CONTACTO
Infosecurity valora leyes de ciberseguridad y capital humano

Infosecurity valora leyes de ciberseguridad y capital humano

por | Oct 10, 2023 | InfoSecurity

CDMX, 10 de octubre, 2023.- Infosecurity Mexico 2023 llega al final de su séptima edición con 61 conferencistas, 54 sesiones, 65 marcas expositoras, un crecimiento de 78% en visitantes comparado con la edición 2022 y generando más de 17 millones de dólares en potencial de negocios.

Durante el segundo día de actividades se abordaron temas cruciales relacionados con la ciberseguridad y la seguridad de la información, así como el papel esencial de la regulación y el capital humano experto en este campo. Además, se exploraron las tendencias de digitalización e Inteligencia Artificial en un contexto de amenazas y riesgos que demandan atención tanto por parte de expertos como de la legislación vigente.

En el panel Regulación Mexicana en Materia de Ciberseguridad, las expertas Ivonne Muñoz, de IT Lawyers; Erika Mata, ejecutiva y conferencista internacional; y Gabriela Reynaga, CEO de Holistics GRC subrayaron la existencia de regulaciones fragmentadas en materia de ciberseguridad en México. Instaron por la unificación y fortalecimiento de las normativas e hicieron eco de una falta de personal especializado para comprender y aplicar estas regulaciones de manera efectiva. Asimismo, ilustraron la complejidad de la regulación en el sector financiero, donde la Ley Fintech presenta múltiples retos y enfatizaron la importancia de adaptar la regulación a la realidad del país y a los modelos de negocio específicos, así como de involucrar a todas las partes interesadas en el proceso.

Carlos Chalico, líder de Ciberseguridad y Privacidad en EY, compartió tendencias globales en ciberseguridad, destacando que el uso indiscriminado de nuevas tecnologías puede crear vulnerabilidades inadvertidas: “Solamente uno de cada cinco CISOs (Chief Information Security Officer) considera efectiva su función de ciberseguridad. Los ataques van en aumento en volumen y complejidad; el 75% de ellos opina que ha habido un incremento en ataques en los últimos cinco años, y el 76% dice que tardan seis meses o más en detectar y responder a un ataque”.

Se enfatizó la importancia de una estrategia de ciberseguridad que considere la simplificación y se mencionaron tecnologías de alto riesgo, como la nube, el Internet de las cosas y la Inteligencia Artificial.

Chalico también señaló que los principales desafíos en la integración de la ciberseguridad incluyen presupuestos insuficientes, falta de comunicación entre el CISOs y otros líderes de la Alta Dirección, y la falta de seguimiento de las mejores prácticas en áreas fuera de TI. “Las organizaciones requieren trabajar en la adopción de mecanismos de control por diseño, centrándose en la gente y en la facilidad operativa de uso”.

La conferencia final del evento, titulada Crowdsourcing Government Flight Tracking with Social Media, fue presentada por el especialista en aviación estadounidense Andrew Logan. En esta charla, se abordaron los cambios en la seguridad aérea tras los eventos del 11 de septiembre de 2001 y cómo se monitorean las aeronaves en Nueva York.

“Infosecurity Mexico 2023 terminó, pero ya estamos trabajando en la edición del siguiente año donde se anticipa una mayor demanda de soluciones tecnológicas para abordar el desarrollo de la Inteligencia Artificial” concluyó Luis Zúñiga, director del evento.

 

Descargar PDF
Tanium anuncia productos, funciones y actualizaciones en seguridad cibernética

Tanium anuncia productos, funciones y actualizaciones en seguridad cibernética

por | Sep 21, 2023 | Tanium

  • ·      Experiencias digitales mejoradas para usuarios, investigaciones aceleradas y la plataforma Tanium más rápida jamas creada

Ciudad de México. 21 de septiembre de 2023.- Tanium, proveedor líder de la industria de administración convergente de terminales (XEM), informó que agregó nuevas funciones a Tanium Digital Employee Experience (DEX), un nuevo módulo para XEM Core y una plataforma mejorada y diseñada para acelerar la respuesta de los usuarios.
Estos productos, funciones y actualizaciones se crearon para ampliar las capacidades principales de Tanium y mejoran el rendimiento y la facilidad de uso de la plataforma y, al mismo tiempo, permiten enfrentar una amplia gama de problemas que encuentran las organizaciones a medida que los activos y experiencias digitales se vuelven centrales en el flujo de trabajo,
comunicación y colaboración.
Nuevas características: Tanium DEX
La fuerza laboral se ha vuelto híbrida y las experiencias digitales impulsan los flujos de trabajo, la comunicación y colaboración de todas sus organizaciones. Sin embargo, muchas empresas aún carecen de las herramientas necesarias para monitorear, gestionar y mejorar estas experiencias a escala.
Tanium DEX resuelve este problema ya que ofrece visibilidad en tiempo real, control escalable y una comprensión basada en datos sobre cómo mejorar las experiencias digitales de los empleados para encontrar y solucionar problemas comunes de experiencia digital, medir y mejorar la satisfacción de los empleados acerca de sus experiencias digitales y reducir las llamadas al servicio de soporte, resolviendo problemas antes de que afecten la productividad o generen tiempo de inactividad. Tanium DEX ahora incluye dos nuevas características
principales:
1.  Autoremediación automatizada y personalizada. Amplia la biblioteca con sus propias rutinas de autorreparación automatizadas  personalizadas ya que está diseñada para generar el máximo valor para las organizaciones con una línea interna de aplicaciones comerciales únicas.
2.  Puntuación e informes de satisfacción del usuario. Creada para aumentar el compromiso, productividad y eficiencia de sus empleados mejorando sus experiencias digitales. Con User Sentiment Score and Reporting, es posible crear puntuaciones de satisfacción y realizar un seguimiento a nivel organizacional y por usuario.

Nuevo módulo: Tanium Investigate
Cuando una organización funciona con tecnología digital, esta tecnología está expuesta a problemas de rendimiento o interrupción, cuando esto sucede, los empleados deben dejar de trabajar, los clientes dejan de comprar y el negocio se paraliza.

La mayoría de estos incidentes son por causas humanas, ya sea intencional o accidentalmente, así como por actores maliciosos que atacan constantemente estos sistemas e intentan provocar incidentes premeditados; es cuando las organizaciones tratan de detener estos cortes antes de que causen daños, pero carecen de las herramientas para hacerlo.
Desde la optica de Tanium, este enfoque no funciona. Las empresas dedican gran parte de su tiempo para remediar (MTTR) a investigar incidentes, encontrar las causas fundamentales y aprender cómo resolverlos, y cada minuto de ese proceso les cuesta miles de dólares.
El nuevo módulo Tanium Investigate, resuelve este problema ya que frece una solución única que crea investigaciones de incidentes más rápidas y precisas y dirige sin problemas hacia la remediación de incidentes, mejora drásticamente el MTTR y ofrece grandes beneficios:
• Reduce drásticamente el tiempo medio de resolución (MTTR) de incidentes
• Reduce las interrupciones y los tickets de soporte
• Pasa de una gestión de incidentes de endpoint reactiva a una proactiva
• Identifica y soluciona problemas a escala en organizaciones de cualquier tamaño
• Mejoran la satisfacción, compromiso y lealtad de los empleados y clientes al hacer
que las operaciones de TI, la seguridad y los servicios de soporte sean más eficientes
y efectivos.

Actualización de la plataforma Tanium
Toda la plataforma Tanium observa una importante actualización y mejoras importantes en su funcionamiento, y ahora entrega más datos que nunca a velocidades más altas que las versiones anteriores.
Al mismo tiempo, se ha creado una interfaz de usuario más intuitiva, que permite a los usuarios hacer preguntas, ejecutar informes o abrir paneles desde cualquier lugar de la plataforma.
El resultado ha sido que los usuarios ahora pueden monitorear y administrar cualquier endpoint con la mitad de clics.Tanium ya era la plataforma de endpoints más rápida y efectiva y ahora, con esta actualización, se vuelve aún más rápida para entregar mejores resultados.
“DEX, Tanium Investigate y la actualización de nuestra plataforma, se integran en nuestra solución Converged Endpoint Management (XEM). Esto amplía nuestras capacidades y rendimiento para ofrecer una solución única y unificada para todos los datos y flujos de trabajo de endpoints. Con estos nuevos productos, características y actualizaciones será posible monitorear y administrar aún más elementos de la infraestructura y experiencias digitales en evolución, así como hacerlo de manera más rápida y eficiente que nunca, a cualquier escala y en tiempo real”, señaló Miguel Llerena, Vicepresidente para Latinoamérica de Tanium.

Descargar PDF
Trellix muestra el modus operandi de Scattered Spider

Trellix muestra el modus operandi de Scattered Spider

por | Ago 25, 2023 | Trellix

Por Phellix Oluoch

Scattered Spider, también conocido como UNC3944, Scatter Swine, Muddled Libra y Roasted 0ktapus, es un grupo de actores de amenazas motivado financieramente que ha estado activo desde mayo de 2022. Scattered Spider se ha observado en gran medida apuntando a organizaciones de telecomunicaciones y subcontratación de procesos comerciales (BPO). Sin embargo, la actividad reciente indica que este grupo ha comenzado a apuntar a otros sectores, incluidas las organizaciones de infraestructura crítica.

A pesar de este cambio en los objetivos, Scattered Spider continúa aprovechando una variedad de tácticas de ingeniería social, incluido el phishing de Telegram y SMS, el intercambio de SIM, la fatiga de MFA y otras tácticas como parte de sus ataques. A menudo se ha observado que este grupo se hace pasar por personal de TI para convencer a las personas de que compartan sus credenciales o concedan acceso remoto a sus computadoras, se ha relacionado con varias campañas de phishing anteriores e implementaciones de controladores de kernel maliciosos, incluido el uso de una versión firmada pero maliciosa de Windows. Controlador de diagnóstico Intel Ethernet.

Este artículo profundiza en el modus operandi de Scattered Spider; los eventos recientes y las herramientas aprovechadas por el actor de amenazas, las vulnerabilidades explotadas y su impacto.

Eventos recientes

Scattered Spider generalmente explota vulnerabilidades como CVE-2015-2291 y utiliza herramientas como STONESTOP y POORTRY para finalizar el software de seguridad y evadir la detección. El grupo demuestra un conocimiento profundo del entorno de Azure y aprovecha las herramientas integradas para sus ataques. Una vez obtenido el acceso inicial, se ha observado a Scattered Spider realizando un reconocimiento de varios entornos, incluidos Windows, Linux, Google Workspace, Azure Active Directory, Microsoft 365 y AWS, además de realizar movimientos laterales y descargar herramientas adicionales para filtrar VPN y Datos de inscripción de MFA en casos seleccionados. También se sabe que el grupo establece persistencia a través de herramientas legítimas de acceso remoto como AnyDesk, LogMeIn y ConnectWise Control.

Para enero de 2023, Scattered Spider estuvo involucrada en más de media docena de incidentes desde mediados de 2022 hasta principios de 2023 en los que se dirigieron a grandes empresas de subcontratación que prestan servicios a instituciones e individuos de criptomonedas de alto valor.

En diciembre de 2022, Scattered Spider realizó campañas dirigidas a organizaciones de telecomunicaciones y BPO. El objetivo de la campaña parecía ser obtener acceso a las redes de los operadores móviles y, como se evidencia en dos investigaciones, realizar actividades de intercambio de SIM. El acceso inicial fue variado: ingeniería social usando llamadas telefónicas y mensajes de texto para hacerse pasar por personal de TI, y ya sea dirigiendo a las víctimas a un sitio de recolección de credenciales o dirigiendo a las víctimas para que ejecuten herramientas comerciales de administración y monitoreo remoto (RMM). Las campañas fueron extremadamente persistentes y descaradas. Una vez que se contuvo al adversario o se interrumpieron las operaciones, inmediatamente se movieron para apuntar a otras organizaciones dentro de los sectores de telecomunicaciones y BPO.

En el mismo mes, se descubrió su uso de una firma de atestación para firmar malware. Microsoft reveló los pasos que tomó para implementar protecciones de bloqueo y suspender las cuentas que se usaron para publicar controladores maliciosos que fueron certificados por su Programa de desarrollo de hardware de Windows. El problema se inició después de que se notificara a Microsoft sobre el uso de controladores no autorizados en los esfuerzos posteriores a la explotación, incluida la implementación de ransomware.

En agosto de 2022, Twilio identificó acceso no autorizado a la información relacionada con 163 clientes, incluido Okta. Los números de teléfono móvil y los mensajes SMS asociados que contenían contraseñas de un solo uso eran accesibles para Scattered Spider a través de la consola de Twilio. El kit de phishing utilizado por el actor de amenazas fue diseñado para capturar nombres de usuario, contraseñas y factores OTP y empresas de tecnología, proveedores de telecomunicaciones y organizaciones e individuos vinculados a la criptomoneda.

Herramientas

Scattered Spider usa POORTRY y STONESTOP para finalizar el software de seguridad y evadir la detección.

POORTRY es un controlador malicioso que se utiliza para finalizar procesos seleccionados en sistemas Windows, por ejemplo, el agente de detección y respuesta de punto final (EDR) en un punto final. Para evadir la detección, los atacantes firmaron el controlador POORTRY con una firma de Authenticode de compatibilidad de hardware de Microsoft Windows.

STONESTOP es una utilidad de usuario de Windows que intenta terminar procesos creando y cargando un controlador malicioso. Funciona como un cargador/instalador para POORTRY, así como un orquestador para instruir al conductor sobre qué acciones realizar.

En abril de 2023, el grupo de ransomware ALPHV (BlackCat) usó una versión actualizada de POORTRY para comprometer al gigante estadounidense de pagos NCR, lo que provocó una interrupción en su plataforma de punto de venta Aloha.

Explotación de vulnerabilidades

Se sabe que Scattered Spider explota CVE-2015-2291, que es una vulnerabilidad en el controlador de diagnóstico Intel Ethernet para Windows (iqvw64.sys) que permite a los usuarios locales provocar una denegación de servicio o posiblemente ejecutar código arbitrario con privilegios de kernel a través de un (a) 0x80862013, (b) 0x8086200B, (c) 0x8086200F o (d) 0x80862007 llamada IOCTL. Scattered Spider aprovechó CVE-2015-2291 para implementar un controlador de kernel malicioso en el controlador de diagnóstico Intel Ethernet para Windows (iqvw64.sys).

Además, Scattered Spider ha explotado CVE-2021-35464, que es una falla en el servidor ForgeRock AM. Las versiones del servidor ForgeRock AM anteriores a la 7.0 tienen una vulnerabilidad de deserialización de Java en el parámetro jato.pageSession en varias páginas. La explotación no requiere autenticación, y la ejecución remota de código se puede activar enviando una sola solicitud /ccversion/* diseñada al servidor. La vulnerabilidad existe debido al uso de Sun ONE Application Framework (JATO) que se encuentra en versiones de Java 8 o anteriores. Scattered Spider explotó CVE-2021-35464 para ejecutar código y elevar sus privilegios sobre el usuario de Apache Tomcat en una instancia de AWS. Esto se logró solicitando y asumiendo los permisos de un rol de instancia utilizando un token de AWS comprometido.

Impacto

Scattered Spider es conocido por el robo de datos confidenciales y el aprovechamiento de la infraestructura organizacional confiable para ataques de seguimiento en clientes intermedios.

Cobertura de productos Trellix

Los sistemas de seguridad de Trellix para Endpoint, Red y correos electrónicos, ofrecen una estrategia de detección de varias capas para las actividades de Scattered Spider, que incluye comprobaciones de los IOC y análisis de comportamiento para garantizar que se descubra cualquier amenaza potencial y se evite que perjudique a nuestros clientes. Para adelantarse a las amenazas nuevas y en evolución, nuestros productos monitorean y actualizan continuamente sus bases de datos de inteligencia de amenazas. Eso incluye Trellix Multi-Vector Virtual Execution Engine, un nuevo motor central antimalware, clasificación de comportamiento de aprendizaje automático y motores de correlación de IA, inteligencia de amenazas en tiempo real de Trellix Dynamic Threat Intelligence (DTI) Cloud y defensas en todo el Ataque el ciclo de vida para mantener su organización más segura y resistente.

—————

* Phelix Oluoch es un investigador de ciber amenazas de Trellix con dieciséis años de experiencia en seguridad de la información, así como habilidades y conocimientos de adaptación para ejecutar y respaldar operaciones de seguridad. Tiene experiencia técnica y de gestión en las industrias farmacéutica, de salud, de petróleo y gas, financiera y de transporte; así como en la remediación de incidentes APT. Certificaciones CISM, CISSP, CDPSE, (ISC)² CCSP, GCIA y GCFE y tiene una Maestría en Ciencias en Tecnologías de Seguridad de la Universidad de Minnesota. Entrena, educa y asesora a los Marines estadounidenses a través del programa Cyber Auxiliary del US Marine Corps. También es mentor de ISACA.

Descargar PDF
Tanium anuncia su Lista de Materiales de Software contra las amenazas en la cadena de suministro

Tanium anuncia su Lista de Materiales de Software contra las amenazas en la cadena de suministro

por | Nov 3, 2022 | Tanium

Ciudad de México. 3 de noviembre de 2022.-Tanium, proveedor líder de la industria de administración convergente de terminales (XEM) de la industria, anunció la disponibilidad de la Tanium Software Bill Of Materials (Lista de Materiales de Software de Tanium –SBOM-) para ayudar a las organizaciones a proteger los activos digitales contra amenazas externas derivadas del software de código abierto, incluido OpenSSL v3. Tanium es la primera y única solución que brinda a los equipos de TI y seguridad, visibilidad granular y remediación en tiempo real de paquetes de software para cada aplicación en cada endpoint final en tiempo real o de ejecución.

La moderna economía digital está impulsada por software de código abierto, pero el proyecto promedio de desarrollo de aplicaciones contiene casi 50 vulnerabilidades que abarcan 80 dependencias directas. Si bien las dependencias indirectas son aún más difíciles de encontrar, ahí es donde se esconde el 40% o más de todas las vulnerabilidades. Cuando se descubren vulnerabilidades en la cadena de suministro de software, las organizaciones deben luchar para comprender su exposición, lo que podría llevar semanas o incluso meses. Con millones de bibliotecas de código abierto en uso, no solo son importantes las capacidades de remediación y visibilidad en tiempo real, sino que ahora son una necesidad. Las fallas de codificación aparentemente inocuas tienen el potencial de derribar organizaciones a gran escala.

“Las vulnerabilidades de la cadena de suministro de software han estado en el centro de algunos de los eventos cibernéticos más disruptivos que hemos visto. SBOM de Tanium enfrenta este desafío aprovechando los datos de endpoints para desglosar la composición del software y erradicar las debilidades, como la vulnerabilidad recientemente anunciada en OpenSSL versión 3. Esta claridad puede significar la diferencia entre un contratiempo operativo menor o una interrupción global completa con implicaciones duraderas”, externó Miguel Llerena, vicepresidente para Latinoamérica de Tanium.

SBOM, basado en las fortalezas centrales de Tanium de velocidad, escala y datos de endpoint en tiempo real, es un enfoque completamente nuevo para abordar las vulnerabilidades de la cadena de suministro. Tanium SBOM se enfoca primero en el software que reside en activos individuales para detectar bibliotecas y paquetes de software con vulnerabilidades conocidas. El enfoque de Tanium va más allá de las herramientas básicas de escaneo al examinar el contenido de los archivos individuales dondequiera que residan en el entorno de TI. Esta información esencial le permite a Tanium tomar medidas rápidas y apropiadas, como aplicar parches y actualizaciones de software, e incluso eliminar un proceso específico o desinstalar aplicaciones afectadas. Tanium puede encontrar y remediar vulnerabilidades como OpenSSL v3, así como nuevas vulnerabilidades de la cadena de suministro en el futuro.

“La vulnerabilidad de Log4j nos “abrió los ojos” sobre los peligros del software de código abierto vulnerable. La capacidad de aprovechar los datos de endpoint para un análisis de diagnóstico del panorama del software es esencial, ya que las empresas dependen cada vez más de diversas aplicaciones dispares. Los datos SBOM de Tanium permiten a los equipos de seguridad administrar una variedad de aplicaciones con la confianza de que pueden identificar y abordar las vulnerabilidades antes de que afecten negativamente al cliente”, dijo Jason Bloomberg, presidente de la firma de analistas Intellyx.

Tanium SBOM es particularmente beneficioso para las organizaciones del sector público que se enfrentan a nuevos requisitos reglamentarios, como la Orden Ejecutiva 14028en los Estados Unidos y la Estrategia Cibernética Nacional 2022 del Reino Unido, que hacen cumplir la integridad y la seguridad del software.

SBOM es la oferta más reciente de la galardonada plataforma Tanium XEM, que lanzó nuevas capacidades en octubre que incluye Tanium Benchmark, diseñado para proporcionar a los miembros de la junta directiva y líderes ejecutivos, evaluaciones holísticas de operaciones, riesgos y seguridad de TI para mejorar la toma de decisiones y la ejecución estratégica. .

Descubra cómo Tanium SBOM puede proteger a las organizaciones de OpenSSL v3 y otras vulnerabilidades en www.tanium.com/blog/software-bill-of-materials-openssl/.

Descargar PDF