Análisis de riesgos de ciberseguridad en entornos cloud

Nuestro servicio de Análisis de Entornos Cloud presta a las empresas el apoyo técnico necesario para el chequeo del nivel de ciberseguridad de sus entornos y servicios cloud en la nube (propia y/o de terceros) y detectando y analizando los riesgos potenciales de los mismos, para tratar de darles solución.

Hoy en día la mayoría de las empresas, ya sean micropymes, pymes, medianas empresas, grandes organizaciones o multinacionales, ya cuentan son entornos en la nube, suyos o de terceros, y de diferentes índoles.

Y, las que no los tienen, están migrando a ellos o lo irán haciendo en breve, puesto que les da más versatilidad, ventajas y beneficios como el retorno de la inversión, la simplicidad, la escalabilidad de entornos, sistemas y servicios, la flexibilidad, la eficiencia, etc.

Pero esto también entraña otro tipo de exposición, riesgos y amenazas, propios e inherentes al modelo cloud, en lo que a la ciberseguridad respecta. Ese es el motivo por que el que es necesario, ser conscientes de ellos, de los que nos afectan a nuestra empresa en concreto, para poder protegernos de ellos, mitigarlos o paliarlos.

Así, el análisis de riesgos de ciberseguridad en entornos cloud debe de ser una de las prioridades en las empresas a la hora de protegerse, proteger sus datos, activos, personal, operaciones y garantizar la continuidad del negocio.

Existirán múltiples tipos de amenazas, por lo que lo primero es identificarlas. Algunas de ellas podrán ser evidentes (dependiendo del tipo de empresa, el sector, etc.), tales como ataques de denegación de servicios, explotación de vulnerabilidades, configuraciones incorrectas, fallos o descuidos humanos, autenticaciones, modelos de acceso, perfiles, roles, políticas, privilegios, etc.

Por todo ello, es conveniente realizar búsquedas periódicas de vulnerabilidades concretas en nuestros entornos cloud y, con los resultados, tratar de resolverlas, aplicando actualizaciones, aplicando parches a errores o bugs, etc.

Como en cualquier análisis de riesgos y amenazas una vez identificados, debemos estudiarlos, valorarlos, asignarles una peligrosidad y capacidad de impacto, criticidad y prioridad en función de sus características, nuestro negocio y objetivos.

Con todo ello, el paso final es ponerse manos a la obra. De todo en análisis anterior se deben sacar unas conclusiones y un plan de acción, plan de mejora o plan de mitigación de riesgos desde el cual articular todas las medidas y controles a adoptar para fortalecer la ciberseguridad en nuestro entorno cloud.

A partir de ese momento, entramos en un nuevo ciclo PDCA (Plan, Do , Check, Act - Planificar, Hacer, Consultar y Actuar) donde la monitorización continua es de esencial importancia para volver a ese re-análisis de riesgos de ciberseguridad (que nunca debe detenerse).

Ese chequeo consistirá en otro tipo de servicios como la detección temprana de actividades sospechosas , la defensa, la prevención de ciberataques, la detección de intrusos, en análisis de comportamiento, el análisis de actividades sospechosas, etc., y el minimizar al máximo sus posibles efectos en caso de que ocurran.

¿Quieres que te ayudemos?

Puedes ampliar detalles sobre nuestros servicios visitando la página de Zerolynx.

Si lo prefieres, contáctanos y hablamos.

¿Sabes qué es un pentesting y como ayuda a tu empresa?

Si no has oído hablar antes de ello, quizá te suene a chino este término, pero es una excelente manera de verificar el estado de seguridad real de la empresa e identificar las vulnerabilidades y otros problemas de seguridad por donde ésta podría ser atacada, con el objetivo de corregirlos y estar mejor protegidos.

Quizá hayas oído hablar de él como test de penetración (penetration + testing) e incluso como hacking ético, aunque este último término guarda algunas pequeñas diferencias con el pentesting.

El pentesting consiste en el “intento de penetración o acceso”, intencionado, pero sin un objetivo malicioso, a los sistemas informáticos de una organización, para desvelar posibles problemas de seguridad y poder tomar medidas.

Así, un servicio de pentest busca y analiza todos los posibles agujeros y fallos de seguridad informática que puede tener un determinado sistema (la web, aplicaciones corporativas, etc.), valorando también su criticidad, alcance, y el posible impacto en caso de que alguien consiguiese explotar dichas vulnerabilidades.

Sin embargo, el hacking ético va un poco más allá completando al pentesting, puesto que, no sólo se centra en la localización e identificación de vulnerabilidades, sino que, una vez encontradas, su siguiente objetivo es la explotación de dichas vulnerabilidades, como si de un ciberataque provocado por un ciberatacante se tratase.

Un ejercicio de pentest puede plantearse de dos modos:

• Focalizándose en el análisis y la detección de vulnerabilidades y riesgos en la superficie corporativa que se encuentra expuesta en Internet, lo que se denomina pentest externo.

• O centrándose en la búsqueda de agujeros de seguridad en la red corporativa y en las actividades que podía llevar a cabo un atacante que haya conseguido entrar en ella, o incluso un insider que trabaje en la organización, lo que se conoce como pentest interno.

Por otro lado, existen tres tipos de pentests:

• De caja negra, donde no se cuenta inicialmente con ningún tipo de información acerca de la empresa ni de los sistemas informáticos de la misma que van a ser analizados (black box pentesting).

• De caja blanca, donde se cuenta inicialmente con toda la información posible acerca de la empresa y de todos los sistemas informáticos de la misma que van a ser analizados (white box pentesting).

• De caja gris, que es una mezcla de los dos anteriores, donde se cuenta inicialmente con información parcial o incompleta de la empresa y de los sistemas informáticos de la misma que van a ser analizados (grey box pentesting).

Este tipo de servicios de seguridad ofensiva debe de ser prestado por expertos en ciberseguridad que aplican sus amplios conocimientos y experiencia, siguiendo un plan de actuación concreto y unos determinados pasos, de forma metódica:

• En primer lugar, su objetivo es localizar toda la información posible sobre la empresa y sobre cada uno de sus sistemas de informáticos, a modo de descubrimiento de objetivos.

• En segundo lugar, encuentran las vulnerabilidades que estén afectando a dichos sistemas.

• En tercer lugar, analizan las vulnerabilidades encontradas y cómo podrían afectar a los sistemas informáticos y a la empresa.

• Si se trata de un hacking ético, se dedican a la explotación de vulnerabilidades encontradas.

• Y, finalmente, preparan un informe de conclusiones y recomendaciones, para solventar todos los problemas encontrados.

¿Conoces nuestros servicios de pentesting? ¿Podemos ayudarte?

Puedes ampliar detalles sobre nuestros servicios de Pentesting visitando la página de Zerolynx.

Si lo prefieres, contáctanos y hablamos.

Lecciones aprendidas para una mejora continua de la ciberdefensa

El haber sufrido un incidente (o ciberincidente), o el haber sido víctimas de un ataque (o ciberataque), ¿es algo positivo o negativo? Para qué nos vamos a engañar, obviamente, negativo. Pero, ¿y si aprovechamos la ocasión para mejorar nuestras defensas, nuestras protecciones, nuestro modo de actuar y, por ende, nuestra imagen corporativa y la confianza que transmitimos a nuestros clientes?

"La información es poder" y "la experiencia es madre de la ciencia". Por ese motivo, investigar los incidentes acaecidos, e incluso aquellas acciones (o intentos) sospechosas o maliciosas cuyo objetivo final sea provocarlos para obtener unos determinados beneficios (aunque no se lleguen a materializar), es clave. Las "lecciones aprendidas" nos ayudan a tener ese conocimiento para ser capaces de establecer los controles y medidas correctoras más adecuadas, mejorando y protegiéndonos efectivamente, pudiéndonos anteponer a situaciones indeseadas.

Lo ideal sería lograr el más elevado nivel de resiliencia, entendida ésta como la capacidad de resistir y recuperarse. En el caso de la ciberresiliencia, la capacidad de resistir o contener ataques o incidentes (ciberataques o ciberincidentes, externos o internos, intencionados, o no) en el mundo digital, en nuestros sistemas y ecosistemas informáticos y las comunicaciones entre ellos y los de terceros (proveedores, partners, clientes, etc.), permitiendo la continuidad del negocio, que, definitivamente es el aspecto primordial a conseguir.

Así, la extracción de información (información forense) de un incidente o intento de incidente, su análisis por parte de verdaderos expertos y la obtención de conclusiones claras al respecto, permite ofrecer una propuesta de acciones correctoras, la elaboración de planes de mejora continua y la ejecución de controles y, en definitiva, la aplicación de un PDCA (Plan, Do, Check, Act) continuo, que ayudará a contener incidentes en tiempo y forma, protegernos, defendernos y recuperarnos mejor... para la próxima... que seguro llegará, aunque no se sabe cundo...

Los ciberdelincuentes buscan un determinado objetivo al atacarnos: robarnos información/datos y, con ella, obtener otros beneficios, generalmente económicos. Esto lo pueden hacer de diversas formas y utilizando diferentes mecanismos, cada vez más complejos y sofisticados (o incluso de lo más simples, valiéndose de las "debilidades" humanas, o del factor humano), pero casi siempre guiados por los siguientes pasos:

1. Reconocimiento: nos estudian, estudian nuestra organización, sus RRSS, sus sistemas, sus comunicaciones, su red, a sus empleados, colaboradores y partners, etc.

2. Preparación: determinan y el modus operandi y disponen todo lo necesario para poder actuar de forma efectiva.

3. Distribución: si lo requieren emplean aplicaciones, malware, mecanismos de explotación de vulnerabilidades, e incluso robustas estrategias de Ingeniería Social cada vez más efectivas que sofisticados ataques.

4. Explotación: se aprovechan de una vulnerabilidad (tecnológica y/o humana, o ambas).

5. Instalación: despliegan las aplicaciones, software, malware, etc., que consideran necesario.

6. Comando y Control: consiguen entrar en nuestros sistemas, en nuestra red, e incluso adquirir perfiles con roles de elevados privilegios (administradores).

7. Realización de la Acciones que consideren necesarias: generalmente, una vez que han conseguido determinados permisos, realizan movimientos laterales para realizar acciones concretas.

Sin embargo, todo esto dejará unos determinados "rastros", pistas, o evidencias de movimientos sospechosos que, nos pueden permitir detectar la situación en tiempo real (incluso antes de que se materialice el incidente, o este vaya más allá) para responder a tiempo contraatacando y tomando las medidas de contingencia necesarias en cada momento y caso.

Por eso, las tres claves principales de protección o de defensa contra este tipo de situaciones son la detección a tiempo (lo antes posible, algo que solamente nos aporta el conocimiento previo), la contención de la actividad maliciosa y la respuesta contra ese ataque (que está teniendo lugar) por parte de profesionales expertos en respuesta ante incidentes y análisis forenses (DFIR).

¡Esto es lo que hacemos, muy bien, y desde hace mucho tiempo en Zerolynx con nuestro servicio de Análisis Forense y Respuesta a Incidentes (DFIR)!

Te acompañamos, te asesoramos, te ayudamos, analizamos, te aconsejamos, te proponemos planes de acción/mejora, ayudamos a detener los ataques a tu empresa en base al conocimiento experto de nuestros ingenieros y al de tu organización, evitamos futuros incidentes potenciales, minimizamos el impacto de situaciones adversas, apoyamos investigaciones y procesos judiciales liderados por nuestros peritos judiciales (peritos forenses informáticos), etc.

En todo este proceso, debemos recopilar datos mediante técnicas forenses, manejar estos datos, los datos de tu organización, de tu red, de tus dispositivos, de tus comunicaciones, tanto aquellos correspondientes a evidencias sobre acciones sospechosas como propios de la organización, de comunicaciones internas y con terceros, como otros de otras índoles, garantizando y conservando siempre la preservación de la cadena de custodia.

Te acompañamos en todo momento, cerrando el ciclo. Estamos en un continuo PDCA de recopilación, análisis, conclusiones, acciones (correctoras, de control, de mejora, de detección proactiva, de detención y respuesta):

1. Recopilamos toda la información (evidencias) sobre el incidente (entorno/s afectado/s, sistemas y personas -internas y externas a la organización- implicadas, características, modo de actuación, posibles orígenes, cadena de suministro, etc.).

2. Salvaguardamos las evidencias garantizando la cadena de custodia (documentación de toda la información recopilada, registro, aplicamos la máxima seguridad sobre la misma etc.).

3. Garantizamos la integridad y no repudio de los datos extraídos, mediante la aplicación de técnicas forenses a las evidencias obtenidas.

4. Nuestros expertos analizan las evidencias/información en base a los estándares internacionales de la industria en materia de tecnología forense (UNE 71506).

5. Nuestros expertos preparan un informe forense pericial, en base a la norma UNE 197001.

Puedes ampliar detalles sobre nuestro servicio visitando la página de Análisis Forense y Respuesta a Incidentes (DFIR) de Zerolynx.

Si lo prefieres, contáctanos y hablamos.

Ciberamenazas: el mayor riesgo para las empresas en 2022

El Informe de Riesgos Globales 2022 (The Global Risks Report 2022) analiza las principales alarmas a nivel internacional con carácter anual y las clasifica en función de su impacto e incertidumbre. Este año el catálogo se compone de 37 riesgos globales.  

Uno de los riesgos a considerar es la falta de seguridad cibernética. Nuestra, cada vez mayor, dependencia de sistemas digitales ha convertido la ciberseguridad en uno de los principales desafíos que enfrenta la humanidad y, la falta de esta, en una amenaza que supera la capacidad de las sociedades para prevenirla y gestionarla eficazmente.  A nivel global en el año 2021 ha habido un incremento de un 358% de ciberataques basados en software malicioso (malware) y un 435% en secuestro informático (ransomware). Esto, sumado a los 3 millones de profesionales necesarios en todo el mundo, convierten a las ciberamenazas en un riesgo cada vez más cercano y real. 

Ante estos ciberataques, podemos ayudar a protegerte, para más información sigue este enlace. Y si quieres conocer más información sobre los riesgos globales de 2022, consulta el informe completo.