Category Archives: Ciberseguridad

Cómo responder ante un incidente de ciberseguridad

Posted on

Por: Martin Pueblas / Fortinet

Al asesorar a nuestros clientes, casi siempre descubrimos que muchos de ellos no están seguros respecto a las políticas y procesos que sus organizaciones debieran tener para implementar un programa efectivo de respuesta a incidentes (IR) de ciberseguridad. Contar con la estructura correcta es fundamental para proveer las herramientas y guías que tanto el equipo de respuesta ante incidentes como la organización necesitan para reacciona rápido y reducir el daño. Hay tres puntos fundamentales que creemos que todas las organizaciones deben tener en sus programas: una política bien definida de respuesta ante incidentes, un plan de respuesta ante incidente y un manual bien documentado de respuesta ante incidentes.

¿Por qué necesitamos una política de respuesta ante incidentes?

Para empezar, la creación de una política responsabiliza a la organización de hacer que la respuesta a incidentes sea una prioridad. Como cualquier política, este documento sienta las reglas y el marco de gobernanza alrededor de la respuesta ante incidentes de cualquier organización, incluyendo:

·       Propósito del protocolo de respuesta ante incidente y por qué es necesario

·       Razones del por qué fue creada esta política

·       Alcance de la política (a quién y a qué aplica)

·       Quién en la organización es responsable de reforzarla

·       Definiciones de respuesta ante incidentes y otros términos clave como evento e incidente

·       Requerimientos que deben ser cumplidos tanto por el equipo de respuesta ante incidentes y el resto de la organización

·       Guía sobre la creación del plan de respuesta a incidentes

¿Qué es un plan de respuesta ante incidentes?

El plan de respuesta provee una guía sobre cómo responder ante varios tipos de incidentes. Debiera cubrir cómo detectar, analizar, contener, erradicar y recuperarse. Dicho plan debe de definir y cubrir todas las fases del ciclo de vida de la respuesta ante incidentes, el antes y el después. Existen varios marcos de respuesta a incidentes ampliamente utilizados que podrían usarse como referencia, como los del Instituto Nacional de Estándares y Tecnología (NIST), la Organización Internacional para la Estandarización (ISO) y el Instituto SANS. Aunque no existe una plantilla única de respuesta a incidentes, sugerimos que el plan contenga lo siguiente:

·       Misión

·       Metas y Objetivos

·       Alcance

·       Roles y responsabilidades, incluida la información de contacto principal y fuera de horario para los miembros del equipo de respuesta a incidentes

·       Procesos de comunicación tanto internos como externos

·       Niveles de severidad

·       Tipos de incidentes

·       Definición de tipos de incidentes (incidente, evento, filtración de datos).

·       Procedimientos en alineación con el ciclo de vida de respuesta ante incidentes de la organización.

¿Cuál es el propósito de un manual de respuesta ante incidentes?

Los manuales de respuesta ante incidentes estandarizan la respuesta ante un tipo específico de incidentes con procedimiento que incluyen los pasos de acción específicos que la organización debe seguir para prepararse, responder y recuperarse de una vulnerabilidad específica. Usando la guía de respuesta ante incidentes de NIST como ejemplo, un manual proporciona orientación detallada sobre cada fase: preparación, detección y análisis, contención, erradicación, recuperación y actividad posterior al incidente. El manual debe definir qué acciones específicas deben tomarse y el equipo o individuo responsable de realizar la acción. Los tipos más comunes de manuales incluyen:

·       Manual ante ransomware

·       Manual para filtración o pérdida de datos

·       Manual ante malware

·       Manual ante negación de servicio

·       Manual ante una amenaza interna

·       Manual ante ingeniería social

·       Manual ante sitio web comprometido

·       Manual ante vulnerabilidades de día cero

Asegurarse de que los documentos de respuesta ante incidentes estén completos y actualizados

Desarrollar documentación para la respuesta a incidentes no es tarea sencilla. Sin embargo, puede y deber realizarse para ayudar a reducir el impacto de un incidente y guiar a los encargados de responder sobre las acciones que deben tomar.

Los planes de respuesta ante incidentes y manuales deben definir de manera clara todos los individuos y equipos que forman del proceso de respuesta ante incidentes, incluso si solo se involucran en uno o dos elementos. Al definir roles y responsabilidades y hacer que estas personas se familiaricen con la documentación a través de lecturas y ejercicios de simulación, los miembros de toda la organización saben qué deben hacer y cuándo.

Fortinet recomienda una revisión semestral de estos documentos y una después de cada incidente mayor. Este lapso asegura que cualquier lección aprendida sea incorporada y que los cambios en la organización sean considerados e implementados. La buena noticia es que las organizaciones no están solas en esto, existen servicios de evaluación de riesgos, consultoría de evaluación de ciberseguridad, y servicios de evaluación de preparación y respuesta ante incidentes para navegar este camino con ayuda de los expertos.

Tips para tu estrategia de Ciberseguridad

Posted on

Por: Marco Martínez / Cisco Systems

#1 Crear y mantener un inventario dactivos
¿Por qué es importante tener un inventario de hardware y software?

Cualquier organización con una estrategia de Ciberseguridad o por mejores prácticas debe tener un inventario de Activos.

  1. Tener un inventario de hardware y software para los propósitos de la organización permite a su departamento de TI tener una mejor administración, evitando exceso de recursos (dispositivos que no se usan o que están abandonados) y sobre todo poder identificar riesgos ante un posible ciberataque, priorizando cuáles son los activos más importantes en los procesos críticos de la organización
  2. Ante un incidente de seguridad, tener un inventario actualizado te permitirá identificar de forma rápida cuáles son aquellos con un nivel de riesgo alto, priorizar las medidas de monitoreo, protección, remedición y contención ante un ataque.
Seguimiento Del Inventario

El inventario debe actualizarse periódicamente, mostrar no solo los dispositivos físicos (hardware), sino también los programas (software) y todos los sistemas informáticos, servicios y aplicaciones utilizados en la organización.

El inventario también debe incluir dispositivos como teléfonos celulares, tabletas, computadoras portátiles y otros dispositivos portátiles electrónicos que almacenan o procesan datos que deben ser identificados, estén o no conectados a la red de la organización.

Para todos los dispositivos que tienen una dirección IP, el inventario debe indicar los nombres de las máquinas, la función del sistema, un propietario responsable del recurso y la oficina asociada.

Sugerencias para incluir en tu inventario de software y hardware:

Hardware

  • ID
  • NOMBRE
  • DESCRIPCIÓN
  • TIPO
  • SISTEMA OPERATIVO
  • RESPONSABLE
  • DEPARTAMENTO
  • CONDICIONES
  • AÑO DE COMPRA
  • FECHA DE CADUCIDAD DE LA GARANTÍA
  • VALOR INICIAL
  • COSTE DE FUNCIONAMIENTO MENSUAL ESTIMADO
  • VALOR ACTUAL ESTIMADO
  • RIESGO DE CIBERSEGURIDAD

Sofware

  • ID
  • NOMBRE
  • TIPO
  • VERSIÓN
  • FABRICANTE
  • DEPARTAMENTO
  • ¿NIVEL DE LICENCIAMIENTO?
  • AÑO DE COMPRA
  • FECHA DE RENOVACIÓN
  • COSTO MENSUAL
  • COSTO ANUAL

 

Construye tu propio témplate de tal manera que se pueda realizar un seguimiento del software y hardware en uso en la empresa.

Definir un proceso para mantener actualizado el inventario

El inventario debe ser actualizado periódicamente por el responsable.

Cuando se instalan o conectan nuevos dispositivos y software a la red, el inventario debe actualizarse inmediatamente.

Estos son algunos pasos a seguir periódicamente para mantener el inventario actualizado:

  • Implementar una ‘White list (lista blanca)’ de aplicaciones autorizadas, bloqueando la ejecución de software no incluido en la lista. La ‘lista blanca’ puede ser muy amplia para incluir el software más popular
  • Realizar exploraciones periódicas en los sistemas para detectar la presencia de software no autorizado
  • Desactivar cuentas que ya no se utilizan (contraseñas obsoletas y datos/información importante)
  • Registrarse en servicios externos exclusivamente a través del correo electrónico de la empresa y no con credenciales personales
  • Elaborar una lista exhaustiva de medios extraíbles (USB) dado el desconocimiento generalizado del uso de dichos dispositivos
  • Designar a una persona responsable de coordinar las actividades de gestión y protección de datos/información.
Recomendación

Clientes Cisco puedes realizar un inventario de activos, hardware y software de manera dinámica.

Cisco ISE, inventario de hardware

 

Cisco ISE Manage Your Inventory

Cisco Secure Endpoint

Puedes utilizar un catálogo con consultas predefinidas, automáticas o programadas para mantener un inventario de software en tiempo real.

Catalogo de consultas predefinidas

Consultas predefinidas, sin embargo, siempre puedes crear tus propias consultas

Consultas soportadas en Windows, Max, Linux.

Cisco XDR

Cisco XDR centraliza toda la telemetría de las tecnologías integradas y unifica la inteligencia de cada una, permitiendo desde una sola vista conocer el estado de seguridad de todos los endpoints (Desktop, Servidor, Móviles, etc.) así como asignarle un valor de riesgo a cada dispositivo para propósitos de monitoreo y calificación de riesgo ante un incidente de seguridad, de forma automática.

Ejemplo de inventario de activos en tiempo real.

Detalle de un dispositivo Windows.

La nueva campaña de Horabot apunta a América Latina

Posted on

Por: Marco Martínez / Cisco Systems

Cisco Talos ha observado que un actor de amenazas está desplegando un programa de botnet previamente no identificado al que Talos ha llamado “Horabot“. Este programa entrega un conocido troyano bancario y una herramienta de correo no deseado en máquinas víctimas en una campaña que ha estado en curso desde al menos noviembre de 2020.

Esta campaña utiliza técnicas sofisticadas de ingeniería social y una cadena de ataque en múltiples etapas para comprometer los sistemas y robar información confidencial.

Horabot permite al atacante tomar el control de las cuentas de correo electrónico de las víctimas, robar direcciones de contacto y enviar correos de phishing con archivos adjuntos maliciosos. El troyano bancario recopila credenciales de inicio de sesión, información del sistema operativo y pulsaciones de teclas, poniendo en riesgo la seguridad de las cuentas en línea de los usuarios. Además, la herramienta de correo no deseado compromete cuentas de Yahoo, Gmail y Outlook, enviando spam desde las cuentas comprometidas.

Es importante destacar que primordialmente el país con más infecciones es México y otros países como Uruguay, Brazil, Venezuela, Argentina, Guatemala y Panamá, otros países deben estar alertas ante posibles correos electrónicos sospechosos y eviten abrir archivos adjuntos o hacer clic en enlaces desconocidos. Mantener los sistemas operativos y programas actualizados, utilizar soluciones de seguridad confiables y ser conscientes de las técnicas de phishing son medidas clave para protegerse de esta amenaza y salvaguardar la información personal y financiera.

La campaña de Horabot comienza envíando correos electrónicos de phishing que contienen archivos adjuntos maliciosos. Estos correos electrónicos se diseñan cuidadosamente para parecer legítimos y persuadir a los usuarios a abrir los archivos adjuntos. Una vez que el archivo adjunto es abierto, se ejecuta un script de PowerShell que descarga e instala el malware principal en el sistema de la víctima.

El malware principal utiliza una técnica conocida como “sideloading” de DLL para evadir la detección y ejecutar código malicioso en el sistema. Esta técnica permite a los atacantes ocultar su actividad maliciosa y evitar ser detectados por las soluciones de seguridad implementadas en la organización.

Una vez que el malware se instala en el sistema comprometido, Horabot realiza una serie de acciones maliciosas. Puede robar información confidencial, como contraseñas y credenciales de inicio de sesión, así como también realizar actividades de espionaje en la red infectada.

Además, Horabot tiene la capacidad de propagarse a través de la red y comprometer otros sistemas. Utiliza técnicas de movimiento lateral para moverse de un sistema comprometido a otro, lo que le permite expandir su alcance y causar más daño.

Recomendaciones

Para protegerse contra la campaña de Horabot y otros ataques similares, es importante seguir las mejores prácticas de seguridad. Esto incluye:

  • No abrir archivos adjuntos sospechosos o enlaces en correos electrónicos no solicitados
  • Mantener el software y los sistemas operativos actualizados
  • Utilizar soluciones de seguridad confiables
  • Educar a los usuarios sobre los riesgos de la ingeniería social.

Clientes Cisco están con alguna de las siguientes tecnologías, están protegidos

 

 

Clientes sin productos de seguridad de Cisco

Puede obtener una evaluación de forma gratuita de los productos de seguridad de Cisco  en el siguiente enlace o solicitando la versión de prueba a un Partner autorizado: https://www.cisco.com/c/es_mx/products/security/security-stepup.html

Organizaciones sin productos de Cisco

Descargue aquí los IoC (indicadores de compromiso)

https://github.com/Cisco-Talos/IOCs/tree/main/2023/05/new-horabot-targets-americas.txt

Puede obtener información más detallada así como el informe técnico en el blog de Cisco Talos: https://blog.talosintelligence.com/new-horabot-targets-americas

¿Qué sigue para los firewalls de red?

Posted on

Por: Nirav Shah / Fortinet

Los firewalls han recorrido un largo camino desde sus humildes comienzos de evaluar el tráfico de red basándose únicamente en la apariencia. Los firewalls de próxima generación (NGFW) de hoy, que deben proteger todas las áreas de la empresa, pueden filtrar aplicaciones de Capa 7, bloquear archivos adjuntos y enlaces maliciosos, detectar amenazas conocidas y vulnerabilidades de dispositivos, aplicar parches, prevenir ataques DDoS y proporcionar filtrado web para Internet directo. acceso.

Y los NGFW no han terminado de evolucionar. Aquí hay seis predicciones para el futuro del firewall.

1. La propagación de la convergencia

La convergencia es importante para reducir la complejidad de la ciberseguridad porque reúne la red y su infraestructura de seguridad en una sola capa. Predecimos que la convergencia de redes y seguridad continuará expandiéndose a más áreas. Hoy en día, la convergencia está ocurriendo con SASE, que converge la seguridad y las redes proporcionadas por la nube, así como Secure SD-WAN, acceso a la red de confianza cero (ZTNA), control de acceso a la red (NAC), puntos de acceso seguros y conmutadores seguros.

La convergencia también se está dando en diferentes formatos. Ahora la convergencia de la seguridad está ocurriendo en dispositivos, máquinas virtuales, servicios entregados en la nube y contenedores. La convergencia a través del uso de un solo sistema operativo facilita la integración y la automatización, mejorando la eficiencia operativa y la consistencia de la seguridad sin importar dónde se distribuyan los usuarios o las aplicaciones. La integración entre las diferentes tecnologías de seguridad les permite funcionar de forma colaborativa. Y la automatización aprovecha la inteligencia incorporada que la integración permite en diferentes soluciones para detectar y responder activamente a las amenazas mediante la coordinación de todos los recursos disponibles.

2. Las interrupciones cibernéticas son más devastadoras

El panorama actual de amenazas cibernéticas continúa acelerándose, tanto en volumen como en sofisticación, lo que aumenta la demanda de altos niveles de automatización, así como soluciones que aprovechan la inteligencia artificial (IA) y el aprendizaje automático (ML). El ciberdelito es rentable con un ecosistema empresarial cada vez más complejo y organizado que incluye Ransomware-as-a-Service (RaaS) y Cybercrime-as-a-Service (CaaS). Los ciberdelincuentes también han estado agregando niveles de extorsión para que las víctimas paguen, incluida la combinación de cifrado con amenazas para exponer públicamente los datos, agregando ataques de denegación de servicio distribuido (DDoS)  e incluso llegando directamente a los clientes y partes interesadas de la víctima para que puedan ejercer más presión sobre la víctima para que pague.

El  Informe de panorama de amenazas 2H 2022 de Fortinet  predice que el crecimiento de CaaS significa que seguirá habiendo un gran volumen de ataques cada vez más sofisticados y más variantes nuevas para que los equipos de seguridad se enfrenten. Y en una encuesta reciente del Foro Económico Mundial, el 91% de los líderes mundiales están de acuerdo en que se avecina una catástrofe relacionada con el ciberdelito. Al mismo tiempo, la escasez de habilidades en seguridad cibernética continúa con más de un tercio de los puestos vacantes.

3. El trabajo híbrido sigue creciendo

El trabajo remoto e híbrido sigue aumentando, y los ciberdelincuentes seguirán apuntando a esta superficie de ataque en expansión. Según Gartner, para fines de 2023, el 48% de los trabajadores del conocimiento global serán híbrido o completamente remoto. El trabajo híbrido ahora es la corriente principal y para abordar este cambio en la fuerza laboral y el panorama de amenazas, las empresas deben adoptar un enfoque de “trabajo desde cualquier lugar” (WFA) para su seguridad mediante la implementación de soluciones capaces de seguir, habilitar y proteger a los usuarios sin importar dónde. Ellos estan localizados. Se volverá más importante un enfoque de acceso a la red universal de confianza cero (ZTNA) con política y contexto y SASE integrado que incluya seguridad NGFW en las instalaciones con seguridad entregada en la nube. La permanencia de los empleados remotos impulsará la necesidad de una consola de administración unificada para la seguridad local, en la nube y remota.

4. La modernización de la red va más allá

La modernización de la red continuará a medida que las empresas trabajen para cumplir con los nuevos requisitos. Por ejemplo, 5G ahora se usa en más situaciones, como en fábricas y operaciones con drones. Para brindar una mejor experiencia de usuario, las organizaciones continuarán invirtiendo en tecnologías de red modernas, como SD-WAN y 5G, para brindar un acceso más rápido a las redes locales y al mismo tiempo permitir el acceso directo a Internet a aplicaciones SaaS/multinube (LAN/WLAN). La seguridad no debe aplicarse como una ocurrencia tardía; las soluciones de seguridad que no están bien integradas entre sí o con la red subyacente conducen casi inevitablemente a riesgos y brechas de seguridad a medida que la superficie de ataque se expande y se adapta. Las operaciones de TI necesitan un enfoque basado en la automatización que simplifique las operaciones y permita el monitoreo digital de extremo a extremo entre usuarios, redes, dispositivos y aplicaciones para detectar anomalías.

5. El rendimiento toma el centro del escenario

A medida que las empresas convergen en redes y seguridad, lo que solían ser dispositivos separados se consolidan en una única solución. Por ejemplo, un NGFW típico ahora puede estar equipado con firewall, SD-WAN, un controlador Wi-Fi para SD-Branch, un controlador Ethernet y funcionalidad de confianza cero. Al mismo tiempo, los dispositivos de seguridad no pueden convertirse en un cuello de botella de rendimiento dentro de una arquitectura de red y seguridad ni sacrificar la visibilidad, la experiencia del usuario o la seguridad. La combinación de ASIC especialmente diseñados, redes entregadas en la nube para SASE y seguridad como servicio entregada en la nube integrada de forma nativa hace posible ampliar la experiencia del usuario superior y coordinar la protección contra amenazas en todos los bordes de la red.

6. Mayor demanda de firewalls de malla híbrida

Un firewall de malla híbrida (HMF) es un nuevo término para una plataforma de seguridad unificada que está disponible en varios factores de forma, incluidos dispositivos, máquinas virtuales, firewalls nativos de la nube y Firewall-as-a-Service (FWaaS). Con el continuo crecimiento de los entornos híbridos, las organizaciones pondrán cada vez más énfasis en los firewalls que funcionan juntos sin importar dónde se encuentren, incluida la nube. De hecho, Gartner afirma en su último Cuadrante Mágico para Firewalls de Red que “para 2026, más del 60 % de las organizaciones tendrán más de un tipo de implementación de firewall, lo que impulsará la adopción de firewalls de malla híbridos”.

Los firewalls de malla híbridos incorporan seguridad impulsada por AI/ML para identificar y clasificar aplicaciones, URL web, usuarios, dispositivos, malware y más, mientras automatizan la aplicación de políticas en todos los dominios. La IA/ML en el corazón de la automatización del firewall de malla híbrida ayuda a reducir la cantidad de trabajo manual involucrado en la protección de la TI empresarial.

Los NGFW de Fortinet FortiGate brindan protección contra amenazas líder en la industria y descifrado a escala con una arquitectura ASIC personalizada, que incluye características como SD-WAN, Universal ZTNA, integración con SASE y soporte para firewalls de malla híbridos. Obtenga más información sobre cómo  los NGFW de FortiGate  brindan visibilidad y seguridad profundas en una variedad de factores de forma, incluidos firewalls de contenedores, firewalls virtuales y dispositivos.

Preparado para el futuro con los firewalls de próxima generación de Cisco

Posted on

Por: John Brookbank / Cisco Systems

Hemos visto un aumento en los esfuerzos para preparar nuestra tecnología, infraestructura y nuestro planeta para el futuro. Preparado para el futuro significa que presentamos o creamos un producto o sistema que es poco probable que se vuelva obsoleto o falle en el futuro.

Hemos visto esto en cómo los arquitectos están diseñando puentes y rascacielos, nuestros esfuerzos globales en la conservación del planeta y el ecosistema, y ​​en la esfera de la tecnología, especialmente en los esfuerzos en torno a las soluciones de seguridad. Lo que construimos ahora es lo que permitirá a la generación futura ser los próximos líderes, líderes intelectuales e innovadores.

“El futuro depende de lo que hagamos en el presente”. – Mahatma Gandhi

Fundación de la preparación para el futuro

En Cisco, nuestro propósito es impulsar un futuro inclusivo para todos. Tenemos la tecnología, las soluciones y la motivación para unir a las comunidades e impulsar el cambio para todos, sin importar dónde vivan. Para que este cambio se lleve a cabo, debemos ofrecer a las empresas una base sólida y segura.

Esta base se centra en proporcionar una red con visibilidad constante, armonización de políticas y administración de la nube. Aquí en Cisco, proporcionamos este nivel de base de seguridad a través de Cisco Next-Generation Firewalls (NGFW). Cisco está ayudando a loas empresas a tomar el control de su entorno de seguridad y pueden aprovechar sus inversiones actuales en Cisco para comenzar a convertir su infraestructura de red en puntos de control adicionales y extensión directa para tener una arquitectura de seguridad completa.

Plataforma de seguridad preparada para el futuro de Cisco

Las empresas pueden aprovechar el poder de Cisco para convertir su infraestructura existente en una extensión de su solución de firewall, lo que lleva a una mayor evolución de la seguridad donde sea que la necesiten. Cisco puede convertir toda la red en una extensión de la arquitectura de seguridad, experimentar controles de seguridad de clase mundial y tener una política unificada con visibilidad de amenazas. Hablemos brevemente de cada uno de estos puntos.

Extensión de la arquitectura de seguridad

Cisco proporciona una seguridad de red confiable con el conjunto más profundo de integración entre las funciones de redes centrales y la seguridad de la red. Ya sea que las empresas busquen obtener más de su red existente con Infraestructura centrada en aplicaciones (ACI) o Motor de servicios de identidad (ISE) o ampliar su protección a través de la arquitectura rápidamente con inteligencia de amenazas avanzada, hay una solución disponible que se adapta a sus necesidades.

Controles de seguridad de clase mundial

Las amenazas de seguridad son cada vez más complejas, pero los dispositivos Cisco NGFW se pueden implementar donde los necesiten, sin importar si se encuentran en las instalaciones o en varias nubes. Al proteger a las empresas de las amenazas ocultas, Cisco NGFW aprovecha el hardware dedicado para inspeccionar las amenazas ocultas en el tráfico cifrado mientras mantiene un rendimiento óptimo.

Cisco ofrece muchas soluciones paralelas que funcionan con Cisco NGFW. Si desea obtener más información sobre estas oportunidades adicionales, comuníquese con su administrador de cuentas de distribución, socios o marketing de Cisco.

Política unificada y visibilidad de amenazas

Cuando las empresas inviertan en Cisco NGFW o actualicen su cartera de seguridad existente para incluir esta solución, no solo obtendrán una postura de seguridad más sólida, sino que también contarán con una experiencia de administración preparada para el futuro que puede evolucionar con su red. Esto les ayudará a ofrecer controles escalables en muchos dispositivos rápidamente, reducir la complejidad, adelantarse a las amenazas y acelerar sus operaciones de seguridad.

Abordar nuevas oportunidades

Ya sea que esté discutiendo una actualización con un cliente para estar más preparado para el futuro o mostrando cómo la tecnología de Cisco puede proteger mejor el entorno de TI de un cliente, existe una solución que puede ayudarlo a identificar, superar y evitar que los desafíos afecten sus objetivos de TI. El futuro es ahora y debemos ayudarles a mirar hacia el futuro con confianza en su tecnología de seguridad.

Ahora es el momento de aumentar su seguridad

Posted on

Por: Emma Carpenter / Cisco Systems

En nuestro Índice de preparación para la seguridad cibernética de Cisco , recientemente publicado, una cosa quedó muy clara: las organizaciones de todo el mundo necesitan mejorar su seguridad. Se considera que solo el 15% de las organizaciones a nivel mundial tienen un nivel maduro de preparación para manejar los riesgos de seguridad de nuestro mundo híbrido. Tenemos una brecha alarmante en la preparación para la seguridad cibernética que solo se ampliará si los líderes empresariales y de seguridad globales no cambian rápidamente.

Ya sabemos que la resiliencia de la seguridad es fundamental para la estrategia comercial y se prioriza colectivamente en toda la organización, lo que sustenta el éxito de las iniciativas de la empresa en todos los ámbitos. La resiliencia se trata de verificar las amenazas, comprender las conexiones en toda la organización y ver el contexto completo de cualquier situación para que los equipos puedan priorizar y garantizar que su próxima acción sea la mejor.

La resiliencia de la seguridad adolece de todo tipo de brechas de seguridad, pero los actores de amenazas saben que los seres humanos son su punto débil más vulnerable. En Cisco, detectamos 9 millones de amenazas relacionadas con el correo electrónico y el phishing cada hora. De hecho, dado que las personas son su principal debilidad y el objetivo favorito de los atacantes en todas partes, el correo electrónico es uno de sus tres vectores de ataque más críticos. Los otros dos son el acceso no autorizado a redes y aplicaciones (lo que conduce al robo de credenciales) y la exposición al malware transmitido por la web (debido a las protecciones laxas de la capa DNS).

En Cisco creemos que es hora de que alguien le facilite la defensa de los tres. Es por eso que presentamos Cisco Security Step-Up para implementar tres poderosas líneas de defensa para asegurar y fortalecer su negocio. Solo Cisco puede ofrecer la variedad de soluciones de seguridad en la nube para proteger cada vector de ataque crítico (correo electrónico, tráfico web y credenciales de usuario) en un solo paso.

Implemente defensas contra ataques de phishing, sitios web maliciosos y robo de credenciales

No se equivoque, los implacables ataques de phishing, de identidad y basados ​​en la web de la actualidad expondrán brechas en su seguridad. Necesita cobertura completa, precisamente lo que obtiene con Cisco Security Step-Up. Esa cobertura viene en tres soluciones que trabajan juntas para proteger a su gente, aplicaciones y datos.

  • Bloquee amenazas de correo electrónico como el phishing con Cisco Secure Email Threat Defense. El correo electrónico sigue siendo su principal vector de amenazas y la ruta del 40 % de los ataques de ransomware (a menudo logrados a través del phishing). Cisco Secure Email Threat Defense puede:
    • Bloquee las amenazas de correo electrónico antes de que los usuarios las vean.
    • Responda rápidamente y corrija nuevas amenazas en tiempo real.
    • Inspeccione minuciosamente los correos electrónicos internos para evitar que las amenazas se propaguen internamente.
  • Proteja el tráfico web con Cisco Umbrella Secure Internet Gateway (SIG). Muchas campañas de ataque sofisticadas están diseñadas para atraer a los usuarios para que visiten sitios web maliciosos o descarguen aplicaciones infectadas. Con Umbrella, puedes:
    • Proteja a los usuarios donde y cuando hagan clic para que no terminen en sitios de phishing.
    • Detenga la propagación de malware y ransomware, incluso si finalmente llega a sus terminales.
    • Asegure el tráfico web en toda su infraestructura y controle cómo los usuarios interactúan con las aplicaciones basadas en la nube.
  • Evite el acceso no autorizado y el robo de credenciales con Duo. La autenticación sólida de usuarios y la verificación de dispositivos son esenciales para reducir el riesgo de infracciones con una autenticación sólida de usuarios y verificación de dispositivos combinada con políticas de acceso dinámicas basadas en riesgos. Con Dúo, puedes:
    • Evite las intrusiones y los ataques sofisticados basados ​​en la identidad mientras mejora la productividad del usuario.
    • Defiéndase contra los ataques de omisión de MFA y el secuestro de cuentas.
    • Implemente una solución fácil de usar que frustre a los atacantes, no a los usuarios.
Su próximo paso: Protección de extremo a extremo

La seguridad no debe ser lenta de implementar o difícil de usar. Y no debería sacrificar la productividad en nombre de la protección. Estas verdades dan forma a las soluciones incluidas en la promoción Cisco Security Step-Up y ayudan a garantizar que verá beneficios que significan algo no solo para la seguridad, sino también para el negocio en general.

Estamos enfocados en brindar tres beneficios clave:

  • Sencillez. ¿Qué significa para usted seguridad simple? Lo más probable es que signifique soluciones que funcionen con lo que tiene, sin necesidad de cambios. Y protección que es fácil de implementar, administrar y usar. (Porque la seguridad que es difícil de usar no se usa).
  • Salvaguardias. La lucha contra las amenazas multifacéticas requiere múltiples capas de seguridad y una protección más eficaz. Esto es fundamental para evitar la apropiación de cuentas, las intrusiones y la pérdida de datos. En este sentido, una de nuestras ventajas únicas es que nuestra seguridad lo equipa para reunir información sobre amenazas en tiempo real de Cisco Talos Threat Intelligence Group , cuyos conocimientos ayudan a protegerlo contra amenazas emergentes.
  • Resiliencia. Una gran parte del trabajo de un CISO es limitar los riesgos para su negocio. Mejorar la resiliencia de la seguridad es esencial en ese esfuerzo. La promoción Cisco Security Step-Up ayuda a aumentar la resiliencia de su seguridad al reducir la necesidad de investigación, respuesta, remediación, incluso solicitudes de soporte técnico. Eso libera sus recursos de TI para iniciativas más estratégicas.
Es hora de aumentar tu seguridad 

Solo Cisco ofrece protecciones integrales en una sola oferta contra todos los vectores de ataque críticos: correo electrónico, tráfico web y credenciales de usuario. Para obtener esta protección en otro lugar, tendría que adquirir múltiples productos de múltiples proveedores, lo que le dejaría con un costo total de propiedad (TCO) mucho mayor. Con Cisco, puede consolidar sus soluciones de seguridad y obtener los beneficios de un TCO más bajo, una seguridad más efectiva y una experiencia simplificada. 

No hay mejor momento para cerrar las brechas de seguridad críticas que vemos atacar a los atacantes 9 millones de veces por hora. Le facilitamos la tarea de proteger esas brechas con protección contra phishing, ransomware, credenciales robadas, malware y otras amenazas, todo entregado desde la nube para una implementación simple y rápida. Y nunca tendrá que cambiar la seguridad por flexibilidad y productividad.  

¿Cuál es la diferencia entre Autenticación de Doble Factor y Multifactor?

Posted on

Por: Marco Martínez / Cisco Systems

Mejorar la seguridad de tu negocio, empresa y hasta equipos personales nunca había sido tan fácil…  Seguramente dirás “esto suena a comercial” pero en realidad es así de sencillo. Antes, una simple contraseña era la  forma más “segura” de proteger los datos y documentos importantes o al menos funcionaba la mayor parte del tiempo (no por nada la contraseña más famosa del mundo es 12345678) pero lamentablemente hoy en día ya no es así.

Las contraseñas sólo proporcionan una capa de seguridad, y una vez que esa capa de seguridad se ve comprometida, se facilita el acceso incluso a personas no autorizadas. De ahí la necesidad de medidas de seguridad como la 2FA y MFA pero ¿cuáles son las diferencias?

El término “2FA” se refiere a la “autenticación de dos factores” y  se trata de un método de autenticación que requiere que el usuario proporcione dos piezas de información para acceder a una cuenta o realizar una transacción, esto se hace para aumentar la seguridad al exigir una segunda capa de verificación, además de la contraseña.

La primera capa puede ser algo que el usuario sabe, como una contraseña, mientras que la segunda capa puede ser algo que el usuario “tiene”, como el código de una aplicación de autenticación en su teléfono móvil.

El término “autenticación multifactor” se refiere a cualquier sistema de autenticación que utilice más de dos factores. Por ejemplo, un sistema de autenticación de tres factores requeriría que el usuario proporcione tres piezas de información para acceder a una cuenta o realizar una transacción. Esto se hace para aumentar aún más la seguridad al exigir varias capas de verificación, además de la contraseña. Cada capa puede ser algo que el usuario sabe, algo que el usuario tiene o algo que el usuario es, como una huella dactilar o una verificación facial.

Cisco Duo  es un sistema de autenticación de múltiple factor (MFA) que proporciona seguridad Zero-Trust  a toda la plantilla de la organización. Los productos de autenticación multifactor (MFA) de Duo se implementan rápidamente en cualquier entorno. Ayudan a mantener a las empresas más seguras que nunca con un tiempo de inactividad mínimo y una productividad optimizada.

Estudio muestra por qué y cuándo el trabajo híbrido puede ser el villano de la ciberseguridad

Posted on

Por: Juan Marino / Cisco Systems

En una encuesta publicada por Cisco, la mayoría de los ejecutivos (92 %) informan que sus empleados utilizan múltiples redes para conectarse al entorno de trabajo, como sus hogares, cafeterías, centros comerciales o incluso supermercados.
Crece la adherencia al trabajo desde cualquier lugar o simplemente a distancia o híbrido. Los profesionales están encantados con el modelo porque eliminan la necesidad de estar limitados a cuatro paredes para realizar sus tareas. Las organizaciones ven el modelo como una oportunidad para atraer y retener talento, además de alcanzar nuevos niveles de productividad.

El modelo ganó nuevos contornos con la necesidad de aislamiento impuesta por el COVID-19, cuando nos vimos obligados a adoptar el trabajo remoto sin que las empresas tuvieran el tiempo y el presupuesto para planificar este cambio. Esto provocó que un gran número de trabajadores adoptara equipos personales para realizar las tareas corporativas.

Ahora, con el regreso de las actividades más cerca de la normalidad que vivíamos antes de la pandemia, el trabajo a distancia ha ganado nuevos contornos y denominación. Empezamos a llamarlo trabajo híbrido, un modelo en el que los profesionales se conectan desde cualquier lugar, incluida la red corporativa, para desarrollar sus actividades.

Un estudio publicado recientemente por Cisco muestra que esta nueva forma de trabajar ha creado grandes oportunidades, pero también ha traído nuevos desafíos para los equipos de TI, incluida la necesidad de garantizar que las personas tengan las herramientas y el soporte que necesitan para hacer su trabajo desde su lugar.

En esta nueva normalidad, el primer hallazgo del estudio es que algunos empleados utilizan más de 10 redes diferentes para conectarse a los servidores corporativos, lo que confirma la tendencia del trabajo híbrido y refuerza la necesidad de que los equipos de TI limiten los riesgos de seguridad.

El cambio al trabajo híbrido está agregando una nueva capa de riesgo y aumentando los desafíos que enfrentan los profesionales de la ciberseguridad. El informe revela que, dado que las personas trabajan desde múltiples ubicaciones, el uso de dispositivos no registrados para acceder a las plataformas de trabajo es una preocupación importante y un riesgo creciente.

  • El 84% de los encuestados dice que sus empleados inician sesión para trabajar desde dispositivos no registrados.
  • El 71% dice que sus empleados pasan al menos el 10% de su día trabajando así.
  • El 44% dice que sus empleados pasan el 20% de su día o más en un dispositivo no registrado conectado a la red de la empresa.
  • El 84% de los encuestados a nivel mundial dice que el trabajo remoto ha aumentado el riesgo de incidentes de ciberseguridad.
  • El 84% dice que los dispositivos no registrados podrían causar un incidente de ciberseguridad.

Con empleados libres para trabajar donde quieran, las organizaciones deben garantizar que las redes sean seguras. Sin embargo, dado que estas redes pueden estar en cualquier lugar, desde la cafetería local hasta el supermercado, algo que plantea un gran desafío para los equipos de seguridad.

No por casualidad, seis de cada diez líderes de ciberseguridad encuestados (40% en México) informaron haber sufrido un incidente cibernético en los últimos 12 meses, como malware, phishing y fuga de datos.

La mayoría (76 % en México) cree que es probable que los incidentes de ciberseguridad interrumpan su negocio en los próximos 12 a 24 meses. Como resultado, se están preparando para protegerse de las amenazas internas y externas, y el 86 % dice que su organización planea aumentar su presupuesto de ciberseguridad en al menos un 10 % durante los próximos 12 meses.

Realizado con 6.700 profesionales de 27 países entre agosto y septiembre de 2022, el estudio concluye que a pesar del sombrío escenario del impacto del trabajo híbrido en la seguridad empresarial, existe una oportunidad para ser evaluado por empresas y gobiernos. La necesidad de proteger a las personas, los datos y las redes crea una enorme oportunidad para aumentar la asociación público-privada. Los gobiernos de todo el mundo están implementando políticas para frenar el fraude cibernético y fortalecer la protección de datos. Las organizaciones pueden invertir en seguridad robusta, adoptando soluciones que garanticen que los clientes tengan la mejor experiencia posible y que sus empleados aún puedan disfrutar de la libertad de trabajar donde quieran, de forma segura.

Comprender el compromiso del correo electrónico comercial para protegerse mejor contra él

Posted on

Por: Sergio Pinto / Cisco Systems

¿Qué es el compromiso del correo electrónico empresarial?

Imagínese esto: su director ejecutivo le envía un correo electrónico solicitando su ayuda para transferir $ 5,000 a un nuevo proveedor para un proyecto urgente. Haces la transferencia, solo para descubrir más tarde que el correo electrónico en realidad era de un impostor y que el dinero ahora está en manos de ciberdelincuentes. Ups, ¿verdad? grillos

Business Email Compromise (BEC) es un tipo de delito cibernético que implica comprometer o imitar cuentas de correo electrónico comerciales legítimas para realizar transacciones fraudulentas o robar información confidencial. El objetivo de un ataque BEC suele ser engañar a la víctima para que transfiera dinero, haga clic en un enlace malicioso o revele información confidencial, como credenciales de inicio de sesión. Los ataques BEC pueden tener un impacto devastador en organizaciones de todos los tamaños y en todas las industrias, por lo que es esencial que las empresas sean conscientes de la amenaza, comprendan el riesgo comercial y tomen las medidas necesarias para protegerse.

Según el último informe IC3 del FBI , BEC es “uno de los delitos en línea más perjudiciales desde el punto de vista financiero” y en 2021 fue responsable de $ 2.4 mil millones en pérdidas ajustadas para empresas y consumidores.

¿Cómo funciona BEC?

Uno de los tipos más comunes de ataques BEC se denomina suplantación de identidad o suplantación de identidad por correo electrónico. Al pretender ser un colega de confianza o un socio comercial para ganarse la confianza de la víctima, el atacante utiliza técnicas de ingeniería social para engañar a la víctima para que haga clic en un enlace o archivo adjunto en un correo electrónico que contiene malware, lleva a la víctima a un sitio web malicioso y tiene transferir fondos o cambiar la información de pago.

Los ataques BEC pueden ser muy sofisticados y difíciles de detectar. Muchas veces, lo que el usuario final ve en su cliente de correo electrónico no representa la verdadera dirección de correo electrónico de ese remitente, o muestra una que ha sido falsificada.

Por lo general, el atacante intenta hacerse pasar por alguien de la organización con autoridad suficiente para no ser cuestionado sobre lo que pide que se haga.

¿Cómo se pueden prevenir los ataques BEC?

Al igual que con todo lo relacionado con la seguridad, para poder detener los ataques BEC, se deben implementar capas y técnicas de seguridad adicionales. Hay varias opciones para mitigar o reducir la cantidad de ataques BEC exitosos. La creación de una lista de las personas que probablemente serán suplantadas proporcionará los mejores resultados. Por lo general, con nombres del nivel CxO, esto se conoce como lista de personal de alto impacto. Se utilizará junto con otros motores de análisis de seguridad para asegurarse de que los correos electrónicos suplantados o falsificados, junto con otras amenazas, se detengan y no lleguen al usuario final.

La solución Cisco Secure Email Threat Defense aprovecha cientos de motores de detección que utilizan inteligencia artificial/aprendizaje automático y procesamiento de lenguaje natural de última generación para condenar los mensajes de los atacantes más creativos. Además de esto, nuestros clientes pueden definir su lista de personal de alto impacto y, junto con los otros motores de detección, podrán no solo bloquear mensajes maliciosos, sino también comprender las razones y categorías por las que un mensaje es condenado como malicioso.

En resumen, Business Email Compromise (BEC) es una seria amenaza para organizaciones de todos los tamaños y en todas las industrias. Para protegerse contra los ataques BEC, las empresas deben implementar múltiples técnicas, incluida la identificación de su personal de alto impacto para su organización, educar a los empleados sobre la amenaza y confiar en los informes para comprender quién es el objetivo más frecuente para que sus políticas de seguridad puedan ajustarse.

Vea cómo Secure Email Threat Defense identifica factores de riesgo comerciales específicos para proteger su organización.

Detecte y responda proactivamente a las amenazas externas mediante el servicio de protección de riesgos digitales de FortiRecon

Posted on

Por: Sigalit Kaidar / Fortinet

Sus superficies de ataque externas proporcionan numerosos puntos de intrusión potenciales que los ciberdelincuentes explotan regularmente para penetrar en una organización. Entre las técnicas más comunes utilizadas para apuntar y explotar su red se encuentran la recopilación de credenciales filtradas y protocolos de escritorio remoto de la dark web, la exploración de activos sin parches o mal configurados o servicios de bases de datos (por ejemplo, MongoDB, MySQL), a menudo creados por Shadow IT, y la creación de cuentas de redes sociales o sitios web falsos para atraer a los clientes y empleados para que divulguen sus credenciales de acceso. Lamentablemente, la mayoría de las organizaciones no pueden detectar este tipo de actividades maliciosas.

Paralelamente, los actores de amenazas han estado mejorando activamente su juego. Por ejemplo, Ransomware-as-a-Service (RaaS) proporciona software y servicios de ransomware por un porcentaje de las ganancias. RaaS se ha convertido rápidamente en una importante amenaza de ciberseguridad, que ayuda a los atacantes a acelerar y expandir sus operaciones. También ha ampliado la matriz de amenazas al reducir la barrera de entrada a los ciberdelincuentes, que ya no necesitan ser particularmente expertos o avispados cibernéticamente para lanzar un ataque.

Para defenderse de los riesgos actuales, las organizaciones necesitan monitorear continuamente su superficie de ataque externa. Esto les ayuda a identificar y remediar de manera temprana los activos vulnerables expuestos a Internet, y detectar y restablecer las credenciales comprometidas. También necesitan descubrir y eliminar rápidamente los sitios web que infringen el dominio, las aplicaciones no autorizadas y las cuentas de redes sociales falsas, ya que los atacantes las usan para capturar credenciales o difundir información falsa sobre la organización o sus productos.

Sin embargo, para la mayoría de las organizaciones, es más fácil decirlo que hacerlo.

Cómo puede ayudar FortiRecon

FortiRecon , el servicio basado en SaaS de protección de riesgos digitales (DRP) de Fortinet, puede ayudar. Combina tres tecnologías y servicios: gestión de superficie de ataque externa, protección de marca e inteligencia centrada en adversarios, para ayudarlo a proteger de manera proactiva sus activos y datos digitales de amenazas externas.

FortiRecon proporciona inteligencia de superficie de ataque externa procesable, seleccionada por expertos y específica de la organización sobre los activos expuestos y las actividades, herramientas y tácticas de los actores de amenazas. Lo hace mediante el monitoreo proactivo de la web abierta, las plataformas de redes sociales, las tiendas de aplicaciones móviles, la web oscura y las fuentes de la web profunda y alerta sobre los activos de Internet vulnerables y mal configurados de la organización, las credenciales robadas y la infracción de marca, incluido el monitoreo de fugas de datos de ransomware. — para identificar, remediar y ejecutar proactivamente eliminaciones de estas fuentes en nombre de una organización. 

Cuatro maneras en que FortiRecon ayuda a proteger su organización contra amenazas externas

1. Obtenga visibilidad en tiempo real de su superficie de ataque externa

Muchas organizaciones todavía luchan por detectar y controlar la TI en la sombra. FortiRecon escanea su entorno externo y, a menudo, encuentra más activos desconocidos (y olvidados) de los que sus equipos de seguridad y TI sabían que tenían (no es sorprendente que la mayoría sean activos en la nube). Es seguro asumir que si son desconocidos, es probable que también sean vulnerables o estén mal configurados.

La solución FortiRecon External Attack Surface Management ( EASM ) proporciona la vista de un atacante en su entorno, mostrándole lo que pueden descubrir fácilmente durante la fase de reconocimiento de su ataque. El escaneo externo encuentra activos expuestos a atacantes conocidos/desconocidos (p. ej., dominios, subdominios, ASN, bloques de IP, direcciones de IP). FortiRecon EASM luego identifica vulnerabilidades explotables, como errores de configuración, problemas de certificados SSL, puertos propensos a ataques, servicios de bases de datos expuestos, problemas relacionados con DNS, datos/credenciales filtrados y más. El servicio le proporciona una descripción detallada de cualquier problema de seguridad que identifique, así como información de remediación procesable. Las organizaciones globales también pueden ver un mapa global de activos digitales expuestos por país, priorizando los activos por gravedad de seguridad. 

Para ayudarlo a medir sus esfuerzos de mitigación de la exposición a amenazas, FortiRecon EASM también proporciona informes comparativos continuos para mostrar la mejora de su postura de seguridad externa a lo largo del tiempo. También puede ver los cambios recientes en su superficie de ataque externa (p. ej., cambios en los activos de Internet, puertos abiertos, certificados SSL caducados o próximos a caducar), tendencias de remediación y datos históricos. Esta información puede ayudarlo a identificar patrones de cambio, infracciones de políticas, áreas de mejora y otros riesgos potenciales para refinar mejor su programa de seguridad.

2. Priorice sus esfuerzos de riesgo y remediación

Si bien la aplicación oportuna de parches es un elemento esencial de cualquier estrategia de seguridad cibernética eficaz, la realidad es que la mayoría de las organizaciones no pueden parchear todos los activos vulnerables. Además, cada entorno incluye factores contextuales que pueden afectar el riesgo de una vulnerabilidad. FortiRecon utiliza una poderosa combinación de recursos humanos e inteligencia artificial (IA) para brindar una vista priorizada de su exposición a vulnerabilidades, ayudándolo a comprender qué vulnerabilidades representan el mayor riesgo para priorizar la remediación.

Las vulnerabilidades se clasifican de acuerdo con los siguientes parámetros:

  • Severidad del sistema CVE y puntajes CVSS
  • Explotabilidad en la naturaleza
  • Información recopilada de foros solo por invitación sobre la intención de un atacante
  • Exploraciones de superficie de ataque externo

FortiRecon combina estos elementos para calificar y clasificar (elevar/bajar) las vulnerabilidades en función de su riesgo real para la organización. También recomienda actividades de remediación, lo que ayuda a los equipos de seguridad a mitigar rápidamente posibles problemas de seguridad. También puede agregar CVE que le gustaría que FortiRecon monitoreara y alertara continuamente.

En el siguiente ejemplo, de 1648 vulnerabilidades globales notables, esta organización tiene que atender solo 62 vulnerabilidades, de las cuales solo tres están clasificadas como altas (sin vulnerabilidades clasificadas como críticas).

Una de las herramientas más efectivas en nuestro arsenal de FortiRecon es nuestra tecnología de inteligencia artificial patentada, entrenada en uno de los conjuntos de datos más grandes y diversos de la industria. Esto le permite entregar información precisa y validada sobre las amenazas. Sin embargo, más de una cuarta parte de nuestros informes de FortiRecon se basan únicamente en la inteligencia humana que recopilamos, lo que ayuda a brindar la visión más realista de los riesgos potenciales para una organización.

3. Conserva y protege tu marca

A muchas organizaciones les resulta difícil monitorear el sitio web, la infracción de aplicaciones móviles y las campañas de phishing dirigidas a usuarios finales y clientes, ya que están fuera del alcance típico de sus equipos de seguridad. FortiRecon Brand Protection  utiliza algoritmos patentados que permiten a estas organizaciones recibir alertas tempranas sobre los riesgos de marca y reputación y actuar con rapidez, utilizando servicios de eliminación especializados para proteger la reputación de su marca.

Una de las áreas más críticas que busca el servicio de protección de marca es el “abuso de marca”. Este punto de datos proporciona una vista inmediata de la cantidad de sitios web ilícitos que los actores de amenazas ya están utilizando para engañar a sus clientes y empleados. Otro punto de datos crucial es la suplantación de identidad de la marca en las plataformas de redes sociales, como las cuentas falsas de Facebook, que los atacantes utilizan para los mismos fines. 

Para ayudar a proporcionar una indicación temprana de campañas de phishing contra su organización, también podemos crear una marca de agua digital que puede agregar a su página web. Esta marca de agua es un Java Script incorporado que nos permite saber dónde está alojado su contenido. Cuando los actores de amenazas copian páginas de su sitio web e intentan alojarlas en otro lugar para crear una campaña de phishing, podemos detectar de inmediato dónde está alojado este sitio web e iniciar una eliminación basada en su ubicación.

El panel de protección de marca de FortiRecon también proporciona una interfaz intuitiva que permite que su equipo de seguridad y su nivel C comprendan rápidamente los riesgos que representan para su organización, clientes, datos y reputación de marca.

4. Supervise continuamente la web oscura en busca de fugas de datos y credenciales

Los datos y las credenciales filtrados, el acceso al Protocolo de escritorio remoto ( RDP ) y las credenciales VPN comprometidas se encuentran entre los principales artículos a la venta en los mercados de la web oscura, lo que proporciona a los atacantes una puerta de entrada a su red.

Tomemos, por ejemplo, los ataques de relleno de credenciales , una de las causas más frecuentes de violaciones de datos. Estos ataques funcionan tan bien porque muchos usuarios usan los mismos nombres de usuario y contraseñas para iniciar sesión en diferentes sistemas, y los atacantes tienen fácil acceso a millones de credenciales de usuarios comprometidas en la web oscura. La combinación de estas credenciales con botnets simples permite a los atacantes probar la validez de las combinaciones de nombre de usuario y contraseña, y cuando una credencial aún está activa, obtienen acceso.

El servicio de inteligencia centrada en el adversario (ACI) de FortiRecon monitorea la web oscura para identificar rápidamente cuándo su información confidencial cae en manos de los ciberdelincuentes. Esto reduce la ventana de oportunidad para hacer copias de datos confidenciales y credenciales y usarlos o venderlos. Si los datos filtrados se detectan con suficiente antelación, aún tiene tiempo para tomar medidas proactivas, como restablecer la contraseña, para prevenir o bloquear un ataque.

El servicio FortiRecon ACI aprovecha el  equipo global de analistas de amenazas de FortiGuard que identifica las amenazas interactuando directamente con los actores malintencionados. Exploramos activamente la dark web, incluidos los sitios solo por invitación, donde los ciberdelincuentes anuncian y publican constantemente amenazas y venden datos y credenciales que pertenecen a organizaciones específicas. También monitoreamos salas de chat ocultas, fuentes de inteligencia de código abierto, sitios web privados, redes peer-to-peer, Pastebin/IM y plataformas de redes sociales y lo alertamos sobre las amenazas a su organización. Y para nuestros clientes de servicios financieros, también proporcionamos monitoreo BIN de tarjetas de crédito, con alertas sobre números de tarjetas de crédito y débito filtrados.

Todos los hallazgos se clasifican según su criticidad (los recursos incluyen Darknet, TechINT, OSINT, HUMINT y más) y también se pueden filtrar por las motivaciones de los adversarios (p. ej., ransomware, tendencias de día cero, etc.).

Cuando es necesario, los servicios de eliminación de FortiRecon están disponibles para cuentas de redes sociales falsas, sitios web y aplicaciones móviles fraudulentas, por lo que estos sitios y aplicaciones fraudulentos ya no son una amenaza.

Empezando

El servicio FortiRecon ofrece tres paquetes opcionales. Disponible como módulos apilables, puede comprar FortiRecon EASM como un servicio independiente, combinarlo con FortiRecon Brand Protection, o con FortiRecon Brand Protection y FortiRecon Adversary Centric Intelligence para una cobertura completa.