Atacando entornos en Microsoft Azure

Hace unos años, la arquitectura de red convencional incluía un Directorio Activo y algunos servicios importantes como: correo electrónico, aplicaciones, servicios compartidos, etc. Sin embargo, como todos estamos viendo a diario, ese modelo ya forma parte de la prehistoria informática. Ahora, lo que más nos encontramos son entornos Cloud. Ambos permiten a los usuarios acceder a los recursos corporativos desde cualquier parte del mundo y desde cualquier dispositivo, evitando la necesidad de tener que pasar por la VPN y reduciendo así los costes que conlleva mantener estos servicios. ¡Lo que tampoco viene nada mal, ¿no?!

Entre los componentes que forman parte del escenario híbrido, debemos tener en cuenta un agente conocido como ADConnect, ya que es el que permite que se sincronicen ciertos recursos locales con los servicios SaaS de Microsoft 365, como por ejemplo el correo electrónico. 

Por tanto, si recapitulamos, hemos pasado de tener un servicio crítico, que era el Directorio Activo de la organización, a tres servicios críticos: Directorio Activo local u On-Premise, Directorio Activo en Azure y servicios de Microsoft 365. Sin embargo, obviamente todos estos cambios en los entornos han afectado a otros ámbitos de la ciberseguridad:

  1. La seguridad perimetral conocida hasta ahora se ha tenido que adaptar. La perpetua herramienta de monitorización y prevención de ataques, nuestro querido SNORT (NIDS) y la monitorización de conexiones basadas en direcciones IP, se echan a un lado para dar paso a una nueva era basada en la geolocalización y las identidades de los usuarios.
  2. Los atacantes se han visto obligados a cambiar las técnicas que utilizaban hasta ahora para poder enfrentarse a sus nuevos y desconocidos objetivos, y precisamente eso es lo que hemos venido a aprender aquí: una técnica de ataque basada en la cadena de suministros (Supply Chain Attack) para un entorno de Microsoft Azure.

Para ello, vamos a detallar la taxonomía del ataque, elaborada a partir de MITRE | ATT&CK, y que habrá que adaptar en función de la arquitectura de cada organización:

IDTácticaTécnica
1ReconnaissanceT1591-Gather Victim Org Information 
2ReconnaissaneT1589-Gather Victim Identity Information
3Resource DevelopmentT1583-Acquire Infrastructure
4Initial AccessT1566-Phishing
5PersistenceT1098-Account Manipulation
6DiscoveryT1087-Account Discovery
7Lateral MovementT1534-Internal Spearphishing
8Privilege EscalationT1184-Domain Policy Modification
9PersistenceT1199-Account Manipulation
10ExfiltrationT1048-Exfiltration Over Alternative Protocol
[Read more…]

Threat Hunting: Probability based model for TTP covering (Parte I)

Las tareas de Threat Hunting como búsqueda de lo desconocido ha abierto la puerta a un sinfín de interpretaciones y metodologías de análisis proactivo, además de formular múltiples preguntas sobre cómo organizar la búsqueda y poder medir el tipo de servicio que se ofrece.

La investigación, que se presentará en tres partes, tiene como objetivo analizar las tareas de la revisión proactiva con el fin de establecer un modelo de desarrollo de Unidades de Inteligencia en función de la cobertura de las técnicas descritas en la matriz de MITRE ATT&CK, así como un modelo matemático para la planificación de las tareas de Threat Hunting basado en la probabilidad de detección para la eficiencia de las horas de analista. Puede leerse el estudio al completo aquí.

La Unidad de Inteligencia en Threat Hunting

En la seguridad gestionada convencional el objetivo es la detección de amenazas de manera automática. Es decir, la detección del mayor número de amenazas con la menor tasa de falsos positivos. En este caso, idealmente, el valor de la inteligencia es siempre incremental, es decir; existe una relación directamente proporcional entre el número de reglas (correctamente calibradas) y la calidad del servicio, pues cuanto mayor número de reglas se dispongan, mayor número de amenazas será posible detectar. Es decir, la regla tiene que identificar de manera inequívoca un patrón malicioso. No es así para el Threat Hunting.

[Read more…]

CFP (Call For Papers): consejos para que tu propuesta no quede en el tintero

En la actualidad existen muchas conferencias de seguridad (CON, como nos gusta llamarlas) tanto en España con el resto del mundo, y la mayoría seleccionan las charlas que se van a dar a través de un proceso abierto que se denomina CFP (Call For Papers).  Un CFP es un proceso abierto en el que cualquiera puede presentar una propuesta de charla, y a través de un comité de selección se eligen las que se consideran más apropiadas.

Presentar una charla a una CON tiene múltiples beneficios: en primer lugar, en España tienes una entrada gratis a la CON (y en casi todos los casos la Organización te paga el viaje y la estancia). Luego tenemos la obvia promoción tanto propia (se habla todavía de algunas charlas épicas de algunas CON de años pasado) como de la empresa para la que trabajas, y a mí me gustaría destacar el hecho de que presentar NO ES FÁCIL: implica tener el tema muy dominado, lo que obliga a aprender cosas nuevas, hacer pruebas, tener en cuenta casos límite… un trabajo de investigación que colabora enormemente a tu propio desarrollo. 

[Read more…]

Correlación no estática de eventos de seguridad basada en el contexto geopolítico. Un análisis teórico

Tal y como se está percibiendo los últimos meses, el nivel de riesgo en la seguridad de las organizaciones va aumentando, especialmente en función del riesgo derivado de los acontecimientos políticos. Del mismo modo que en el contexto de la seguridad de un país tenemos diferentes niveles de seguridad en función de la probabilidad de amenaza, muchas veces nos encontramos en la misma tesitura dentro del ámbito TI de una organización.

Bien sea debido a una vulnerabilidad publicada que afecta a los sistemas de la organización, a la exposición en los medios de la organización o por el aumento de la beligerancia por parte de actores de los cuales se es objetivo, en muchos casos la organización se encuentra con la necesidad de reforzar la dedicación a la monitorización de la seguridad.

Sin embargo, la correlación de los eventos de seguridad se encuentra fijada en unos valores predefinidos durante la fase de calibración y que, este refuerzo en los momentos necesarios se lleva a cabo a través de un análisis proactivo, es decir, a través de las acciones de Threat Hunting.

Dado que se conoce en qué casos se requiere dicho refuerzo, ¿no sería posible establecer unos parámetros sobre qué cómo y cuándo aumentar la criticidad de ciertos eventos?

Para dar respuesta a este planteamiento, se va a realizar un estudio para la ponderación de detección en red basado en la situación política contextual, que tendrá como resultado un modelo de correlador no estático, basado en la incorporación y procesado de entradas, tanto de inteligencia geopolítica como técnica.

La arquitectura que se va a describir es la siguiente:

[Read more…]

Blockchain para securizar los entornos sanitarios

El número creciente de brechas de datos en el sector sanitario está causando graves problemas en la gestión y el almacenamiento. Además, los métodos de seguridad tradicionales que se están usando para proteger las aplicaciones sanitarias están demostrando ser ineficaces. Es por ello por lo que tecnologías emergentes como el blockchain están ofreciendo nuevos enfoques y procesos de seguridad para las aplicaciones sanitarias, proporcionando confidencialidad y privacidad en los datos.

Las brechas de datos son uno de los principales problemas de ciberseguridad en el sector sanitario. En la Figura 1 se puede observar cómo la cantidad de fuga de datos de historiales clínicos ha ido aumentando, destacando un gran cambio entre 2018 y 2019, fecha coincidente con el inicio de la pandemia de la COVID-19.

Figura 1. Número de brechas de datos de 500 o más historiales clínicos en el sector sanitario desde 2009 hasta 2021. Fuente: https://www.hipaajournal.com/healthcare-data-breach-statistics/

¿Y cómo puede ayudar el blockchain a disminuir el número brechas de datos? Aunque el blockchain es conocido por el famoso Bitcoin y su uso en el ámbito de las criptomonedas, está evolucionando para su uso en diferentes sistemas, como el sanitario. En este artículo no voy a centrarme en el funcionamiento de esta tecnología, sino en cómo se aplicaría en el ámbito sanitario.

[Read more…]

Cazando con Inteligencia Artificial: Detección de dominios maliciosos (III)

Esta entrada y la serie en su conjunto ha sido elaborada conjuntamente con Ana Isabel Prieto, Sergio Villanueva y Luis Búrdalo.


En anteriores artículos de esta serie (ver parte I y parte II) se describió la problemática de la detección de dominios maliciosos y se proponía una forma de abordar dicho problema combinando diversas técnicas y algoritmos estadísticos y de Machine Learning. También se describía el conjunto de variables a partir de las cuales se caracterizarán dichos dominios para su posterior análisis por parte de los mencionados algoritmos de Machine Learning. En esta última entrega se describen los experimentos llevados a cabo y los resultados obtenidos.

Las pruebas realizadas se han llevado a cabo contra un total de 78.661 dominios extraídos del tráfico, a priori legítimo, de una organización, a partir de los cuales se han calculado 45 características léxicas pertenecientes a las categorías descritas anteriormente.

[Read more…]

¿El metaverso pone en jaque a la normativa en protección de datos personales?

Actualmente habrá personas que se estarán preguntando sobre qué es eso del metaverso o incluso que pase desapercibido en su vida cotidiana.

Huyendo de tecnicismos, y en aras a facilitar una explicación sencilla, podemos decir que el metaverso tiene por finalidad “la creación de un mundo digital inmersivo”.

Es decir, un mundo a través del cual los usuarios, utilizando tecnología convergente tales como gafas de realidad virtual, prendas hápticas, etc puedan realizar las mismas actividades que llevan a cabo en la vida real (ir al cine, quedar con amigos, estudiar, trabajar, comprar, …) y que, a su vez, lo acontecido en ese mundo digital tenga repercusiones en su vida. Por ejemplo, podría ser el caso de realizar una compra de un producto a través de ese mundo digital y que te llegue a casa como si lo hubieras pedido “en el mundo real”.

Aunque el metaverso parece algo novedoso, es un término que apareció en la obra de 1992 Snow Crash, donde las personas podían interactuar en un mundo virtual a través de avatares. Este concepto también se vio años más tarde en el videojuego Second Life o, de forma más reciente, en la plataforma Decentreland donde incluso se pueden comprar parcelas virtuales como si de una realidad se tratase.

[Read more…]

Definición de Medidas de Seguridad en los Contratos de Encargado de Tratatamiento: responsabilidad proactiva mal entendida o la paradoja del adolescente encerrado en su cuarto.

¿Puede un Encargado de Tratamiento (ET) requerir que sea el Responsable (RT), de manera unilateral, el que defina y concrete las medidas de seguridad en un Contrato de Encargado de Tratamiento?

Creo que todos podríamos llegar a la conclusión de que así es. Sin embargo, revisando la normativa con detalle, parece ser más un trabajo conjunto (al final de este artículo se analiza la normativa, pero vamos antes con los casos prácticos y dejemos la teoría para el final).

Por lo tanto, ¿podemos decir que siempre y para todo tipo de situaciones el Responsable debe decidir y escribir las medidas en el contrato?

Y también cabe preguntarse: ¿por qué el Encargado podría preferir que sea el Responsable el único que defina las medidas?

Analicémoslo desde diferentes enfoques.

[Read more…]

Novedades de OWASP Top 10 2021 (III)

Tras comentar en el primer post de la serie algunos detalles sobre la nueva versión de OWASP Top 10, y en el segundo la nueva categoría A08, fallos de integridad del software y de los datos, en este tercer y último post vamos a analizar la categoría A10: Falsificación de solicitudes del lado del servidor (Server-Side Request Forgery, SSRF), así como las posibilidades de mitigación de este tipo de vulnerabilidades.

A10: Falsificación de solicitudes del lado del servidor (Server-Side Request Forgery, SSRF)

Se está en riesgo de sufrir ataques SSRF cuando una aplicación permite obtener un recurso remoto sin validar la URL que proporciona el usuario. Este tipo de ataque puede evitar la protección que brinda el cortafuegos, la VPN o los controles de acceso.

Por ejemplo, cuando una aplicación permite especificar una URL a la que será redirigida la petición inicial, si no filtramos la URL a la que se redireccionará, el atacante podría aprovechar para indicar una dirección cualquiera.

[Read more…]

Cazando con Inteligencia Artificial: Detección de dominios maliciosos (II)

Esta entrada y la serie en su conjunto ha sido elaborada conjuntamente con Ana Isabel Prieto, Sergio Villanueva y Luis Búrdalo.


En el artículo anterior se comentó la dificultad ante la que los analistas de Threat Hunting se enfrentan como consecuencia de la alta cantidad de dominios que registra diariamente una organización. Esto dificulta el análisis y la localización de dominios potencialmente maliciosos, que pueden pasar desapercibido entre tanto tráfico. Por esta razón, en un intento de facilitar la tarea del analista, se propone la utilización de técnicas alternativas basadas en Machine Learning. Antes de presentar las diferentes pruebas realizadas, el artículo introduce los algoritmos que se van a utilizar para la detección de anomalías en los dominios.

Para empezar, es necesario comentar que tener una base de datos grande y variada es fundamental para que un modelo sea capaz de detectar dominios potencialmente maliciosos de forma fiable, ya que sus parámetros van a ser ajustados en un entorno que debe ser similar al real.

Sin embargo, existe una gran dificultad a la hora de identificar patrones en datos de alta dimensión, y más aún a la hora de representar dichos datos gráficamente y de expresarlos de forma que se destaquen sus similitudes y diferencias. Es aquí donde surge la necesidad de utilizar una herramienta potente de análisis de datos como el PCA (Principal Components Analysis).

[Read more…]