Notas sobre el curso online impartido por Grupo Loyal.

• Fecha inicio: 16/10/2023
• Fecha fin: 18/10/2023
• Duración: 15 horas
• Instructor: Juan Carlos Urbina Jardin (jcuj89@gmail.com)

• Auditorías de ciberseguridad
• Criptografía
• Seguridad física y de infraestructura
• Normativas

• Técnica que busca como objetivo la protección
• Prevención de accesos no autorizados y de los diversos tipos de ciberataques.

Bien o propiedad que tiene nuestra empresa u organización.

• Tangibles: disco duro, pendrive, servidor…
• Intangibles: un sistema, un software, una base de datos…

El activo importante de una empresa puede encontrarse en 3 estados:

• Reposo: almacenamiento (está guardada en un disco, pendrive…)
• Tránsito: telecomunicaciones (por cable, wi-fi…)
• En uso: almacenamiento dinámico (memoria caché, memoria RAM…)

Según el estado de la información, la estrategia para proteger la información sería distinta.

• Reposo
  • Control de acceso
  • Cifrar los datos (cifrado al vuelo: se aplica criptografía a un disco duro o parte de él)
  • Copia de seguridad (backup): estrategia 3 2 1.
  • Hardening (aplicar configuración avanzada de seguridad a nuestros dispositivos).
• Tránsito
  • VPN site to site (entre sedes de la empresa)
  • VPN con acceso remoto (entre un cliente/equipo y organización)
  • Utilizar capas criptográficas
    • HTTPS
    • TLS, S/MIME…
  • Control de acceso
• En uso
  • Control de acceso: en sistemas (que cada usuario tenga un mínimo de privilegios) y en las redes (habilitar los protocolos necesarios).
  • Antivirus, XDR, EDR
  • Actualizar sistemas operativos

La triada CID es una referencia a seguir para la protección de activos de la información.

• Confidencialidad: definir una técnica que garantice el acceso a la información solo a las partes autorizadas.
• Integridad: evitar que la información sea alterada por personas no autorizadas.
• Disponibilidad: garantizar que la información siempre esté accesible (independientemente de si sucede un accidente o algo).

Dentro del triángulo estaría lo que queremos proteger: la información. Cada lateral sería uno de los principios para la protección de la información.

Para garantizar la confidencialidad de la información:

• Formación de los usuarios
• Criptografía
• Segregar roles (evitar darles roles administrativos a usuarios, por ejemplo)
• Segmentar las redes y controlar sus accesos

Para garantizar la integridad de la información:

• Formación de los usuarios
• Criptografía
• Segregar roles (evitar darles roles administrativos a usuarios, por ejemplo)
• Segmentar las redes y controlar sus accesos

Para garantizar la disponibilidad de la información:

• Disaster Recovery: plan ante catástrofes que asegura que se podrá restablecer la información en otro lugar. Estrategias de planificación:
  • Hot site: cuando ocurre algo en un sitio, las operaciones tienen que poder levantarse en otro lugar (una réplica).
  • Warm site: habrá réplica del sitio principal, pero al 70 % más o menos. La recuperación total tardará minutos en completarse.
  • Cold site: la réplica del sitio principal es del 20 % o algo mínimo. La recuperación total tardará horas en completarse.
• Redundancia: que haya contingencia de firewalls, ISPs (acceso a Internet), servidores (bases de datos, servidores web…), etc. por si falla algo, estar respaldados y que todo siga funcionando
• Backups: reestablecer las copias de seguridad. Una buena estrategia de respaldo permite que todo siga funcionando sin afectación.
• Seguridad física
  • SAI/UPS, redundancia eléctrica

Veremos diferentes formas en las que un atacante puede llegar a tener acceso a la información, comprometerla, alterarla, divulgarla, etc.

Software diseñado para ocasionar diversas actividades maliciosas en el dispositivo o sistema en donde resida.

Varios tipos de malware:

• Gusanos: el objetivo es propagarse dentro de la red.
• Spyware: el objetivo es realizar tareas de espionaje (capturar teclado, encender webcam sigilosamente, tomar capturas de pantalla, etc).
• Ransomware: el objetivo es “secuestrar” un sistema, cifrar la información para pedir una recompensa para recuperarla. A día de hoy, los ransomware incluyen también capacidades de los gusanos y spyware.
• Rootkits: se instalan a nivel del kernel tomando el control de todo el sistema.
• Troyanos: se esconden bajo un programa en apariencia legítimo, pero su actividad es maliciosa.
• Bombas lógicas: se activan en un determinado momento o ante determinada acción.
• Adware: el objetivo es mostrar publicidad.

Técnica de ataque diseñada para obtener información confidencial de los usuarios.

Consiste en engañar a una persona con el propósito de conseguir información importante (contraseñas, números de la tarjeta de crédito, etc.)

Técnicas que emplean los atacantes:

• Phishing: se hacen pasar por un banco o una entidad real (suplantación de identidad).
• Vishing: mediante una llamada telefónica se busca lograr información de la víctima para conectarse a su ordenador, por ejemplo.
• Smishing: utiliza mensajes de texto (SMS) falsos para engañar a las personas para que descarguen alguna aplicación o compartan información personal.
• Tailgating: engañar a una persona para lograr cierta amistad o ir muy cerca (“a rebufo”) y poder acceder a lugares donde no debería.

MITM: Man-in-the-middle (hombre en el medio).

Técnica basada en la interceptación de las comunicaciones.

En este tipo de ataque:

• El atacante tiene que estar dentro de la red.
• Para poder capturar información interesante, la víctima tiene que estar accediendo a sitios no seguros (HTTP)

Denegación de servicio.

• DoS: Denial of Service.
• DDoS: Distributed Denial of Service

El atacante realiza muchas peticiones a un servicio hasta el punto de saturarlo. Impacta en la disponibildad de la información.

Hoy en día un ataque DoS no tiene tanto impacto porque los servidores tienen mayores capacidades (mejores CPUs, más núcleos, mucha más memoria RAM, mejor ancho de banda…). Por eso lo que se usa es DDoS donde se emplean varias máquinas previamente infectadas para que realicen de forma coordinada muchas más peticiones de las que lograría mediante una sola máquina.

Para generar este tráfico masivo:

• SYN FLOOD: envío de apertura de conexión, el servidor responde OK, pero no le respondes de nuevo al servidor sino que sigues abriendo más conexiones de apertura.
• Ping de la muerte: envío de muchos ping de un tamaño mayor al normal.
• Slowaris: tráfico HTTP de consultas a sabiendas muy lentas.

Su propósito puede variar según el tipo de ataque.

• SQL injection: consultas SQL para alterar una base de datos.
• Directory traversal (salto de directorio): en la URL colocar sucesiones de ../ por si logramos acceder a un directorio al que no deberíamos (/root, C:\windows\system32…)
• Inyección de comandos de sistema operativo: aprovechar algún formulario que tenga la aplicación para introducir una instrucción propia del SO (ls, rm, cd…)
• RFI/LFI: introducir en el formulario de la aplicación una URL o archivo para subirlo al servidor y poder acceder a donde no se debería.
• XSS (Cross-Site Scripting): inyección de un script malicioso en una aplicación web para engañar al usuario o que descargue algo malicioso cuando acceda a esa web.

Sus ataques pueden variar ocasionando fugas de información, interrupciones, entre otras.

Puede ser personal que esté molesto con la organización y decidan realizar actividades maliciosas contra la misma. También puede haber casos de empleados que reciban un pago de agentes externos para que hagan actividades maliciosas dentro de la empresa.

• Evaluación: auditar la infraestructura (qué tenemos, qué activos son críticos, dónde están…)
• Formación
• Mejoras continuas: seguir ajustando las configuraciones de seguridad de los sistemas (no dejar configuraciones por defecto o sistemas sin actualizar).
• Documentación: documentar políticas de seguridad, respaldo, etc.

• VirusTotal
• Cisco Talos Intelligence Group. Útil para comparar con las IPs o dominios que muestra el análisis de Virtus Total.
• AbuseIPDB: también permite identificar la reputación de un dominio e IP, pero viene de comentarios de otros usuarios.
• SANS Internet Storm Center: además de poder buscar información sobre dominios, IPs y puertos, el portal también contiene publicaciones sobre análisis de ataques en su sección de diarios.
• MX Lookup Tool: revisión de servidores de correo.

Cuando tenemos sospechas sobre una aplicación Windows, Sysinternals es una suite de aplicaciones para realizar todo tipo de actividades en sistemas Windows.

• TPCview (tcpview64.exe): detalle de conexiones de red de los programas que están en ejecución. Luego podemos usar esa información para contrastarla en alguno de los portales donde verificar la reputación de IPs.
• Process Explorer (procexp64.exe): muestra qué hace cada programa, qué DLLs usa…

netstat -aof

El comando anterior muestra en vivo las conexiones activas que tiene el ordenador:

  Proto  Dirección local          Dirección remota        Estado           PID
  TCP    10.0.42.185:53386      172.21.40.161:microsoft-ds  ESTABLISHED     4
  TCP    10.0.42.185:53401      COR2FSERV:microsoft-ds  ESTABLISHED     4
  TCP    10.0.42.185:53403      COR1FSERV:microsoft-ds  ESTABLISHED     4
  TCP    10.0.42.185:56099      ALMACEN:microsoft-ds   ESTABLISHED     4
  TCP    10.0.42.185:57083      10.0.65.28:https       ESTABLISHED     17384
  TCP    10.0.42.185:57942      10.0.65.30:ssh         ESTABLISHED     13888
  TCP    10.0.42.185:58097      10.0.65.30:3306        ESTABLISHED     18476
  TCP    10.0.42.185:61490      10.0.65.30:3306        ESTABLISHED     18476
  TCP    127.0.0.1:3306         lar:56978              ESTABLISHED     21492
  TCP    127.0.0.1:40000        lar:51187              ESTABLISHED     2116
  TCP    127.0.0.1:50995        lar:50999              ESTABLISHED     17384
  TCP    127.0.0.1:50997        lar:51000              ESTABLISHED     16936
  TCP    127.0.0.1:50999        lar:50995              ESTABLISHED     17384
  TCP    127.0.0.1:51000        lar:50997              ESTABLISHED     16936
  TCP    127.0.0.1:51187        lar:40000              ESTABLISHED     8496
  TCP    192.168.0.15:51047     74.115.172.133:https   ESTABLISHED     11280
  TCP    192.168.0.15:52579     52.112.238.249:https   ESTABLISHED     11840
  TCP    192.168.0.15:52968     a92-123-58-30.deploy.static.akamaitechnologies.com:https  CLOSE_WAIT      8496

Debería preocuparnos las conexiones en estado LISTENING ya que son servicios en escucha. Podemos coger las IPs o dominios que nos aparezcan y buscarlos en los portales web donde comprobar su reputación.

En la prevención de malware, el antivirus debe estar activo y actualizado.

Con el antivirus podemos realizar escaneos de nuestra máquina para saber si algo que tenemos o acabamos de descargar es malicioso.

Para encontrar actividad sospechosa en nuestro sistema podemos usar en Windows el Visor de eventos. En la sección “Windows Logs” se agrupan los eventos según sean de aplicación, seguridad, sistema…

Por ejemplo, eventos con ID 4624 y 4672 se corresponden a eventos de inicio de sesión.

Un sandbox es un entorno virtual con un sistema operativo para poder ejecutar archivos sospechosos o maliciosos sin afectar a una máquina o infraestructura real. En sandbox grabará toda actividad que lleve a cabo el archivo.

• ANY.RUN: sandbox en la nube. La versión gratuita ofrece una máquina virtual con Windows 7 de 32 bits y un espacio para subir ficheros de hasta 16 MB para subir archivos maliciosos.
• Cuckoo Sandbox: descarga de entornos virtuales para análisis de malware.

• Identificar phishing por e-mail: Test de Google para identificar phishing
• Analizar cabeceras del correo electrónico: utilizar el cliente de correo para ver más detalles del mensaje donde podamos ver las cabeceras. Ese contenido lo copiamos y lo pegamos en MX Lookup Tool, en la sección Analyze headers.
• Informar casos de phishing: PhishTank. También podemos consultar phishings.
• Implementación de un antispam. Estos dispositivos son firewalls especializados que tienen antivirus y se comunican con portales donde verificar reputación de IPs y dominios para bloquear o permitir los correos antes de que lleguen a nuestras bandejas de entrada.
• Formación de los usuarios.

En las cabeceras de los e-mails:

• Return-Path: Indica de qué dirección salió realmente el e-mail. Aunque hayan cambiado “From” para engañarnos, en Return-Path podremos ver la dirección real.

Investigar sobre SPF, DKIM y DMARC.

• Impulsar el desarrollo seguro de apps y sitios web.
  • Formación de los desarrolladores.
  • Escanear el código fuente.
    • SAST: análisis estático del código
    • DAST: análisis dinámico de la aplicación (actuando como lo haría un atacante).
    • WAS: Web Application Scanning. Ejecuta los ataques típicos a aplicaciones web.
• Revisar OWASP top 10: las 10 vulnerabilidades más comunes y críticas en una página web.
• Seguir normativas (compliances) internacionales (PCI, ISO27000)
• Fortalecer la seguridad en las redes.
• Segmentación de redes
• Implementación de un WAF (Web Application Firewall). Se pone por delante de los servidores web.
• Implementación de un DAM o firewall de base de datos.
• Ajuste continuo del firewall
• Hardening de los servidores
• Segregación de permisos. Privilegios necesarios a los usuarios y administradores.

Analizar si existe alguna vulnerabilidad presente en la respuesta de un servidor web. Se trata de buscar alguna web vulnerable al https://owasp.org/Top10/es/A05_2021-Security_Misconfiguration/1A05:2021 de OWASP.

Usaremos un navegador web con las herramientas de desarrolladores para ver las peticiones y respuestas para investigar si algo podría ser usado por los atacantes.

itformacion.net