Security Report 1386771339

ENERO DE 2013

INFORME DE SEGURIDAD 2013 DE CHECK POINT

003

2013 CHECK POINT ANNUAL SECURITY REPORT

1 _ INTRODUCTION

INFORME DE SEGURIDAD CHECK POINT 2013

01

02

03

04

AP

06

05

Introduccin y metodologa 004

Amenazas para su empresa 006

Aplicaciones en el mbito empresarial 020

Incidentes de prdida de datos en su red 030

Sumario y estrategia de seguridad 036

Acerca de Check Point Soft ware Technologies 038

Apndice 042


004

01

AL IGUAL QUE EL AGUA NO MANTIENE UNA FORMA CONSTANTE, TAMPOCO EN LA GUERRA SE DAN CONDICIONES CONSTANTES 1

AUNQUE ESTA FRASE SE PRONUNCI HACE 2600 AOS, SORPRENDETEMENTE SIGUE SIENDO MS QUE RELEVANTE, REFLEJANDO LA GUERRA ACTUAL LA CIBER GUERRA.

Las tcnicas de los hackers cambian constantemente, empleando mtodos ms avanzados y sofisticados de ataque, elevando las necesidades de seguridad a nuevos niveles. Los centros de datos, ordenadores y telfonos mviles de empleados, son los primeros objetivos de los hackers, sembrando una amplsima variedad de malware como bots, troyanos y descargas ocultas. Los hackers recurren a las tretas y la ingeniera social, manipulando a usuarios inocentes, para acceder a informacin corporativa como documentacin interna, registros financieros, nmeros de tarjetas de crdito y credenciales de usuario, o simplemente para hacer caer servicios mediante ataques de denegacin de servicio. Esta guerra moderna de engaos y ataques sofisticados es una realidad y va a perdurar. La cantidad de informacin corporativa almacenada en centros de datos, servidores, PCs y telfonos mviles crece a velocidad de vrtigo, y el mayor volumen de datos y plataformas implica mayor riesgo. Por ltimo, la lista de amenazas de seguridad

no es precisamente corta, revelando cada nuevo ataque mayor nivel de sofisticacin. Cules fueron los riesgos principales que afront su entorno de red el ao pasado? A qu riesgos estar expuesto el ao que viene? Estas fueron las cuestiones principales que mantuvieron ocupado al equipo de investigacin en seguridad de Check Point los ltimos meses. Buscando respuestas a estas preguntas, Check Point ha efectuado un anlisis de seguridad intensivo.

MetodologaEl Informe de Seguridad 2013 de Check Point est basado en la investigacin cooperativa y anlisis de incidentes de seguridad obtenidos de cuatro fuentes principales de informe: Check Point Security Gateways Analysis Reports 2, Check Point ThreatCloud3, Check Point SensorNet y Check Point Endpoint Security.Se efectu un anlisis global de los incidentes de seguridad de la red de 888 compaas a partir de los datos recopilados por los Check Point Security Gateways, que inspeccionan el trfico de red entrante y saliente en tiempo real. Se inspeccion el trfico mediante la tecnologa multinivel Software Blades de Check Point para identificar un abanico de amenazas de seguridad como aplicaciones de alto riesgo, intentos de intrusin, virus y bots, prdida de datos sensibles, etc. Se monitoriz el trfico de red en tiempo real implementando Check Point Security Gateway en lnea o en el modo de monitorizacin (tap).De media, se monitoriz el trfico de red de cada organizacin durante 134 horas. Las empresas recogidas en nuestros informes pertenecen a un amplio repertorio de negocios localizados por todo el mundo como se ilustra en las grficas 1-A y 1-B.

INTRODUCCIN Y METODOLOGA

005


01 _ INTRODUCCIN Y METODOLOGA

Adems, se analizaron 111,7 millones de eventos procedentes de 1494 Security Gateways empleando los datos generados por ThreatCloud de Check Point. ThreatCloud es una base de datos de seguridad actualizada en tiempo real y alimentada con los datos de una gran red de sensores globales, emplazados estratgicamente por todo el mundo que recogen informacin sobre amenazas y ataques de malware. ThreatCloud permite la identificacin de tendencias y amenazas globales de seguridad, creando una red cooperativa para luchar contra el cibercrimen. En esta investigacin se analizaron datos provenientes de ThreatCloud que se recopilaron durante un periodo de tres meses entre agosto y octubre de 2012.En lo referente a datos de amenazas, estos se recopilaron de la red de sensores SensorNet de Check Point entre el uno de julio y el 30 de septiembre de 2012. SensorNet de Check Point es una red de sensores distribuida por todo el mundo que proporciona informacin de seguridad y estadsticas de trfico a un sistema de anlisis centralizado. Se analizan estos datos para detectar tendencias y anomalas, as como para elaborar una vista en tiempo real de la seguridad por todo el mundo.Por ltimo, se consider el anlisis de 628 informes de seguridad de controles procedentes de una gran variedad de organizaciones. Los anlisis de seguridad incluyeron la exploracin de cada host para valorar los riesgos de prdida de datos, riesgos de intrusin y por malware. Los anlisis se efectuaron con la herramienta de informes Endpoint Security de Check Point verificando si se estaba ejecutando el antivirus en el host, si el antivirus estaba actualizado, si se ejecutaba la ltima versin del software y otros parmetros. La herramienta es gratuita y de libre acceso, pudiendo descargarse del sitio Web pblico de Check Point 4.Este informe est basado en los datos recopilados de estas fuentes.

Especificaciones de sectores Industrial Qumica / Refineras, Salud, Farmacutica, Informtica, Fabricacin, Transporte, Utilidades, Infraestructuras.Financiero Finanzas, Contabilidad, Banca, Inversiones. Gobierno Gobierno, Defensa. Telco Telco, Proveedores de servicios, ISP, MSP. Consultora Servicios de consultora Otros Publicidad / Medios, Distribucin, Educacin, Abogaca, Tiempo libre / Hoteles, Venta minorista y mayorista, Seguridad, Otros.

APAC - Asia, Pacfico y Japn. EMEA Europa, Oriente medio y frica.

26 % O

tros 235

39 % Industrial 346

14 % Financiero 128

10 % G

ubernamental 89

7 % Telco 59

4% C

onsultora 31

Industrie

s

Geograf

a

40 % EM

EA* 354

40 % A

mricas 356

20 % Sectores

A

PAC

* 178

Fuen

te:

Che

ck P

oin

t So

ftw

are

Tec

hnol

ogie

s

Grfica 1-A


02 AMENAZAS PARA SU EMPRESA

Parte del gran incremento de la actividad maliciosa en el pasado ao puede atribuirse a que los hackers se sirven fcilmente de herramientas y paquetes estndar. Con un clic cualquiera puede descargar una sofisticada suite de ataque repleta de opciones. Una de estas suites es el kit BlackHole un paquete de software muy extendido basado en Web. BlackHole

incluye una coleccin de herramientas que sacan partido de las vulnerabilidades de seguridad de los navegadores Web para descargar virus, bots, troyanos y otras variantes de software malicioso a los ordenadores de vctimas desprevenidas. Los precios de estos kits van de los 50 $ para usar un da, hasta los 1.500 $ para todo el ao 9.

tienen motivacin y objetivos. Los cibercriminales parecen dedicar una considerable cantidad de tiempo y recursos a recopilar informacin. Sus actividades criminales causan daos severos a las organizaciones como: prdida de datos confidenciales, interrupciones del negocio, perjuicios de reputacin y, desde luego, prdidas econmicas. Los ataques ms sofisticados y de larga duracin, estn dirigidos a un objetivo predeterminado muy especfico, refirindonos a ellos como Advanced Persistent Threats (APT). Estos ataques raramente los detectan los sistemas de seguridad tradicionales, poniendo a gobiernos, empresas, pequeos negocios e incluso redes personales en riesgo.

ltimas noticias:Se ha descubierto un nuevo ciberataqueEn 2012 continuaron proliferando los ciberataques y los titulares. Amenazas de software malicioso, ataques y redes de bots son noticias de portada casi a diario, poniendo en evidencia el infame xito de los hackers robando informacin, paralizando operaciones, y espiando a empresas y gobiernos. Los siguientes ejemplos son slo la punta del iceberg de los ciberataques producidos durante 2012: Los hackers atacaron la red 6 de la Casa Blanca, el grupo de activistas Anonymous hizo caer los sitios Web de grupos de empresas como U.S. Telecom Association y TechAmerica 7, los ciberataques afectaron tambin a Capital One Financial Corp., BB&T Corp., y HSBC Bank USA 8, entre otros.

Amenazas persistentes avanzadasLos cibercriminales no son ya amateurs aislados. En muchos casos pertenecen a organizaciones bien estructuradas, similares a clulas terroristas sus fundamentos son slidos y

SLO EXISTEN DOS TIPOS DE COMPAAS, LAS QUE YA HAN

SIDO ATACADAS Y LAS QUE LO SERN

Robert Mueller, Director, FBI, MARZO, 2012

007

02 _ AMENAZAS PARA SU EMPRESA

Global Payments Inc.Esta pasarela global de pagos result atacada en junio de 2012. Se sustrajeron sobre 1,5 millones de datos de tarjetas de crdito.Clarksville Tennessee U.S.En junio de 2012 los hackers entraron en el sistema de Clarksville- Montgomery County School para sustraer los nombres, nmeros de Seguridad Social, y otros datos personales de unas 110.000 personas. Los hackers aprovecharon la informacin publicada por empleados y estudiantes en Internet para acceder al sistema 10.Serco Thrift Savings PlanEn mayo de 2012 un ataque contra Serco en los Estados Unidos, dio como resultado la sustraccin de los datos de 123.000 empleados federales.

University of NebraskaFue vctima de un robo de datos consistente en la sustraccin de unos 650.000 archivos con datos de personal relativos a estudiantes, padres y empleados de la universidad de la base de datos de Nebraska Student Information Systems.U.S. Utah Dept. of Technology ServicesEn marzo de 2012 se sustrajeron los datos mdicos de 780.000 pacientes alojados en un servidor. Se piensa que el ataque provena de ms all de Europa del este.National Health Service de Reino UnidoEntre julio de 2011 y julio de 2012, el National Health Service del Reino Unido fue vctima de varios ataques que expusieron los registros de casi 1,8 millones de pacientes 11.

INCIDENTES DE VIOLACIN DE DATOS EN 2012

su penetracin en la red, extendindose incluso a otros nodos. Tras este paso el atacante ha logrado su objetivo, puesto que puede acceder a los hosts infectados para sustraer datos o causarles daos remotamente, manteniendo la persistencia pensando en el largo plazo.

Las redes de bots se instalan para mantenerse activasLas redes de bots (botnets) se cuentan entre las amenazas ms significativas de la seguridad a las que tienen que hacer frente las empresas. Un bot es un software malicioso que invade e infecta un ordenador (zombie) para permitir a los delincuentes controlarlo remotamente. El ordenador infectado puede desarrollar actividades ilegales, como: sustraer datos, distribuir spam, expandir malware y participar en ataques de Denegacin de Servicio (DoS). El propietario del ordenador infectado puede ser

En los ataques APT, la primera accin que se ejecuta tpicamente es efectuar un reconocimiento para recopilar informacin sobre el objetivo. Los atacantes efectan una intrusin inicial en la red objetivo para abrir una puerta trasera y mantenerse de forma prolongada en la misma. Normalmente esto se lleva a cabo infectando el host con un bot, que permite al atacante comunicarse con el host infectado sin ser detectado. El atacante trata entonces de aumentar

SE VENDEN HERRAMIENTAS ESPA POR INTERNET POR

UNOS 500 $, MIENTRAS QUE LOS DAOS OCASIONADOS CUESTAN A LOS NEGOCIOS

MILLONES DE DLARES

Este ao tuvieron lugar numerosos incidentes de violacin de datos, exponiendo datos alojados en servidores corporativos relativos a tarjetas de crdito, clientes, estudiantes o datos de pacientes. Estas actividades maliciosas comparten como objetivo comn hacerse con informacin confidencial. La siguiente lista nos ilustra algunos ejemplos:



ACTIVIDADES DE LAS REDES DE BOTS

Enviar mensajes de spam

Atacar ordenadores y servidores

Robar datos

Distribuir software malicioso

Difundir virus

perfectamente ignorante de estas actividades. Los bots juegan tambin un papel protagonista en los ataques APT dirigidos.Existen dos grandes tendencias en el perfil de las amenazas actuales dirigidas por ataques de bots. En el primer grupo se encuentra la creciente industria del cibercrimen orientado a los beneficios en ste se encuadran cibercriminales, operadores de malware, proveedores de herramientas, codificadores y programas afiliados. Sus productos se pueden pedir fcilmente por Internet desde numerosos sitios Web (por ejemplo, kits malware hgalo Vd. mismo, envo de

spam, robo de datos y ataques de Denegacin de Servicio) encontrando dificultades las organizaciones para librarse de esta clase de ataques. El segundo grupo es ideolgico y est dirigido a los estados, teniendo como objetivo a personas y organizaciones para promover causas polticas o desarrollar campaas de ciberguerra.Las redes de bots estn aqu para quedarse. En contraposicin a los virus y otros malware tradicionales estticos, (cuyo cdigo y forma se mantienen estables), las redes de bots son dinmicas por naturaleza, pudiendo cambiar rpidamente de forma y patrones de trfico. Los kits de bots se venden por

009

Internet desde 500 $, y sus ataques cuestan a los negocios millones de dlares. El problema de los bots se ha convertido en una cuestin relevante.

Las redes de bots estn por todas partes pero, cmo es la situacin de crtica?Se estima que un 25% de los ordenadores personales conectados a Internet pueden ser parte de una red de bots 12. Nuestra reciente investigacin revela que en un 63% de las organizaciones se ha encontrado, al menos, un bot. La mayora de las organizaciones estaban infectadas por varios bots.

Cmo trabajan las redes de botsTpicamente una red de bots cuenta con un nmero de ordenadores infectados con software malicioso, que establece una conexin de red con un sistema o sistemas de control, conocidos como servidores Command & Control.

DE LAS ORGANIZACIONES DE NUESTRO ESTUDIO ESTABAN INFECTADAS CON BOTS

EL63%

Nmero de hosts infectados con bots(% de organizaciones)

48 % 1-3 hosts

18 % 4-6 hosts

10 %

7-9

hos

ts

18 %

10-

21 h

osts

6 % Ms de 21 hosts

Cuando un ordenador resulta infectado por un bot, ste toma el control del ordenador y neutraliza las defensas del antivirus. Los bots resultan difciles de identificar porque se esconden dentro del ordenador cambiando la forma en la cual se muestran de cara al software antivirus. El bot conecta entonces con el centro Command & Control (C&C) para recibir las instrucciones de los cibercriminales. Para este

Spam, Virus, DDoS

Bot Herder criminal

Bot

Command & Control

Ordenadores en Internet

Grfica 2-A

Fuen

te: C

heck

Point

Softw

are Te

chno

logies



010

tipo de conexiones se emplean multitud de protocolos de comunicaciones diferentes, incluyendo Internet Relay Chat (IRC), HTTP, ICMP, DNS, SMTP y SSL, y en algunos casos protocolos personalizados creados por los desarrolladores del software del bot.

Actividad Command & ControlLos bots se presentan con aspectos y formas muy diferentes, pudiendo ejecutar gran variedad de actividades. En muchos casos, un solo bot puede crear mltiples amenazas. Una vez que est gobernado por el servidor Command & Control, la red de bots puede ser dirigida en el ordenador infectado para desarrollar actividades ilegales sin conocimiento del usuario. Estas actividades incluyen: infectar ms mquinas para aadirlas a la red de bots, efectuar envos masivos de spam, ataques DDoS y sustraccin de datos personales, financieros, y datos confidenciales de la empresa de la red

de bots. A menudo los bots se utilizan tambin como herramientas en ataques APT en los que los cibercriminales seleccionan individuos u organizaciones a atacar. La grfica 2-B ilustra la frecuencia de comunicacin de los bots con sus centros Command & Control. El 70% de los bots detectados durante el estudio comunicaron con sus centros Command & Control, al menos, una vez cada dos horas. La mayora de las actividades Command & Control estn localizadas en los Estados Unidos, seguidos por Alemania, Holanda y Francia, como se ilustra en la grfica 2-C.Los distintos tipos de comunicacin de los bots con sus centros Command & Control incluyen: informes de nuevos hosts que han resultado infectados, mensajes de correcto funcionamiento, y recopilacin de datos del sistema host. Nuestra investigacin revela que, de media, los bots se comunican con su centro Command & Control cada 21 minutos.

A qu redes de bots deberamos estar atentos?Actualmente estn desplegadas miles de redes de bots. La siguiente tabla muestra las redes de bots o botnets ms relevantes localizadas durante nuestro estudio. Para comprender mejor la transcendencia de estas amenazas, puede encontrarse informacin adicional sobre cada una de ellas en el Apndice A.

Ver detalles adicionales en el Apndice A

CADA 21 MINUTOS UN BOT SE COMUNICA CON

SU CENTRO COMMAND & CONTROL

Grfica 2-B

Fuen

te: C

heck

Point

Softw

are Te

chno

logies

Frecuencia de comunicacin de los bots con su centro Command & Control

25 % Hasta

1 hora

45 % 1-2 h

oras

6 % 2-4 ho

ras

24 % Ms d

e 4 horas

Familia de redes de bots Actividad maliciosa

Zeus Sustraccin de credenciales bancarias en lnea

Zwangi Presentacin al usuario de mensajes publicitarios no deseados

Sality Autodifusin de virus

Kuluoz Ejecucin remota de archivos maliciosos

Juasek Acciones maliciosas remotas: abrir la ventana de comandos, buscar, crear y eliminar archivos y ms

Papras Sustraer informacin financiera y obtener acceso remoto

DE LAS ORGANIZACIONES UN HOST ACCEDE A UN SITIO WEB MALICIOSO

75% EN EL

UBICACIN DE PASES CON MS COMMAND & CONTROL

58%Estados Unidos

3%Canad

3%Australia

4%China

9%Alemania

7%Holanda

3%Venezuela

3%Rumana

3%Argentina

7%Francia

Grfica 2-CFu

ente:

Che

ck Po

int So

ftware

Tech

nolog

ies



012

Cmo puede su organizacin resultar infectada por malwareExisten mltiples puntos de entrada desde donde romper las defensas de la organizacin: vulnerabilidades basadas en navegador, telfonos mviles, adjuntos maliciosos y soportes extrables, por nombrar algunos. Adems, la explosin de aplicaciones Web 2.0 y redes sociales utilizadas como herramienta de negocio brindan a los hackers grandes oportunidades de encontrar vctimas que pulsen sobre enlaces maliciosos o en malvertisement anuncios maliciosos que aparecen en sitios Web legtimos.Aunque las redes de bots estn llamadas a ser consideradas como una de las amenazas de red ms relevantes de la actualidad, las organizaciones hacen frente a amenazas de seguridad adicionales procedentes del mundo del malware: virus, gusanos, spyware, adware, troyanos y dems. Nuestro estudio revel que en el 75% de las organizaciones un host haba accedido a un sitio Web malicioso.El siguiente grfico ilustra el nmero de hosts que accedieron a sitios Web maliciosos atendiendo al porcentaje de organizaciones. En aproximadamente el 50% de las organizaciones accedieron al menos 5 hosts a sitios Web maliciosos.

18 % 3-4 hosts

31 %

1-2

hos

ts

16 % 9-16 hosts

15 % Ms de 16 hosts

20 % 5-8 hosts

Acceso a sitios Web maliciosos por nmero de hosts(% de organizaciones)

Un malware puede ser descargado por un usuario o por un bot que ya haya infectado al host. Apreciamos que en el 53% de las organizaciones se descarg malware de la propia red corporativa. En ms del 50% de estas organizaciones, detectamos que haban descargado malware ms de cuatro hosts. El siguiente grfico circular ilustra la frecuencia promedio de descargas de malware en las organizaciones recogidas en nuestro estudio.

Frecuencia de descarga de malware(% de organizaciones)

43 % Ms de un da

14 %

Has

ta 2

hor

as

19 %

Ent

re 2

-6 h

oras

12 % 6-12 horas12 % 12-24 horas

CADA 23 MINUTOS UN HOST ACCEDE A UN

SITIO WEB MALICIOSO

La grfica 2-G representa el nmero de hosts que descargaron malware. En ms del 50% de las organizaciones, al menos 5 hosts descargaron algn malware. En nuestro estudio, localizamos la mayora del malware en los Estados Unidos, seguido de Canad y Reino Unido, como se muestra en la grfica 2-F.La proteccin antivirus es uno de los mtodos para luchar contra las infecciones de malware, aunque nuestro estudio revela que el 23% de los hosts de las organizaciones no actualizaban sus antivirus diariamente. Un host que no ejecute un antivirus actualizado est expuesto a los ltimos virus. Desvelamos tambin que el 14% de los hosts de las organizaciones ni siquiera disponan de antivirus instalado en los ordenadores host. Los hosts que no ejecutan un antivirus se enfrentan a un gran riesgo potencial de infeccin por malware.Grfica 2-D

Grfica 2-E

Fuen

te: C

heck

Point

Softw

are Te

chno

logies

Fuen

te: C

heck

Point

Softw

are Te

chno

logies

013

UBICACIN DE PASES CON MS MALWARE

71%Estados Unidos

8%Canad

2%China

3%Israel

3%Alemania

4%Reino Unido

2%Eslovaquia

2%Repblica

Checa

2%Francia

3%Turqua

Les presentamos a miniFlame el hermano pequeo, pero ms peligroso, de FlameParece que Flame, que fue descubierto hace unos meses, era slo el principio. Este ao se descubri un programa similar, denominado miniFlame, que efectu ataques ms precisos sobre objetivos de Oriente medio. miniFlame incluye una back door que facilita el control remoto, sustraccin de datos y la posibilidad de obtener capturas de pantalla.

Nmero de hosts que descargaron malware(% de organizaciones)

45 % 1-4 hosts

20 % M

s de 33 hosts

12 % 17-32 hosts

13 % 5-8 hosts

10 % 9-16 hosts

Grfica 2-F

Grfica 2-G

Fuen

te: C

heck

Point

Softw

are Te

chno

logies

Fuen

te: C

heck

Point

Softw

are Te

chno

logies

014

ATAQUE DE EUROGRABBERMS DE 36 MILLONES DE EUROS ROBADOS A MS DE 30.000 CLIENTES DE ENTIDADES BANCARIASDurante 2012 tuvo lugar un sofisticado ataque multidimensional robando segn una estimacin ms de 36 millones de euros de entre ms de 30.000 clientes bancarios entre mltiples bancos en Europa. De forma completamente transparente, los clientes de banca online no tenan ni idea de que estaban infectados con troyanos, y que sus sesiones de banca online estaban en compromiso o que se estaban robando fondos directamente desde sus cuentas. Esta campaa de ataques fue descubierta y denominada Eurograbber por Versafe y Check Point Software Technologies. El ataque Eurograbber emplea una variacin nueva y exitosa de los troyanos ZITMO, o Zeus-In-The-Mobile. Hasta la fecha, esta vulnerabilidad solamente se ha detectado en pases de la zona Euro, pero una variacin de este ataque podra potencialmente afectar tambin a bancos en pases fuera de la unin europea. El ataque en varias etapas infect en principio ordenadores y dispositivos mviles de clientes de banca online, y una vez que los troyanos Eurograbber

se instalaron en ambos dispositivos, las sesiones de banca online del cliente fueron monitorizadas y manipuladas completamente por los atacantes. Incluso el mecanismo de autenticacin de dos factores usado en los bancos para garantizar la seguridad de las transacciones online fue burlado en el ataque y utilizado en realidad por los atacantes para autenticar sus transferencias ilcitas financieras.Es ms, los troyanos usados para atacar los dispositivos mviles fueron desarrollados para plataformas BlackBerry y Android para facilitar un amplio mercado objetivo, y como tal fueron capaces de infectar a usuarios de banca tanto corporativos como particulares y transferir de forma ilcita fondos fuera de las cuentas de los clientes en un rango de cantidades de entre 599 y 250.000 euros cada una. Puede encontrarse informacin adicional sobre el ataque Eurograbber, incluyendo un detallado paso a paso del ataque en el white paper12 con el caso de estudio en el sitio web de Check Point.

Ms vulnerabilidades, ms exploitsLas vulnerabilidades bien conocidas son los objetivos clave de los hackers, que confan en el simple hecho de que las organizaciones no actualizan su software de forma semanal. Cuanto ms grande son las organizaciones, ms difcil es para los administradores de seguridad mantener todos los sistemas completamente actualizados. Por ello, en muchos casos, una vulnerabilidad parcheada hace un ao, puede utilizarse todava para penetrar en los sistemas de grandes organizaciones que no han actualizado sus sistemas con las ltimas actualizaciones y parches del software.El enorme nmero de vulnerabilidades descubiertas cada ao es abrumador, con ms de 5.00013 nuevas formas descubiertas para que los hackers causen dao y accedan a los sistemas en 2012, y todava existen muchas vulnerabilidades ms sin descubrir que estn siendo utilizadas de forma activa por los ciberdelincuentes.

Nmero total de vulnerabilidades y exposiciones comunes

5672 201

2

5235 201

1

5279 201

0

5132 200

9

Grfica 2-H

Fuen

te: C

ommo

n Vuln

erabil

ities

and E

xpos

ures

(CVE

)

015



La grfica 2-I demuestra que los productos ms populares utilizados por la mayora de organizaciones en todo el mundo son tambin los ms vulnerables Oracle, Apple y Microsoft son los proveedores lderes en vulnerabilidad.

para el sistema operativo. No estar ejecutando el ltimo Service Pack implica estar en una situacin de riesgo para la seguridad.Adems hemos descubierto que en el 68% de las organizaciones se encontraron incidentes de seguridad relacionados con productos Microsoft. Las incidencias para la seguridad relativas a otros fabricantes de software como Adobe y Apple, se encontraron en menos organizaciones. Es interesante observar que aunque Apple es la segunda en cantidad de vulnerabilidades, solamente un pequeo porcentaje de organizaciones han tenido incidencias relativas a productos Apple.

Vulnerabilidades principales y riesgos de 2012 por fabricante

59 HP

62 PHP

80 Google

118 IBM

119 Cisco

119 Adob

e150

Firefox

222 Micro

soft260

Apple

384 Oracle

Nuestra investigacin revela que el 75% de los hosts dentro de las organizaciones no utilizan las ltimas versiones de software (por ejemplo: Acrobat Reader, Flash Player, Internet Explorer, Java Runtime Environment y otros muchos). La implicacin de todo ello es que estos hosts estn expuestos a un amplio espectro de vulnerabilidades que pueden ser aprovechadas por los hackers. Nuestra investigacin tambin demuestra que el 44% de los hosts en las organizaciones no estn ejecutando los ltimos Service Packs de Microsoft Windows. Los Service Packs normalmente incluyen actualizaciones de seguridad

Los hackers utilizan diversas tcnicas a las que se refieren como vectores de ataque. La grfica 2-K enumera algunos de estos vectores de ataque, segn el porcentaje de organizaciones que los han sufrido. Corrupcin de la memoria, desbordamiento de buffer y denegacin de servicio son los vectores de ataque ms populares encontrados en nuestra investigacin.

Grfica 2-I

Fuen

te: C

ommo

n Vuln

erabil

ities

and E

xpos

ures

(CVE

) Incidencias de seguridad por fabricante de software % de organizaciones

3 % HP

4 % Apple

5 % Apach

e5 %

Novell

13 % Adob

e15 %

Oracle

68 % M

icrosoft

Grfica 2-J

Fuen

te: C

heck

Point

Softw

are Te

chno

logies



016

Qu aspecto tiene un ataque de inyeccin SQL? Incidencia de la Inyeccin SQLEste caso muestra un ejemplo real de una serie de ataques de inyeccin SQL que tuvieron lugar entre julio y octubre de 2012 en el entorno de un cliente de Check Point. El ataque fue detectado y bloqueado por un Check Point Security Gateway. El caso fue informado por el equipo Check Point ThreatCloud Managed Security Service.La inyeccin SQL es un exploit de seguridad (CVE-2005-

0537) en el cul el atacante aade cdigo Structured Query Language (SQL) a una entrada de un formulario Web para obtener acceso a recursos o hacer cambios en los datos almacenados. La grfica 2-M muestra el aspecto del ataque. El texto marcado es la informacin que el hacker intent desvelar con la inyeccin SQL (en este caso nombres de usuario y contraseas). Los comandos SQL son: select, concat y from. El ataque se produjo desde 99 IPs diferentes. Aunque la organizacin objetivo est localizada en Europa, los ataques se originaron desde muchas ubicaciones diferentes, como se presentan en la grfica 2-M.La inyeccin SQL puede realizarse manualmente (un hacker usando un teclado) o automticamente (ataque mediante un script). En este caso, como se muestra en la grfica 2-L, el pico del ataque fue una explosin de 4.184 intentos de ataque (la mayora automatizados) que fueron lanzados durante dos das, usando el mismo patrn de inyeccin e inicindose desde una nica IP de origen.

Principales vectores de ataque

Desbordami

ento de buff

er 32%

Corrupcin

de memoria

32%

Denegacin

de servicio 3

2%

Ejecucin d

e cdigo 24

%

19 % Desbo

rdamiento

de pila

15 % Supla

ntacin de r

egistro

10 % Desbo

rdamiento d

e entero

8 % Divul

gacin de inf

ormacin

6 % Refere

ncia de punt

ero nulo

5 % Adqu

isicin de pr

ivilegios

2 % Buffer

Overrun

1 % Omisi

n de autent

icacin

22 ju

l

5 ag

o

19 a

go2

sep

16 se

p

30 se

p

14 o

ct

28 o

ct

2500

1500

500

2000

1000

Tasa de incidencias de inyeccin SQL N de incidencias de inyeccin SQL

Grfica 2-L

Grfica 2-K

Sour

ce: C

heck

Point

Softw

are Te

chno

logies

017

aplicaciones para evitar accesos a sitios Web que contienen/distribuyen malware

Inteligencia de seguridad en tiempo real y colaboracin global

Monitorizacin inteligente que proporciona anlisis de datos proactivos

Detener archivos maliciosos entrantesUna organizacin necesita una solucin Antimalware que analice los archivos entrantes en la red y pueda decidir, en tiempo real, si los archivos estn infectados por malware. Esta solucin debera evitar que archivos maliciosos infecten la red interna y tambin prevenir

RECOMENDACIONES DE SEGURIDADMLTIPLES CAPAS DE SEGURIDAD

Dado que las amenazas cada vez son ms y ms sofisticadas, los desafos de la seguridad continan creciendo. Para maximizar la seguridad de las redes de las empresas, se necesita un mecanismo de proteccin multicapa para protegerse de los diferentes vectores de las amenazas y violaciones de la red: Antivirus para identificar y bloquear el malware Antibot para detectar y prevenir el dao por robots IPS para evitar intrusiones de forma proactiva Control Web - Filtrado URL y Control de

PRINCIPALES INCIDENCIAS DE INYECCIN SQL POR PASES DE ORIGEN

http:// ______________/ns/index.php?action=com_clan&cid=185 and 1=2 union select 1,2,3,4,5,6,concat(0x26,0x26,0x26,0x25,0x25,0x25,username,0x3apassword 0x25,0x25,0x25,0x26,0x26,0x26),8 from jos_users--

37 Reino Unido

369 E

stados U

nidos

42 Ruma

nia

52 Ucrania

53 Georgia

58 Espaa

98 Alemania122 Pases Bajos

130 Argelia

198 F

ederac

in Ru

sa

Grfica 2-M

Fuen

te: C

heck

Point

Softw

are Te

chno

logies

018

el acceso a sitios Web infectados con malware que intenten ejecutar descargas ocultas o no autorizadas.

Proteccin multicapa frente a botsLa proteccin frente a bots comprende dos fases: deteccin y bloqueo.Para maximizar la capacidad de deteccin de un bot en una red, se necesita un mecanismo multicapa de descubrimiento de bots para cubrir todos los aspectos del comportamiento de un bot. Una solucin de seguridad para la deteccin de bots debera incluir un mecanismo de reputacin que detecte la IP, URL y direcciones DNS que el operador remoto utiliza para conectarse a las redes de bots. Tambin es muy importante que esta proteccin incluya la capacidad de detectar los patrones y protocolos de comunicacin nicos para cada familia de redes de bots. Detectar las acciones de los bots es otra capacidad crtica de la proteccin frente a bots. La solucin debera ser capaz de identificar las actividades de los bots, tales como el envo de spam, los clics fraudulentos y la autodistribucin.

La segunda fase tras el descubrimiento de las mquinas infectadas es bloquear las comunicaciones salientes del bot a los servidores Command & Control. Esta fase neutraliza la amenaza y asegura que los agentes bot no pueden enviar informacin confidencial ni recibir ninguna instruccin para su actividad maliciosa. Con ello, el dao relacionado con el bot es inmediatamente mitigado. Este enfoque permite a las organizaciones mantener la continuidad del trabajo - los usuarios pueden trabajar normalmente, sin darse cuenta de que la comunicacin especfica del bot se ha bloqueado, y la organizacin est protegida sin haber causado un impacto en la productividad.

Colaboracin global en tiempo realEl problema de los ciberataques es demasiado importante para que lo gestione una organizacin por s misma. Las organizaciones tienen una opcin para vencer a este creciente desafo a travs de la colaboracin y la ayuda profesional. Dado que los ciberdelincuentes aprovechan

En 2012 las turbulencias del panorama poltico mundial que empezaron en 2010 con los levantamientos de muchos pases rabes continan con diversas protestas civiles en otros pases. Como era de esperar, presenciamos una serie de ciberataques basados en motivaciones ideolgicas. El proveedor de Apple establecido en Taiwan Foxconn fue atacado por un grupo autodenominado Swagg Security. Este grupo aparentemente protestaba informes en los medios sobre las pobres condiciones de trabajo en las fbricas de los fabricantes de electrnica en China14.El grupo hacktivista Anonymous declar que haba hackeado un servidor web del Departamento de Justicia de los EE.UU. para la Oficina de estadsticas de justicia de EE.UU. liberando 1,7 GB de datos robados. El grupo realiz la siguiente declaracin sobre las informacin robada: Liberamos esta informacin para terminar con la corrupcin que existe, y liberar verdaderamente a aquellos que estn siendo oprimidos15.El Vaticano tambin descubri que sus sitios Web y servidores de correo internos fueron objeto

de un ataque durante una semana por el grupo Anonymous. El grupo declar que su accin estaba justificada porque el Sistema de Radio Vaticana posea potentes transmisores en las afueras de Roma que supuestamente constituan un riesgo para la salud. El grupo afirm que los transmisores supuestamente podan causar leucemia y cncer a la gente que viva en las inmediaciones. El grupo tambin justific su ataque y declar que el Vaticano supuestamente ayud a los Nazis, destruy importantes libros histricos de gran valor, y que su clero haba abusado sexualmente de menores16.En otro ciberataque, Anonymous derrib los sitios Web del grupo comercial U.S. Telecom Association y TechAmerica. Estos ataques fueron dirigidos por el apoyo de estas organizaciones al proyecto de ley de seguridad ciberntica propuesto por el diputado Mike Rogers. Este proyecto permitira a las empresas privadas y al gobierno compartir informacin directamente relacionada con una vulnerabilidad o amenaza en una red informtica17.

2012, UN AO DE HACKTIVISMO

019



el malware, bots y otras formas avanzadas de amenazas, suelen apuntar a mltiples sitios y organizaciones para incrementar la probabilidad de xito en el ataque. Cuando las empresas luchan contra estas amenazas de forma independiente, muchos ataques no son detectados y pasan inadvertidos, porque no hay modo para las corporaciones de compartir la informacin sobre las amenazas. Para estar por delante de las amenazas modernas, las empresas deben colaborar y compartir la informacin que poseen sobre amenazas. Slo de forma conjunta pueden reforzar la seguridad y hacerla ms efectiva.

Prevencin de intrusionesLa prevencin de intrusiones es una capa de seguridad obligada en la lucha contra los diversos vectores de ciberataques. Se necesita una solucin IPS para la inspeccin profunda del trfico, de cara a prevenir intentos maliciosos de romper la seguridad y obtener acceso a los activos de las organizaciones. Una solucin IPS adecuada proporcionar las siguientes capacidades: Deteccin de anomalas y validacin de protocolos

Identificar y evitar el trfico que no cumple con los estndares de protocolos y pueden crear malfuncionamientos en los dispositivos o problemas de seguridad.

Evitar la transmisin de cargas tiles (payload) desconocidas que pueden aprovechar una vulnerabilidad especfica.

Prevenir una comunicacin excesiva que pueda ser indicativo de un ataque Denial of Service (DoS).

Ver el panorama de amenazas y tomar medidasTener una visin clara de las incidencias de seguridad y tendencias es otro componente clave en la lucha frente el cibercrimen. El administrador de seguridad debe tener una comprensin constante y clara del

estado de seguridad de la red para estar alerta de las amenazas y ataques dirigidos contra la organizacin. Este entendimiento requiere una solucin de seguridad que pueda proporcionar una perspectiva de alto nivel de las protecciones de seguridad y enfatizar la informacin crtica y los ataques potenciales. La solucin debera ser tambin capaz de permitir dirigir investigaciones en profundidad sobre incidencias especficas. La capacidad de tomar medidas de forma inmediata basndose en esta informacin es otra premisa esencial que permite la prevencin en tiempo real de ataques o el bloqueo de forma proactiva de futuras amenazas. La solucin de seguridad debe disponer de una administracin flexible y sencilla para simplificar el anlisis de amenazas y reducir la sobrecarga operativa de los cambios.

Actualizaciones de seguridad y soporteEn un entorno de amenazas constantemente cambiante, la defensa debe evolucionar con o por delante de las amenazas. Los productos de seguridad solamente pueden gestionar de forma efectiva el malware ms reciente, vulnerabilidades y exploits, si el proveedor de seguridad es capaz de dirigir una investigacin completa y proporcionar actualizaciones de seguridad frecuentes.Un servicio de seguridad de calidad se basa en:

Investigacin y estudio interno del proveedor y obtencin de informacin de mltiples fuentes.

Actualizaciones de seguridad frecuentes para toda las tecnologas involucradas incluyendo IPS, antivirus y antibot

Servicio de soporte sencillo y adecuado que pueda dar respuesta a las preguntas e incidencias especficas del entorno del cliente.


Las reglas del juego han cambiadoLas reglas del juego han cambiado. Las aplicaciones de Internet fueron una vez consideradas una actividad para pasar el tiempo; un medio de ver imgenes de los ltimos viajes de los amigos y de ver vdeos divertidos. Las aplicaciones Web 2.0 de Internet se han convertido en herramientas corporativas esenciales en las empresas modernas.Nos comunicamos con nuestros compaeros, clientes y partners, compartimos informacin con otros, y accedemos a las ltimas noticias, opiniones y puntos de vista. Las herramientas basadas en Internet como Facebook, Twitter, WebEx, LinkedIn, y YouTube por nombrar unas pocas, estn ganando cada vez ms presencia en las empresas que las consideran como elementos habilitadores del negocio.En esta seccin de nuestro informe, comentaremos los riesgos generales introducidos por las aplicaciones Web 2.0 y su infraestructura, y nos centraremos a continuacin en aplicaciones especficas que hemos encontrado en uso en las organizaciones de nuestra investigacin. Nuestros descubrimientos los ilustraremos con incidentes y ejemplos reales bien documentados.

Las aplicaciones Web no son un juegoA medida que evoluciona la tecnologa, as lo hacen los desafos para la seguridad. Las herramientas de Internet introducen nuevos riesgos para la seguridad. Existe un nmero variado de tiles aplicaciones de Internet que se utilizan como herramientas de ataque contra organizaciones, o que pueden conducir a brechas en la seguridad de la red. Aplicaciones como anonimizadores, de almacenamiento e intercambio de archivos, intercambio de archivos Peer-to-Peer, herramientas de administracin remota y redes sociales se utilizan para atacar a las organizaciones. Existe una mirada de plataformas y aplicaciones que podran utilizarse por razones personales o corporativas. Cada organizacin necesita estar al tanto de qu empleados las utilizan, y para qu propsitos, y entonces definir su propia poltica de Internet. En el 91% de las organizaciones se encontr que los usuarios utilizaban aplicaciones que tenan el potencial de burlar los sistemas de seguridad, ocultar identidades, causar fugas de datos o incluso introducir infecciones de malware sin su conocimiento.

03 APLICACIONES EN EL MBITO EMPRESARIAL

En junio de 2012, la US Federal Trade Commission (FTC) acus a dos empresas por exponer informacin confidencial en redes de Intercambio de archivos Peer-to-Peer, poniendo miles de consumidores en riesgo. La FTC aleg que una de las organizaciones, EPN, Inc., una empresa de cobro de deudas establecida en Provo, Utah, expuso informacin confidencial, incluyendo los nmeros de la Seguridad Social, nmeros de seguros sanitarios y cdigos de diagnsticos mdicos de 3.800 pacientes de hospitales, al alcance de cualquier equipo conectado a una red P2P. La FTC aleg que la otra organizacin, un concesionario de automviles de nombre

Franklins Budget Car Sales, Inc., expuso informacin de 95.000 consumidores en la red P2P. La informacin inclua nombres, direcciones, nmeros de la seguridad social, fechas de nacimiento, y los nmeros de las licencias de conducir de los conductores 18.En 2010, la FTC notific sobre 100 organizaciones que haban compartido informacin personal, incluyendo datos confidenciales sobre clientes y/o empleados, de sus redes y estaban disponibles en redes de intercambio de archivos peer-to-peer (P2P). Cualquier usuario de esas redes podra utilizar los datos para perpetrar robos de identidad o fraudes19.

DATOS CONFIDENCIALES COMPARTIDOS POR APLICACIONES DE INTERCAMBIO DE ARCHIVOS P2P EN EE.UU.

03 _ APLICACIONES EN EL MBITO EMPRESARIAL

021

Las aplicaciones P2P abren una puerta trasera para acceder a su redLas aplicaciones Peer-to-Peer (P2P) se utilizan para compartir archivos entre los usuarios. P2P cada vez es ms utilizado por los atacantes para distribuir malware entre los archivos compartidos. Las aplicaciones P2P en esencia abren una puerta trasera para acceder a las redes. Estas permiten a los usuarios el compartir carpetas que podran dejar escapar informacin confidencial, pero adems podran hacer a las organizaciones responsables de la adquisicin ilegal de

recursos o medios a travs de las redes P2P. Presenciamos una tasa de utilizacin de aplicaciones P2P muy elevada, ms de la mitad de las organizaciones (61%) estaban utilizando aplicaciones P2P. Las herramientas de intercambio de archivos P2P ms utilizada son los clientes BitTorrent. Desde el punto de vista regional, la siguiente grfica muestra que en Asia Pacfico, las aplicaciones de intercambio de archivos P2P son ms populares que en otras regiones.

DE LAS ORGANIZACIONES, SE UTILIZABA UNA APLICACIN DE INTERCAMBIO DE ARCHIVOS P2P

61% EN EL

Principales aplicaciones de intercambio de archivos P2P (% de organizaciones)

Dispone de ms informacin sobre las principales aplicaciones P2P en el Apndice B.

20 % eMule

19 % SoulSe

ek

7 % Windows

Live Mesh

6 % BoxClou

d

10 % Sopcas

t11 %

Gnutella

40 % BitTorrent

7 % iMesh

Grfica 3-A

Uso de aplicaciones de intercambio de archivos P2P por regin(% de organizaciones) 72 %

APA

C

62 % A

mericas

55 % EM

EA

Grfica 3-B

Fuen

te: C

heck

Point

Softw

are Te

chno

logies

Fuen

te: C

heck

Point

Softw

are Te

chno

logies

Las aplicaciones anonimizadores eluden las polticas de seguridad de las organizacionesUn anonimizador (o proxy annimo) es una herramienta que intenta hacer no rastreable la actividad del usuario en Internet. La aplicacin anonimizador utiliza un servidor proxy que acta como una mscara para la privacidad entre un equipo cliente y el resto de Internet. Acceder a Internet en nombre del usuario, escondiendo informacin personal mediante la ocultacin de la informacin de identificacin del equipo cliente y el destino que el usuario est intentando alcanzar. Las aplicaciones



022

Uso de aplicaciones anonimizadoras por regin(% de organizaciones) 49 %

Am

ericas

40 % EM

EA

35 % A

PAC

Servidor WebProxy Ultrasurf

Cliente Ultrasurf

Ultrasurf se conecta a uno de sus servidores proxy

Internet

anonimizadoras pueden utilizarse para saltarse las polticas de seguridad que estn fundamentalmente creadas alrededor de las identidades de los usuarios y las URL/sitios de destino. Al usar anonimizadores, los usuarios parecen estar en una direccin IP diferente e intentando acceder a destinos distintos, con lo cual la poltica de seguridad no puede aplicarse para ese usuario con una direccin IP modificada y una direccin de destino alterada. En algunos casos los anonimizadores podran utilizarse tambin para ocultar una actividad criminal.Cuando miramos a las organizaciones en nuestro estudio, el 43% tena al menos un empleado que utilizaba una aplicacin anonimizadora, siendo Tor la ms destacada. El 86% de las organizaciones donde fue descubierta la utilizacin de anonimizadores alegaron que se estaban utilizando de forma no legtima entrando en conflicto con las polticas de seguridad. Cuando nos fijamos en la utilizacin de aplicaciones anonimizadoras por regin, podemos ver que son ms populares en Amrica y menos en Asia Pacfico.

Cmo funciona el anonimizador Ultrasurf?Ultrasurf es un anonimizador muy sofisticado que funciona como un cliente proxy, creando un tnel HTTP cifrado entre el equipo del usuario y un pool central de servidores proxy, permitiendo a los usuarios superar los cortafuegos y la censura. Ultrasurf posee un diseo muy elstico para descubrir servidores proxy que incluye un archivo de cach de IPs de servidores proxy, peticiones DNS que devuelven IPs codificadas de los servidores proxy, documentos cifrados en Google Docs y una lista codificada de forma fija de IPs de servidores proxy incorporada en el programa. Estas tcnicas hacen que sea ms difcil de ser detectados por los dispositivos de seguridad.

Grfica 3-D

Fuen

te: C

heck

Point

Softw

are Te

chno

logies

13 % CGI-

Proxy

8 % Ultras

urf

7 % Hopst

er

7 % Hide

My Ass

6 % Hama

chi

Aplicaciones anonimizadoras ms populares(% de organizaciones)

Dispone de ms informacin sobre las principales aplicaciones anonimizadoras en el Apndice B.

Grfica 3-C

23 % Tor

Fuen

te: C

heck

Point

Softw

are Te

chno

logies

023

Herramientas de administracin remota utilizadas para realizar ataques maliciososLas Remote Administration Tools (RAT) o herramientas de administracin remota, pueden ser herramientas legtimas cuando son operadas por administradores o por el personal de helpdesk. Sin embargo, diversos ataques durante los pasados aos aprovecharon una RAT disponible para controlar remotamente equipos infectados, adems de infiltrarse en redes, registrar pulsaciones de teclado, o robar informacin confidencial. Dado que las herramientas de administracin remota son normalmente aplicaciones fundamentales para las empresas, no deberan bloquearse en todos los mbitos; sin embargo su utilizacin debera estar supervisada y controlada para evitar malos usos potenciales.Cuando nos fijamos en las organizaciones de nuestro estudio, el 81% utilizaba al menos una aplicacin de administracin remota, siendo Microsoft RDP la ms popular.

Recientes investigaciones de seguridad identificaron una botnet que est controlada por atacantes de un servidor Internet Relay Chat (IRC) que ejecutan un servicio oculto dentro de la red annima Tor. Las conexiones entre los usuarios y los nodos de Tor estn cifrados de una forma multicapa, haciendo muy difcil para los sistemas de vigilancia que operan a nivel de la red local o a nivel ISP, determinar el destino previsto de un usuario20. El objetivo principal de la red Tor (tambin conocida como Onion Router) es bsicamente proporcionar anonimato mientras se navega por

Internet. A pesar de estar ampliamente difundida y disfrutar de una gran popularidad, cuando se utiliza en un entorno organizativo, plantea varios desafos para la seguridad. Tor puede ser utilizado fcilmente para eludir las polticas de seguridad, dado que fue diseado especficamente para proporcionar anonimato a sus usuarios. Cuando se utiliza para acceder a recursos de Internet, las peticiones enviadas desde el equipo de un usuario son redirigidas de forma aleatoria a travs de una serie de nodos gestionados de forma voluntaria por otros usuarios de Tor.

EN EL 43% DE LAS ORGANIZACIONES SE UTILIZAN ANONIMIZADORES

EL 81% DE LAS ORGANIZACIONES UTILIZAN HERRAMIENTAS DE ADMINISTRACIN REMOTA

Principales aplicaciones de administracin remota(% de organizaciones)

17 % VNC

4 % Bomg

ar

3 % Gbrid

ge

Dispone de ms informacin sobre las principales aplicaciones de administracin remota en el Apndice B.

Grfica 3-F

52 % Team

View

er

43 % LogM

eIn

58 % M

S-RD

P

Fuen

te: C

heck

Point

Softw

are Te

chno

logies

v

EL ANONIMIZADOR TOR COMPROMETE LA SEGURIDAD


024

Compartir no siempre es caritativoEl trmino Compartir es caritativo normalmente significa que si alguien comparte con otros, es caritativo con ellos. Cuando se comparten archivos usando aplicaciones de intercambio de archivos en entornos de trabajo, este no es siempre el caso. Una de las caractersticas ms prominentes de la Web 2.0 es la capacidad de generar contenido y compartirlo, pero esto tambin representa un riesgo.

Principales aplicaciones de almacenamiento e intercambio de archivos(% de organizaciones)

Dispone de ms informacin sobre las principales aplicaciones de almacenamiento e intercambio de archivos en el Apndice B.

Fuen

te: C

heck

Point

Softw

are Te

chno

logies

51 % W

indows Live O

ffice

9 % Micro

soft SkyDri

ve

22 % YouSe

ndIt

13 % Sugar

sync

10 % PutLo

cker

69 % D

ropbox

Grfica 3-G

De julio a septiembre de 2011 tuvo lugar una campaa de ataques etiquetada como Nitro. Los atacantes utilizaron la herramienta de acceso remoto de nombre Poison Ivy para husmear informacin secreta de cerca de 50 empresas, muchas de ellas de la industria qumica y de defensa. Poison Ivy fue implantada en PCs Windows cuyos propietarios fueron vctimas de un engao perpetrado a travs del correo electrnico. Los emails simulaban peticiones de reuniones de socios de negocio conocidos, o en algunos casos, actualizaciones del software antivirus o Adobe Flash Player. Cuando los usuarios abran el adjunto del mensaje instalaban de forma inadvertida Poison Ivy en sus equipos. Desde ah,

los atacantes eran capaces de dar instrucciones a los equipos comprometidos, secuestrar contraseas de alto nivel para ganar acceso a servidores que albergaban la informacin confidencial, y finalmente descargar el contenido robado a sistemas controlados por hackers. 29 de las 48 empresas que fueron atacadas con xito pertenecan a la industria qumica y comercializacin de materiales avanzados - algunas de estas con conexiones a vehculos militares mientras que las otras 19 pertenecan a diversos campos, incluyendo el sector de la defensa21. Nitro no es el nico ejemplo del mal uso de RAT, otros ejemplos son el RSA breach, ShadyRAT y Operation Aurora. En todos estos casos se utiliz Poison Ivy.

HACKEADO POR HERRAMIENTAS DE ACCESO REMOTO

La informacin sensible puede caer en las manos equivocadas al compartir archivos confidenciales. Nuestra investigacin incluye aplicaciones de intercambio y almacenamiento de archivos de alto riesgo que pueden causar la fuga de datos o infecciones malware sin el conocimiento del usuario. Nuestra investigacin muestra que el 80% de las organizaciones tienen al menos una aplicacin de almacenamiento de archivos o de intercambio ejecutndose en su red. Encontramos que el 69% de las incidencias fueron resultado del uso de Dropbox. Windows Live Office est en segundo lugar con un 51%.

Aplicaciones de alto riesgo utilizadas por sectoresCheck Point analiz la utilizacin de aplicaciones de alto riesgo desde el punto de vista de la industria. La grfica Chart 3-indica que las organizaciones del sector industrial y gubernamental son los usuarios que ms uso hacen de las aplicaciones de alto riesgo. Existen casos donde el uso de algunas de estas aplicaciones podra constituir un uso legtimo en una organizacin, por ejemplo el uso de herramientas de administracin remota por los departamentos de helpdesk, por ello la barra horizontal de la grfica indica el nivel de probabilidad de usos legtimos en un entorno empresarial.

El 80% DE LAS ORGANIZACIONES UTILIZAN APLICACIONES DE ALMACENAMIENTO E

INTERCAMBIO DE ARCHIVOS



025

Admi

nistra

cin r

emota

Alma

cenam

iento

e inter

cambio

de ar

chivo

s

Interc

ambio

de ar

chivo

s P2P

Anon

imiza

dores

81%

82%

82%

82%

76%

71%

81% 71%

62%63%

59%

55%

48%

44%

44%42

%

84%

70%

38%

29%

< Relativo a la utilizacin corporativa

PORCENTAJE DE ORGANIZACIONES QUE USAN APLICACIONES DE ALTO RIESGO POR SECTORES

Administracin pblica

Industrial

Finanzas

Telco

Consultora

(% de organizaciones)

Grfica 3-E

Fuen

te: C

heck

Point

Softw

are Te

chno

logies

026

Fuente: Check Point Software Technologies

DOS INCIDENTES DE SEGURIDAD PRINCIPALES CON DROPBOX EN DOS AOS

13 % Twitte

r

12 % Linke

dIn

59 % Facebook

Utilizacin del ancho de banda de las principales redes socialesUtilizacin media calculada dentro de las aplicaciones de redes sociales

Grfica 3-H

Publicacin legtima de Facebook o Virus?Con el aumento de la popularidad de las redes sociales, en constante crecimiento, se presentan nuevos desafos para las organizaciones. Publicar de forma inconsciente informacin confidencial de un proyecto en aplicaciones de redes sociales podra daar la reputacin de una organizacin, perder ventaja competitiva o producir una prdida econmica importante. Los hackers estn aprovechando las nuevas tcnicas de ingeniera social para impulsar sus actividades en las redes de bots. Los vdeos incrustados y enlaces en pginas de redes sociales se estn convirtiendo en puntos de acceso muy populares para los hackers como medios de incrustar malware. Adems de los riesgos para la seguridad, las aplicaciones de redes sociales generan un importante problema de consumo del ancho de banda de la red. Facebook es sin duda alguna la red social ms visitada. Otras redes sociales visitadas durante un da laboral (pero significativamente menos que Facebook) son Twitter y LinkedIn. Un enlace de Facebook que dirige a un sitio malicioso:

Ataques de ingeniera social - Caso de estudioLos ltimos ataques indican que los hackers estn cambiando el uso del correo electrnico normal a las redes sociales como canal de distribucin. El siguiente caso se basa en un ataque real que tuvo lugar en agosto de 2012. Los hackers usaron tcnicas de ingeniera social en Twitter y Facebook para distribuir contenido malicioso. Usando una cuenta puesta en compromiso, el hacker envi

En julio de 2012 se produjo un ataque a usuarios de Dropbox. Los nombres de usuarios de Dropbox y sus contraseas puestos en riesgo por la violacin de otro sitio Web fueron probados en cuentas de Dropbox. Los hackers usaron una contrasea robada para iniciar sesin en la cuenta de Dropbox de un empleado que contenan documentos con las direcciones de correo de los usuarios. Los spammers usaron esas direcciones de correo para enviar spam22.El incidente ilustra una tctica frecuente utilizada por los hackers. Los hackers normalmente roban nombres de usuarios y contraseas de sitios que, a primera vista, pueden no tener ningn valor econmico o contener informacin personal. Entonces, prueban dichas

credenciales en los sitios Web oficiales de organizaciones financieras, cuentas de agencias de bolsa y, aparentemente, cuentas de Dropbox, donde puede encontrarse informacin potencialmente ms lucrativa. En 2011, un error en el software de actualizacin de Dropbox hizo posible que cualquiera pudiera iniciar sesin en una cuenta de Dropbox con tal de que la persona tuviera la direccin de correo del usuario. Este error puso en riesgo los documentos e informacin compartidos por los usuarios. El problema se repar en unas cuantas pero sirvi como advertencia para usuarios y corporaciones cuyos empleados usan los servicios de almacenamiento e intercambio de archivos, como Dropbox y Google Docs, para almacenar informacin corporativa confidencial23.



027

RECOMENDACIONES PARA ASEGURAR EL USO DE APLICACIONES WEB EN SU RED

Cmo puede activar una proteccin efectiva Web 2.0?El primer paso para asegurar la utilizacin de las aplicaciones Web 2.0 en una organizacin es usar una solucin de seguridad que proporcione control y haga cumplir todas las polticas de seguridad para todos los aspectos de la utilizacin Web. Es necesario tener visibilidad completa de todas las aplicaciones que se ejecutan en el entorno, junto con la capacidad de controlar su utilizacin. Este nivel de control tiene que mantenerse sobre las aplicaciones clientes (como Skype) y tambin sobre los aspectos ms tradicionales basados en URL de la web los sitios Web. Dado que muchos sitios (como Facebook) activan la ejecucin de numerosas aplicaciones basadas en su URL, es fundamental tener granularidad ms all del nivel de URL por ejemplo el chat de Facebook o las aplicaciones de juegos. Una vez conseguido esto por parte de las organizaciones, debera ser capaz de bloquear fcilmente las aplicaciones que puedan poner en peligro su seguridad corporativa.

Habilitar las redes sociales para el negocioHay casos en donde las organizaciones deciden bloquear Facebook por completo, pero Facebook es una herramienta comercial fundamental para muchas empresas. Las empresas ofrecen publicar informacin sobre prximos seminarios, eventos, informacin sobre los ltimos lanzamientos y productos, enlaces a artculos y vdeos de inters.Cmo podemos activar el uso de las redes sociales en la organizacin sin comprometer la seguridad? Controlando las funciones y widgets dentro de las apps y plataformas. Al ser capaz de permitir Facebook mientras se bloquean las partes de l menos relevantes para el negocio, es posible permitir el uso viable de las redes sociales a la vez que se minimizan los riesgos de seguridad.

mensajes directos a todos los seguidores del propietario de la cuenta hackeada. El mensaje rezaba: exactly what were you doing inside this film [Facebook-URL] wow disturbing.

La URL apuntaba a una app de Facebook que requera iniciar sesin como Twitter. La pantalla de inicio de sesin en realidad era un servidor Web propiedad del hacker que era utilizado para recopilar las credenciales de Twitter de los destinatarios.

Usando las credenciales de twitter, el hacker ahora poda repetir el mismo proceso usando las nuevas cuentas hackeadas para conseguir de forma ms fcil muchas ms contraseas. El hacker puede usar estas credenciales robadas con otros servicios como GMail, Facebook, etc. pero lo peor de todo es que puede usarse para iniciar sesin en cuentas bancarias o incluso en servicios relacionados con empresas como SalesForce y otros.Tras distribuir el mensaje malicioso (pero esta vez a todos los seguidores del pobre usuario al que se hacke la cuenta), la nica cosa efectiva que poda hacerse en esta situacin era publicar un educado post de disculpa.



028

Distintos usuarios tienen diferentes necesidadesDistintos usuarios en la organizacin tienen diferentes necesidades, y la poltica de seguridad debera apoyar el negocio, no interferir con l. Por ejemplo, una persona de ventas puede usar Facebook para estar en contacto con los clientes y partners, donde un miembro del personal de TI puede usar Facebook para acceder a las ltimas noticias de la industria. Cmo podemos asegurar entonces que los usuarios obtienen el acceso que necesitan? Es prctico esperar que el director de seguridad conozca a qu debera o no acceder cada usuario o grupo?Una solucin prctica necesita disponer de un reconocimiento de equipo, grupo, usuario granular para poder distinguir fcilmente entre unos empleados y otros (por ejemplo, invitados y contratistas).Otro aspecto importante es la capacidad de educar y comprometer a los usuarios finales en tiempo real cuando utilizan las aplicaciones. Cuando un usuario termina en un sitio web o inicia una aplicacin en entredicho, un mensaje emergente puede preguntarle al usuario que justifique el motivo empresarial para hacerlo, su respuesta puede quedar registrada y monitorizarse, mientras el mensaje tambin puede educar al usuario en la poltica de seguridad de la empresa, y hacerle consciente de que el uso de esa aplicacin est siendo auditado.

La comprensin es un componente crtico del Control WebLos administradores deben disponer de una visin general de las incidencias de seguridad Web para garantizar el control web. Una solucin de seguridad puede proporcionar visibilidad clara y amplia en todos los asuntos de seguridad Web que se necesite. La solucin debera proporcionar funciones de visibilidad y monitorizacin as como una lnea temporal de eventos y una lista extensa de estos eventos que puedan filtrarse, agruparse y ordenarse por usuario, aplicacin, categora, nivel de riesgo,

utilizacin del ancho de banda, hora y mucho ms. Tambin es importante ser capaz de generar informes online para mostrar las categoras principales, apps, sitios y usuarios para permitir planificar tendencias y capacidad.

ResumenLas reglas del juego han cambiado. Asegurar la Web 2.0 ya no es un simple juego de bloquear una URL no adecuada. Ya no es una cuestin de evitar que se ejecute una aplicacin. Asegurar la Web 2.0 requiere un enfoque integrado de proteccin multicapa: filtrado URL, control de aplicaciones, proteccin frente a malware y bots - todo ello incorporando la concienciacin del usuario, la formacin de este, monitorizacin sofisticada y herramientas de anlisis de eventos para mantener a los administradores al control en todo momento.

ASEGURAR LA WEB 2.0 REQUIERE UN ENFOQUE INTEGRADO DE FILTRADO URL, CONTROL DE

APLICACIONES, CONCIENCIACIN DE LOS USUARIOS, EDUCACIN DE

LOS USUARIOS Y UNA FORMA DE QUE EL ADMINISTRADOR DISPONGA

DE TODA LA VISIBILIDAD SOBRE EL CONTROL WEB.


04 INCIDENTES DE PRDIDA DE DATOS EN LA RED

Datos corporativos: El activo ms valioso de las organizacionesNunca antes los datos corporativos han resultado ser ms accesibles y transferibles que actualmente, y la inmensa mayora de los datos corporativos son sensibles en diferentes niveles. Algunos son simplemente confidenciales porque incluyen datos internos corporativos, lo que significa que no deben ser accesibles al pblico. Otros tipos de datos pueden resultar sensibles por requisitos corporativos, leyes nacionales y regulaciones internacionales. Sin embargo, en muchas ocasiones el valor de los datos es independiente de su confidencialidad basta considerar la propiedad intelectual y la informacin que afecta a la competencia. Para hacer este asunto an ms complejo, adems de la gravedad de la prdida de datos, disponemos actualmente de herramientas y prcticas que hacen que resulte mucho ms fcil que se produzca un error irreversible: servidores en nube, Google docs, as como el simple abuso no intencionado de los procedimientos de la compaa como los empleados que se llevan el trabajo a casa. De hecho, la mayora de los casos de prdida de datos se producen por causas no intencionadas.

Una prdida de datos puede sucedernos a cualquiera de nosotrosLa prdida de datos puede producirse no slo por la accin de los cibercriminales, sino tambin de forma no intencionada por alguno de los empleados. Puede enviarse un documento clasificado por error a la persona equivocada, podra compartirse en un sitio pblico un documento sensible o enviarse un archivo de trabajo a una cuenta de correo domstica no autorizada. Alguno de estos escenarios se nos puede presentar a cualquiera de nosotros inadvertidamente, con efectos devastadores. La prdida de datos sensibles puede ocasionar daos a la compaa, violaciones de normativas, menoscabo de beneficios e incluso sustanciosas multas.

Nuestro estudioCuando una empresa necesita definir los datos que no deberan salir de la organizacin, deben tenerse en cuenta muchas variables. De qu tipo de datos se trata? Quin es su dueo? Quin los enva? Quin es el receptor previsto? Cundo se envan? Cul es el coste de que se interrumpan

DE LAS ORGANIZACIONES DE NUESTRO ESTUDIO TUVO, AL MENOS, UN INCIDENTE POTENCIAL DE PRDIDA DE DATOS

EL 54%

031

los procesos de negocio a causa de una poltica de seguridad ms estricta de lo necesario? En nuestro estudio analizamos el trfico enviado de dentro a fuera de las organizaciones. Analizamos tanto el trafico HTTP como el SMTP. Por ejemplo, en el caso de los correos enviados a destinatarios externos, un dispositivo Check Point se ocup de analizar los cuerpos de los mensajes, los destinatarios de los correos y adjuntos de los mismos (incluso en ZIP). Analizamos tambin las actividades de navegacin Web, como publicaciones y correo Web. Como poltica de seguridad de estos equipos, configuramos tipos de datos predefinidos para detectar datos sensibles, en formularios y plantillas (como nmeros de tarjetas de crdito, cdigo fuente, datos financieros y otros) que pudieran dar origen a una prdida de datos potencial de caer en las manos equivocadas. En el Apndice D ofrecemos una lista detallada de los tipos de datos.

Prdida potencial de datos en su organizacinEn nuestra investigacin, encontramos que el 54% de las organizaciones haban tenido, al menos, un evento que podra indicar una prdida potencial de datos durante un tiempo

Aqu tenemos algunos ejemplos de incidentes de prdida de datos originados de forma no intencionada por empleados durante 2012:En octubre de 2012, el Ayuntamiento de Stoke-on-Trent City del Reino Unido fue multado con 120.000 porque un miembro de su departamento legal envi correos con informacin sensible a la direccin equivocada. Once correos destinados a un abogado que trabajaba en un caso terminaron siendo enviados a otra direccin por un error al teclear.El peridico japons Yomiuri Shimbun despidi a uno de sus periodistas en octubre de 2012, por enviar accidentalmente informacin sensible sobre una investigacin a personas equivocadas. El periodista pretendi enviar parte de sus hallazgos a colegas por correo, pero en su lugar dirigi los mensajes a varios medios de comunicacin, desvelando la fuente de sus informaciones 24.

En abril de 2012, el Virginia Military Institute de Lexington, envi inadvertidamente calificaciones de graduacin de sus estudiantes como adjuntos de correo. Se envi un correo al responsable de la clase que se graduaba conteniendo como adjunto una hoja de clculo con las puntuaciones medias de cada integrante. Pasando por alto el contenido del adjunto adicional, el responsable reenvi el mensaje a 258 estudiantes. La intencin original era enviar slo una hoja de clculo conteniendo los nombres y direcciones para que los alumnos pudiesen comprobar sus direcciones de correo 25.La Texas A&M University envi accidentalmente un correo con un adjunto que contena 4.000 nmeros de la Seguridad Social de estudiantes, nombres y direcciones, a un destinatario que, seguidamente, notific a la universidad del error. El incidente tuvo lugar en abril de 2012 26.

VAYA! ENVI EL CORREO A UNA DIRECCIN EQUIVOCADA

61 % Finan

ciero

50 % Indus

trial

45 % Teleco

municacione

s

33 % Cons

ultora

54 % Otros

70 % Gube

rnamental

Porcentaje de organizaciones con, al menos, un evento potencial de prdida de datos por sector(% de organizaciones)

Grfica 4-A

Fuen

te: C

heck

Point

Softw

are Te

chno

logies

medio de seis das. Tuvimos en cuenta eventos que incluan informacin interna (ver la lista de tipos de datos en el apndice D) que resultaba enviada a fuentes externas, bien sea por envo a un destinatario de correo externo o por publicacin en lnea. Nuestro informe indica que las organizaciones gubernamentales y financieras se encuentran en un alto riesgo de prdida potencial de datos (ver Grfico 4-A).

Correos internos enviados fuera de la organizacinEn muchos casos, los eventos de prdida de datos se producen de forma no intencionada al enviar un empleado un correo a un destinatario equivocado. En nuestro estudio contemplamos dos tipos de correos, que indicaran casos similares. El primer tipo est compuesto por correos enviados con destinatarios internos visibles (Para y CC) y destinatarios externos en el campo CCO. Este tipo de correos, en la mayora de los casos, parecen ser internos pero en realidad abandonan la compaa. El segundo equipo se compone de correos enviados a varios destinatarios internos y a un nico destinatario externo. Este tipo de correo se enva generalmente de forma no intencionada a un destinatario externo errneo. Encontramos uno o ambos de estos tipos de eventos en el 28% de las organizaciones examinadas.

Qu tipos de datos pueden publicar en lnea o enviar a destinatarios externos los empleados?La grfica 4-C muestra los tipos de datos ms comunes enviados fuera de la organizacin. La informacin de tarjetas de crdito lidera la lista, mientras que le siguen el cdigo fuente y los archivos protegidos con contrasea.

Se ajusta a PCI tu organizacin?Los empleados se envan nmeros de tarjetas de crdito a travs de internet, los suyos propios y los de los clientes.

Envan recibos de pago de los clientes que contienen un nmero de tarjeta de crdito como adjunto de correo. Responden a correos de clientes que contienen originalmente el nmero de tarjeta de crdito en el cuerpo del correo. En ocasiones, los empleados se envan, incluso, hojas de clculo y contratos de los clientes a cuentas de correo privadas o a colaboradores del negocio. A menudo, los incidentes relativos a nmeros de tarjetas de crdito son el resultado de romper los procedimientos de negocio o de la falta de la atencin debida de los empleados. Incidentes como estos pueden indicar que la poltica de seguridad corporativa no se ajusta al objetivo de promover la seguridad y uso cuidadoso de los recursos empresariales. Ms an, enviar nmeros de tarjetas de crdito por internet no se ajusta a los requisitos PCI DSS 4, que obligan a que los datos de las tarjetas de crdito se encripten para su transmisin a travs de redes abiertas. La falta de cumplimiento de la norma PCI DSS puede perjudicar la reputacin, originar pleitos, reclamaciones de seguro, cancelacin de cuentas, problemas con los pagos por tarjeta y multas gubernamentales. En nuestro estudio se inspeccion el trfico saliente de organizaciones, analizando el contenido de todos los componentes de los mensajes, incluyendo adjuntos y archivos, para localizar correos que contuviesen nmeros de tarjetas de crdito o datos de su propietario. Estas inspecciones se basaron en expresiones comunes, validacin de dgitos de control y cumplimiento de la normativa PCI DSS.

EN EL 28% DE LAS ORGANIZACIONES SE ENVI

UN CORREO INTERNO A UN DESTINATARIO

EXTERNO


04 _ INCIDENTES DE PRDIDA DE DATOS EN LA RED

032

36 % Finan

ciero

26 % Indus

trial

18 % Teleco

municacione

s

11 % Cons

ultora

26 % Otros

47 % Gube

rnamental

Porcentaje de organizaciones por sectores en las cuales se envi informacin de tarjetas de crdito a fuentes externas(% de organizaciones)

Grfico 4-B

Fuen

te: C

heck

Point

Softw

are Te

chno

logies

(% de organizaciones)

3% N

mer

os d

e cu

enta

s ban

caria

s

Grfico 4-C

21%

Otr

os

6% R

egist

ros e

mpr

esar

iale

s de

dato

sINFORMACIN ENVIADA FUERA DE LA ORGANIZACIN POR LOS EMPLEADOS

Fuen

te: C

heck

Point

Softw

are Te

chno

logies

29%

Info

rmac

in de

tarje

tas de

crd

ito

13%

Info

rmac

in

sobr

e hab

eres

salar

iales

14% Ar

chivos

proteg

idos co

n cont

rasea

24%

Cdig

o fue

nte

7% Cor

reo mar

cado co

mo con

fidencia

l

FINANCIERAS SE ENVIABA INFORMACIN SOBRE TARJETAS DE CRDITO FUERA DE LA ORGANIZACIN

EN EL 36% DE LAS ORGANIZACIONES



Nuestro estudio revel que en el 29% de las organizaciones se produjo, al menos, uno de estos tipos de eventos durante el tiempo de anlisis, lo que indic que se enviaba fuera de la organizacin informacin relacionada con PCI. Se dio, al menos, un caso en el 36% de las organizaciones financieras, que normalmente estn obligadas a cumplir la normativa PCI.

HIPAALa normativa de privacidad HIPAA proporciona proteccin federal para la informacin personal de salud, otorgando a los pacientes un repertorio de derechos respecto a esta informacin. Al mismo tiempo, esta normativa de privacidad est equilibrada, de modo que permite la utilizacin de datos personales sanitarios necesarios para el cuidado del paciente y otros propsitos importantes. 27

La normativa de privacidad HIPAA permite a los centros sanitarios utilizar el correo para hablar de problemas de salud de sus pacientes, guardndose las medidas de seguridad adecuadas. Aunque no se requiere encriptacin; sin embargo, deberan aplicarse otros medios de seguridad para proporcionar proteccin adecuada. Cmo pueden mantenerse abiertos los canales de comunicacin por correo con pacientes y colaboradores, protegiendo al tiempo la privacidad y manteniendo la observancia HIPAA de las organizaciones?En nuestro estudio, monitorizamos el trfico saliente de las organizaciones analizando los distintos componentes

de los mensajes y adjuntos, buscando correos conteniendo informacin privada de pacientes mediante identificacin de informacin personal (como nmeros de la Seguridad Social) y terminologa mdica relacionada (trminos CPT, ICD-9, LOINC, DME, NDC, etc.). Encontramos que en el 16% de las organizaciones de seguro mdico, se enviaba informacin HIPAA - Protected Health Information fuera de las organizaciones, hacia destinatarios de correo externos o publicndose en lnea.

RECOMENDACIONES DE SEGURIDADEn el mundo actual de prdida incremental de datos, les quedan pocas opciones a las organizaciones que iniciar acciones para proteger sus datos sensibles. La mejor forma de prevenir prdidas de datos no intencionadas es implementar una poltica corporativa automatizada, que capture la informacin protegida antes de abandonar la organizacin. Una solucin como sta se conoce como Data Loss Prevention (DLP). Los productos DLP basados en contenidos ofrecen un amplio repertorio de posibilidades, teniendo las organizaciones mltiples opciones al implantarlas. Antes de implantar una solucin DLP, las organizaciones necesitan desarrollar estrategias claras DLP con requisitos concretos como qu se considera como informacin confidencial, quin puede enviarla y dems.

DE ORGANIZACIONES DE CUIDADO Y SEGUROS DE SALUD SE ENVIABA FUERA DE LA ORGANIZACIN INFORMACIN HIPAA PROTECTED HEALTH INFORMATION

16% EN EL

035



Motor de clasificacin de datosLa precisin a la hora de definir datos sensibles es un componente crtico de la solucin DLP. La solucin DLP debe poder detectar informacin personal identificable (PII), datos de cumplimiento (HIPAA, SOX, datos PCI, etc.) e informacin confidencial del negocio. Debera inspeccionarse el flujo de contenidos y reforzar polticas, no slo en el caso del protocolo usado ms ampliamente, como TCP, sino incluyendo SMTP, FTP, HTTP, HTTPS y correo Web. La solucin DLP debera poder tambin inspeccionar por identificacin de patrones y clasificacin de archivos, para identificar tipos de contenidos con independencia de la extensin consignada al archivo o archivo comprimido. Adems, la solucin DLP debera poder reconocer y proteger formularios sensibles, basndose en plantillas predefinidas y coincidencia de archivo/formulario. Una importante caracterstica de la solucin DLP es su capacidad de crear tipos de datos personalizados para mayor flexibilidad, adems de los tipos de datos estndar proporcionados por el proveedor.

Ayudar a los usuarios a solventar incidentesLas soluciones tradicionales DLP pueden detectar, clasificar e incluso reconocer documentos especficos y varios tipos de archivos, aunque no pueden conocer las intenciones del usuario que se encuentran detrs del hecho de compartir informacin sensible. No es suficiente contar slo con la tecnologa, puesto que no puede identificar esta intencin y responder contra ella. Por lo tanto, una buena solucin DLP necesita la colaboracin de los usuarios para conseguir resultados ptimos. Una de estas maneras es ensear a los usuarios a solucionar incidentes en tiempo real la solucin DLP debera informar al usuario de que su accin podra dar como resultado un incidente potencial de prdida de datos, animando al usuario a decidir descartar el mensaje o enviarlo de todos modos. Esto mejora la seguridad junto con polticas de uso de datos sensibles alertando a los usuarios de errores potenciales y permitindoles corregir inmediatamente, mientras que se mantiene la rpida autorizacin de comunicaciones legtimas. Esto facilita tambin la administracin. Mientras que el administrador puede seguir los datos DLP para su anlisis, no se requiere atencin personalizada en tiempo real para cada peticin de envo de datos fuera de la compaa.

Proteccin contra fuga interna de datosOtra importante ventaja de DLP es la posibilidad, no slo de controlar que los datos sensibles abandonen la compaa, sino inspeccionar y controlar los correos sensibles entre departamentos. As, pueden definirse polticas para prevenir que lleguen datos confidenciales a departamentos equivocados. Ejemplos de datos que sera necesario proteger de prdida accidental por envo a otros departamentos son planes de compensacin, documentos confidenciales de recursos humanos, fusiones y documentos de adquisicin o formularios mdicos.

Proteccin de datos para discos duros de porttilesLas compaas deben asegurar la informacin alojada en sus porttiles como parte de una completa poltica de seguridad. De no proteger esta informacin, terceros podran acceder a datos valiosos con la prdida o robo de porttiles, lo cual podra dar como resultado repercusiones legales o financieras. Una solucin adecuada sera prevenir el acceso no autorizado de los usuarios a la informacin codificando los datos en todos los discos duros de este tipo, incluyendo datos de usuario, archivos del sistema operativo y archivos temporales y eliminados.

Proteccin de datos para soportes extrablesPara evitar las incidencias de que los datos corporativos residentes en medios de almacenamiento masivo USB y otros caigan en las manos equivocadas, se requiere en estas unidades, como prevencin, la codificacin de sus contenidos frente a acceso no autorizado. Los empleados suelen mezclar archivos personales como msica, imgenes y documentos con archivos del trabajo, como archivos con contenido financiero o de recursos humanos, en soportes extrables, lo que supone un desafo mayor para mantener el control sobre los datos corporativos. La brecha de seguridad que suponen las unidades de almacenamiento extrables, puede minimizarse mediante la codificacin en los casos en los cuales los contenidos puedan estar comprometidos.

Proteccin de documentosLos documentos de empresa se cargan en la Web mediante aplicaciones de almacenamiento de archivos, son enviados a smartphones personales, copiados a soportes extrables y compartidos externamente con colaboradores del negocio de forma regular. Cada una de estas operaciones coloca datos sensibles en el riesgo de perderse o ser utilizados de manera inadecuada, as como resultar accesibles a individuos no autorizados. Para mantener los datos corporativos seguros y protegidos, debe disponerse de una solucin de seguridad en la forma de poltica de codificacin de documentos para ofrecer acceso slo a individuos autorizados.

Gestin de eventosDefinir reglas DLP para crear las polticas de uso de datos de la organizacin debera acompaarse de buenas opciones de monitorizacin e informes. Para minimizar la prdida de datos potencial en una organizacin, la solucin de seguridad debera incluir la monitorizacin y anlisis de los eventos DLP en tiempo real e histricamente. Esto proporciona al administrador de seguridad una visin clara y amplia de la informacin que se est enviando fuera, sus fuentes y la posibilidad de actuar en tiempo real de ser necesario.


036

2.600 aos ms tarde, el mismo enfoque se ajusta perfectamente a la lucha actual de la guerra ciberntica - la mejor seguridad de la red se consigue cuando las distintas capas de proteccin se han armonizado todas juntas para luchar contra todos los ngulos de las amenazas de la seguridad.Este informe ha cubierto mltiples aspectos de los riesgos de seguridad que Check Point ha detectado en un amplio rango de organizaciones. Ha mostrado que bots, virus, violaciones de la seguridad y ataques son una constante y una amenaza real para la seguridad de las organizaciones. El informe ha presentado que algunas aplicaciones Web usadas por los empleados pueden poner en compromiso la seguridad de la red. Para terminar, el informe ha desvelado que los empleados participan en muchas prcticas que pueden causar una fuga no intencionada de datos confidenciales o sensibles.

En su estrategia de seguridad: La tecnologa slo no es suficienteEl enfoque de Check Point para conseguir el nivel de seguridad necesario para proteger una organizacin reconoce

que la tecnologa por s sola no es suficiente. La seguridad necesita crecer desde una coleccin dispar de tecnologas y prcticas, hasta un proceso empresarial efectivo. Check Point recomienda que las organizaciones se fijen en las tres dimensiones a la hora de implementar una estrategia y solucin de seguridad: Polticas, Personas y Cumplimiento.

PolticasLa seguridad empieza con una poltica ampliamente entendida y bien definida alineada estrechamente con las necesidades del negocio ms que una simple coleccin de comprobaciones a nivel de sistema y tecnologas dispares. Las polticas deberan tener en cuenta que la prioridad es el negocio, y deberan sugerir formas de conducir el negocio de una forma segura, como parte de la poltica corporativa. Por ejemplo, durante el anlisis encontramos que los empleados utilizan aplicaciones Web que son necesarias para el flujo del negocio pero tambin pueden comprometer la seguridad. Si implantamos slo tecnologas que bloqueen el uso de este tipo de aplicaciones Web, lo que conseguiremos ser inundar al administrador de seguridad con multitud de gente quejndose, o lo que es peor, buscando formas de burlar la poltica y generar situaciones de riesgo. En lugar de eso, Check Point recomienda crear una poltica que reconozca los casos donde el uso de estas aplicaciones sea necesario y definir el procedimiento para hacer cumplir su utilizacin de una forma segura. Los usuarios deberan ser aconsejados de forma automtica de la poltica cuando sea necesario.

PersonasLos usuarios de sistemas informticos son una parte crtica del proceso de seguridad. Suelen ser los usuarios los que cometen errores que resultan en infecciones de malware y fuga de informacin. Las organizaciones deberan asegurar que los usuarios estn comprometidos con los procesos

CONCLUIREMOS EL INFORME CON OTRA CITA DE SUN ZI TOMADA DEL ARTE DE LA GUERRA: AQU HAY UN CONSEJO PARA UN GENERAL DEL EJRCITO:

TRAS REUNIR UN EJRCITO Y CONCENTRAR SUS FUERZAS, DEBE FUNDIR Y ARMONIZAR LOS DISTINTOS ELEMENTOS ANTES DE LANZAR SU CAMPAA.28

05 RESUMEN Y ESTRATEGIA DE SEGURIDAD

037


05 _ RESUMEN Y ESTRATEGIA DE SEGURIDAD

de seguridad. Los empleados necesitan estar informados y educados en la poltica de seguridad y lo que se espera de ellos cuando navegan por Internet o comparten datos sensibles. Al mismo tiempo, la seguridad debera ser todo lo continua y transparente que sea posible y no debera cambiar la forma en la que trabajan los usuarios.La implementacin de un programa de seguridad debera incluir:

Un programa de educacin o formacin que garantice que todos los usuarios son conscientes de que los sistemas son vulnerables a los ataques y de que sus propias acciones pueden permitirlos o ayudar a prevenirlos.

Tecnologa - asesorar a las personas en tiempo real de por qu determinadas operaciones son peligrosas y cmo podran llevarlas a cabo de una forma segura.

CumplimientoLa im

Documents

Security Report 1386771339