Bogotá D.C. Noviembre 23 de 2017 Grupo de Respuesta a Emergencias Cibernéticas de Colombia – colCERT Gestión y respuesta a incidentes de ciberseguridad Wilson A. Prieto H.
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Bogotá D.C. Noviembre 23 de 2017
Grupo de Respuesta a Emergencias Cibernéticas de Colombia – colCERT
Gestión y respuesta a incidentes deciberseguridad
Wilson A. Prieto H.
Gestión y Respuesta a Incidentes
• Colaboración activa en la resolución de incidentes• Asistencia técnica sector público y privado• Coordinación en la gestión y respuesta de incidentes• Asistencia ante emergencias cibernéticas• Desarrollo de capacidades operativas• Proveer información estratégica de inteligencia• Asesoramiento y apoyo en ciberseguridad y ciberdefensa• Gestión y Monitoreo de Infraestructuras Críticas de Colombia
• Organizaciones de Gobierno y privadas• Cuerpos de investigación• CSIRT’s sectoriales• CERT’s Internacionales
Servicios
• Proactivos• Reactivos• Gestión
Ministerio de Defensa Nacional
Viceministro para las Políticas y Asuntos
Internacionales
Dirección de Seguridad Pública y de Infraestructura
colCERT
El objetivo central del colCERT es lacoordinación de las acciones necesarias parala protección de la infraestructura crítica digitaldel Estado y prestar su apoyo y cooperación alas demás instancias nacionales, tales como elCentro Cibernético Policial (CCP), el
Viceministro para la Estrategia y Planeación
Viceministro del Grupo Social Empresarial del
Sector Defensa ‘GSED’ y Bienestar
col (Colombia) – CERT (Computer Emergency Response Team)* CSIRT (Computer Security Incident Response Team)
Esta presentación no podrá ser compartida ni reproducida sin la previa autorización del Grupo de Respuesta a Emergencias Cibernéticas de Colombia - colCERT.
Comando Conjunto Cibernético (CCOC) yEquipo de Respuesta a Incidentes deSeguridad Informática de la Policía Nacional(CSIRT).
Gestión y Respuesta a Incidentes
Proactivos Reactivos GestiónReducir los riesgos de seguridad y su impacto,
evitar incidentes cibernéticosResponder a una amenaza o incidente que pudo haber sufrido una infraestructura o un sistema
de información
Mediante los cuales se pretende mejorar todoslos conceptos de Ciberseguridad en los ámbitos
de formación y sensibilización
• Informes sobre vulnerabilidades presentes en una infraestructura o sistema de información
• Gestión de Incidentes• Auditorias y evaluaciones de
seguridad• Apoyo en inteligencia cibernética• Apoyo técnico para la mitigación y
resolución del incidente• Trabajo colaborativo con los
operadores de internet y administradores de dominio
• Gestión de Incidentes• Alertas sobre nuevas
vulnerabilidades• Análisis de código malicioso
(muestras de malware)• Envió y recepción de información
sobre ataques con los homólogosinternacionales
• Sensibilizar a entidades tanto públicas como privadas en temas de ciberseguridad
• Coordinación de acciones para la identificación, priorización y catalogación de Infraestructuras Críticas.
• Talleres de gestión de Incidentes
• Eventos de Ciberseguridad
Reporte del Incidente
Reporte por parte de la entidad, acciones realizadas
Registro
Triage
Resolución del Incidente
Cierre del incidente
Análisis de datos Investigación Acciones propuestas
Acciones a realizar Erradicación yrecuperación
Información final Clasificación final Incidente archivado Análisis posteriorPropuesta de mejora
EstadísticasBase de conocimiento
Reporte y generación de un informe sobre el Incidente
Sensores, monitoreo, inteligencia, Stakeholders,
entidades públicas y privadas
Fuente: copyright - colCERT
Proceso de filtrado de alertas
• Organizaciones de Gobierno y privadas• Cuerpos de investigación• CSIRT’s sectoriales• CERT’s Internacionales
Proceso de gestión de incidentes
Gestión y Respuesta a Incidentes
Estándares aplicables a gestión y respuesta a incidentesNorma Nombre del Documento URL
NTC ISO/IEC 27001:2013 Controles de Seguridad yPrivacidad de la Información (Mintic)
http://bit.ly/2j57QM6
NTC ISO/IEC 27001:2013 Procedimientos De Seguridad De La Información (Mintic)
http://bit.ly/2zC79Rp
NTC ISO/IEC 27001:2013 NIST 800-61R2
Guía para la Gestión y Clasificación de Incidentes de Seguridad de la Información (Mintic)
http://bit.ly/2yaBgLu
NTC ISO/IEC 27001NTC ISO/IEC 27004
Guía de indicadores de gestión para la seguridad de la información (Mintic)
http://bit.ly/2y9r7P3
NTC ISO/IEC 27000 Modelo de Seguridad yPrivacidad de la Información (Mintic)
http://bit.ly/2haTc1G
NTC ISO/IEC 27000 Guía de Auditoria (Mintic) http://bit.ly/2hfY9K7
Gestión y Respuesta a Incidentes
Estándares aplicables a gestión y respuesta a incidentes
Norma Nombre del Documento URL
NTC ISO/IEC 27001NTC ISO/IEC 27005
Guía de gestión de riesgos (Mintic) http://bit.ly/2iAQkvd
NIST 800-61R2 Computer Security Incident Handling Guide
http://bit.ly/1MYR74v
CMU/SEI-2003-HB-002 Handbook for Computer Security Incident Response Teams (CSIRTs)
http://bit.ly/2zBveaS
Good Practice Guide for Incident Management
European Union Agency for Network and Information Security
http://bit.ly/2Aomv9ahttp://bit.ly/2zj58Ji
Gestión y Respuesta a Incidentes
Terminología
• Evento: también se usa como Alerta o notificación creada por un Servicio de TI,Elemento de Configuración o herramienta de Monitorización. Los Eventos requierennormalmente que el personal de Operaciones de TI tome acciones, y a menudoconllevan el registro de Incidentes.[ITIL:2007]
• Incidente: Una ocurrencia que, real o potencialmente, pone en peligro laconfidencialidad, integridad o disponibilidad de un sistema de información; o lainformación que el sistema procesa, almacena o transmite; o que constituye unaviolación o amenaza inminente de violación de las políticas, normas o procedimientosde seguridad de la organización.
• Ciberincidente: Incidente relacionado con la seguridad de las Tecnologías de laInformación y las Comunicaciones que se produce en el Ciberespacio. Este términoengloba aspectos como los ataques a sistemas TIC, el fraude electrónico, el robo deidentidad, el abuso del Ciberespacio, etc. [ISDEFE-6:2009]
Gestión y Respuesta a Incidentes
Capacidad de respuesta a los ciberincidentes
1. Gestión de Eventos: Planificación exhaustiva y la correspondiente asignación derecursos, adecuados y suficientes para que detectando rápidamente ataques yamenazas, minimice la pérdida o la destrucción de activos tecnológicos o deinformación, mitigue la explotación dañina de los puntos débiles de lasinfraestructuras y alcance la recuperación de los servicios a la mayor brevedadposible.
2. Respuesta a los ciberincidentes: Ayuda a los equipos de seguridad responsables aminimizar la pérdida o exfiltración de información o la interrupción de los servicios.Otro de sus beneficios es la posibilidad de utilizar la información obtenida durante lagestión del ciberincidente para preparar mejor la respuesta a incidentes deseguridad futuros y, en su consecuencia, proporcionar una mayor y mejorprotección a los sistemas
Gestión y Respuesta a Incidentes
Capacidad de respuesta a los ciberincidentes
3. Política de seguridad de la información: Es recomendable que las entidades creenun equipo de atención de incidentes de seguridad en cómputo CSIRT o un grupoque haga sus veces quienes se encargaran de definir los procedimientos a la
Ciclo de vida de la Respuesta a Ciberincidentes
atención y respuesta de ciberincidentes, realizar la atención, manejar lasrelaciones con entes internos y externos, definir la clasificación de incidentes,plan de respuesta a ciberincidentes.
4. Gestión a los ciberincidentes: Consta de varias fases:
CONTROLES
Gestión y Respuesta a Incidentes
• La fase inicial contempla la creación y formación de un Equipo de Respuesta aCiberincidentes e identificación y despliegue un determinado conjunto demedidas de ciberseguridad. (PREPARACIÓN)
• La adecuada implantación de las medidas de ciberseguridad ayudará adetectar las posibles brechas de seguridad de los Sistemas de Información de laorganización y su análisis, en la fase de DETECCIÓN, ANÁLISIS Y NOTIFICACIÓN,desencadenando los procesos de notificación a los que hubiere lugar.
• La organización, en la fase de CONTENCIÓN, ERRADICACIÓN Y RECUPERACIÓN delciberincidente y atendiendo a su peligrosidad deberá intentar, en primerainstancia, mitigar su impacto, procediendo después a su eliminación de lossistemas afectados y tratando finalmente de recuperar el sistema al modo defuncionamiento normal.
• Tras el incidente, en la fase de ACTIVIDAD POST-CIBERINCIDENTE, los responsablesdel organismo emitirán un Informe del Ciberincidente que detallará su causaoriginaria y su costo (especialmente, en términos de compromiso de información ode impacto en los servicios prestados) y las medidas que la organización debetomar para prevenir futuros ciberincidentes de naturaleza similar.
Gestión y Respuesta a Incidentes
Controles deCiberseguridad
https://www.cisecurity.org/controls/
Gestión y Respuesta a Incidentes
Controles Software Libre1. Inventory of Authorized and Unauthorized Devices
Spiceworks, AlienVault OSSIM, OCS Inventory NG, OpenAudIT, OpenNSM, Windows NPS Server Role
2. Inventory of Authorized and Unauthorized Software
RunAsSPC, Spiceworks, AlienVault OSSIM, Comodo Internet Security
3. Secure ConfigurationsSTIGs, Ninite, WSUS, MRemoteNG, RDCM, RemoteDesktopManager
4. Continuous Vulnerability Assessment and Remediation
AlienVault OSSIM, AlienVault OSSIM, OpenVAS, Help Net Security, Darknet
5. Malware DefensesPlagueScanner, Group Policy, MIMEDefang, EMET, PassiveDNS, OSSEC
6. Application SecuritySpiceworks, Secunia, AppUpdater, OpenVAS, Metasploit, OWASP, STIGs
7. Wireless Access ControlFreeRADIUS & 802.1x, FreeRADIUS & 802.1x, Group Policy for Wireless 802.1x, RogueScanner
8-9. Data Recovery and Security Training Cobian Backup, Cobian Backup, SET.10-11 Secure Configurations for Network Devices such as Firewalls, Routers Nmap, Portscanner, Mdns, Angry IP12. Controlled Use of Administrative Privileges LAPS, LAPS, Netwrix, Splunk13. Boundary Defense SPFwizard, MXToolBox, MXToolBox, Snort14. Maintenance, Monitoring and Analysis of Audit Logs
GPO, Microsoft Event Collector, nxlog, AlienVault OSSIM, LogStorm,
15. Controlled Access Based on the Need to Know
Windows Server 2012, Domain Isolation, Varonis, NetwrixAuditor
16. Account Monitoring and ControlAD Info Free, Linux User Account Auditing, Powershell, GPO, Fine Grained Password Policies
17. Data ProtectionVeraCrypt, BitLocker, FileVault, opendlp, MyDLP CommunityEdition
18-19-20. Incident Response and Pen TestingRTIR, Domain Isolation, Nagios, Backbox Linux, Kali Linux, PenTesters Framework (PTF), DREAD Scoring Template
http://bit.ly/1k24Mv7
Observar: Utilice la supervisión de seguridad para identificarcomportamientos anómalos que pueden requerir investigación.Orientar: Evalúe lo que sucede en el panorama de amenazascibernéticas y dentro de la entidad. Realice conexiones lógicas ycontexto en tiempo real para enfocarse en eventos prioritarios.Decidir: En función de las observaciones y el contexto, elija lamejor táctica para obtener un daño mínimo y una recuperaciónmás rápida.Actuar: Remediar, recuperar y mejorar los procedimientos derespuesta a incidentes en base a las lecciones aprendidas.
http://bit.ly/2B5vbkn
Gestión y Respuesta a Incidentes
Clasificación de los ciberincidentes
• Tipo de amenaza: código dañino, intrusiones, fraude, etc.• Origen de la amenaza: Interna o externa.• La categoría: de seguridad de los sistemas afectados.• El perfil de los usuarios afectados, su posición en la estructura
organizativa de la entidad y, en su consecuencia, susprivilegios de acceso a información sensible o confidencial.
• El número y tipología de los sistemas afectados.• El impacto que el incidente puede tener en la organización,
desde los puntos de vista de la protección de la información,la prestación de los servicios, la conformidad imagen pública.
• Los requerimientos legales y regulatorios.
legal y/o la
Gestión y Respuesta a Incidentes
Clasificación de los ciberincidentes
Clase de ciberincidente Descripción Tipo de Ciberincidente
Código dañino Software cuyo objetivo es infiltrarseo dañar un ordenador, servidor uotro dispositivo de red, sin elconocimiento de su responsable ousuario y con finalidades muydiversas.
Virus, Gusanos, troyanos, spyware,rootkit, ransomware, herramientaspara acceso remoto RAT
Disponibilidad Ataques dirigidos a poner fuera deservicio los sistemas, al objeto decausar daños en la productividad y/ola imagen de las institucionesatacadas.
Denegación [Distribuida] del ServicioDoS / DDoS, Fallo(Hardware/Software), Error humano,Sabotaje.
Obtención de información Identificación de vulnerabilidades(scanning), Sniffing, Ingeniería social,phishing
Gestión y Respuesta a Incidentes
Clasificación de los ciberincidentesClase de ciberincidente Descripción Tipo de Ciberincidente
Intrusiones Ataques dirigidos a la explotación devulnerabilidades de diseño, deoperación o de configuración dediferentes tecnologías, al objeto deintroducirse de forma fraudulentaen los sistemas de una organización.
Compromiso de cuenta de usuario,Defacement (desfiguración), Cross-Site Scripting (XSS), Cross-SiteRequest Forgery (CSRF) Falsificaciónde petición entre sitios cruzados,Inyección SQL, Spear Phishing,Pharming (DNS), Ataque de fuerzabruta, Inyección de archivos Remota,Explotación de vulnerabilidadsoftware, Explotación devulnerabilidad hardware
Compromiso de la información Incidentes relacionados con elacceso y fuga (Confidencialidad),modificación o borrado (Integridad)de información no pública.
Acceso no autorizado a información,Modificación y borrado noautorizada de información,Publicación no autorizada deinformación, Exfiltración deinformación
Gestión y Respuesta a Incidentes
Clasificación de los ciberincidentesClase de ciberincidente Descripción Tipo de Ciberincidente
Fraude Incidentes relacionados conacciones fraudulentas derivadas desuplantación de identidad, en todassus variantes.
Suplantación / Spoofing, Uso derecursos no autorizado, Usoilegítimo de credenciales,Violaciones de derechos depropiedad intelectual o industrial.
Contenido Abusivo Ataques dirigidos a dañar la imagende la organización o a utilizar susmedios electrónicos para otros usosilícitos (tales como la publicidad, laextorsión o, en general laciberdelincuencia).
Spam (Correo Basura),Acoso/extorsión/ mensajesofensivos, Pederastia / racismo/apología de la violencia/delito, etc.
Política de seguridad Incidentes relacionados porviolaciones de usuarios de laspolíticas de seguridad aprobadas porla organización.
Abuso de privilegios por usuarios,Acceso a servicios no autorizados,Sistema desactualizado, Otros
Otros Otros incidentes no incluidos en los apartados anteriores
Gestión y Respuesta a Incidentes
Nivel de Criticidad
Determinar la peligrosidad potencial que el ciberincidente posee.Para ello, es necesario fijar ciertos Criterios de Determinación decriticidad con los que comparar las evidencias que se disponen delciberincidente.
Nivel Peligrosidad
1 BAJO
2 MEDIO
3 ALTO
4 MUY ALTO
5 CRÍTICO
NIVEL AMENAZA(S) SUBYACENTE(S) MÁS
HABITUAL(ES)
VECTOR DE ATAQUE CARACTERÍSTICASPOTENCIALES DELCIBERINCIDENTE
CRITICO Ciberespionaje - APTs, campañas de malware, interrupción de servicios, compromiso de sistemas de control industrial, incidentes especiales, etc.
• Capacidad para exfiltrar información muy valiosa, en cantidad considerable y en poco tiempo.
• Capacidad para tomar el control de los sistemas sensibles, en cantidad y en poco tiempo
Gestión y Respuesta a Incidentes
NIVEL AMENAZA(S) SUBYACENTE(S) MÁS
HABITUAL(ES)
VECTOR DE ATAQUE CARACTERÍSTICASPOTENCIALES DELCIBERINCIDENTE
MUY ALTO Interrupción de los Servicios IT / Exfiltración de datos / Compromiso de los
servicios
Códigos dañinos confirmados de Alto Impacto (RAT, troyanos enviando datos, rootkit, etc.)Ataques externos con éxito..
• Capacidad para exfiltrar información valiosa, en cantidad apreciable.
• Capacidad para tomar el control de los sistemas sensibles, en cantidad considerable.
ALTO Toma de control de los sistemas / Robo y
publicación o venta de información sustraída /
Ciberdelito / Suplantación
• Códigos dañinos de Medio Impacto (virus, gusanos, troyanos).
• Ataques externos – compromiso de servicios no esenciales (DoS / DDoS).
• Tráfico DNS con dominios relacionados con APTs o campañas de malware.
• Accesos no autorizados / Suplantación / Sabotaje.
• Cross-Site Scripting / Inyección SQL.• Spear phising / pharming
Capacidad para exfiltrar información valiosa.Capacidad para tomar el control de ciertos sistemas.
Gestión y Respuesta a Incidentes
NIVEL AMENAZA(S) SUBYACENTE(S) MÁS
HABITUAL(ES)
VECTOR DE ATAQUE CARACTERÍSTICASPOTENCIALES DELCIBERINCIDENTE
MEDIO Logro o incremento significativo de capacidades
ofensivas /Desfiguración de páginas web / Manipulación de
información
Descargas de archivos sospechosos. Contactos con dominios o direcciones IP sospechosas.Escáneres de vulnerabilidades. Códigos dañinos de Bajo Impacto (adware, spyware, etc.)Sniffing / Ingeniería social.
• Capacidad para exfiltrar un volumen apreciable de información.
• Capacidad para tomar el control de algún sistema.
BAJO Ataques a la imagen / menosprecio / Errores y
fallos
Políticas.Spam sin adjuntos. Software desactualizado.Acoso / coacción / comentarios ofensivos.Error humano / Fallo HW-SW.
• Escasa capacidad para exfiltrar un volumen apreciable de información.
• Nula o escasa capacidad para tomar el control de sistemas.
Gestión y Respuesta a Incidentes
Nivel de Impacto de los ciberincidentes
El impacto de un ciberincidente en un entidad se determina evaluando las consecuencias que tal ciberincidente ha tenido en las funciones de la organización, en sus activos o en los individuos afectados, por lo tanto la gestión de los ciberincidentes debe priorizarse en base a distintos criterios:
• Impacto Funcional del Ciberincidente: El Equipo de Respuesta de Ciberincidentes (ERC) debeconsiderar la forma en que el ciberincidente puede impactar en la funcionalidad de los sistemasafectados.
• El Impacto del ciberincidente en la Información o los Servicios: Puesto que los ciberincidentespueden afectar a la confidencialidad e integridad de la información tratada por el organismo y/o ala disponibilidad de los servicios prestados, el ERC debe considerar cómo el ciberincidente puedeimpactar en el desenvolvimiento competencial del organismo o en su imagen pública.
• Recuperación del ciberincidente: Puesto que el tipo de ciberincidente y la superficie de activosatacados determinará el tiempo y los recursos que deben destinarse a la recuperación, el ERC, conla ayuda oportuna de otros departamentos del organismo, debe considerar el esfuerzo necesariopara regresar a la situación pre- ciberincidente y su oportunidad.
Gestión y Respuesta a Incidentes
Recolección y custodia de evidencias
Debe mantenerse un registro detallado de todas las evidencias, incluyendo:
• La identificación de la información (por ejemplo, la localización, el número de serie, número de modelo, el nombre de host, dirección MAC y direcciones IP de los equipos afectados.
• Nombre, cargo y el teléfono de cada persona que ha recogido o gestionado evidencias durante la investigación del ciberincidente.
• Fecha y hora de cada ocasión en la que ha sido tratada cada evidencia.• Ubicaciones donde se custodiaron las evidencias.• Revisión del Manual de procedimiento para cadena de custodia del Fiscalía General de
la Nación cuando el ciberincidente requiera una investigación judicial. http://bit.ly/1MtVA9a
Gestión y Respuesta a Incidentes
Reporte de Ciberincidentes
• En el evento de que algún componente de la infraestructura tecnológica (Sitios Web,aplicaciones, servicios en línea, sistemas de información, entre otros) de la Entidad, hayasido vulnerado o comprometido, reportar en primera instancia al colCERT (Grupo deRespuesta a Emergencias Cibernéticas de Colombia) por medio de correo electrónico a:[email protected] o al Teléfono: (+571) 2959897, [email protected]
• Cuando se tenga evidencia de un incidente informático, la entidad afectada se pondráen contacto con el Cai Virtual de la Policía Nacional www.ccp.gov.co, CentroCibernético Policial de la Policía Nacional al teléfono 4266900 ext. 104092, pararecibir asesoría del caso en particular y posterior judicialización.
• CSIRT de Gobierno
Gestión y Respuesta a Incidentes
Estadísticas
Gestión y Respuesta a IncidentesPanorama 2017
4%
77%
19%
EDUCACION
CompromisoAplicación
Defacement
Phishing
12%
69%
4%
14%1%
GOBIERNO
CompromisoAplicaciónDefacement
InformacionCritica ExpuestaPhishing
Malware
8%
33%
7%8%
43%
1%
PRIVADO CompromisoAplicaciónDefacement
Informacion CriticaExpuestaMalware
Phishing
Vulnerabilidad DNS
7,1%
64,0%2,9%
2,3%
23,5%
0,3%
TOTAL CompromisoAplicaciónDefacement
Informacion CriticaExpuestaMalware
Phishing
Vulnerabilidad DNS
Gestión y Respuesta a Incidentes
Tipo de Dominio
Número de Dominios
.EDU.CO 10691
.GOV.CO 7612
.MIL.CO 1872
.ORG.CO 3090Total general 23265
.EDU.CO46%
.GOV.CO33%
.MIL.CO8%
.ORG.CO13%
Dominios no comerciales
.EDU.CO
.GOV.CO
.MIL.CO
.ORG.CO
Gestión y Respuesta a Incidentes
Dominios Activos55%
Dominios Inactivos
45%
Dominios gov.co
Dominios Activos Dominios Inactivos
Dominios Registrados7612
Dominios Activos
Dominios sinactividad
4213 3399
Gestión y Respuesta a Incidentes
IIS8%
Joomla9%
Wordpress9%
Drupal4%
SharePoint4%
Otras plataformas No identificadas
66%
Dominios gov.co
IIS Joomla Wordpress Drupal SharePoint Otras plataformas No identificadas
Plataformas NúmeroIIS 332
Joomla 359Wordpress 382
Drupal 185SharePoint 177
Otras plataformas No identificadas 2778
Gestión y Respuesta a Incidentes
Corporativos gov.co45,22%
Gmail14,91%
yahoo5,54%
.net.co3,82%
.com.co2,75%
.edu.co0,76%
Outlook0,23%
hotmail20,01%
Otros6,76%
Estadisticas Whois Dominios gov.co
Corporativos gov.co Gmail yahoo .net.co .com.co .edu.co Outlook hotmail Otros
Gestión y Respuesta a Incidentes
Ejercicio Práctico análisis dominio entidad
Se desea realizar una prueba de concepto no intrusiva que evidencie si la entidad tiene o noalguna información expuesta en sus configuraciones asociadas al dominio que pueda endeterminadas circunstancias dar inicio a un posible incidente de ciberseguridad.
• Evaluación del Whois: www.whois.co - https://network-tools.com/https://www.ultratools.com/tools/ipWhoisLookup
• Evaluación DNS: http://viewdns.info/ - http://www.dnsinspect.com/ (las dos opciones)• Evaluación Listas negras: https://mxtoolbox.com/blacklists.aspx• Direcciones IP: https://otx.alienvault.com/• Test Servidor de correo (no intrusivo): https://www.wormly.com/test-smtp-server• Cuentas de correo expuestas asociadas al dominio:
https://github.com/laramies/theHarvester• Evaluación certificado SSL: https://www.ssllabs.com/ssltest/• URLS maliciosas: https://www.phishtank.com/ - https://urlscan.io/• Verificación de scripts maliciosos: http://www.unmaskparasites.com/• Defacements: http://www.zone-h.org
Gestión y Respuesta a Incidentes
Qué podemos esperar en 2018 en amenazas Cibernéticas
1. Más ataques a la cadena de suministro: Ej. Shadowpad, Ccleaner, ExPetr / NotPetya2. Más malware de alta gama en móviles: Ej. Versión Android del spyware Pegasus, que llamó
Chrysaor.3. Más ataques tipo BeEF con creación de perfiles web: Ej. Creación de perfiles de explotación a
medida, como el prolífero Scanbox4. Ataques sofisticados UEFI y BIOS: Módulos UEFI de Hacking Team5. Los ataques destructivos continuarán: gusano Shamoon, wiper StoneDrill, wipers disfrazados de
Ransomware6. Más subversión de criptografía: errores en la biblioteca de criptografía utilizada por Infineon (RSA)7. La identidad en el comercio electrónico entrará en crisis: Fugas de información “Uber”8. Más ataques a módems y enrutadores9. Un medio para el caos social: identificación de usuarios falsos y bots que intentan ejercer niveles
desproporcionados de influencia social
https://securelist.lat/boletin-de-seguridad-kaspersky-predicciones-sobre-amenazas-para-el-2018/85748/
Gestión y Respuesta a Incidentes
Comando Conjunto Cibernético
Información de contactoGrupo de Respuesta a Emergencias Cibernéticas de
Colombia – colCERT
Teléfono: 2959897
https://www.colcert.gov.co
Twitter: www.twitter.com/colcert
Related Documents
