Nuestro Resumen del RSA Conference 2015

Como en años anteriores tuvimos la oportunidad de estar presente en el RSA conference que se llevó a cabo del 20 al 24 de Abril en San Francisco.  Quería compartir algunos de los puntos principales que nos llevamos de las diferentes charlas.

Cloud Security Alliance

El día lunes participamos en el CSA Summit  (Cumbre del Cloud Security Alliance), la CSA es una organización sin ánimo de lucro que coordina grupos de investigadores para regular y avanzar en el estudio de la seguridad en los ambientes de nube.   Como es habitual en este foro participó Phillipe Courtot,  CEO de Qualys, quien siempre ha sido uno de los líderes más activos en los temas de seguridad en la nube.   Una de las frases interesantes dentro de su disertación fue: “Se requiere de una red para combatir un red”,   haciendo alusión al hecho de que los criminales están organizados y trabajan en red y de igual manera la industria debe conectarse para lograr una defensa apropiada.   Hoy en día hay una gran escasez de personal calificado para trabajar en seguridad informática.  En este sentido Bugcrowd está haciendo un muy buen trabajo logrando colaboración de la comunidad (crowdsourcing) para la detección de vulnerabilidades de día cero.

Lo que depara el futuro

Marc Goodman, especialista en futurología habló del cambio de paradigma en el crimen y el Crimen como un servicio (CaaS).  El cibercrimen en 3D,  es decir aprovechando la robótica para expandir los riesgos del cibercrimen, dentro de este capítulo caen también la proliferación de drones y micro-drones espías.   Por ejemplo el uso de drones para el envío de armas o drogas a personas en prisión, o utilizar técnicas avanzadas de Hacking para abrir puertas en prisiones.  A propósito del IoT (intenet of things)  entre mayor número de conexiones, mayor número de vulnerabilidades.   Esto también permite que una sola persona pueda robar a miles.  “Hemos sido excelentes cableando el mundo pero no tanto asegurándolo.”

Asegurando la Nube y Office 365

La Nube es el nuevo vector para ex filtración de datos.   Los datos se encuentran a merced de donde estén alojados.  Un riesgo significativo es la ex filtración a través de lo que se conoce como “Shadow IT”  es decir aquellos dispositivos o servicios introducidos a la red por los usuarios finales y sobre la cual el departamento de TI no tiene conocimiento, ni control.   “Si les denegamos algo a nuestros usuarios, ellos encontrarán un camino”.  Jerry Cochran director de seguridad de Office 365 recomendó encender la autenticación de doble factor y el Logging que ahora están disponibles en esta plataforma.   También entender dónde está la frontera de responsabilidad de seguridad entre usted y su servicio de nube.  Es decir reconocer hasta donde la seguridad de los datos es nuestra responsabilidad y hasta donde nos cubre la responsabilidad del proveedor de servicios.   Hay cambios en el modelo de amenazas y en el modelo de confianza, porque hoy en día podemos tener a los chicos malos compartiendo la misma nube con nosotros. La clave es lograr Transparencia y mantener el control, así como reducir la superficie de ataque.

Los ataques más peligrosos

Ed Skoudis de SANS destacó dentro de los ataques más peligrosos en 2014 el Golden Ticket Attack, que explota vulnerabilidades en el Microsoft Kerberos para lograr acceso privilegiado con nivel de administrador e incluso generación de nuevas credenciales para acceder a la red y también el Crypto Ransom-ware,  Synolocker y Dribbling Attack.   Algunas medidas de mitigación frente al tema:  1.  Utilizar buenos sistemas de seguridad física,  2. Sensores y Monitoreo de infraestructura de TI permanentes,  3.  Implementar herramientas de escaneo de vulnerabilidad para buscar dispositivos inusuales.  4.  Desarrollar competencias prácticas en Seguridad (entrenamiento práctico en laboratorio y simulaciones)  5.  Poner a dieta los datos  y política de permisos solo a lo necesario.  6.  Usar Sandbox para análisis de malware.

Uso de PowerShells

George Kurtz escritor de Hacking Exposed  durante su charla ilustró el uso de Powershells   (chopper webshell)  para lograr acceso remoto a un sistema sin necesidad de utilizar ningún tipo de malware,  logrando acceso a línea de comando y persistente a un sistema remoto evadiendo la detección.  Posteriormente utilizando mimiKatz obtener credenciales de administrador.  En esta charla se utizaron comandos del sistema para hacer la exploración y el escalamiento sin recurrir a malware.

Archivos de Office para ocultar información

Johnatan Grier dió otra charla interesante donde ilustraba como utilizar archivos de Office para esconder información, puesto que los nuevos archivos docx  y pptx  en realidad son archivos tipo ZIP con una compleja estructura donde pueden ser insertado todo tipo de componentes sin que resulte evidente al usuario o a herramientas de seguridad. El tiene una herramienta gratuita basada en Python para analizar la seguridad de estos archivos en profundidad.   Se llama officedissector

Manejando el Riesgo Interno

El Riesgo de usuario Interno sigue siendo uno de los principales, ya que engañando a un usuario interno se puede lograr un fácil acceso a información sensible y credenciales sin necesidad de usar malware y por lo tanto, se convierte en una manera difícil de detectar y muy efectiva para la exfiltración de información.   Dawn Cappelli directora de Insider Risk Management en Rockwell automation  ilustró como crear un equipo de Insider Risk para la educación, control y manejo del riesgo Interno.  Tanto para reducir el riesgo de fuga de información como el Ciber sabotaje.   Si no se tiene en cuenta este riesgo y se mitiga mediante la creación de procesos y equipos de respuesta y capacitación a los usuarios,  las consecuencias pueden ser devastadoras del negocio.

En Resumen

El año 2014 fue calificado como el año de la mega brecha y con intrusiones que dejaron muy mal parada la industria de seguridad.   La mayoría de los expositores coincidieron en decir que el intruso ya está adentro y que nuestra misión es detectarlo y mitigar los riesgos. El RSA conference sigue siendo la cita anual más importante para la industria de seguridad informática y es allí donde se percibe claramente el estado actual de la industria. En el sitio web del RSA Conference están disponibles las charlas plenarias y filminas de las diferentes sesiones, para que las puedan consultar.

Juan Carlos Alvarez M.

InterLAN

 

 





Este formulario permite a nuestros clientes actuales con contrato de soporte vigente, solicitar visitas en sitio o soporte remoto por incidentes. Para recibir soporte deberá vincularse primero como cliente y firmar una solicitud formal de servicio.


La atención a estos requerimientos se recibirá únicamente dentro del horario Lunes a Viernes de 8 a.m. a 6 p.m. Excluyendo festivos.


*Todos los campos son requeridos

Nombre completo
Empresa
Teléfono
Extensión
Su e-mail
Nivel de urgencia

Producto involucrado
Versión
Descripción de la situación
 

-->