión del sistema operativo en la respuesta, puede obtener la versión de construcción del kernel de NT de “ntlmssp.verion”.

- No uses ntlmssp.verion para determinar que el servidor es windows;

- Los siguientes campos (Wireshark) en la respuesta v2 suelen contener el nombre del servidor y del NetBIOS. Cuando su valor es WIN-218****LQHR，DESKTOP-L3***F, es muy probable que el objetivo sea Windows.

- Si es capaz de utilizar la información del banner de otros puertos para determinar que el objetivo es Windows, debería poder utilizar ntlmssp.version (versión de compilación del Kernel) para derivar la versión de Windows Edition.

5- Intente siempre utilizar la petición SMB v1 tanto si el lado del servidor la soporta como si no; a partir de la respuesta de v1, puede obtener la información del sistema operativo en texto claro directamente; si SMB v1 falla, entonces intente enviar peticiones v2;

6- No importa si es SMBv1 o SMBv2, siempre debes analizar las respuestas y obtener los valores de los campos clave.

Esperamos que compartir esta información pueda facilitar tu trabajo de desarrollo y ayudarte a reducir los falsos positivos.

Más información

Bibliografía:

https://ridgesecurity.ai/es/blog/como-utilizar-microsoft-smb-para-la-deteccion-del-sistema-operativo/

https://ridgesecurity.ai/es/blog/cual-es-la-forma-correcta-de-detectar-el-sistema-operativo-mediante-smb/

¿Qué es la tecnología de Content Isolation?

Sat, 10 Apr 2021 17:29:00 +0200

HP Sure Click

Cada día vemos cómo aumenta la frecuencia de las noticias acerca de ciberataques a empresas conocidas y cada vez más relevantes. Estos ataques llaman la atención por la pérdida en tiempo y dinero que suelen suponer para las empresas que los sufren debido a su relevancia.

En el mundo empresarial actual, los ataques ya no obedecen al patrón de “escaparate” para mostrar la habilidad de un determinado hacker en penetrar los sistemas, supuestamente bien protegidos, de una determinada empresa, entidad o administración. Los ataques actuales dentro del mundo corporativo buscan principalmente dos efectos: revelarse en un momento dado, imposibilitando el trabajo en esa empresa objetivo a través de distintas técnicas o no revelarse y quedar en un segundo plano extrayendo información sensible durante la mayor cantidad de tiempo posible.

Estos ataques actuales, sean del tipo que sean, están bien orquestados y planificados, cuentan con recursos cuantiosos y buscan maximizar su impacto y consecuencias.

Con este entorno y realidad nos sorprendió la pandemia de Covid 19. Esta “sorpresa” añadió una complejidad adicional: el teletrabajo. El teletrabajo tiene muchas ventajas sabidas por todos, quizá la más destacada sea la flexibilidad que aporta; pero supone también un desafío en el campo de la Seguridad. Los empleados pasan de conectarse desde el entorno securizado de la empresa a hacerlo desde sus casas o desde otras ubicaciones remotas. En muchos casos también ha supuesto un uso adicional, quizá más personal, al poder disponer de ellos en todo momento, de los dispositivos corporativos.

Al sacar a los dispositivos (pc’s, móviles, tabletas…) del seguro entorno corporativo se hace necesaria una solución que aporte seguridad adicional para los mismos. El desafío en estas circunstancias es qué tipo de seguridad elegir teniendo en cuenta los factores clave en estos casos: que no sea intrusiva, que no consuma excesivos recursos, que sea compatible con los sistemas actuales y que no requiera intervención de un usuario final que, por lo general, no está preparado para ser responsable de la parcela de seguridad que le toca. Es en esta situación donde más interesante parece moverse la tecnología de “Content isolation” o aislamiento de contenidos. Esta tecnología parte de una base “Zero trust”, en la que retiramos la confianza de todos los contenidos que afecten de forma externa al dispositivo: adjuntos de correo, archivos que se cargan mediante USB, navegación por internet, descargas de la red…

Al no tener confianza en la fuente de los contenidos, éstos pasan a ejecutarse en contenedores seguros o micromáquinas virtuales (que son más robustas si se apoyan en los recursos físicos del dispositivo). De esta forma, si el contenido en cuestión contuviese algún tipo de amenaza escondida, software dañino o malware, éste se ejecutaría solamente dentro del entorno seguro del contenedor y no afectaría al dispositivo. Una vez el contenedor se cierra (cuando el contenido deja de ejecutarse), el malware también “se cierra”.

Este sistema de seguridad adicional tiene varias ventajas. Las más relevantes serían: funciona en segundo plano no siendo necesaria la participación del usuario, es compatible con cualquier otra solución de seguridad presente en el dispositivo o entorno y securiza de manera sencilla los dos principales vectores de ataque dentro del mercado empresarial: el correo electrónico y la navegación web.

Además de las ventajas que saltan a la vista, trabajar con Aislamiento de Contenidos permite, mediante personalización, adaptarse a la realidad de cada empresa. Se pueden seleccionar las fuentes confiables, incluyéndolas en una “White list” o incluir nuevas fuentes de contenido en la lista de fuentes no confiables o “Black list”. De esta forma se logra el equilibrio entre la protección y el rendimiento de cada dispositivo.

Hace ya algunos años que esta tecnología está disponible y se presenta como la más adecuada para el entorno actual de protección de dispositivos. Era mismamente Gartner quien ya reconocía en 2017 que al menos la mitad de empresas deberían aplicar Aislamiento de Contenidos como tecnología adicional de Seguridad para evitar posibles brechas y consiguientes caídas de sus actividades. En el entorno actual se hace aún más relevante que las empresas aceleren en la adopción de este tipo de tecnología para continuar en sus transformaciones digitales y adaptación a las nuevas circunstancias.

Alejandro Curto

Business Development Manager
SE PS Services

Más información

¿Qué es la autenticación multifactor (MFA)?

Mon, 29 Mar 2021 11:01:32 +0200

¿Qué es la autenticación multifactor (MFA)?

La autenticación multifactor (MFA), o autenticación fuerte, es un proceso de un mecanismo de seguridad que requiere dos o más factores de validación para probar la identidad de un usuario. La mayoría de las veces, implica conectarse a una red, aplicación u otro recurso sin tener que depender de una combinación simple de nombre de usuario y contraseña.

¿Por qué utilizar la autenticación multifactor MFA?

El uso de la autenticación multifactor tiene muchos beneficios dadas las realidades de los problemas actuales en el lugar de trabajo (muchos derivados del auge del teletrabajo derivado de la pandemia), el panorama de seguridad y las regulaciones.

MFA para protegerse de los ciberataques

La autenticación multifactor (MFA), o autenticación fuerte, es conocida principalmente por brindar una defensa adicional y dificultar el acceso de una persona no autorizada a una red o base de datos. La implementación de una solución sólida de MFA protege instantáneamente los datos y los recursos de TI contra el robo de identidades, la suplantación de cuentas y el phishing.

Como tal, las empresas utilizan MFA para controlar el acceso a los sistemas y soluciones de TI internos, así como a las aplicaciones B2C.

MFA para adaptarse al lugar de trabajo cambiante

En proceso de transformación digital, la autenticación multifactor es una forma excelente de promover la movilidad y la productividad de los empleados. Al usar MFA para acceder a aplicaciones corporativas o para conectarse a la red a través de una VPN, sin estar atados a la oficina y al tener la opción de usar sus dispositivos preferidos, las organizaciones se benefician de una flexibilidad muy valorada.

Consulte nuestro artículo sobre la tecnología Deviceless MFA, que permite una autenticación sólida multifactor sin ningún dispositivo (teléfono inteligente, tableta o clave física).

MFA para cumplir con los requisitos legales

La regulación sobre la seguridad de los datos se está volviendo cada vez más rigurosa, lo que genera importantes problemas de cumplimiento en la gestión y protección de datos. MFA puede ser esencial para cumplir con los requisitos reglamentarios en algunas industrias y/o jurisdicciones.

Por ejemplo, puede ayudar a los proveedores de atención médica a cumplir con HIPAA y ser incluso una parte clave en la directiva PSD2 para cumplir con la autenticación sólida.

MFA para simplificar la experiencia del usuario de inicio de sesión

En el mundo digital, es un hecho que mejorar la seguridad de un sistema implica inevitablemente una degradación de la experiencia del usuario. Sin embargo, al elegir la solución de autenticación multifactor (MFA) adecuada, puede simplificar la experiencia diaria de inicio de sesión de los usuarios permitiéndoles conectarse muy rápida y fácilmente, desde cualquier dispositivo y en cualquier lugar.

Consulte nuestro artículo sobre autenticación multifactor MFA sin contraseña.

¿Cómo funciona un MFA?

Un MFA funciona al requerir información de verificación adicional denominada "factores de autenticación" para garantizar que los usuarios digitales sean quienes dicen ser. Estos factores se consideran una prueba de la identidad de un usuario, también conocidos como credenciales.

La metodología de autenticación MFA requiere una combinación de al menos 2 factores. Cada uno de ellos procede de una categoría diferente:

- Algo que se sepa (conocimiento), como una contraseña, una frase de contraseña o un código PIN

- Algo que se tenga (posesión), como un dispositivo (teléfono inteligente, computadora portátil, etc.), tokens físicos, llaveros y tarjetas inteligentes.

- Algo que son (inherencia), como huellas dactilares, reconocimiento de voz o facial, y cualquier otro tipo de biometría.

Dado que el MFA integra el aprendizaje automático y la inteligencia artificial (IA), algunos cuentan con nuevos factores de autenticación, incluidos factores de autenticación basados en la ubicación y basados en el comportamiento. Sin embargo, estos métodos de verificación son parte de lo que llamamos "MFA condicional".

¿Por qué inWebo no recomienda el acceso condicional para su MFA? El acceso condicional es un enfoque que busca evitar requerir MFA bajo ciertas condiciones. Un atacante siempre buscará ubicarse en un contexto que le sea conveniente. Proporcionar excepciones para MFA es una violación de la seguridad que un atacante podrá aprovechar al máximo.

Para algunas soluciones MFA, la experiencia del usuario sigue siendo compleja y podría justificar el acceso condicional para simplificar la experiencia de inicio de sesión. Ciertamente no es el caso de inWebo, que ofrece un enfoque flexible de forma nativa.

Nuestros clientes son libres de configurar accesos condicionales, pero creemos que con un MFA fácil de usar, vale la pena solicitar MFA independientemente de las circunstancias. De esta manera, sus usuarios no se perderán cuando se encuentren en una de las circunstancias excepcionales que requieren MFA. Además, reforzará o iniciará un enfoque de confianza cero dentro de su organización.

¿Qué tan efectiva es la autenticación MFA multifactorial?

Según Microsoft, el MFA bloquea más del 99,9% de los ataques de compromiso de cuentas. A menudo escuchará que el MFA es un componente crítico de la seguridad de Zero Trust. Si bien es relativamente fácil obtener las credenciales de un usuario a través de ataques como el phishing o el relleno de credenciales, la autenticación fuerte MFA hace que sea casi imposible para los piratas informáticos obtener el segundo factor de autenticación.

¿Cómo elegir la solución MFA adecuada?

No todas las soluciones MFA son iguales, ya que las tecnologías detrás de ellas son bastante diferentes. Mencionamos anteriormente la función sin contraseña, pero hay varios otros criterios a considerar al evaluar la seguridad y la experiencia del usuario de los diferentes proveedores.

Para conocer su punto de referencia, puede seguir nuestro gráfico o ponerse en contacto con nosotros o nuestro mayorista Cefiros.

Carlos Pinilla

inWebo VP Sales DACH & Iberia

Más información

¿Qué es el modelo de Responsabilidad Compartida en los Servicios Cloud?

Wed, 07 Oct 2020 00:43:45 +0200

¿Qué es el modelo de Responsabilidad Compartida en los Servicios Cloud?

El enfoque de cualquier organización debe basarse en la declaración de misión y visión de la empresa, sin estar un paso por delante de las últimas vulnerabilidades de sus sistemas de TI. Mantener este enfoque en el día a día del negocio es aún más difícil cuando se producen brechas de seguridad masivas como las del gigante Yahoo o en España con SegurCaixa Adeslas y que nos sorprendieron y dominaron los titulares durante días. Además, teniendo en cuenta la actual situación económica y social tan especial que estamos viviendo y que está impactando tan abruptamente a todo tipo empresas, los servicios basados en la nube ofrecen alternativas a la infraestructura de TI tradicional, ofreciendo importantes ventajas de seguridad en la mayoría de los casos. Dependiendo de sean plataformas, infraestructuras o modelos basados en software, los servicios en la nube ofrecen distintos niveles de responsabilidad compartida para la seguridad.

Para lograr completamente el nivel de seguridad que una organización y sus activos demandan, es necesario seguir dos directivas clave:

(1) seleccionar el tipo de servicio apropiado para su organización

(2) comprender sus obligaciones bajo el modelo de responsabilidad compartida de ese servicio.

Los servicios basados en la nube también han revolucionado la ciberseguridad. En repetidas ocasiones, los proveedores de servicios cloud han demostrado que sus sistemas pueden superar a las soluciones on-premise en términos de efectividad, eficiencia, y seguridad. De hecho, la nube permite subcontratar de forma fácil y segura ciertos aspectos de los sistemas de TI de una empresa a un proveedor cloud capaz. Además, los servicios basados en la nube consumen menos recursos para la empresa cliente y, por lo tanto, pueden ser una excelente opción desde una perspectiva comercial y de costes. Todo, desde los servicios de correo electrónico hasta las máquinas virtuales, puede ser manejados de manera más segura por un proveedor en la nube, y liberar a la empresa de la tarea de manejar determinadas partes sustanciales de su seguridad. Sin embargo, la nube no reduce el riesgo de que los usuarios finales se vean comprometidos ni los endpoint se infecten. Los usuarios finales y los endpoint siguen siendo tan vulnerables como siempre.

Al descargar los sistemas de TI locales a las nubes que ofrecen sus socios tecnológicos, las organizaciones de cualquier tamaño pueden concentrarse mejor en el día a día de sus negocios. Pero, ¿significa esto que las empresas están exoneradas de toda responsabilidad cuando se trata de mantenerse a salvo de las ciberamenazas? Lamentablemente no. Aún no estamos en ese punto, ni muchísimo menos. En este momento, las organizaciones deben comprender sus responsabilidades y cumplir con sus obligaciones bajo modelos de responsabilidad compartida para mantenerse seguras.

¿Qué significa esto de la “Responsabilidad Compartida”?

En pocas palabras, el cliente es responsable de todos los aspectos de las soluciones operativas y de seguridad cuando se implementan en las instalaciones. Y a medida que las organizaciones avanzan en el aprovechamiento de los servicios basados en la nube, se transfieren más responsabilidades a los proveedores. En general, el beneficio clave de los servicios basados en la nube es que lo que sucede en la nube es responsabilidad de su proveedor o socio tecnológico. En otras palabras, los proveedores cloud y los clientes de la nube son responsables de los fallos en las funciones bajo su control.

Cuanto más inclusivo es un servicio ofrecido por un proveedor, menos responsabilidades tiene una organización cliente. Las responsabilidades específicas de los proveedores de la nube abarcan un amplio abanico según el tipo específico de servicio basado en la nube, que van desde la infraestructura como servicio (IaaS) hasta los modelos de software como servicio (SaaS), con la plataforma como servicio (PaaS) ocupando un posición intermedia.

- Cuando hablamos de IaaS, su organización es bastante independiente con respecto a la seguridad, pero esto aún es un gran paso para mantener sus propios racks de servidores en las instalaciones. En los modelos IaaS, las organizaciones son responsables no solo de sus propios datos, clientes y usuarios, sino también de las aplicaciones, las configuraciones de red e incluso los sistemas operativos.

Sin embargo, IaaS descarga la considerable responsabilidad de almacenar y mantener físicamente los servidores a su socio tecnológico y hace que los recursos informáticos estén disponibles a través de interfaces simples como las máquinas virtuales. Además, su proveedor de IaaS es responsable de algún nivel básico de seguridad de la red (es decir, detectar infracciones) y seguridad física (es decir, copia de seguridad). Incluso este nivel básico de servicio en la nube seguramente ayudará a la gerencia a dormir mejor por la noche.

- Con PaaS se simplifica un poco. Con PaaS, los problemas de almacenamiento y seguridad de la red son responsabilidad exclusiva de su proveedor de nube. Este nivel de servicio permite a su organización la comodidad adicional de saber que su proveedor se ocupa de las brechas en la red, junto con la facilidad que brinda la disponibilidad de los recursos informáticos a pedido.

En este nivel, si las organizaciones de clientes pueden concentrarse en mantener a los usuarios de sus terminales a salvo de la introducción de malware y contenido malicioso en la nube, sus datos pueden mantenerse bastante seguros. Bajo PaaS, usted es responsable de proteger y administrar aplicaciones, así como usuarios, dispositivos terminales y datos.

- SaaS en cambio, es el modelo cloud más simple y a menudo más seguro. La menor responsabilidad para con las organizaciones clientes se encuentra en los modelos SaaS. En este punto, el proveedor de la nube mantiene y protege todo menos a los usuarios, los dispositivos endpoint y los datos en la nube. Este nivel de servicio abstrae casi todos los detalles técnicos de la computación, y los proveedores de SaaS acreditados actualizan continuamente las aplicaciones a medida que surgen nuevas amenazas. Los modelos SaaS incluyen los muchos servicios orientados a empresas y consumidores que ofrece Google (por ejemplo, Gmail o Google Docs), así como Salesforce y Microsoft Office 365.

Si bien los modelos SaaS son los servicios basados en la nube más seguros, no están libres de riesgos, como lo demostró el ataque de virus ransomware Cerber de junio de 2016 en Microsoft 365. Como muchos virus tradicionales de Microsoft Office, Cerber confiaba en que los usuarios abrieran un archivo desde un correo electrónico y luego habilitar macros.

Entonces, ¿cuál es exactamente la parte de del cliente final de la responsabilidad compartida?

Pase lo que pase, la seguridad en la nube es una responsabilidad compartida, ya que los servicios en la nube no son "seguros de forma predeterminada". Todo lo que ingresa a la nube desde los usuarios de su organización y los dispositivos finales es responsabilidad de su organización. La firma líder en la industria de investigación y asesoría en TI, Gartner, predice que para 2020, el 95% de las brechas de seguridad en la nube serán el resultado de la supervisión del cliente. A la luz de esta previsión, es fundamental que las empresas comprendan plenamente los modelos de responsabilidad compartida para poder implementar las medidas de seguridad necesarias que se espera que manejen.

Si bien la nube ofrece importantes ventajas de simplicidad y seguridad, las mayores vulnerabilidades aún provienen de errores humanos. Si hace su tarea sobre los modelos de responsabilidad compartida, implementa medidas de seguridad complementarias y educa a sus usuarios, su organización puede aprovechar al máximo los servicios basados en la nube sin temor.

Fuentes:

https://aws.amazon.com/es/compliance/shared-responsibility-model/

https://blog.f-secure.com/what-is-the-shared-responsibility-model-in-cloud-based-services/

https://docs.microsoft.com/es-es/azure/security/fundamentals/shared-responsibility

Get Started Now

Gestión de Contraseñas, un grave problema y muy real

Fri, 22 May 2020 16:50:47 +0200

Contraseñas. Gestión segura de credenciales

Uno de los principales problemas, en cuanto a seguridad se refiere, es la cuestión de las contraseñas. Los atacantes pueden aprovechar que los usuarios usan contraseñas débiles o simples, al estilo 1234, que además repiten en varios servicios, o que mantienen las credenciales predeterminadas en sistemas como routers, puntos de acceso wifi, dispositivos IOT, etc, etc... Está vulnerabilidad permite que los ciberdelincuentes puedan acceder fácilmente a un objetivo y disponer de él a su antojo.

Es desafortunadamente habitual encontrar empresas en las que las políticas de complejidad de las contraseñas son muy laxas o simplemente no existen, que usan como contraseña el mismo nombre de usuario, la misma contraseña para todos los usuarios, y así un largo etcétera de ejemplos en los que la infraestructura de la empresa es altamente vulnerable.

¿Porqué entonces las empresas defienden estas políticas tan arriesgadas? Pues que son cómodas para los usuarios, que cualquier responsable pueda acceder fácilmente a los equipos de cualquier empleado, etc... Es cierto que esto se podría hacer de forma segura también, y si, teniendo claro que requiere un trabajo adicional de planificación y estructuración, pero es nuestra responsabilidad como administradores de sistemas el que las credenciales no sean un factor de riesgo para la seguridad de los sistemas TIC de la empresa.

Otro riesgo es son los insider, el empleado descontento o con malas intenciones que puede aprovechar su conocimiento de estas debilidades para causar daños o robar información, por ejemplo.

A nivel particular, como apuntábamos anteriormente, los usuarios tendemos a usar las mismas contraseñas en todos los servicios y redes en los que estamos registrados. Esto lo aprovechan los ciberdelincuentes cuando logran obtener listas de credenciales, normalmente por millones, de servicios o empresas a los que han atacado para simplemente probar esas credenciales en todos los servicios posibles. Seguro que logran obtener acceso a cientos de cuentas de correo electrónico, redes sociales, etc, y esto lo usan después para otros fines realmente rentables, como mediante ingeniera social pudiendo usar nuestras identidades robadas para hacer ataques, por ejemplo, de phishing, con apariencia mucho más creíble y poder engañar a sus víctimas.

Reforzar las políticas de contraseñas, tanto a nivel particular como empresarial, es difícil, dado que ¿seríamos capaces de recordar de memoria decenas de contraseñas complejas en las que se combinan letras en mayúsculas y minúsculas, números y signos y que además debamos de cambiar periódicamente?. Evidentemente no. Yo el primero. Esto hace que, como ejemplo, los monitores de las empresas se llenen de post-it con contraseñas anotadas.

¿Pues cual es la solución entonces? Hoy en día disponemos de aplicaciones que nos permiten mantener en una “caja fuerte o bóveda” virtual estas credenciales. Para acceder a este sistema solo debemos de recordar 1 contraseña, que ha de ser robusta, pero solo 1. Una vez que nos validamos podremos acceder, ya autenticados, a los servicios o sistemas que tengamos registrados en nuestro gestor de contraseñas.

Como empresa nos permite centralizar la gestión de las contraseñas de los sistemas de la empresa o, por que no, los de los sistemas de nuestros clientes o proveedores a los que necesitemos acceder y permitir a los empleados que deban acceder a ellos poder hacerlo cuando queramos sin que tengan que conocer ni ver la contraseña usada.

Vamos a ilustrar esto con un ejemplo: una empresa que mantiene equipos IoT instalados en clientes (pueden ser sistemas de videovigilancia, contadores eléctricos, etc.). Cuando envía a un técnico a dar soporte a un cliente se comparte con ese técnico las credenciales del dispositivo al que tiene que acceder. Una vez que el técnico está en las instalaciones del cliente, este puede acceder al sistema sin que tenga siquiera que ver la contraseña de acceso y una vez finalizado el servicio se deja de compartir esa credencial.

Ahora imaginemos una empresa como esta en la que un técnico, que tiene información de las credenciales de los clientes que ha visitado es despedido y quiere tomar represalias contra la empresa... podría hacerlo sin ningún problema, dado que con total seguridad, no habremos cambiado las credenciales de todos los sistemas conocidos por ese empleado. En este caso solemos caer en el grave erro de user en todos los dispositivos de los clientes las mismas credenciales, por que es sumamente complejo mantener una base grande de credenciales sin ninguna herramienta que nos ayude para hacerlo.

Estas herramientas además se pueden ocupar incluso de generar por nosotros las contraseñas basándose en criterios de complejidad que hayamos definido y auditarlo.

En resumen, la gestión de credenciales puede ser un problema en si mismo, además de que puede ser una fuente de vulnerabilidades importantes. Pero hoy día disponemos de herramientas como Keeper Security que nos ayudan con esta problemática, ¡usémoslas!.

Autor: Juan Antonio Robledo

jarobledo@cefiros.net

@jantoniorobledo

Más Información