Archivo

Entradas Etiquetadas ‘Seguridad’

Gestión Incidente de Seguridad MAPFRE

martes, 13 de abril de 2021 Sin comentarios

El año pasado Mapfre tuvo la mala fortuna de sufrir un incidente de Seguridad, pero al mismo tiempo supo gestionarlo de una forma diligente y transparente.

Después de leer la resolución de la Agencia española de protección de datos del ciberincidente que sufrió, me tomo la libertad de resumir en un pequeño cronograma la información que se refleja en el informe a fin de que todos nos podamos aprovechar del buen trabajo realizado.

Por razones obvias no es sencillo encontrar tanta transparencia en este tipo de incidentes.

Este ejercicio lo veo como una forma de tomar conciencia de lo «sencillo» que puede ser el sufrir un vector de entrada de este tipo y las consecuencias que vienen derivadas del mismo.

Creo que es inteligente el asumir que cualquier empresa puede sufrir un ataque de este tipo, y en la medida de las posibilidades de cada una, debemos intentar controlarlo, mitigarlo y resolverlo de la manera más eficiente.

Es importante al menos tener constancia de que este tipo de incidentes suceden en el mundo real más a menudo de lo que nos gustaría. La técnica del avestruz no funciona muy bien en estos casos, ni tampoco el pensar el que uno nunca va a ser blanco ante este tipo de ataques.

1 Agosto

  • Se captura contraseña de una colaboradora (posiblemente equipo personal infectado por campaña phishing)
  • Esa contraseña permite acceso al puesto virtual

1-7 Agosto

  • Accesos desde distintos países a otros servidores para recoger credenciales de usuarios privilegiados
  • Se obtiene credenciales de usuario privilegiado

1-11 Agosto

  • Se analiza la red, servidores de ficheros y recursos compartidos
  • Se intenta Exfiltración de datos (bloqueado por Mapfre)

14 Agosto

  • Atacante distribuye ejecutable map.exe asociado al Ransomware Ragnar Locker a los servidores
  • Se ejecuta de forma remota el archivo
  • Se identifica con la monitorización y se activa el protocolo de alto impacto.
  • Se abre el procedimiento de gestión de incidentes
  • Se activa el comité de crisis
  • Se activan los planes de continuidad de negocio
  • Se activa call permanente con personal del área de seguridad y tecnología
  • Se detecta ataque de Ransomware y se dan instrucciones para contener y evitar la propagación
  • Apagar todos los servidores no imprescindibles
  • Sacar de línea la copia de Backup y aislar segmentos de red
  • Cortar conexiones desde Mafre hacia el resto de las empresas
  • Limitar el número de conexiones remotas a un reducido número de usuarios
  • Se informa de la situación a los responsables de seguridad de los principales socios

15 agosto

  • Empezar a recuperar puestos de trabajo y se mantiene activo el comité de crisis para continuar con toma decisiones
  • Se confirma la integridad y disponibilidad del Backup
  • Se trabaja en la estrategia para recuperar los servicios
  • Se busca apoyo en terceras empresas
  • Resetear contraseñas de administradores y reducir usuarios admin
  • Se aumentan las capacidad de monitorización, detección y respuesta
  • Se consigue identificar y aislar el malware, se envía para análisis
  • Se trabaja con el proveedor antivirus para que este garantice que se detecta el malware enviado
  • Llega personal de refuerzo a los Contact Center para atender a los clientes
  • Se contacta con Incibe (Instituto Nacional de CiberSeguridad) y CCN-CERT (Centro criptológico Nacional) para informar del ciberataque
  • Se publica en la Web un comunicado del ciberataque

16 Agosto

  • Se notifica el incidente a la AEPD (Agencia Española de Protección de Datos)
  • Se levantan nuevos puestos de usuario y se abren las comunicaciones con terceros informándoles

17 agosto

  • Se presenta denuncia ante las Fuerzas y cuerpos de seguridad del estado
  • Se refuerzan las medidas de seguridad entre las que se encuentran el utilizar el 2FA (Doble factor de autenticación)

19 Agosto

  • Se despliegan nuevas medidas de seguridad e instalar agentes en los equipos que avisen de afectación o persistencia del virus

20 Agosto

  • Se empiezan a distribuir con terceros los IOC (Indicadores de compromiso)

23 agosto

  • Se coordina la implantación de las acciones de refuerzo en el resto de los países

01 Septiembre

  • Todos los puestos están operativos

13 Septiembre

  • Estar prácticamente todos los elementos de la red restaurados

21 septiembre

  • Nueva comunicación con la AEPD para informar

23 Septiembre

  • Todos los equipos en toda la organización recuperados. Finalizan las investigaciones y se da la red como segura

12 Octubre

  • Se da por cerrada la recuperación de los puestos de los proveedores

26 Octubre

  • Se comprueba los últimos servidores y se concluye que los atacantes no tienen acceso a ninguno de estos

28 Octubre

  • Comunicación AEPD de que se ha cerrado la brecha de seguridad tras análisis forense.

13 Noviembre

  • Se confirma erradicación de cualquier credencial que los atacantes pudieran haber utilizado.

CAUSAS HICIERON POSIBLE LA BRECHA

  • Los atacantes crearon una muestra indetectable para el software antivirus de la compañía
  • Uso de herramientas sofisticadas de hacking
  • Aumento de la superficie de exposición al trabajar desde casa con equipos personales lo que permitió comprometer una cuenta para acceder a la red

MEDIDAS MITIGACIÓN

  • En primera instancia para evitar la propagación al resto de la red se aislaron varios segmentos de la misma.
  • Se pagaron sistemas ( esto supuso una degradación y pérdida temporal del servicio)
  • Se activó el plan de continuidad del negocio
  • Convocar el comité de crisis
  • Se abrió un línea de trabajo para restauración de los sistemas (participan proveedores)
  • Restablecer los servicios más críticos
  • Desde la primera noche se contactó con CCN-CERT e INCIBE y denunciar a la Guardia Civil
  • Contactar con fabricantes de seguridad para establecer un plan de refuerzo
  • Refuerzo en la detección de los ataques en política Antivirus
  • Mejorar la protección AntiSpam
  • El uso por todos de 2FA
  • Incrementar las capacidad de monitorización y respuesta ante incidentes
  • Aumentar las restricciones para navegar por internet
  • Incluir los IOC en todas las plataformas y filtros de Seguridad
  • Mejorar la prevención de ataques DDoS
  • Incrementar el nivel de control de los usuarios administradores

DATOS AFECTADOS

  • IdUsuario + contraseña (Datos básicos)

COMUNICADOS

  • Comunicar públicamente la situación a las pocas horas de conocerla
  • Comunicado en la Web
  • Locución en el Contact Center
  • Mensaje en Redes Sociales
  • Comunicados a empleados
  • Comunicados a la AEPD

MEDIDAS IMPLANTADAS CON ANTEIORIDAD A LA BRECHA

  • Gestión de identificadores de los usuarios (Exponer al mínimos datos personales)
  • Para posibilidad trabajar en remoto se realizó un plan de Reconfiguración de CiberSeguridad
  • Se definió un plan de auditorías

MEDIDAS POSTERIORES

  • Comprobar la creación de un Golden Ticket.
  • Erradicar cualquier puerta trasera en ese sentido que se pudiera haber generado

AEPD

  • Determina si se disponían de medidas de seguridad razonables
  • Si existen auditorias para el cumplimiento de la RGPD
  • La información que se ha Exfiltrado y si esta estaba protegida.
  • El volumen de información Exfiltrada, y los mecanismos para evitar el mismo
  • Valora rápida actuación, notificaciones y comunicaciones a clientes proveedores y empleados

Informe AEPD

Enviar a un amigo: Share this page via Email
Categories: Seguridad Tags: ,

C1b3rWall 2020

domingo, 31 de enero de 2021 3 comentarios

 

Dar las gracias tanto a Casimiro Nevado como a Carlos LOUREIRO MONTERO por ser los participes de montar una acción formativa en ciberseguridad de esta índole.

Y no solo a ellos, sino a todos los que sabemos que entre bambalinas han echo posible algo como C1b3rWall.

Agradecer a todos los ponentes que nos han dedicado parte de su tiempo y conocimiento de forma tan altruista. No hay libro que supla tal experiencia acumulada.

Mas allá de certificados, dar las gracias por darme la oportunidad de conocer tanto talento y crear contactos. Es de agradecer que prime más la voluntad de ayudar que el Ego de aparentar. Grandes profesionales.

Personalmente también he querido aportar parte de mi tiempo, intentando ser ese pequeño altavoz que simplemente pretendía amplificar y hacer llegar las charlas a tod@s aquellos que no han tenido la suerte de poder participar.

No perdamos nunca la curiosidad por aprender, porque es nuestra mejor herramienta para estar preparados ante retos futuros.

Somos muchos los que hemos tenido la fortuna de estar inscritos en C1b3rWall Academy, pero también son muchos los que se han quedado fuera.

Leer más…

Enviar a un amigo: Share this page via Email
Categories: C1b3rwall Tags: ,

SNMP – Simple Network Management Protocol

miércoles, 29 de abril de 2009 Sin comentarios

Hoy vamos a hablar un poco sobre que es, y para que podemos utilizar el Protocolo Simple de Administración de Red o SNMP. Se trata de un protocolo que va ayudar a los administradores de red a gestionar de una forma más eficiente las redes. Nos va a permitir administrar y monitorizar diferentes elementos que conforman nuestra arquitectura de red, como pueden ser Switches, Routers, Firewalls, Servidores…Técnicamente hablando la arquitectura propuesta por el protocolo consta de tres elementos: 

  • Dispositivos Administrados : Nodo que contiene un agente (Routers, Firewall…)
  • Agentes : Software que reside en el dispositivo
  • Sistema de administración de Red (NMS) : Software para las tareas de administración.

Para que nos entendamos un poco todos, imaginemos que tenemos un Router del cual nos interesa monitorizar aspectos como uso de CPU, Memoria, Estado de las interfaces…Para ello podemos hacer uso del protocolo SNMP.
Leer más…

Enviar a un amigo:

Share this page via Email

Listando ficheros abiertos en Linux con LSOF

domingo, 8 de marzo de 2009 Sin comentarios

 

Lsof es una aplicación muy interesante desarrollada por Vic Abell y disponible en prácticamente todas las distribuciones Linux que nos puede llegar a ser muy útil para diferentes propósitos.
Leer más…

Enviar a un amigo:

Share this page via Email

Proteger contraseñas en Windows

martes, 3 de marzo de 2009 Sin comentarios

 

Ya hemos visto que cuando Windows almacena las contraseñas de los usuarios en los archivos SAM o en el Active Directory, estas no están en texto en claro como a muchos les gustaría, sino que estas aparecen cifradas en algo que se conoce como Hash. De hecho en un configuración típica nos vamos a encontrar por norma con dos Hashes. Una LM (Lan Manager) y una NTLM (Windows NT).

Como ya hemos visto, romper una Hash LM es relativamente fácil si la contraseña no es muy, muy, muy…. complicada. En cambio con la Hash NTLM es otra cosa.

Entonces, ¿ porque Windows almacena la Hash LM ?. La respuesta es para mantener compatibilidad con las versiones anteriores a Windows 2000 (95, 98 Milenium…).
Leer más…

Enviar a un amigo:

Share this page via Email
Categories: Seguridad Tags: , ,

Recuperar contraseñas en Windows

jueves, 26 de febrero de 2009 Sin comentarios

 

Muchas veces hemos estado en la tesitura de necesitar conocer la contraseña del administrador por el motivo que sea. Actualmente hay herramientas que nos facilitan mucho esa labor. Quien no conoce una herramienta como Ophcrack, de la que incluso disponemos una versión liveCD, en la que casi sin que tenga que interactuar el usuario nos va a permitir recuperar la mayoría de las contraseñas. El gran éxito con el que cuenta esta herramienta, a parte de su sencillez en su uso, es que se aprovecha de las Rainbow Tables.

¿Que sucede si la contraseña es lo suficientemente complicada ?. Pues… a seguir intentándolo. Podemos descargarlos nuevas tablas desde Internet, podemos utilizar ataques de fuerza bruta, podemos utilizar ataques de diccionario, y si somos un poco perezosos podemos darnos una vueltecilla por paginas como las que cito a continuación, en las que enviando la Hash y con no excesiva suerte y tiempo, podemos vernos recompensados con la tan deseada contraseña.
Leer más…

Enviar a un amigo:

Share this page via Email

Las mejores Webs de seguridad

lunes, 23 de febrero de 2009 Sin comentarios
Categories: Seguridad Tags: ,

Conexiones SSH sin contraseña

lunes, 9 de febrero de 2009 Sin comentarios

Aquellos que tengamos la necesidad de conectarnos de forma remota a nuestros servidores para su administración a través del protocolo SSH, sabemos la tortura que puede suponer introducir continuamente la contraseña para poder autenticarnos.

Voy a comentar una forma que nos facilite esta labor.

Para los que les suene a chino esto del SSH, hago referencia a la Wikipedia que todo lo sabe:
Leer más…

Enviar a un amigo:

Share this page via Email

TrueCrypt, un seguro para tus datos.

lunes, 2 de febrero de 2009 Sin comentarios

TrueCrypt

Si eres algo paranoico y te preocupa que información sensible caiga en manos ajenas, esto que te voy a contar puede que te interese. Vamos a hablar del conocido TrueCrypt. Se trata de una aplicación open source que te permite una encriptación en tiempo real, disponible tanto para plataformas Windows, Linux como Mac.

Nos va a permitir mantener fuera de ojos ajenos aquello que nos importe de verdad. Estamos hablando de criptografia, un arte que nos permite al menos en parte, mantener cierta intimidad. Debemos ser conscientes que la perdida de cierta informacion puede llegar a suponer un gran problema.
Leer más…

Enviar a un amigo:

Share this page via Email
Categories: cifrado, Seguridad Tags: ,

BackTrack

sábado, 31 de enero de 2009 Sin comentarios

BackTrack

Se trata de una distribución LiveCD (Por lo que no necesita de instalación previa para poder probar sus bondades) orientada al mundo de la seguridad informática.

BackTrack es una distribución muy interesante, como bien indica el hacker Kevin Mitnick en una entrevista al periódico El Mundo.

Tal como nos cuenta la Wikipedia: BackTrack es una distribución GNU/Linux en formato LiveCD pensada y diseñada para la auditoría de seguridad y relacionada con la seguridad informática en general.

La distribución esta compuesta por mas de 300 herramientas que seguro nos harán pasar un rato agradable.
Leer más…

Enviar a un amigo:

Share this page via Email