Mis Áreas
Ayuda

Cybersecurity

Ordenar por:
El principal cambio que observamos en el panorama de amenazas relacionado con esta guerra estuvo relacionado con el aumento de los ataques DDOS basados ​​en políticas de motivación. Al comienzo de la guerra, los actores de piratería del ciberdelito se vieron afectados, pero pronto lograron adaptar sus operaciones y restablecieron sus actividades y continuaron apuntando a las instituciones financieras (incluida Visma) en el intento de ganar dinero y generar daño a la reputación. Este año estuvo dominado por actores maliciosos que intentaron robar credenciales usando una combinación de ingeniería social, commodities de infostealers y recopilación de información de fuentes de datos internas posteriores al compromiso. El phishing y la publicidad maliciosa son dos grandes superficies de ataques que también nos golpean. Pero esto nos llevó a un entendimiento común de que las personas no son el eslabón más débil de la cadena, sino más, son el vector de ataque primario.       En el Informe anual de 2020 declaramos: “Esperamos que los ciberdelincuentes se enfoquen más en las personas físicas cuando quieren violar una empresa y no directamente en centros de datos y computadoras como hasta 2020” y esto es exactamente lo que está sucediendo ahora mismo. Lo que realmente entendimos este año es el hecho de que las personas no son el eslabón más débil, sino el más objetivo. La motivación principal sigue siendo las ganancias financieras, algunos de los ataques se deben solo a la guerra entre Rusia y Ucrania. Este año terminamos con más de 35 000 alertas (51 000 en Opsgenie, pero no contamos las incluidas en la lista blanca/automatizadas y las resueltos por terceros) y 211 Incidencias lo que supone una media de 17 Incidencias al mes. Si bien el número de eventos aumentó, también logramos automatizar algunos de ellos y cerrarlos automáticamente.     Seguimos siendo los equipos más ocupados de Visma según OpsGenie:     El número de incidentes es un poco más alto en comparación con el año pasado, pero eso se debe a la guerra entre Rusia y Ucrania. Como el siguiente cuadro muestra, hasta mayo el número de incidentes aumentó mucho, pero después de la desaceleración de las operaciones cibernéticas rusas vemos una disminución de esos incidentes y estamos por debajo del número de incidentes de 2021.     En cuanto a los Incidentes por Organización, como siempre, el Security Hub es el que tiene más incidentes, porque todos los incidentes que no se pueden asignar a otro lugar terminarán allí. A continuación, claramente, las incidencias están correlacionadas con el tamaño de la Organización.   Para el Equipo del Centro de Monitoreo de Seguridad Cibernética, el año pasado fue bastante bueno, ya que contratamos a 6 nuevos colegas calificados que ayudarán mucho al equipo a largo plazo, preparándose para la implementación 24/7. A finales de año, nos afianzamos en Argentina con la contratación de 3 nuevos Analistas de Ciberseguridad.     Hemos tenido aprox. 52.834 alertas a lo largo del año, en días laborables y en horario comercial, ya que el equipo aún no está operativo durante los fines de semana Eso significa un promedio de 203 alertas/día, divididas en 3 personas. De estas 52.834 alertas, 24.232 se activaron durante el horario comercial, lo que equivale a aprox. 46% del total de alertas. Esto muestra que existe la necesidad de monitorear el resto del 34% de las alertas que ocurren fuera del horario de oficina y durante los fines de semana.     Además, podemos ver que la carga durante una semana aumenta abruptamente los lunes, lo cual es de esperar, siendo el pico los martes, cuando el número de alertas aumenta incluso después del horario comercial. La cantidad promedio de alertas por día de la semana por Analista, durante el horario comercial: Lunes: 46 martes: 53 miércoles: 46 jueves: 48 viernes: 42   Siguiendo las tendencias actuales, nuestro equipo ha llevado a cabo una serie de acciones de Threat Hunt y Threat Intelligence y Purple Teaming. Ejercicios, que dieron como resultado la creación de 74 nuevas reglas de detección personalizadas en S1 (que se tradujeron en capacidades de detección adicionales para Visma Global SOC). El objetivo principal de estas reglas era disminuir DwellTime (el tiempo que un atacante permanece en nuestra red antes de que es desalojado) y para ello, hemos cambiado la detección a la izquierda (hacia las fases iniciales de intrusión. Una de las reglas más exitosas fue disparada sobre los infostearlers, lo que nos da la capacidad de ser proactivos y contener los incidentes relacionados con las credenciales robadas de nuestro ambiente, antes de que lleguen al mercado de la Dark web. Durante el último año, el equipo Visma Global SOC generó 341 alertas en el contexto de los ejercicios Purple Teaming. A través de estos ejercicios, el equipo de GSOC cubrió muchas áreas, como pruebas de penetración, emulación adversaria y mejoras generales de nuestras capacidades de detección. La mayoría de estos ejercicios del Equipo Púrpura condujeron a la creación de diferentes reglas de detección en SentinelOne, Darktrace o en nuestro SIEM. El equipo de Visma Global SOC analiza continuamente las Tácticas, Técnicas y Procedimientos (TTP) de diferentes Amenazas, Actores, lo que nos da inspiración para nuevas reglas de detección. Dado que la última tendencia en lo que respecta al malware fueron los infostearlers, el equipo analizó muestras para comprender el comportamiento de dicho software malicioso, con el objetivo final de creación de reglas de detección para detectar y detener la actividad maliciosa lo antes posible, manteniendo a Visma y sus empleados seguros. Tras las últimas noticias sobre seguridad cibernética, notamos que el robo de credenciales condujo a intrusiones impactantes a través de infostealers como REDLINESTEALER, VIDAR y RACOONSTEALER. Estos software maliciosos están ampliamente disponibles en la clandestinidad y la compra de credenciales es una alternativa económica en vez de tratar de robárselas a las víctimas. Los intermediarios de acceso inicial suelen vender estas credenciales a grupos de ciberdelincuencia de ransomware que inician sus intrusiones teniendo un punto de apoyo (acceso en la red interna de la organización) en organizaciones multimillonarias, compradas con menos de 50 dólares. Como parte de nuestros equipos de búsqueda e investigación, logramos lanzar un servicio de información técnica sobre amenazas al que cualquiera puede acceder de Visma. Nuestro enfoque actual está en la tecnología de la nube y el aprendizaje automático. Ya estamos utilizando Machine Learning en nuestro SIEM y nuestro objetivo es mejorar tanto la lista blanca, como la búsqueda de amenazas con estas capacidades. Por el lado de Ingeniería de Ciberseguridad el año comenzó con grandes cambios dentro y fuera de nuestro equipo, lo que llevó a una nueva organización acercarse. En pocas palabras, este enfoque fue impulsado por el Programa de seguridad de Visma, que nos permitió definir nuestros servicios y responsabilidades aún mejor. Estamos en la base de Visma Global SOC, por lo tanto, cubrimos los componentes de hardware y software en colaboración con muchos equipos dentro y fuera de Visma. Al mejorar continuamente el monitoreo, la detección y el mantenimiento de estas herramientas y procesos, nos esforzamos por la excelencia. Realizamos algunos desmantelamientos y traspasos importantes, como: CLS3.0, TPAM (VitPass), TLS Monitoring, Entrust Public Certificados, y otras actividades de higiene. En el lado de Endpoint Protection, tenemos cerca de 14,000 agentes implementados. Se realiza principalmente a través de herramientas de administración de dispositivos móviles (MDM). Por otro lado, en este momento, Network Intrusion Detection tiene 53 sondas físicas activas desplegadas en oficinas y 14 en la nube. implementaciones. Security Log Management, también conocido como SIEM, es el corazón de nuestro SOC donde enriquecemos más de 20 000 máquinas, 47 máquinas trabajos de aprendizaje, 97 canalizaciones de datos, en 23 servidores. La gestión de vulnerabilidades de la infraestructura (también conocida como Qualys) escaneó 40 723 activos, de los cuales más de 16 000 son agentes. estamos buscando optimizar este servicio, y reducir la cobertura. En cuanto a las fuentes de amenazas técnicas, los indicadores se recopilan de campañas activas que se realizan en otras organizaciones, y fuentes de datos proporcionadas por terceros externos. Cubrimos la infraestructura en la nube y en las instalaciones con un promedio de 351.259 indicadores. En cuanto a Global SOC Awareness and Training, durante este año el equipo ha participado en múltiples programas de promoción de la seguridad. conciencia e intercambio de conocimientos dentro de la organización con la esperanza de fomentar una cultura de seguridad, educar a los empleados sobre las mejores prácticas y mejorar la postura general de seguridad. Esta parte de la información es para resaltar los esfuerzos del equipo en las actividades mencionadas anteriormente. Los más notables son: Charlas de seguridad del SOC global Presentaciones del Mes Europeo de la Ciberseguridad (ECSM) Avisos y artículos publicados en Visma Space Talleres internos y externos Echando un vistazo al resultado general de las actividades, con la ayuda de formularios de comentarios, preguntas en vivo y opciones de mensajes directos, notamos una mejora general en la conciencia de seguridad y la higiene cibernética, un aumento en la curiosidad del espectador hacia los temas presentado y un crecimiento en la audiencia, así como un desarrollo en el compromiso de la audiencia.       Perspectiva de los comentarios de las presentaciones de ECSM que tuvimos durante el mes de octubre de 2022. Cada tipo de actividad apunta a un aspecto diferente del proceso de concientización. Tocando la superficie de cada una de las actividades más destacadas, podemos explicar brevemente su propósito. Las Global SOC Security Talks son una reunión continua en la que se discuten las novedades que suceden en la industria de la seguridad y, en ocasiones, incluir una presentación sobre un tema específico que el público principal o personas particulares deben conocer. Las charlas toman un rumbo interesante donde, en comparación con las reuniones y presentaciones normales, anima a las personas a expresar sus opiniones, puntos de vista y comprensión en el tema. Las grabaciones de las reuniones están disponibles para las personas que se perdieron la charla. A través de estas charlas, podemos crear conciencia continuamente, brindar actualizaciones sobre casos, discutir las preguntas planteadas y brindar una perspectiva más amigable para los espectadores. El ECSM es una actividad que ocurre cada mes de octubre durante todo el mes. Se anima a todos a participar con presentaciones en materia de seguridad y asistir a diferentes charlas. En el año 2022 hemos notado, al mirar el calendario de "eventos de seguridad de Visma", que el equipo Visma Global SOC ha sido uno de los presentadores principales, teniendo alrededor de 3 presentaciones por semana en ese mes. Al mirar hacia atrás al arduo trabajo que Visma Global SOC ha realizado durante el año pasado, es obvio que la dedicación del equipo y el compromiso han sido poco menos que extraordinarios. Los esfuerzos incansables de todo el equipo para mejorar la seguridad de nuestras empresas no han pasado desapercibidos. Sin embargo, mientras celebramos nuestros propios éxitos, debemos permanecer vigilantes. El mundo está constantemente evolucionando, y es probable que surjan nuevos desafíos. Debemos continuar apoyando y alentando los esfuerzos incansables de nuestros colegas, que trabajan intensamente para proteger a Visma. Recordemos que nuestra seguridad es una responsabilidad colectiva, y todos debemos hacer nuestra parte para garantizar que nuestros productos y empresas permanezcan seguros.   Autor: Adrian Constantin Stanila
Ver artículo completo
28-02-2023 14:11
  • 0 Respuestas
  • 0 Me gusta
  • 271 Visitas
Hay muchos tipos diferentes de piratas informáticos con diferentes motivos detrás de sus acciones, pero algunos de los piratas informáticos más avanzados y capacitados del mundo son piratas informáticos nation-state, también conocidos como piratas informáticos patrocinados por el estado. Estos individuos o grupos operan en nombre de un gobierno, teniendo así más recursos y mayores motivos para atacar objetivos extranjeros, y tienen las habilidades y sofisticación para causar un gran daño a la infraestructura, los recursos y la industria del país destino de sus acciones. Estos ataques o campañas respaldados por un estado están en aumento y se han convertido en un peón importante en la inteligencia y la guerra cibernética moderna, por lo que es importante estar consciente, porque nadie está exento de convertirse potencialmente en un objetivo. ¿Qué es un actor de amenaza de un Estado? Un actor de amenazas de un estado es un pirata informático o un grupo de piratas informáticos patrocinados o que operan en nombre del gobierno de un país, dirigido a otros gobiernos o industrias y compañías de otro país. La manera en que esto se organiza puede variar, desde el empleo directo por militares o agencias gubernamentales a contratos de trabajo o patrocinio donde los piratas informáticos contratados siguen instrucciones específicas. En algunos casos, también puede significar que los gobiernos tienen conocimiento de su existencia y acciones, pero les permiten operar sin interferencia en su actividad, mientras esto los beneficie. Estos piratas informáticos generalmente no enfrentarán consecuencias legales por sus acciones en el país desde donde están operando. Los actores de amenazas del estado a menudo se caracterizan por ser una amenaza persistente avanzada (APT), la cual es un ciberataque bien planificado, extenso, sofisticado y dirigido con un objetivo específico en mente dónde el actor de la amenaza tiene como objetivo obtener acceso a los sistemas para robar grandes cantidades de información, durante un largo período de tiempo. Los gobiernos tienen la solidez financiera para dedicar una significativa cantidad de tiempo y recursos para desarrollar herramientas complejas y financian operaciones de piratería integrales, por lo que los ataques suelen ser más innovadores y sofisticados, y ejecutados de una manera mas avanzada que otros ataques realizados por delincuentes cibernéticos independientes más pequeños. Los estado se encuentran entre los actores de amenazas más sofisticados, con recursos y personal dedicados, y una amplia planificación y coordinación. Algunos estados tienen relaciones operacionales con entidades del sector privado y delincuentes organizados. En general, se entiende que los ciberdelincuentes tienen una sofisticación moderada en comparación con estados. No obstante, todavía tienen funciones de planificación y apoyo además de capacidades técnicas especializadas que afectan a un gran número de víctimas. Cuál es su motivación? Estos ataques suelen tener un motivo geopolítico y / o económico. Los objetivos principales son promover el interés nacional y obtener una ventaja cibernética estratégica como parte de un posicionamiento en una lucha por el poder global. El objetivo también es apuntar e interrumpir en otras naciones, ya sean agencias gubernamentales, ramas militares o empresas privadas con acceso a una gran cantidad de clientes corporativos y gubernamentales. Los objetivos pueden ser variados, desde interrumpir las relaciones diplomáticas entre aliados, interrumpir los sistemas políticos (es decir, elecciones democráticas) y desencadenar conflictos estratégicos. Otra parte importante también es la recopilación de inteligencia y el ciberespionaje para adquirir información altamente sensible y clasificada sobre un país y / o sus ciudadanos, lo cual será beneficioso para sus operaciones militares y su agenda política en relación con estados extranjeros. En algunos casos, también puede ser un medio para asegurar dinero cuando los piratas informáticos patrocinados por el estado están detrás de las campañas de ransomware. Cómo saber si un estado esta detrás de un ataque? Puede requerir más esfuerzo identificar si un grupo de piratas informáticos patrocinado por el estado está detrás de un ataque o no, especialmente porque a menudo hacen todo lo posible para cubrir sus huellas de modo que el país detrás no pueda ser identificado. Esto consiste en colocar "banderas falsas" para confundir y desviar la atención, a menudo incluso intentando que otro país aparezca como origen. Cuando se trata de atribución, el cual es el proceso de identificar la parte responsable en un ciber ataque, esto puede requerir de un esfuerzo conjunto que consiste en la aplicación de la ley, expertos en seguridad cibernética, agencias de inteligencia y otras partes interesadas. Gran parte de la recopilación de inteligencia vendrá de la web oscura, a través de informantes y trabajo encubierto, así como metodológicos y meticulosos esfuerzos forenses digitales, rastreando cada pista hacia atrás.
Ver artículo completo
13-09-2021 15:57
  • 0 Respuestas
  • 0 Me gusta
  • 972 Visitas