CEFIROS - Blog #SecurityCEFIROS - Blog #Securityhttps://www.cefiros.net/blogs/tag/SecuritySat, 25 Apr 2026 04:27:39 -0700http://zoho.com/sites/<![CDATA[Cefiros estará de nuevo en ASLAN]]>https://www.cefiros.net/blogs/post/cefiros-de-nuevo-en-aslan-2023

Tenemos el placer de anunciaros que estaremos un año más en ASLAN, una asociación que agrupa a 173 fabricantes y proveedores especializados en innovación digital y ciberseguridad.

 Se organiza los días 22 y 23 de marzo en el Palacio de Congresos de Madrid, la trigésima edición del Congreso&EXPO ASLAN2023 bajo el título «Seguimos innovando. Seguimos avanzando».

Un gran evento anual que reunirá en Madrid a más de 7.500 profesionales interesados en tecnologías para acelerar la transición digital.

Regístrate por cortesía de Cefiros

En nuestro stand, este año nos acompañarán parte del equipo comercial y técnico de 4 de nuestros fabricantes, con los que podréis conocer de primera mano sus tecnologías y compartir un rato para hablar de posibles oportunidades de negocio:


Actualmente el único fabricante europeo de soluciones EPP y actual líder en soluciones EDR. Además de un Escáner de Vulnerabilidades ofrecersoluciones específicas de protección para Microsoft365 y SalesForce.


Compañía americana líder en soluciones PAM y dee gestión de passwords de usuarios. 


                         Líder en soluciones NTA y de seguridad, visibilidad y monitorización de redes.



Solución americana de Breach and Attack Simulation y Automated Pentesting

Además, estáis todos invitados a asistir a la ponencia de Gonzalo Morell, Channel Manager de Keeper Security, que ofrecerá el miércoles 22 de marzo en el “Cybesecurity” Stage a las 12:30h y en la que tratará temas muy interesantes al respecto de su solución PAM Next Generation.

Revisar ponencia Keeper

Te esperamos!

]]>Mon, 13 Mar 2023 10:27:53 +0100<![CDATA[Superar los límites de seguridad de SSO con el MFA]]>https://www.cefiros.net/blogs/post/superar-los-límites-de-seguridad-de-sso-con-el-mfa

   A veces se confunden los conceptos "SSO" y "MFA", o al menos no se entiende el valor añadido de combinar estos dos tipos de soluciones. El inicio de sesión (SSO) permite a los usuarios acceder a diferentes aplicaciones con una única autenticación. La autenticación multifactorial (MFA) añade una capa de seguridad a la autenticación para verificar la identidad del usuario. 




Entender qué es el SSO y cómo funciona

  El inicio de sesión único (SSO) es un método de autenticación que permite a un usuario utilizar un único conjunto de credenciales de acceso para iniciar la sesión, normalmente utilizado al principio de la jornada laboral. En la mayoría de los casos, este conjunto de datos de acceso consiste en un ID de usuario y una contraseña. Esto permite al usuario acceder a varias aplicaciones y sitios web sin tener que perder el tiempo iniciando sesión de nuevo en cada uno de ellos. Una especie de "super login".

Cuando un usuario se registra en un servicio SSO, el servicio crea un token de autenticación que recordará que el usuario ha sido verificado. De este modo, cualquier aplicación o sitio web asociado al que el usuario necesite conectarse más tarde, lo comprobará con el servicio SSO, que enviará el token del usuario para confirmar su identidad y concederle el acceso. En otras palabras, después del "superinicio de sesión" es la solución SSO la que conectará al usuario con otras aplicaciones en su nombre.

Por lo tanto, es esencial que esta "superconexión" que hace posible una solución SSO esté protegida por una solución adicional y complementaria llamada MFA (autenticación multifactor).

Cuidado con los límites de seguridad del SSO

  Ciertamente, el SSO es un "regalo" para los usuarios: poder acceder a todas sus aplicaciones y datos sin necesidad de iniciar una sesión adicional. Pero este valor añadido en términos de productividad viene acompañado de riesgos de seguridad adicionales y, por tanto, de la necesidad de un entorno más seguro.

Imagina que una persona malintencionada accede a las credenciales SSO de un usuario. Esto significa que todas las demás aplicaciones y recursos a los que el usuario tiene acceso están comprometidos. Es como poner todos los huevos en la misma cesta.

Obtenga lo mejor de ambos mundos combinando SSO y MFA

  Si usted es una organización que está "poniendo todos los huevos en la misma cesta" utilizando una solución SSO, es imperativo que proteja esa cesta y asegure el acceso. La solución no es eliminar el SSO, sino cerrar sus brechas de seguridad sin comprometer la experiencia del usuario.

Por lo tanto, es esencial completar la estrategia de autenticación y utilizar mecanismos de autenticación más robustos que la simple combinación de nombre de usuario y contraseña. De hecho, el SSO implica tener cuidado de proteger y asegurar el acceso y las identidades (información de identificación) combinándolo con una solución de autenticación fuerte (o autenticación multifactorial MFA).

Según Microsoft, MFA bloquea más del 99,9% de los ataques de compromiso de cuentas.

¿Cuáles son las ventajas de combinar SSO + MFA?

  Combinar el SSO y MFA en una estrategia de autenticación empresarial es una buena práctica que tiene muchos beneficios en términos de experiencia de usuario, seguridad y gestión de TI.

  • Negocios

Mayor seguridad. El uso de SSO limita la "zona de ataque" de los ciberdelincuentes y el MFA viene como respaldo para aumentar el nivel de seguridad de esta zona.

Más ágil y productivo. SSO + MFA es una forma de impulsar la agilidad y la productividad, ya que ofrece a los empleados un acceso casi inmediato a miles de aplicaciones de forma muy segura.

  • Experiencia del usuario

Se acabaron los problemas con las contraseñas. El uso de una solución sin contraseña MFA además de su solución SSO es la "guinda del pastel" en términos de experiencia de usuario.

Una experiencia de inicio de sesión más rápida y fluida. SSO ofrece una experiencia de inicio de sesión más rápida y algunas soluciones de MFA pueden simplificar la experiencia de "superinicio de sesión" que hace posible SSO.

  • Gestión y administración de TI

Gestión y auditoría simplificadas. El SSO puede utilizarse para configurar los derechos de acceso de un usuario, por ejemplo, en función de su función, departamento y/o nivel de antigüedad. Además, cuando un empleado deja la empresa, es más fácil eliminar sus privilegios de acceso.

Menos solicitudes al servicio de asistencia. El SSO reduce significativamente el número de usuarios finales que llaman al servicio de asistencia por un problema de inicio de sesión. Y si se elige la solución adecuada MFA, se puede pasar a la ausencia de contraseña, lo que reduce aún más la actividad del equipo de asistencia informática.


No todas las soluciones MFA aseguran su SSO de la misma manera

  No todas las soluciones de autenticación fuerte (MFA) son iguales, ya que las tecnologías utilizadas suelen ser muy diferentes. Hay varios criterios a tener en cuenta a la hora de evaluar la seguridad y la experiencia del usuario que prometen las diferentes soluciones.
Mientras que algunas soluciones de autenticación que dicen ser "multifactor" son en realidad sólo herramientas "+1FA" que añaden un único factor adicional a una contraseña existente, hay MFA nativamente de 2 factores y sin contraseña.

InWebo
Ver noticia en el blog de InWebo
]]>Wed, 20 Apr 2022 11:49:40 +0200<![CDATA[F-Secure Business pasa a llamarse WithSecure]]>https://www.cefiros.net/blogs/post/F-Secure-Business-se-llama-desde-ahora-WithSecureDesde el pasado 23 de Marzo, todo el negocio Corporativo de F-Secure ha pasado a llamarse WithSecure]]>

F-Secure Business es ahora WithSecure

   Durante más de 30 años, F-Secure ha trabajado con sus partners hombro con hombro para dar respuesta y proteger a nuestros clientes frente a todas las amenazas a las que se han enfrentado. Ahora, desean que les acompañen también en su siguiente paso adelante, y desde el 22 de Marzo de 2022, su oferta B2B cambió de nombre.

 

 En F-Secure daban por hecho que necesitaban una nueva marca que reflejara la identidad distintiva de su oferta B2B y los ayudara a satisfacer mejor las necesidades de sus clientes. Con la creación de WithSecure™ permitirá crear aún más demanda y dar seguridad a sus partners de que sus inversiones en desarrollo de marca ahora se centran al completo en B2B.

 

 Ninguna persona, institución o empresa puede lograr la resiliencia cibernética por sí sola. En WithSecure™ creen en la colaboración con sus partners y socios para ayudar a las empresas a combatir sus amenazas de ciberseguridad. Su experiencia y capacidad, desarrolladas durante estos 30 años, protege todo tipo de negocios y empresas críticas en todo el mundo.

 

 Es a través de esto acuerdos con sus partners lo que más les enorgullece al poder decir que ninguno de sus clientes ha sufrido una pérdida significativa mientras los han estado protegiendo. Es por eso que la mayoría de estos partnerships vienen durando una década o más.

 

Su visión sobre lo que es un buen Partnership tiene cuatro aspectos clave:

 

SEGURIDAD BASADA EN RESULTADOS:

El propósito de sus alianzas es lograr resultados para las empresas que confían en su tecnología. Esta seguridad a su vez, basada en resultados, se alinearán estrechamente con los resultados comerciales y formarán una parte integral de la estrategia de la empresa.

 

EXPERIENCIA COMPROBADA

La experiencia comprobada significa que nunca WithSecure™ les va a dejar solo. Brindan tecnologías y soportes basados ​​en investigaciones líderes en el mundo. E independientemente del alcance de su acuerdo de partnership, los expertos de WithSecure™ estarán ahí para sus socios cuando los necesiten. Esto podría significar brindarle a todo el personal de sus socios todo el apoyo y capacitación necesaria e involucrarse directamente en los casos más difíciles a través de su servicio Elevate.

 

TECNOLOGÍA INSTINTIVA

Su tecnología instintiva simplifica tu vida adaptándose a las necesidades de sus clientes combinando su experiencia con inteligencia de automatización profunda y conocimientos conectados. La depuración constantes de todo eso permite a WithSecure™ hacer mucho más con menos y concentrarse en brindar seguridad basada en resultados a sus clientes.

 

ENFOQUE DE CO-SEGURIDAD

El enfoque de WithSecure™ de “Co-Seguridad para la colaboración” significa trabajar con sus socios dentro de parámetros claramente definidos. Para ayudar de manera conjunta a sus clientes a lograr los resultados de seguridad deseados, es importante que todos conozcan su función. Esto puede variar según la relación, desde brindarle únicamente la mejor tecnología que necesita, hasta asumir un papel proactivo para brindarle apoyo en la creación de su oferta de seguridad gestionada.

Ver evento de Lanzamiento de WithSecure
]]>Thu, 31 Mar 2022 12:00:15 +0200<![CDATA[Cefiros se convierte en Mayorista exclusivo de Keeper Security]]>https://www.cefiros.net/blogs/post/Cefiros-comienza-a-distribuir-Keeper-SecurityPara llevar a cabo sus objetivos de expansión en Iberia, Keeper Security ha seleccionado para la distribución de sus soluciones de seguridad a Cefiros como su Mayorista para España y Portugal.]]>

Keeper Security apuesta por Cefiros como Mayorista de sus soluciones para Iberia

   Más del 80 por ciento de todas las fugas y violaciones de datos se deben a contraseñas débiles o robadas, por lo que es más importante que nunca administrar las contraseñas de manera efectiva. Esto hace imprescindible que se implemente una solución de administración de contraseñas a todos los niveles independientemente del tamaño organización, como parte de una estrategia integral de seguridad cibernética.

  

 Para llevar a cabo sus objetivos de expansión en Iberia, Keeper Security ha seleccionado para la distribución de sus soluciones de seguridad a Cefiros como su Mayorista para España y Portugal.

  

 Con este acuerdo de distribución, los resellers e integradores de Cefiros podrán ofrecer nuevos servicios orientados a ayudar a sus clientes a prevenir fugas de datos y ataques cibernéticos, mejorar la productividad de los empleados y cumplir con los estándares de cumplimiento.

  

 “Keeper ofrece al canal de Cefiros completar sus soluciones de seguridad con una solución atractiva para uno de los mayores desafíos que enfrenta la industria y la seguridad TI en la actualidad”. Con este acuerdo, Cefiros respalda la expansión de Keeper en el sur de Europa “proporcionando los equipos técnicos y comerciales necesarios para ofrecer el mejor soporte posible a nivel local”, ofreciendo una solución atractiva para uno de los mayores desafíos que enfrenta la industria y la seguridad TI en la actualidad”, comentó Ángel Carreras, Director de Cefiros.

  

 La seguridad cibernética debería comenzar con la protección con contraseña, por lo que para Cefiros, es un placer ser el Mayorista de la solución de protección con contraseña líder de Keeper. "Firmar este acuerdo de distribución con Keeper Security es una parte importante de nuestra estrategia general y encaja muy bien en el portfolio de soluciones de Cefiros", agregó Ángel Carreras.

  

“En Keeper estamos muy entusiasmados en ofrecer nuestras soluciones de ciberseguridad en toda Iberia a través de esta relación con Cefiros", dijo Roland Steinmetz, director de canal de Keeper para EMEA. "Con su nuevo enfoque centrado en el mercado, Cefiros es un socio de distribución ideal para nosotros, ya que ayudamos a las empresas de toda la región a evitar infracciones de datos relacionadas con contraseñas y amenazas cibernéticas".

Más Información
]]>Thu, 16 Apr 2020 23:15:26 +0200<![CDATA[¿Como segmentamos un entorno virtual? (I)]]>https://www.cefiros.net/blogs/post/¿Como-segmentamos-un-entorno-virtual-I

El paradigma de la segmentación

Las organizaciones de seguridad de TI hoy se enfrentan una doble situación. Por una parte, los ataques persistentes (no me refiero a las APT, si no a los atacantes pesados, que no paran de intentar asaltar nuestras defensas) que buscan nuevas forma de acceder a nuestros mas preciados "tesoros", es decir nuestros datos mas sensibles, secretos industriales, para una vez dentro, exfiltrar toda esa información valiosa para nosotros y hacerla pública, venderla al mejor postor, o entregársela a la competencia (de esta última conozco un caso). Y por la otra parte, los directivos del negocio (y alguno pensará si no está ligado a IT seguro que no pasa), lo que quieren es que el equipo de seguridad, liderados por el CISO, no estorben a la hora de poner en producción nuevas aplicaciones o nuevas tecnologías, vamos que somos los "malos". ¿quién no ha vivido eso del…Será del antivirus, o el apaga el IPS que me retrasa las transacciones 0,1 ms de cara al usuario?

Todas estas presiones hay que valorarlas, o reforzamos la seguridad a expensas de perder flexibilidad o avanzamos a nuevas situaciones, asumiendo mucho mas riesgo. Es complicado estar en la piel del responsable de seguridad, visto del punto de vista de cliente final, o ser el consultor de seguridad que debe aconsejar a la compañía X para estar protegida y a la vez manteniendo todo funcionando.

En este nuevo "Status QUO" donde hemos pasado de tener una sala de 400m2 llena de racks con switches, servidores, cabinas de discos, aparatos raros de comunicaciones (si eso que da mucho la lata con que el puerto del emule no funciona), a tener esa misma sala casi vacía manteniendo únicamente 12 racks (4 cabinas de discos, 2 de comunicaciones core, 1 para los dispositivos de seguridad, y el resto tenemos host de virtualización con vmware u OpenStak, donde tenemos ya todo consolidado)

Antes de llegar a este punto, siempre se hablaba de la segmentación de redes, no por motivos de seguridad, sino para evitar que los dominios de broadcast demasiado grandes tumbasen todos los sistemas, pero ahora ¿cómo hacemos esa segmentación? Alguno dirá, de manera lógica en los switches virtuales usando vlans diferentes como si fueran físicos. Pues esto no es suficiente.

Y os preguntareis  ¿porqué? , Pues debido a los diferentes amenazas que existen en el mundo virtual, y ya no por las vulnerabilidades, si no porque ya no hay un control sobre ese switch virtual en el sentido que si alguien consigue levantar un equipo virtual en ese host de virtualización, tenemos que el switch virtual tiene todos los puertos UP, con lo que podremos conectarnos a cualquier switch virtual y llegar donde sea. Aquí no tratamos como llegamos al host de virtualización y podemos crear equipos virtuales…que esto también es otra fiesta, que si queréis lo tratamos otro día.

Para protegernos de estos posibles efectos, y agilizar el funcionamiento del negocio para evitar paradas inesperadas, o vulnerabilidades críticas en esos sistemas, existen tecnologías específicas

 

Pero hay algunas tecnologías que tienen el potencial de mejorar tanto la seguridad como la agilidad comercial al mismo tiempo. La microsegmentación es una de esas tecnologías raras y punteras.

Grandes Desafios a los que nos enfrentamos

Detener Movimientos laterales entre VLANS y dentro de la misma subred:

Las defensas perimetrales de toda la vida, ya no nos fiamos de ellas para mantener al "malo" de turno alejado de nuestra red, pero tampoco nos funciona para los insiders internos, si aquellos de los que hable en la charla en el Aslan de este año, ver video.

La mayoría de nosotros, profesionales con muchos años en el mundo de la seguridad IT, estamos familiarizados con los marcos de trabajo como el de Lockheed Martin Cyber Kill Chain® . (Ver fuente)


Estos marcos explican cómo los "malos", que pueden ser insiders u outsiders, pueden abrirse paso dentro de una red corporativa mediante la explotación de una vulnerabilidad o la adquisición de credenciales legítimas de los usuarios. Con ello, exploran la red para encontrar vulnerabilidades adicionales, y finalmente exfiltrar (o destruir) la información confidencial, que al fin y al cabo, es lo que han "venido" a hacer.

Las estadísticas, según los informes de Verizon de los últimos 3 años, indican que es muy muy complicado reducir el "tiempo de permanencia" de los "malos" dentro de la infraestructura. La virtualización y la tecnología Cloud, agrava este problema. Es muy complicado proteger las aplicaciones y servicios SaaS.

En estos entornos, la limitación de los movimientos laterales se convierte en una prioridad para profesionales de Seguridad IT, con sus limitaciones obviamente. Si un cibercriminal pone en peligro las credenciales de un empleado que usa la aplicación A, ¿podemos tener la certeza de que no pueda acceder a las aplicaciones B, C y D?

Si aplicamos lo mismo, a una red corporativa, y el cibercriminal descubre la contraseña de un administrador del sistema, ¿podemos tener la certeza de que no pueda conectarse al resto de sistemas?

Resumiendo, NO, no tenemos certeza, para ello tenemos que cubrirlo con 2 soluciones, de las cuales hablaremos mas adelante.

Implementando seguridad dinámica

Erase una vez, en los que se instalaban los sistemas, redes y aplicaciones, y podían estar así toda la vida, eran totalmente estáticos. Todo era estático, reglas de Firewall, cantidad de datos que viajaban por la red, las ACL que daban acceso a las diferentes VLANS (eso el que lo tenía así definido, que durante mi carrera solo lo he visto 2 veces)

Pero los entornos de ahora, no tienen nada que ver con aquellos, y muchos administradores y responsables de IT/Comunicaciones, siguen pensando en el entorno "pasado":

  • Aplicaciones multicapa con múltiples flujos:
  • Frontend
  • Middleware
  • Backend
  • Las aplicaciones y los sistemas, reciben actualizaciones casi diarias, con lo que ello implica
  • Los diferentes módulos que se necesitan, están distribuidos dentro del CPD Virtual, en diferentes centros de datos físicos, en ubicaciones separadas por varios cientos de kilómetros, (si usamos un centro de datos en la Nube)
  • Las empresas, "reciclan" continuamente los servidores físicos y virtuales, para aprovechar los recursos de manera óptima, y consolidan en sistemas virtuales, para tener una carga de trabajo óptima.

La mayoría de las empresas, con un fuerte departamento de IT, están empezando a coquetear con la automatización, que ha permitido nuevos conceptos, tanto en el área de comunicaciones, como de sistemas, como son Virtualización, Orquestación, implementación continua, SDN, SDWAN, etc.

Sin embargo, la mayoría de los procesos de seguridad IT, son manuales, o no nos atrevemos a "Automatizarlos". Por lo que tenemos un freno o cuello de botella, a la hora de implementar mejoras técnicas en los sistemas IT, como los indicados anteriormente.

Por ejemplo, antes de desplegar una nueva aplicación, el equipo de seguridad puede requerir semanas para analizar un flujo de tráfico y las propuestas de cómo se desplegará la aplicación (Arquitectura de la misma), documentar que políticas harán falta (y siempre faltan políticas porque la documentación del producto es pobre en esta parte, y no digo nada si la aplicación es creada 100% en casa),crear la nuevas reglas de firewall y probar los flujos de datos resultantes.

Y si nos metemos en el "charco" de una migración, esto se multiplica por 1000, porque en la mayoría de los casos, esos flujos se desconocen. Y esto se complica muchísimo mas, si nos metemos en el proyecto de consolidación de centro de datos o la migración de un Centro de datos, a otro, en el que hay que documentar todo.

La Segmentación de red sin control, no sirve de nada

Parafraseando un conocido anuncio de neumáticos, la segmentación "tradicional" puede ser eficaz hasta cierto punto, pero esa segmentación es de "punto gordo", y es totalmente inflexible.

Hoy día, la mayoría de CPD, ya sean tradicionales, VPC (donde puedas "jugar" con tu instancia de VMWARE/OpenStack) o similares, se dividen en dominios de broadcast, y estos dominios se separan mediante un firewall lógico, que en el mejor de los casos tiene en cada VLAN una red de tipo C, como os muestro en la imagen. El tráfico entre zonas, pasa por el firewall, pero es "engorroso" y poco flexible.

Cierto que aquí protegemos las zonas, entre el tráfico entre zonas, y solo podremos tener permitido un trafico concreto entre una zona y otra, pero el atacante puede aprovechar la vulnerabilidad del protocolo, para liarla. ¿Os acordáis del wanacry?

Sin embargo, la segmentación de red convencional tiene serias limitaciones:

  • Al ser una zona grande, el atacante que pueda "colarse" en un servidor, o puesto de usuario, tiene barra libre para todo movimiento lateral (E-O) sin restricciones
  • El alto precio de los firewalls tradicionales, y en consecuencia, la segmentación de la red en subredes mas pequeñas, hace casi inviable el proceso, aunque con nuestro fabricante este coste baja considerablemente
  • Los firewalls, por lo general tienen cientos de reglas, y si se modifica algo en las aplicaciones, toca revisar, modificar y probar, y se lía siempre, ya que el que modifica la aplicación no se acuerda de avisar al equipo de administración de seguridad, y siempre toca cambiar reglas fuera de hora, fuera del ciclo de aplicación.
  • Los firewalls y NGFW convencionales no pueden controlar efectivamente el tráfico entre máquinas virtuales en el mismo hypervisor, vamos que un firewall virtual en un VMWARE, solo protege del tráfico entre redes, no dentro de la misma red. 

Principios de la micro segmentación

La microsegmentación es una técnica de seguridad que permite asignar políticas de seguridad granulares a las aplicaciones. Se basa en dos principios clave: granularidad y adaptación dinámica.

Estos principios hacen que la microsegmentación sea fundamentalmente diferente de la segmentación de red convencional.

Segmentación Granular

El truco es encontrar puntos de monitorización y siempre disponible para hacer que la segmentación sea granular y sobre todo FACIL.

La monitorización de la aplicación se pueden realizar:

  • En la red virtual
  • En los hosts virtuales

Hay que tener encuenta que la granularidad al 100%, puede ser muy muy compleja, aunque sea fácil implantarla. De esta manera, podemos tener en el mismo segmento de red (vlan), entornos de Desarrollo y pruebas, sin necesidad de complicar la arquitectura de red.

Segmentación dinámica

En los entornos actuales, donde se requiere agilidad y la no dependencia de los administradores, necesitamos una solución que se pueda adaptar de manera dinámica a esto cambios.

Si lo hacemos manualmente, tendríamos menos flexibilidad, mas errores y mas carga de trabajo para el administrador, con lo que al final no tendríamos una política efectiva.

La "segmentación dinámica" nos permite poder tener un control granular de la segmentación al combinar la abstracción, la inteligencia y la automatización.

  • Abstracción: capacidad de crear políticas de seguridad basadas en aplicación (como web, aplicaciones y niveles de bases de datos) más que en datos de red (direcciones IP, subredes y VLAN).
  • Inteligencia: capacidad de detectar cuándo hay cambios en las aplicaciones o la infraestructura, y luego reconfigurar las políticas con esos cambios.
  • Automatización: capacidad de implementar políticas de seguridad nuevas, o modificar políticas, sin intervención humana.

Conclusiones

La micro segmentación, es la segmentación para aquellos que quieren acotar los grandes problemas de las infraestructuras IT, sobretodo llevado a los entornos virtuales mas extendidos (VMWARE y OpenStack) en entornos propios. El principal desafío es detener los movimientos laterales, dividiendo los activos IT virtuales, en compartimientos controlables y pudiendo aplicar seguridad de manera dinámica a estos compartimientos permitiendo o denegando tráfico de aplicaciones, o reconfigurando de manera automática cuando un componente de la aplicación cambia.

Adicionalmente, esta solución es muy económica y no requiere adquirir costosas soluciones o distribuir agentes en los equipos, lo que hace que el ROI de la solución es muy alto en muy corto plazo, y lo mas importante de todo, es que no necesitas desplegar agentes, como con otras soluciones, con lo que no interfieres en el Sistema Operativo, y no "molestas" los procesos habituales.

De que hablamos? Pues de la solución de microsegmentación de HillStone, CloudHive (Ver video 1, Ver Video 2)

En otros "episodios", hablaremos de la solución, y del resto de soluciones que dejo entrever en el artículo.

Si quieres saber mas, no dudes en contactar conmigo, o solicitar información aquí

Créditos:

https://jisajournal.springeropen.com/articles/10.1186/s13174-014-0015-z

https://www.uila.com/blog/Microsegmentation-Challenges

es.wikipedia.org

]]>Mon, 03 Sep 2018 09:46:41 +0200<![CDATA[Protección Entornos IaaS]]>https://www.cefiros.net/blogs/post/Protección-Entornos-IaaS

Uno de los puntos que pasamos muy por encima en el anterior artículo (http://bit.ly/CFLKD01), es la adecuación de los entornos IaaS a la GDPR o RGPD, en adelante Reglamento.

Es un punto con varios puntos de vista o criterios de aplicación, y desde aquí solo doy mi punto de vista.

En lo referente a la seguridad de los servicios IaaS que existen, uno de las premisas es tratarlo como un infraestructura “al uso”, con sus peculiaridades obviamente, pero no debemos olvidar que un servidor virtual no deja de ser igual que otro servidor físico.

 

Lo principal diferencia de estos entornos es la plataforma en la que se ejecuta, y aunque el proveedor proteja el acceso a su infraestructura con un firewall, WAF, DDoS, no exime al que usa el servicio de dar seguridad a su infraestructura, sobre todo si va a albergar datos sensibles, con lo que la aplicación de PCI-DSS, el Reglamento, o cualquier otra regulación que afecte a datos sensibles, y sean personales o de transacciones bancarias, ya que finalmente será el responsable total de cualquier incidente de seguridad que sufra su infraestructura, esté donde esté.

 

Hay varias formas de cubrir la seguridad de estas infraestructuras, pero lo podemos resumir en 3 puntos principalmente:

  1. Acceso a la infraestructura mediante acceso público.
  2. Seguridad Perimetral
  3. Seguridad Interna

Acceso a la Infraestructura

Cuando se accede a la infraestructura desde cualquier ubicación y no se realiza mediante la conexión que tiene el “tenant” directa (VPN de Azure por ejemplo), es importante saber quién y cómo se conecta, y obviamente tener una auditoria de todo lo que afecte a la infraestructura, acceso al panel de control etc. etc.

Para ello, la única opción viable para cubrirlo es con un CASB, en nuestro caso SkyHigh.

Con ello podremos:

  • controlar los accesos privilegiados de los administradores
  • ver que tareas realizan
  • comportamientos de los usuarios y administradores
  • Prevención de Amenazas
  • Encriptar la información que se introduzca o enmascararla.
  •  

Seguridad Perimetral

Una vez que tenemos bajo control esta parte, nos queda la parte “tradicional”, es decir la seguridad perimetral, adaptado a infraestructuras como servicio.

Para ello para proteger el acceso desde el exterior o desde las comunicaciones punto a punto, desde Cefiros aconsejamos usar Cloud Edge, el NGFW de HillStone adaptado al mundo IaaS.

Con ello obtendremos la capacidad “tradicional” de filtrar las diferentes redes, los accesos, IPS/IDS, etc, garantizando de esta manera la seguridad de los accesos.

Cloud Edge se caracteriza por ser de los pocos productos que se pueden ejecutar en cualquier plataforma Iaas (Google, Amazon, Azure, Huawey, etc) y está disponible en todas las “Tiendas” de los proveedores de servicio.

Que quiere decir esto, que independientemente donde se dé el servicio, por capacidad operacional o por necesidades de la compañía, se puede cubrir este punto, ya que no todos los fabricantes de seguridad están disponibles en todas las ubicaciones.

Otro punto a su favor, en “nubes privadas” ya sean de un proveedor o propias, es que sobre plataforma Vmware, no requiere NSX para funcionar, e incluso de esta manera el producto dispone de todas las funcionalidades.

Otro punto a su favor, es que trata a ese gran “olvidado” que es Hyper-V, dando soporte a este servicio extendido en muchos clientes y que pocos dan cobertura.

 

Otros puntos importantes a destacar de esta solución:

  • Altamente compatible con los todos los principales Hipervisores.
  • Despliegue y configuración inicial automática
  • Gestión de licencias automática
  • Elasticidad y alto rendimiento, no requiere reinstalar al aumentar la memoria, CPU o Interfaces
  • API RESTFULL
  • REST API
  • Altamente integrado con la orquestación de NFV

 Por todo ello tiene el reconocimiento de los principales fabricantes y proveedores IaaS

    

Seguridad Interna

En este punto, como indicaba en mi anterior entrada (http://bit.ly/CFLKD01), entra en juego 2 factores, la microsegmentación y la seguridad “tradicional”.

En la microsegmentación, este punto da mucho de qué hablar y lo trataré más extensamente en otra publicación, es el principio donde todo servidor virtual tiene acotado sus movimientos laterales. Este principio solo lo podemos aplicar, en infraestructura que nos pertenezca, sin armar mucho revuelo. En este caso concreto, Cefiros recomienda usar Cloud Hive de HillStone. ¿Por qué recomiendo esta solución? Principalmente por 2 motivos, no requiere NSX aunque se puede integrar en el si lo tuviera, y soporte de vmware y OpenStack, que son las dos plataformas más extendidas para NFV/SDN.

Con esta solución obtenemos los siguientes beneficios:

  • Gestión centralizada de todos los flujos de servidores que pertenezcan al mismo gestor (Virtual center)
  • No Disruptivo:
    • Despliegue de nivel 2

  • API Restfull
  • Monitoriza todo el tráfico de los equipos virtuales
  • Detección y prevención de amenazas
    • Ataques Web
    • Spoofing
    • Session Hijacking
    • DDoS flood
    • Cross-Site Scripting
  • Gestión de la seguridad fuera de banda sin entorpecer el tráfico de producción
  • Seguridad Completa en cada equipo:
    • IPS
    • AV
    • Control de Apps.
  • Soporte de vMotion y Live-Migration 

 En la seguridad tradicional, además de adaptar las recomendaciones de mi anterior artículo, hay que tener en cuenta que en entornos IaaS, es altamente recomendable tener la comunicación cifrada, o al menos los servidores virtuales, sus archivos, estén cifrados, ya que de esta manera el proveedor del servicio no podrá obtener nada de información al respecto. 

Conclusiones

Muchos administradores de sistemas dirán que es demasiado excesivo, pero no hay que pensar solo en el beneficio propio a la hora de administrar, que obviamente hay que tenerlo en cuenta, si no que la seguridad de la compañía es un punto muy importante, del cual de manera indirecta puede depender su puesto de trabajo. Si la compañía sufre una fuga de información, tal y como indica el Reglamento, deberá hacer frente a la correspondiente sanción, con lo que ello puede suponer, y dependiendo de la cuantía puede verse llevada a cesar en sus operaciones. En “vidas” pasadas he tenido mis mas y mis menos con los diversos administradores de sistemas, que en definitiva su resistencia al cambio era dura, pero como siempre he intentado que vean es, míralo de esta forma, esto que hacemos al final es para salvaguardar tu reputación y tu puesto y si aplicas las medidas no podrán decir nada, sobre todo cuando son medidas aprobadas por el mismo cliente.

]]>Mon, 05 Feb 2018 21:47:56 +0100<![CDATA[Ataques de nivel 2 y cómo protegerte en redes SDN con HillStone]]>https://www.cefiros.net/blogs/post/Ataques-de-nivel-2-y-como-protegerte-en-redes-SDN-con-HillStone

Como todos sabemos, los ataques de nivel 2 son aquellos que se tienen que ejecutar prácticamente en la misma red, o consiguiendo un acceso remoto a un servidor y desde allí lanzar el ataque, con lo que ya tenemos 2 problemas en este último caso.

Los ataques de ARP Poisoning o ARP Spoofing, pueden causar una tormenta de broadcast de nivel 2, con lo que podemos llegar a afectar a toda la electrónica de red y causar una caída total del sistema. Las respuestas de ARP spoofing, se envían al switch, que básicamente lo convierte en un Hub. Cuando esto sucede, un hacker puede capturar todos los paquetes que pasan por el switch y capturar cualquier cosa de la red. Este defecto de seguridad es inherente a cómo se manejan las comunicaciones TCP / IP y es algo que no se puede modificar, por ello hay que tomar medidas para prevenir estas situaciones.

Imaginemos una red de equipos VDI, sobre una infaestructura de VMWare, al final esos equipos VDI, que no nos olvidemos son equipos de usuarios la gran mayoría, cuelgan de una red de servidores, o de una red de usuarios dentro del ámbito de servidores, y con un direccionamiento entre /18 y /24, es decir entre unas 16300 y 254 IP's, sin segmentación por áreas o departamentos.

Se suele montar así por simplicidad, facilidad de administración y no se suele pensar en la seguridad en el diseño.

Por ello, a la hora de securizar ese entorno o segmentarlo se complica muy mucho, y aquí es donde entra en juego nuestra solución de microsegmentación y protección desde Nivel 2.

Con HillStone Cloud Hive, logramos la microsegmentación a nivel de cada equipo, creando un contenedor por cada equipo virtual, protegiendo así a cada equipo de ataque desde nivel 2, en el caso que nos ocupa, o de ataques dirigiros de L3 a L7 venga de donde venga, protegiendo así el equipo.

Con esto conseguimos una protección de movimientos laterales, sin precedentes, y si un equipo se infecta, estará controlado todos sus accesos, y podemos tenerlo en "cuarentena" sin tener que modificar en ningún momento el entorno de red, que realmente es la parte compleja a la hora de segmentar.

Con esta solución, además, ganamos:
  • Visibilidad a nivel de flujos de tráfico, y es una herramienta perfecta para poder documentar esos flujos de tráfico que desconocemos en equipos nuevos, o documentar aquellas aplicaciones "legacy" que se han virtualizado por sostener el servicio y se desconoce totalmente con quien y como se comunican.
  • Captura de tráfico de red, sin tener que desplegar nada en el servidor o puesto. Quejas de, la red va lenta, son fácilmente resueltas, al tener la capacidad de capturar tráfico, sin tener que molestar a los administradores o usuarios.
  • Protección frente ataques DoS o DDoS, al tener un IPS por cada servidor, recomendado por NSSLabs.
  • Inventario mejorado, teniendo la capacidad de captar cualquier cambio en el entorno virtual, ya sea al renombrar el equipo, añadir nuevos equipos virtuales o redes, migración de equipos etc.

Al desplegar HillStone Cloud Hive, adicionalmente a la red de servicio, que es la que se protege, de cada equipo, se añade una red de gestión fuera de banda, que es por donde se gestiona el servicio, a nivel global

Lo principal de la solución, es la capacidad de desplegarse sin interrupción del servicio y de no necesitar NSX para funcionar, proporcionando esta protección:
  • Defensa contra ataques
  • Firewall
  • Prevención de Intrusiones / Parcheo Virtual
  • Antivirus de pasarela para tráfico HTTP, POP3, SMTP, FTP e IMAP
La visión que se obtiene, aunque sea para auditorías y no se filtre nada, sirve para tener una visión completa de lo que pasa.

Si quieres saber mas sobre el producto, formas de licenciamiento y cualquier cosa que se te ocurra, ponte en contacto con nosotros sin dudarlo.

Os dejo el enlace a la descarga del documento: 

]]>Wed, 25 Oct 2017 10:00:00 +0200<![CDATA[Webminar de redBorder para todos nuestros Clientes]]>https://www.cefiros.net/blogs/post/WebminarRedborderClientes

¿Quieres conocer que pasa en tu red gracias a redBorder?

¿Quieres ver más allá de lo que te muestra un SIEM?

¿Quieres detectar tráfico anómalo entre el tráfico habitual de tu red?

¿Tienes sospechas de tener algo raro en tu red y con las herramientas tradicionales no puedes localizarlo?

Asiste gratuitamente al webinar deredBorder y podrás descubrir como gracias a su tecnología, única en el mercado,  te daremos respuesta a las preguntas anteriores y muchas más, y apreciar por ti mismo, más aplicaciones como las siguientes:

  • Conocer en cada momento el estado de salud de la red, cableada o inalámbrica.
  • Conocer la actividad de tus redes Inalámbricas, ubicación de los usuarios, que tiempo pasan en cada Punto, etc.
  • Conocer la actividad de tus redes OT y de los dispositivos IoT, y tomar medidas protectoras en estos entornos.
  • Automatización de acciones preventivas.
  • Conocer las relaciones que tienen los diferentes equipos en la red, para poder documentarlo.
  • Interactividad social (aplicado a eventos y sector Retail).

Todo ello en una solución totalmente escalable, basado en Big Data y pensando totalmente en la seguridad.
¡¡Pídenos información adicional o Inscríbete al Webinar!! 

]]>Thu, 19 Oct 2017 11:55:00 +0200<![CDATA[Webminar de redBorder para todos nuestros partners]]>https://www.cefiros.net/blogs/post/Webminar-de-redBorder-para-todos-nuestros-partners

¿Quieres conocer que es redBordery cómo funciona?

¿Te interesan soluciones de este tipo, pero te parece complicado contarlo a tus clientes? ¿Quieres conocer una solución robusta y con varias referencias globales muy interesantes?

Hazte partner de redBorder, y con su tecnología de Análisis de Tráfico de Red (NTA), ofrece servicios avanzados de seguridad en Red a tus clientes.

Descárgate el PPT de la Solución

Y si quieres asistir gratuitamente al webinar de redBorder del próximo martes 25 de Octubre a las 17:00 horas te daremos respuesta a las preguntas anteriores y muchas más, y descubrirás como gracias a su tecnología, única en el mercado, podrás aplicarla a tus clientes y ofrecer servicios avanzados de Ciberseguridad:
  • Conocer en cada momento el estado de salud de la red, cableada o inalámbrica, más allá de un simple SNMP.
  • Conocer la actividad de redes Inalámbricas, ubicación de los usuarios, que tiempo pasan en cada Punto, etc.
  • Conocer la actividad de redes OT y de los dispositivos IoT, y tomar medidas protectoras en estos entornos.
  • Automatización de acciones preventivas. - Conocer las relaciones que tienen los diferentes equipos en la red, para poder documentarlo.- Interactividad social (aplicado a eventos y sector Retail).
Todo ello en una solución totalmente escalable, basado en Big Data y pensando totalmente en la seguridad.

]]>Thu, 19 Oct 2017 10:00:00 +0200<![CDATA[CIBERATAQUES CON DISPOSITIVOS USB]]>https://www.cefiros.net/blogs/post/CIBERATAQUES-CON-DISPOSITIVOS-USB

España, en los últimos dos años, ha gestionado más de 4.000 ataques similares al Wannacry. Además, en este mismo periodo de tiempo el 32% de las empresas españolas reconoce haber recibido algún tipo de Ciberataque. Estos datos corroboran el posicionamiento de España como tercer país del mundo que más ciberataques recibe. Dato que nos obliga a reflexionar sobre el futuro en la Ciberdefensa y Ciberseguridad en España.

Los ataques dirigidos o indiscriminados para poder obtener beneficio de las víctimas, beneficios económicos, de información, robo de claves, usurpación de identidad e incluso deterioro de las propias máquinas, son cada vez más habituales y su tendencia es a un aumento de tipo exponencial.

 Para los ciberdelincuentes, la facilidad de perpetrar este tipo de ataques les permite realizarlos de manera continua, rápida y con grandes beneficios. Al contrario que para las víctimas, esta facilidad les dificulta la detección rápida y una defensa óptima, aparte de desconocer las dimensiones del ataque y sus consecuencias posteriores.

 Todos en el sector, y también los que no están en él, conocen los ataques tan famosos de malware como son los del tipo Ransomware como Wannacry o CriptoLocker, pero, ¿cuántos hay que no salen a la luz?, ¿cuántas empresas detectan, tarde, que les han robado datos?, datos que no son suyos, datos que no han podido proteger de manera correcta, ¿cuántos desconocen que les han usurpado su identidad? …..

En Mayo de 2018, todas las empresas y también autónomos, deberán adaptarse a la Nueva Ley de Protección de Datos (GDPR en inglés). Dentro de esta normativa, las empresas están obligadas a implantar sistemas de cifrado y de doble factor de autenticación. Además, incluye la obligatoriedad de notificar las brechas de seguridad que pudieran producirse, de estas brechas deberán obtener información de todos los intentos de intrusión y de accesos no autorizados y comunicarlos en un determinado plazo.

 ¿Brechas de seguridad? ¿Comunicar intentos de ataque? Podemos establecer medidas de protección conocidas, pero, ¿qué pasa con los puertos USB?, ¿los inhabilitamos?, ¿renunciamos a ellos?... para nosotros esta solución no es la adecuada, no cubre de manera óptima esa brecha.

 Hoy en día la información se mueve a través de muchos canales y dispositivos, disponer sistemas de almacenaje USB es también parte de ellos.

authComm ayuda a no renunciar a una herramienta tan útil como son los “pendrive”. En authComm han desarrollado y patentado un dispositivo hardware con software integrado que protege a los equipos, su información y a las propias organizaciones de los posibles ataques que, por este medio, puedan realizarse tanto de Malware, BadUSB o USBKiller. Además, audita y aporta la toda la información necesaria sobre dichos ataques para posteriormente remitirlo al órgano designado y a realizar un análisis interno de la misma.

Sus funciones dentro del plan de protección diseñado por la empresa estarán centradas en los puertos USB. authShieldUSB, que es como se llama esta solución, cubre las funciones de:

  • Análisis de dispositivos: Analiza el firmware de dispositivos USB descartando aquellos que no son estrictamente de almacenamiento. Posteriormente monitoriza su actividad.
  • Análisis de la información: Analiza la documentación contenida en el dispositivo de almacenamiento, permitiendo sólo la descarga de aquellos archivos limpios de malware.
  • Protección frente a fugas de Información: Imposibilita la extracción de información por medio de dispositivos USB, su configuración es de solo lectura. El flujo de información siempre es de un único sentido, de fuera hacia dentro.
  • Conectividad: El equipo o los equipos anfitriones se conectan al dispositivo por Ethernet o WIFI. Se trata de una conexión segura validada y en un sólo sentido.
  • API de desarrollo: Cuenta con una potente API para desarrolladores, mediante la cual, el dispositivo usbBox puede integrarse como parte de un sistema mayor.
  • Centralización: Permite el almacenamiento de la información de los dispositivos conectados y la información de los documentos analizados en un servidor centralizado.
  • Soluciones en Movilidad: Permite el almacenamiento local fuertemente cifrado de la documentación analizada para personas que se encuentren en tránsito.

 

  Es el momento de protegerse de manera efectiva. Saber que tenemos la capacidad de blindar, de manera segura, uno de los vectores más vulnerables en toda protección de equipos, como son los puertos USB, siendo estos ataques dirigidos o no. Con la ventaja de auditar todo el flujo de información que nos aportan los dispositivos USB. Disponer de un antivirus adicional, o incluso de herramientas multiscan, de evitar la fuga de información y de proteger el hardware de los “bien” llamados USBKiller. authShieldUSB es una buena herramienta para adecuarse a la Ley de Protección de Datos y como herramienta interna que complemente al resto de soluciones dentro del Plan de Seguridad informática de las Empresas.

Os adjuntamos el datasheet

 http://www.authcomm.es/brochures/authShieldUSB.pdf


Creditos:

 Autor: Authcomm - Estefania Soto

]]>Wed, 18 Oct 2017 11:00:00 +0200