Mostrando entradas con la etiqueta EnCase Cybersecurity. Mostrar todas las entradas
Mostrando entradas con la etiqueta EnCase Cybersecurity. Mostrar todas las entradas

Detectando y Mitigando un Ataque CryptoLocker con EnCase


El más reciente Informe Sobre Investigaciones de Brechas en los Datos (DBIR) de Verizon reveló que el crimeware es un problema serio para las industrias de construcción, información y servicios básicos, representando más del 30% de los incidentes presentados. Entre los más malignos de la categoría de troyanos de ramsonware está el CryptoLocker.


Cómo funciona Cryptolocker

CryptoLocker llega mediante un archivo ZIP anexado a un mensaje de correo electrónico aparentemente inocente. Una vez descomprimido, el malware se instala en la carpeta del perfil de usuario, agrega una llave al registro para que se inicie automáticamente durante el arranque, y posteriormente empieza una conexión a un servidor de comando y control. Después de la conexión, el servidor genera un par de llaves RSA de 2048 bits y retorna la llave pública al computador, encripta archivos  de los discos duros locales y de las unidades de red mapeadas con esa llave pública, y apunta cada archivo encriptado en una llave del registro.  En este momento, el usuario recibe un mensaje que le informa que sus archivos han sido encriptados y que se requiere pagar una recompensa con Bitcoin.

Webinar: Cómo Defenderse Contra las Amenazas de Seguridad a los POS


¿Puede usted proteger los dispositivos de su punto de venta (POS) de ataques de malware que infectan sus tiendas, ricas en información de tarjetas de crédito y débito?
Guidance Software tienen el agrado de anunciar un nuevo webinar dirigido al público hispanoparlante. El webinar será transmitido al vivo este día Jueves a las 10:00 am en Ciudad de México, Bogotá, Lima y Quito, 12:00 pm en Buenos Aires. En este webinar, aprenderemos de los expertos sobre las brechas en los dispositivos POS que conducen a ciberataques. El webinar cubre estrategias para detección y respuesta a incidentes y nuevas tecnologías en la industria de pagos.

Detección de Esquemas de Fraude con EnCase®



Como ya saben los profesionales en detección de fraudes, el fraude es un organismo en constante evolución. Como un virus, el fraude evoluciona y muta en búsqueda de debilidades en los sistemas de detecciónestablecidos.  Una vez encontradas, estas debilidades son aprovechadas rápidamente para luegocambiar el patrón de acción del fraude, de forma que se asegure un ingreso continuo para el estafador o  grupo organizado. Los métodos de detección que funcionan hoy día no tienen el funcionamiento garantizado mañana. 

El fraude transaccional se enfoca en actividades específicas en las cuentas y en la exploración de las debilidades de herramientas y sistemas. La detección del fraude transaccional depende de la identificación de un grupo de indicadores de actividad que cumplan las siguientes características:
-          
      - Se aprovechan de debilidades en los sistemas que permiten que ocurran actividades que están fuera de las políticas establecidas para su rol designado dentro de la organización financiera. 

-        - Se aprovechan de la falta de controles o auditorías entre distintos sistemas

-        - Proveen beneficios a sus perpetradores, a sus familias, colegas u otras personas allegadas

La detección del fraude transaccional normalmente involucra una función de alerta en tiempo real o  una función de contabilidad post mortem  y está destinada a sistemas o herramientas específicas así como a las actividades específicas de un usuario del sistema. 

Vicepresidente de Symantec: El Antivirus “Ha Muerto”




¿Cuán efectivos son los programas antivirus para proteger sus sistemas? Al parecer no mucho, si nos guiamos por la opinión de Brian Dye, Vicepresidente de Symantec. El alto ejecutivo de la empresa declaró en una reciente entrevista al periódico Wall Street Journal que la industria del antivirus “ha muerto”. 

Symantec, la primera compañía en comercializar soluciones antivirus hace más de 20 años y reconocida mundialmente por su programa Norton AntiVirus, ha decidido aplicar un nuevo enfoque al combate al crimen cibernético. Symantec ahora comenzará a enfocarse en minimizar los daños causados por las intrusiones, en identificar los atacantesy en reconocer la forma en que los ataques funcionan. En lugar de combatir a las amenazas con programas de antivirus, que efectivamente solo pueden encontrar amenazas previamente reconocidas en sus listas negras, este nuevo enfoque trata de no solo borrar software malicioso previamente reconocido, sino también en entender el proceso de acción del malware para minimizar el daño que ocasiona y entender cómo es que el daño fue ocasionado, permitiendo corregir la falla y evitando que algún otro malware que actúe de forma similarpueda producir daño. 

Entendiendo el Cumplimiento de Estándar PCI DSS V3 con EnCase® – Parte III

La intención de esta serie de publicaciones de blog es ayudar a organizaciones a entender los estándares de la versión 3 de PCI DSS. Explicar cómo EnCase puede reducir la complejidad de el cumplimiento de normas PCI y finalmente ayudar con la medición de riesgo bajo estándares al igual que reducir el tiempo mientras se mejoran los resultados de la ejecución de los requerimientos. 

En las primeras dos publicaciones de esta serie, comenzamos nuestra vista general con cómo EnCase puede asistir en análisis de primera persona o de terceros relacionado a los Estándares de Seguridad de Datos de la Industria Pagos por Tarjeta de Crédito (PCI DSS) citando directamente del estándar mismo. En esta última publicación, echaremos un vistazo a qué tipos de datos de cuenta del titular de la tarjeta EnCase eDiscovery combinado con EnCase Enterprise puede ayudar a encontrar para luego terminar nuestro vistazo estándar por estándar.

Hackeos a ATMs: Detectando Ataques Que Inician Con Una Credencial de Acceso Válido



Hay un nuevo hack en la ciudad y el Servicio Secreto de los Estados Unidos le llama “Operación Ilimitada”. Con el foco en ATMs de bancos pequeños o medianos, los hackers usan credenciales robadas para entrar al panel de sistema de administración remota del ATM y así cambiar el límite de extracción de dinero a “ilimitado”. Posteriormente usan las tarjetas de débito robadas para extraer la mayor cantidad de dinero posible, a veces más de lo que las víctimas tienen en sus cuentas.

Quiten la tecnología de este escenario y es un lío al estilo “Oceans Eleven”. Llaves son robadas, bombas de humo son lanzadas, cajas fuertes son quebradas y los chicos malos se fugan con bolsas grandes de dinero. Así es como se ve en ciber – términos:

·         Un ataque exitoso de phishing orientado coloca malware en la estación de trabajo de un empleado. ¡Sistema atacado!

·         El hacker monitorea la estación de trabajo/dispositivo para ver cómo es que se logea normalmente el administrador al panel de administración remota del sistema de ATMs del banco

·         El hacker usa un ataque DDoS para distraer la seguridad del banco mientras se logea al panel de administración del ATM

·         El hacker remueve los límites de extracción para algunas cuentas de ATM y/o cuentas de banco

·         El ATM se mantiene sin compromisos: los límites son controlados mediante una consola de administración legítima.

Como escribió Jason en su blog post sobre Hacks RDP, “… es una amenaza basada netamente en el acceso: sin malware, sin exploit de por medio. Ningún sistema de detección de malware podría identificar estas amenazas porque usaron credenciales de acceso válidas.” Sin embargo, los análisis de dispositivos podrían detectar el malware corriendo en la estación de trabajo comprometida si el banco tomase este enfoque:

·         Auditar las estaciones de trabajo de los empleados y crear lineamientos base para comportamiento y procesos “normales” para cada uno

·         Realizar escaneos regulares para ver si alguno está corriendo un proceso que no esté en la lista blanca o tenga conexiones remotas sospechosas, quizás basados en la geografía o el IP remoto o dominio

·         Realizar búsquedas/cazas regulares de anomalías

EnCase Analytics fue creado para detectar actividad inusual como esta en la era de compromiso asumido. Puede aprender más acerca de esto aquí. ¿Comentarios? Las discusiones son bienvenidas en la sección de Comentarios más abajo.

Alfred Chung es el Encargado de Productos de EnCase Analytics en Guidance Software, si desea ver el artículo en inglés haga clic aquí.


RELACIONADOS

Evitando Fuga de Datos en Terminales POS con EnCase®

Porque Las Ciber Defensas Basadas En Firma Están Destinadas A Fallar

Art Coviello en el RSA: Es Hora de que Todos Tomemos Parte en las Amenazas Cibernéticas y Privacida



Entendiendo el Cumplimiento de Estándar PCI DSS V3 con EnCase® – Parte II

En la primera publicación, de esta serie de tres partes, hemos trabajado los básicos del Estándar de PCI DSS V3, por sus siglas en inglés). En esta segunda publicación, veremos cómo EnCase® Analytics combinado con EnCase® Cybersecurity y EnCase® eDiscovery pueden ayudar a organizaciones que procesan datos de cuenta, proveedores de servicio y revendedores de software/desarrolladores que realizan auditorías de primera parte para asegurar que su software de procesamiento de tarjetas cumpla con PCI DSS. Recuerda que EnCase® Enterprise es incluido con EnCase® Analytics, EnCase® Cybersecurity, y EnCase® eDiscovery.

Entonces, veamos el primer set de porciones de los estándares de cumplimiento en los que  EnCase® puedes ayudar con esta variedad de organizaciones. Nuevamente veremos los requerimientos específicos enfocándonos “estándar por estándar”.

Evitando Fuga de Datos en Terminales POS con EnCase®



El comprometimiento de la seguridad de los terminales POS se ha convertido en una amenaza emergente en las organizaciones. Este problema ha sido evidenciado en muchos casos de alto perfil en los cuales personas inescrupulosas han comprometido terminales POS para robar la información de las tarjetas de créditos de los clientes de una organización. 

Guidance Software, el líder mundial en investigaciones digitales, anunció el día 20 de marzo que la familia de software de seguridad EnCase® ahora tiene soporte para terminales de puntos de venta (POS, según su sigla en inglés). 

El segundo mayor caso de fuga de datos en la historia de Estados Unidos fue causado por una infección de terminales POS. Durante noviembre y diciembre del año pasado, la cadena de comercios estadounidense Target sufrió un ataque en sus terminales POS que ocasionó la fuga de información de al menos 40 millones de números de tarjetas de crédito. 40 mil terminales POS de la empresa fueron infectados con un malware que al parecer utilizaba credenciales de acceso autorizadas y que generó un archivo de más de 11 gigabytes almacenado en un servidor de la compañía hasta ser enviado finalmente a Rusia

Entendiendo el Cumplimiento de Estándar PCI DSS V3 con EnCase® – Parte I

Hemos producido previamente una serie de tres publicaciones en el blog en el que hemos descrito cómo EnCase® puede reducir los costos y las necesidades de recursos de cumplimiento interno PCI-DSS V2 (http://recorriendo-los-caminos-de-encase.blogspot.com/2013/09/ahora-que-entendiendo-el-cumplimiento.html). A finales de 2013, el cuerpo de las normas PCI publicó la versión 3 de las normas de PCI, que es una actualización de las normas PCI V2.

Las nuevas normas tienen un montón de atención en las áreas que EnCase® tiene capacidades muy fuertes. Entre otras, estas normas actualizadas requieren que las organizaciones llevan a cabo auditorías para las conexiones remotas, los permisos de archivos y servicios. Esperamos que usted considere EnCase® para asegurar el cumplimiento de las normas PCI actualizados para auditar a las normas, así como datos confidenciales de los usuarios que han sido almacenados en los registros, correos electrónicos, SharePoint o la nube.

Porque Las Ciber Defensas Basadas En Firma Están Destinadas A Fallar

Nunca verá una alerta de su herramienta de información de seguridad y administrador de eventos (SIEM, por sus siglas en inglés) pasar por un día de “cero ataques”. No hay firma alguna en su lista negra del malware que fue hecha a medida para su organización y colonizado de manera secreta en su servidor de mail hace un mes. No hay indicador, no hay coincidencia de patrón, no hay alerta.

¿Por qué es este el caso? Porque el malware está en constante cambio y porque las mentes sofisticadas y dedicadas bajo estos “sombreros negros” están trabajando noche y día para diseñar una brecha de datos específico para cada organización que decide invadir. Cuando le golpea, será la primera vez que aquella firma ha sido vista.

Esta es la razón por la cual algunas agencias de investigación nacional y líderes de seguridad informática corporativa están llamando a los equipos de seguridad a comenzar a operar bajo la asunción de que ya se encuentran comprometidos. De hecho, la próxima gran amenaza puede que venga de dentro de su organización, usando credenciales válidas y filtradas. En esta nueva realidad, incluso los enfoques de defensa del perímetro más robusto llegan a pelear apenas media batalla.

Art Coviello en el RSA: Es Hora de que Todos Tomemos Parte en las Amenazas Cibernéticas y Privacidad



El jefe de RSA, Art Coviello, tuvo mucho que cubrir en una conferencia fundamental del RSA esta semana. De hecho, el tuvo tanto para decir que desechó su discurso rutinario y fue directamente al grano: el involucramiento de su organización con la NSA, la urgencia de un panorama de ciber amenazas y cómo todos deberíamos estar haciendo mucho, mucho más para colaborar como una comunidad de seguridad.

Coviello comenzó la charla con el primer problema directo al negar alegaciones que su empresa tomó 10 millones de la NSA para crear una “puerta trasera” dentro de su software e hizo énfasis en que sus proyectos conjuntos jamás fueron secretos. El dice que, como otras organizaciones comerciales que trabajan con el gobierno, la RSA usó el algoritmo de encriptación (defectuoso) que nombraron de manera que llegue a cumplir sus requerimientos de certificación, luego lo quitaron cuando la NIST dijo que debían. También pasó unos minutos discutiendo la dualidad de la naturaleza de la NSA, la diferencia entre sus dos motivos de recopilamiento de inteligencia (ofensa) y la seguridad de la información (defensa), reiterando el llamado para dividirlas en dos agencias distintas.

Una Perspectiva Legal en el Framework de Ciberseguridad NIST




La publicación lanzada el día de ayer del Framework final de Ciberseguridad NIST es una llamada de acción para las compañías que manejan infraestructuras críticas en los Estados Unidos. Con el eje central del Framework cambiando mínimamente, en comparación con las versiones previas, se hace un llamado a una amplia gama de compañías desde finanzas y cuidados de salud hasta energéticas y de tecnologías de la información, a estar preparadas para adoptar y probar que sus prácticas de ciberseguridad son consistentes con las prácticas subrayadas. La diferencia primordial del borrador preliminar es una revisión a su sección de privacidad, puesto que los críticos sintieron que el borrador preliminar de la sección de privacidad sería tan costosa y prescriptiva para disuadir la adopción masiva del Framework, que hasta el momento, es todavía voluntario.

El Framework de Ciberseguridad NIST: “¿Comercialmente razonable?”

Al pasar el tiempo, con los incentivos federales ofrecidos y las industrias aceptando y cumpliendo con el Framework, es más que seguro que el sector privado se mudará hacia el modelo de ciberseguridad NIST mediante la ley de responsabilidad común. Algunos especialistas en privacidad de datos ya están especulando que el Framework posiblemente se convierta en un estándar para lo que se considera “comercialmente razonable” para corporaciones que tienen escrutinio de los reguladores o estén relacionados en un litigio relacionado a brecha de datos.

EnCase para Auditores de TI #2: Los Desafíos de la Administración de Configuración

La administración de configuración de los dispositivos ha sido históricamente un desafío. Las organizaciones generalmente han tenido que escoger entre, ya sea la administración de configuración como un proceso primario administrativo enfocado en políticas, analizando/aplicando los resultados de las auditorías, contra, un muestreo representativo de dispositivos a la infraestructura entera o usando el testeo de vulnerabilidad para medir la eficacia de las configuraciones ideales.

Un plan para manejar, auditar y reportar el estado de configuraciones actuales parece ser “un puente muy lejano” para muchos especialistas en configuraciones. Pero, dadas algunas de las dificultades involucradas, ¿hay alguna metodología defendible, escalable que podemos desarrollar que puede proveer administración de configuración comprensiva  de terminales? Yo diría que sí, pero primero veamos algunos de los problemas.

Problema: Los Dispositivos y Redes Cambian Al Pasar el Tiempo

No importa cuánto aspiremos a una red e infraestructura ideal, las redes continúan en constante flujo mientras los usuarios y administradores estén involucrados. Los dispositivos son agregados y removidos con el paso del tiempo como usuarios que vienen y van, cambian trabajo o consiguen nuevo hardware. En ocasiones, los viejos dispositivos son dejados de lado o perdidos administrativamente, dejando máquinas no parchadas en la red o manteniendo cuentas de usuarios/permisos accesibles durante un periodo mayor al que deberían de estar. Los dispositivos pueden temporalmente dejar el dominio y permanecer sin monitoreo durante ese tiempo.

Reduciendo Los Riesgos con EnCase Cybersecurity: Auditando Los Archivos HOSTS Para Encontrar Cambios No Autorizados



Una gran parte de nuestros Workshops de EnCase sobre Seguridad y Cumplimiento se centran en demostrar cuán fácil la identificación de códigos desconocidos puede ser, como malware avanzado puede estar usando la funcionalidad de auditoría del perfil de sistema y análisis de EnCase. Usando esta funcionalidad, una organización puede construir líneas bases (o perfiles) para las computadoras de su organización identificando procesos aprobados, ejecutables u otros archivos definidos por el usuario. Las organizaciones pueden luego, auditar y rápidamente identificar cualquier cambio (autorizado o no) fuera de la línea base del perfil. Esta funcionalidad de EnCase es bastante efectiva y un gran complemento para otras herramientas que trabajan con firmas como ser antivirus, firewall e IPS/IDS.

Workshops 2013 de Cumplimiento de Normas y Seguridad con EnCase - Latinoamérica



Al equipo de Guidance Software de Latinoamérica le complace anunciar una serie de workshops de 3-4 horas sobre cumplimiento de normas y seguridad, comenzarán en noviembre de 2013 y se extenderán a diciembre de 2013. Cada sesión de workshop será similar en formato y será llevada a cabo en conjunción con un revendedor local de EnCase.

¿Cuál es el objetivo de cada Workshop de Cumplimiento de Normas y Seguridad?

Cada workshop estará orientado en demostrar el cumplimiento, seguridad y auditoría de TI en casos de usos que las organizaciones pueden usar para manejar los riesgos externos como malware y riesgos internos como una amenaza interna. Los clientes pueden ver demostraciones en vivo de EnCase Cybersecurity, EnCase eDiscovery y EnCase Enterprise en acción. Cada workshop será llevado a cabo en español.

Casos de Uso #9: EnCase Cybersecurity Complementando un DLP para Encontrar Información Confidencial



Situación

Muchas organizaciones necesitan guardar información confidencial de sus clientes para ejercer sus actividades rutinarias. Entre esta información confidencial podemos mencionar números de seguridad social, números de cedulas de identidad, números de tarjetas de crédito, etc. Estos datos  convierten a las organizaciones en blancos potenciales de empleados deshonestos o hackers. Por eso, muchas organizaciones cuentan con una solución para prevenir la fuga de datos. 

Una solución para la Prevención de Perdida de Datos, o DLP según su sigla en inglés, está diseñada para detectar los posibles incidentes de violación de datos en forma oportuna y prevenirlos mediante el control de datos; mientras están en uso (acciones tomadas en tiempo real en un dispositivo), en movimiento (cuando controla el tráfico de los datos en la red) y en reposo (cuando están guardados en un dispositivo de almacenamiento de datos). 

Riesgos Organizacionales: El ABC De Traer Su Propio Dispositivo (BYOD)

En un esfuerzo por reducir el costo elevado de mantener al día al hardware de TI para los empleados, muchas organizaciones están empezando a considerar el enfoque alternativo de “Traer Su Propio Dispositivo”, más conocido por su sigla en inglés, BYOD. Como los empleados ya están llevando sus dispositivos a las oficinas y tienen una pasión por usar el último y más avanzado dispositivo, tiene sentido que las organizaciones consideren una política para permitir su uso con propósitos corporativos.

Es un enorme reto abrir una red corporativa a una expansiva lista de potenciales dispositivos que los empleados pueden traer al trabajo. El reto está en la dificultad de ejecutar las mismas estructuras y controles que el departamento TI ha puesto para proteger a los datos en los dispositivos del empleador en los dispositivos del empleado.

CEIC 2014 Las Vegas - 10 Ponencias en Español y 1 Ponencia en Portugués

No puede perderse un evento que por muchos años ha sido, y es hasta el día de hoy, el evento referente cuando nos referimos a ciberseguridad, el CEIC. Lo mejor es que ahora este evento incluirá por primera vez ponencias en Español y Portugués. En 2014,  tiene una cita importante la semana del 19 al 22 de Mayo ya que el CEIC será realizado en el Hotel Caesars Palace en Las Vegas, Nevada. Que este año fue premiado por Trip Advisor con el “Certificado de Excelencia”.

EnCase para Auditores de TI #1: Auditando y Validando Cuentas de Usuarios (Windows)



La validación de las cuentas de usuario es un componente crítico en la mayoría de infraestructuras de auditoría y cumplimiento de TI. Mientras que allí hay muchas herramientas para auditar las cuentas de usuario directamente en el controlador de dominio, muchas de las actividades y evidencia asociadas con el uso no autorizado de las cuentas de usuario suceden en el dispositivo. Es así que, las actividades de auditoría de cuentas de usuario en el dispositivo en la mayoría de las organizaciones, que a menudo están hechas a través de un muestreo aleatorio de dispositivos como una auditoría completa de la cuenta de usuario en el dispositivo, se considera que consumirán más tiempo.  

Las cuentas de usuario no autorizadas son a menudo un indicador de otras actividades maliciosas. Estas actividades pueden incluir cualquiera de las que siguen:
- Acceso de usuarios a servidores, computadores u otros recursos de trabajo No Autorizados.

- Abuso de los recursos de cómputo por los administradores del sistema.

- Abuso de los privilegios administrativos.

- Creación de cuentas locales no autorizadas para esconder actividades de usuarios desde el dominio de monitoreo.

- Actividad de malware.

Casos De Uso #8: EnCase Cybersecurity Complementando Un Filtro De Contenido Contra Contenido Inapropiado



Situación

Una organización cuenta con un Filtro de Contenido de Internet entre sus herramientas de seguridad. Esta herramienta fue diseñada y optimizada para controlar a qué contenido de Internet un usuario tiene el acceso permitido y a qué contenido en particular tiene el acceso denegado. Este contenido incluye mayormente páginas web; pero también puede incluir servidores de correos electrónicos, protocolos específicos de mensajería instantánea, protocolos de intercambio de archivos (P2P), etc.

Específicamente un Filtro de Contenido Web, tal como los reconocidos SmartWeb, WebSense y OPSEC entre otros, mantiene una lista extensa de sitios cuyo contenido no es apto para ser accedido por los usuarios de la organización.