Posts etiquetados ‘ciberseguridad’

Resultado de imagen de ccn cert


Publicado: 14 Mayo 2017

https://www.ccn-cert.cni.es/seguridad-al-dia/comunicados-ccn-cert/4488-informe-del-ransomware-de-la-familia-wannacry-que-incluye-medidas-para-su-deteccion-y-desinfeccion.html

  • El CCN-CERT ha actualizado además la vacuna para impedir la ejecución del código dañino en todos los sistemas Windows
  • El informe recoge el análisis preliminar de la campaña masiva que ha afectado a nivel global con varias muestras de ransomware de la familia WannaCry, que realizan un cifrado masivo de ficheros y solicitan un rescate para recuperarlos.

El CCN-CERT acaba de publicar en su portal el Informe de Código Dañino: CCN-CERT ID-17/17 Código Dañino. WannaCry, que recoge el análisis preliminar de la campaña de ransomware de la familia WannaCry, iniciada este viernes, 12 de mayo, y que realiza un cifrado masivo de ficheros para, después, solicitar un rescate para recuperarlos.

Esta variante de ransomware incorpora código para realizar la explotación de la vulnerabilidad publicada por Microsoft el día 14 de marzo descrita en el boletín MS17-010 y conocida como ETERNALBLUE. Hasta el momento todas las máquinas han sido atacadas mediante este exploit.

El ransomware WannaCry, escanea tanto la red interna como la externa, realizando conexiones al puerto 445 (SMB) en busca de equipos no actualizados, para propagarse a ellos e infectarlos,  lo que le confiere a la muestra funcionalidad similar a la de un gusano. Este movimiento lateral dentro de la red utiliza una variante del payload DOUBLEPULSAR.

Como es habitual en este tipo de Informes, el CERT Gubernamental Nacional incluye las siguientes secciones:

  • Información del código dañino
  • Detalles generales
  • Procedimiento de infección
  • Características técnicas
  • Cifrado y ofuscación
  • Persistencia en el sistema
  • Conexiones de red
  • Archivos relacionados
  • Detección
  • Desinfección
  • Información del atacante
  • Vacuna
  • Reglas de detección (Snort y Yara)

Vacuna para prevenir la infección

El CCN-CERT ha actualizado su herramienta desarrollada para prevenir la infección por el código dañino WannaCry 2.0. Se trata de “CCN-CERT NoMoreCry Tool“, una aplicación que impide la ejecución del malware antes de que el equipo esté infectado (la herramienta no es útil en el caso de que la máquina esté infectada).

La herramienta funciona ya en todos los sistemas operativos de Windows.

Otras medidas recomendadas por el CERT Gubernamental Nacional frente a este ransomware son las siguientes:

  • Actualizar los sistemas a su última versión o parchear según informa el fabricante
  • Se recomienda instalar el parche de seguridad de Microsoft que impide la propagación del malware al resto de la red.
  • Para los sistemas sin soporte o parche se recomienda aislar de la red o apagar según sea el caso (se recuerda que Microsoft
  • Bloquear la comunicación a los puertos 445 y 139 en las redes de las organizaciones.
  • Establecer reglas que detecten el ataque en los sistemas NIDS.

Descubrir qué sistemas, dentro de su red, pueden ser susceptibles de ser atacados a través de la vulnerabilidad de Windows, en cuyo caso, puedan ser aislados, actualizados y/o apagados.

Más información:

Informe de Código Dañino. WannaCry

Enlace a la herramienta CCN-CERT NoMoreCry y script

CCN-CERT IA-03/17 Medidas Seguridad ransomware

CCN-CERT BP-04/16 Buenas Prácticas frente al ransomware

dr_9

¿Sabes que es una «ciberamenaza»?, y ¿una vulnerabilidad? ¿Sabes cuales pueden suponer un riesgo para tu negocio? ¿Sabes cómo puede afectar un incidente a tu empresa? ¿Está tu empresa en riesgo?

La diferencia entre vulnerabilidad y amenaza es muy interesante, aunque son términos que se confunden a menudo. Veamos cómo se definen:

  • Una vulnerabilidad (en términos de informática) es una debilidad o fallo en un sistema de información que pone en riesgo la seguridad de la información pudiendo permitir que un atacante pueda comprometer la integridad, disponibilidad o confidencialidad de la misma, por lo que es necesario encontrarlas y eliminarlas lo antes posible. Estos «agujeros» pueden tener distintos orígenes por ejemplo: fallos de diseño, errores de configuración o carencias de procedimientos.
  • Por su parte, una amenaza es toda acción que aprovecha una vulnerabilidad para atentar contra la seguridad de un sistema de información. Es decir, que podría tener un potencial efecto negativo sobre algún elemento de nuestros sistemas. Las amenazas pueden proceder de ataques (fraude, robo, virus), sucesos físicos (incendios, inundaciones) o negligencia y decisiones institucionales (mal manejo de contraseñas, no usar cifrado). Desde el punto de vista de una organización pueden ser tanto internas como externas.

Por tanto, las vulnerabilidades son las condiciones y características propias de los sistemas de una organización que la hacen susceptible a las amenazas. El problema es que en el mundo real, si existe una vulnerabilidad, siempre existirá alguien que intentará explotarla, es decir, sacar provecho de su existencia.

Una vez que tenemos clara la diferencia entre amenaza y vulnerabilidad, es interesante introducir el concepto de riesgo. El riesgo es la probabilidad de que se produzca un incidente de seguridad, materializándose una amenaza y causando pérdidas o daños. Se mide asumiendo que existe una cierta vulnerabilidad frente a una determinada amenaza, como puede ser un hacker, un ataque de denegación de servicios, un virus… El riesgo depende entonces de los siguientes factores: la probabilidad de que la amenaza se materialice aprovechando una vulnerabilidad y produciendo un daño o impacto. El producto de estos factores representa el riesgo.

riesgo

Algunas de las fuentes de amenazas más comunes en el ámbito de sistemas de información son:

  • Malware o código malicioso: permite realizar diferentes acciones a un atacante. Desde ataques genéricos mediante la utilización de troyanos, a ataques de precisión dirigidos, con objetivos específicos y diseñados para atacar a un dispositivos, configuración o componente específico de la red.
  • Ingeniería social: Utilizan técnicas de persuasión que aprovechan la buena voluntad y falta de precaución de la víctima para obtener información sensible o confidencial. Los datos así obtenidos son utilizados posteriormente para realizar otro tipo de ataques, o para su venta.
  • APT o Amenazas Persistentes Avanzadas (Advanced Persistent Threats): son ataques coordinados dirigidos contra una empresa u organización, que tratan de robar o filtrar información sin ser identificados. Se suelen ayudar de técnicas de ingeniería social y son difíciles de detectar.
  • Botnets: conjunto de equipos infectados que ejecutan programas de manera automática y autónoma, que permite al creador del botnet controlar los equipos infectados y utilizarlos para ataques más sofisticados como ataques DDoS.
  • Servicios en la nube: una empresa que contrate este tipo de servicios tiene que tener en cuenta que ha de exigir los mismos criterios de seguridad que tiene en sus sistemas a su proveedor de servicios. Se ha de asegurar de contratarlos con empresas cuya seguridad este demostrada, y firmar SLA o ANS (Acuerdos de Nivel de Servicio) en los que quede definida la seguridad que necesita la empresa.

Algunos incidentes pueden implicar problemas legales que pueden suponer sanciones económicas y daños a la reputación e imagen de la empresa. Por eso, es importante conocer los riesgos, medirlos y evaluarlos para evitar en la medida de lo posible los incidentes, implantando las medidas de seguridad adecuadas.

Podemos identificar los activos críticos de los sistemas de información que pueden suponer un riesgo para la empresa, realizando un análisis de riesgos. Análisis que nos llevará a obtener una imagen rigurosa de los riesgos a los que se encuentra expuesta nuestra empresa. Estas fases son las siguientes:

fases del análisis de riesgos

Este análisis nos servirá para averiguar la magnitud y la gravedad de las consecuencias del riesgo a la que está expuesta nuestra empresa y, de esta forma, gestionarlos adecuadamente. Para ello tendremos que definir un umbral que determine los riesgos asumibles de los que no lo son. En función de la relevancia de los riegos podremos optar por:

  • Evitar el riesgo eliminando su causa, por ejemplo, cuando sea viable optar por no implementar una actividad o proceso que pudiera implicar un riesgo.
  • Adoptar medidas que mitiguen el impacto o la probabilidad del riesgo a través de la implementación y monitorización de controles.
  • Compartir o transferir el riesgo con terceros a través de seguros, contratos etc.
  • Aceptar la existencia del riesgo y monitorizarlo.

El tratamiento del riesgo supone unos claros beneficios para la «salud» de la ciberseguridad de nuestra empresa. De esta manera mantendremos protegida nuestra información confidencial y la de nuestros clientes frente a la mayoría de amenazas y vulnerabilidades detectadas (o no), evitando robos y fugas de información. ¡Protege tu empresa!

https://www.incibe.es/protege-tu-empresa/blog/amenaza-vs-vulnerabilidad-sabes-se-diferencian

 

c4n62ehwyaelsum-jpg-large

Informe Anual de Seguridad Nacional 2016 (10.36 MB)

……………………
DEFENSA NACIONAL
LUCHA CONTRA EL TERRORISMO
CIBERSEGURIDAD
LUCHA CONTRA EL CRIMEN ORGANIZADO
SEGURIDAD ECONÓMICA Y FINANCIERA
SEGURIDAD ENERGÉTICA
NO PROLIFERACIÓN DE ARMAS DE DESTRUCCIÓN MASIVA
ORDENACIÓN DE FLUJOS MIGRATORIOS
CONTRAINTELIGENCIA
PROTECCIÓN ANTE EMERGENCIAS Y CATÁSTROFES
SEGURIDAD MARÍTIMA
PROTECCIÓN DE LAS INFRAESTRUCTURAS CRÍTICAS
……………………

cnpic-logo


Dentro de las TIC en el ámbito de las infraestructuras críticas, es habitual la existencia de sistemas de control industrial, que presentan ciertas peculiaridades con respecto a los sistemas tecnológicos empleados en otros ámbitos, debido a la importancia que se presta a la operatividad en tiempo real, y al grave impacto que tendría cualquier incidente sobre ellos. En este sentido el CNPIC, gracias al acuerdo de colaboración que tiene con el Centro Criptológico Nacional (CCN), presenta una serie de guías de interés para la seguridad de los sistemas de control industrial, también conocidos comúnmente como sistemas SCADA. A continuación se relacionan dichas guías y sus objetivos:

  • Version 03-2010 Guia 480A SCADA – Guía de buenas prácticas
    • Obtención de una profunda comprensión de los riesgos a los que se enfrenta el negocio de las amenazas de los sistemas de control de procesos con el fin de identificarlos y conducirlos al nivel adecuado de protección de seguridad que se requiere.
  • Version 03-2010 Guia 480D SCADA – Establecer capacidades de respuesta
    • Basándose en los fundamentos explicados en la CCN-STIC-480A proporciona orientación para establecer las capacidades de respuesta relacionadas con las amenazas a la seguridad digital del control de procesos y los sistemas SCADA.
  • Version 03-2010 Guia 480E SCADA – Mejorar la concienciación y las habilidades
    • Basándose en los fundamentos explicados en la CCN-STIC-480A, se desarrolla examinando en detalle cada una de las áreas clave, proporcionando una orientación general sobre la mejora de las habilidades de seguridad en el control de procesos dentro de las organizaciones.
  • Version 03-2010 Guia 480F SCADA – Gestionar el riesgo de terceros
    • Basándose en los fundamentos explicados en la CCN-STIC-480A, proporciona orientación sobre las buenas prácticas de gestión de riesgos de terceros para la seguridad de los sistemas de control de procesos.
  • Version 03-2010 Guia 480G SCADA – Afrontar proyectos
    • Basándose en los fundamentos explicados en la CCN-STIC-480A, proporciona orientación de buenas prácticas sobre cómo incluir consideraciones de seguridad en los proyectos de seguridad en control de procesos.

logo_ccn_med

Al igual que en años anteriores, 2015 ha visto incrementar el número, tipología y gravedad de los ataques contra los sistemas de información de las Administraciones Públicas y Gobiernos, de las empresas e instituciones de interés estratégico o aquellas poseedoras de importantes activos de propiedad intelectual e industrial y, en general, contra todo tipo de entidades y ciudadanos.

La generalización del uso de los medios electrónicos incrementa la superficie de ataque y, en consecuencia, los beneficios potenciales derivados, lo que constituye sin duda uno de los mayores estímulos para los atacantes.

Así lo ha constatado, un año más, el Centro Criptológico Nacional al elaborar su ya tradicional Informe de Ciberamenazas y Tendencias y cuyo extracto y principales conclusiones presentamos en este documento. En él se examina el impacto, en España y fuera de sus fronteras, de las amenazas y los ciberincidentes más significativos ocurridos en 2015: ciberespionaje (por estados y empresas), ciberdelincuencia, hacktivismo2 y, como singularidad, el que hemos denominado ciberyihadismo (acciones atribuibles a grupos de tendencia violenta y radical dentro del islam político), los actores internos o los ciberinvestigadores.

CCN-CERT: Resumen ejecutivo

indice


Departamento de Seguridad Nacional

Este Informe ha sido elaborado por el Departamento de Seguridad Nacional del Gabinete de la Presidencia del Gobierno, en su condición de Secretaría Técnica y Órgano de Trabajo Permanente del Consejo de Seguridad Nacional, con la participación del Ministerio de Asuntos Exteriores y de Cooperación, el Ministerio de Justicia, el Ministerio de Defensa, el Ministerio de Hacienda y Administraciones Públicas, el Ministerio del Interior, el Ministerio de Fomento, el Ministerio de Educación, Cultura y Deporte, el Ministerio de Empleo y Seguridad Social, el Ministerio de Industria, Energía y Turismo, el Ministerio de Agricultura, Alimentación y Medio Ambiente, el Ministerio de la Presidencia, el Ministerio de Economía y Competitividad, el Ministerio de Sanidad, Servicios Sociales e Igualdad y el Centro Nacional de Inteligencia.

El Informe fue aprobado por el Consejo de Seguridad Nacional en su reunión de 27 de mayo de 2016

DSN – Informe anual 2015

cnpic-logo

incibe

Identificación y reporte de incidentes de seguridad para operadores estratégicos


Guía básica de Protección de Infraestructuras Críticas

Esta guía básica de protección de Infraestructuras Críticas relativa a la Identificación y Reporte de incidentes de seguridad para operadores estratégicos tiene como finalidad servir de manual de actuación para el reporte y gestión de incidentes relacionados con las Infraestructuras Críticas (IICC) y los Operadores Estratégicos, a través del Centro de Respuesta a Incidentes de Seguridad de INTECO (INTECO-CERT).

Destacar que la respuesta a incidentes en IICC se realiza desde INTECO en estrecha colaboración con el Centro Nacional para la Protección de Infraestructuras Críticas (CNPIC) a través del CERT de Seguridad e Industria.

El funcionamiento de dicho servicio de respuesta incluye el reporte a INTECO-CERT y CNPIC de los propios incidentes de seguridad, su análisis y el escalado necesario para poder gestionar su resolución y dar una respuesta por parte de INTECO-CERT a los operadores con las recomendaciones oportunas que permitan reducir el riesgo para la seguridad que suponga dicho incidente.

Para facilitar una gestión más adecuada, en este documento se definen también las pautas y actuaciones que pueden adoptar los operadores que puedan estar sufriendo un incidente, así como las categorías y niveles de criticidad del mismo. Esta información se incluirá al tratar cada incidente en el sistema de gestión de incidentes (en adelante RTIR, de Request Tracker Incident Response).

Como guía de identificación y reporte de incidentes de seguridad, aunque se incluyen cuestiones específicas que pueden ser sólo de aplicación al caso concreto que se desarrolla, los criterios generales que aquí se exponen atienden a buenas prácticas generalmente reconocidas en la gestión de incidentes y, como tales, pueden servir de referencia en el diseño e implementación de este tipo de servicios en cualquier otro ámbito.

CNPIC/INCIBE – Guía de reportes de incidentes de seguridad