Infoblox

BLOXONE THREAT DEFENSE: Visibilidad, control y automatización para proteger el puesto de trabajo híbrido.

BloxOne Threat Defense opera a nivel de DNS para detectar amenazas que otras soluciones no detectan y detiene los ataques en una fase más temprana del ciclo de vida de la amenaza. Mediante la automatización generalizada y la integración en el ecosistema, impulsa la eficiencia en las operaciones de seguridad, aumenta la eficacia de la pila de seguridad existente, protege las iniciativas digitales y de trabajo desde cualquier lugar y reduce el coste total de la ciberseguridad.

Artículo de Joaquín Gómez, CyberSecurity Lead Southern Europe de Infoblox - Publicado por Ciberseguridadtic

Los entornos de TI actuales, altamente distribuidos y complejos, en los que se hace un uso intensivo de plataformas cloud, ya sea públicas, privadas o híbridas, exige una actualización permanente de la postura de ciberseguridad en las organizaciones. Es en este contexto donde se plantea la necesidad de integrar la estrategia de ciberseguridad con la operación y gestión de las TI de la empresa, y particularmente con la gestión de la red. Surgen así conceptos como DevSecOps y NetOps.

Una estrategia de TI basada en DevOps es absolutamente necesaria en los entornos actuales basados en nubes híbridas, muy complejos y que necesitan estar permanentemente actualizados. Esta aproximación proporciona agilidad en la adaptación de la infraestructura y sistemas a las necesidades de cada momento, automatización y actualización permanente. Si a esta estrategia se le añade el componente de ciberseguridad tenemos lo que se conoce como DevSecOps, que proporciona además una mayor resiliencia y capacidad de defensa proactiva frente a las amenazas, consiguiendo detenerlas antes de que se produzcan o en etapas iniciales de su ciclo de vida.

La red, elemento crítico en la gestión de la ciberseguridad

La red es cada vez un elemento más importante a la hora de garantizar una postura de seguridad sólida en las empresas. Hoy día, la mayoría de las amenazas de ciberseguridad utilizan la red como elemento de propagación o vector de ataque. Muchas amenazas además están orientadas a la toma de control de los sistemas de la víctima para acceder a información confidencial que puede luego servir a su vez para realizar otros tipos de delitos, desde exfiltración de datos a suplantación de identidades, u obtener una recompensa por la liberación de activos de TI secuestrados (ransomware).

Por ello, las operaciones de red y de seguridad (NetOps y SecOps) necesitan estar perfectamente integradas, tener visibilidad compartida de la infraestructura, datos contextualizados, capacidades mejoradas automatización y control, que permitan identificar la fuente de amenazas e impedir el tráfico de malware. A través de la automatización y de la integración de todo el ecosistema de seguridad, se incrementa la eficiencia en la gestión de SecOps, refuerza la pila de seguridad global de la organización y reduce el coste total de la ciberseguridad.

Con la integración de DevOps/DevSecOps y NetOps lo que se consigue es reforzar la pila de seguridad de la organización, mediante la orquestación de todos los sistemas y soluciones de seguridad, para que hablen entre sí, la mejora de la visibilidad sobre toda la infraestructura, y la automatización de las respuestas. Muchas veces, la estrategia de seguridad será no tanto impedir el ataque, lo que no siempre es posible, sino minimizar al máximo su duración, para minimizar el daño.

Integrar una gestión segura de DNS dentro de las operaciones DevSecOps/NetOps puede agregar defensas vitales y predictivas para ayudar a proteger a las organizaciones de atención médica contra la actividad de los actores de amenazas. Esta protección puede incluir la prevención y mitigación del malware, la identificación de dominios similares de alto riesgo, detección de dominios sospechosos, el phishing y los ataques de exfiltración de datos.

En resumen, la integración de las operaciones de red y la gestión de DNS en particular, y la inteligencia de activos de TI son partes esenciales de una postura de seguridad sólida. Los agentes maliciosos se han dado cuenta de la importancia y el peligro que esta integración supone para sus propias actividades, y no en vano uno de los recursos más deseados por ellos es conseguir acceder a las credenciales de administrador que utilizan los encargados de estas operaciones.

Artículo de Joaquín Gómez, CyberSecurity Lead Southern Europe de Infoblox - Publicado en IT Digital Security

Cuando empezó a generalizarse el uso de la web a nivel comercial, no era raro encontrar noticias sobre individuos u organizaciones que se habían dado prisa en registrar a su nombre dominios de marcas conocidas en las que simplemente variaba el dominio o el nombre tenía alguna variación mínima sobre el original. Entonces se veía aquello como una especie de “picaresca”, alguien que se había dado cuenta de una variación sin registrar y trataba con ello de revenderlo a la empresa en cuestión.

Muchos años después, estas prácticas se han sofisticado y sistematizado, y los actores maliciosos las usan para algo más que para dar un pequeño “pelotazo”. Se denomina lookalike domain a un dominio de Internet con una denominación y aspecto parecido – a veces incluso indistinguible- al del dominio legítimo, y que es utilizado por los actores de ciberamenazas para engañar a los usuarios, redirigirles a sitios maliciosos con intención de llevar a cabo ataques de todo tipo.

Otra de las características de la explotación de lookalike domains en la actualidad es que es algo que puede afectar a todo tipo de organizaciones. Si en un principio se buscaba siempre plagiar dominios de grandes empresas globales, cuyos sitios web eran visitados diariamente por millones de personas de todo el mundo, hoy día cualquier organización está en el punto de mira. Desde el sitio de uno de los gigantes tecnológicos al de un restaurante de moda.

Efectivamente, a pesar de las campañas de concienciación y de los avances tecnológicos, los Lookalike Domains siguen representando una amenaza persistente para usuarios y organizaciones. Entre los objetivos de los ciberatacantes que utilizan lookalike domains se encuentran restaurantes, bufetes de abogados y otras pequeñas empresas. Además, un mismo actor puede utilizar como señuelos tanto marcas conocidas como pequeñas empresas. Por ejemplo se ha detectado que una de las victimas ha sido un conocido restaurante de Nueva York, al que han copiado su sitio web, presumiblemente para atraer a los visitantes a hacer reservas con sus tarjetas de crédito.

Plagio cada vez más sofisticado

La imitación de dominios utiliza técnicas cada vez más sofisticadas: no se limitan a imitar el aspecto de los dominios legítimos hasta el punto de ser idénticos, sino que llegan a incluir los sistemas de autenticación multifactor (MFA) del dominio plagiado, para incrementar la credibilidad del sitio y hacer pensar al usuario que la conexión es segura.

Uno de los factores que promueven el uso de estas técnicas de engaño es que son muy rentables, porque resulta relativamente barato registrar nombres de dominio y da la capacidad de realizar ataques a gran escala. Los atacantes tienen la ventaja de la escala, y mientras que las técnicas para identificar la actividad maliciosa van siempre un paso por detrás.

Técnicas para la creación de nombres de dominio similares también se ha sofisticado. Si hace años se buscaba el engaño mediante homógrafos, es decir, nombres de dominio en los que sólo varía algún caracter, que es similar al original (por ejemplo teclear “go0gle” en vez “google”) en la actualidad el grado de sofisticación está varios niveles por encima. A partir de la aceptación de caracteres Unicode para incluir caracteres diferentes al alfabeto latino, las posibilidades de engaño se han disparado. Se dan casos de símbolos que son absolutamente idénticos en apariencia pero que responden a caracteres Unicode distintos. Por ejemplo, hay dos caracteres cirílicos absolutamente idénticos a la “c” y la “o” latinas, y se dio el caso de un registro fraudulento de Microsoft[.]com en el que ni la “c” ni la “o” eran realmente esos caracteres.

Y hay más: typosquats, que buscan aprovechar los errores del usuario al introducir por teclado el nombre del sitio, como nombres de dominio con caracteres duplicados, dominios alternativos, etc. combosquats, que combinan un nombre de dominio muy conocido con otras palabras clave, como “soporte”, “ayuda”, “seguridad” o “contacto”, soundsquats, que utilizan nombres de dominio que se pronuncian igual (esta técnica ha cobrado importancia con el desarrollo de sistemas de reconocimiento de voz como Alexa, Siri y Google Voice). Por último mencionar una forma más específica de uso de sitios fraudulentos: repositorios de paquetes de determinados lenguajes de programación populares, como Python. Se utilizan las técnicas anteriores para dirigir al programador a sitios fraudulentos con bibliotecas de esos lenguajes que incluyen scripts maliciosos, burlando los mecanismos de seguridad.

El uso de lookalike domains está vinculado generalmente a ataques masivos, no específicos, realizados utilizando diferentes vectores de ataque, como spam de correo electrónico, banners publicitarios, redes sociales y mensajes SMS. Diariamente se registran miles de nuevos dominios que imitan las páginas de proveedores de software populares, proveedores de servicios, instituciones financieras, sitios de criptomonedas y servicios de soporte, entre otros. El objetivo, en la mayoría de los casos es redirigir al usuario a una web fraudulenta y obtener credenciales y datos personales y financieros de las víctimas. Asimismo buscan infectar las máquinas con malware (ataques C2, Command and Control) y poder acceder a redes corporativas y hacerse con el control de sistemas.