Oct 30 2014

Seguridad en el Endpoint (2 de 2)

En el anterior post de esta serie hemos proporcionado algunos consejos acerca de cómo hacer más seguros nuestros sistemas de información protegiendo el punto más débil y expuesto: Aquél sobre el que se trabaja y – especialmente – el que sale fuera de ambientes seguros como pueden ser las oficinas o instalaciones corporativas.

Hemos hecho especial énfasis en que la responsabilidad es de todos: La seguridad de los datos y la tecnología propiedad de la empresa depende tanto de los medios que se implementen para consegui la seguridad física, como de la mentalización y sensibilidad que los usuarios muestren acerca de estos temas. Puede argumentarse que aplicar de forma preventiva medidas de seguridad puede entorpecer o hacer más lentas las actuaciones, pero lo que sí es cierto es que cualquier riesgo que se concrete por no haberlas realizado tiene un coste bastante superior.

Proseguimos en los siguientes apartados con la enumeración de diversos aspectos que afectan a esa seguridad, y nuestras recomendaciones de actuación dependiendo del rol que se desarrolle. Esperamos sinceramente que puedan ser de su interés, y ojalá se decidan a aplicarlas (estas o similares)

 

Si es Vd. el CIO de la Compañía Si Vd. es usuario de los servicios IT
Prevención de pérdidas y extravíos Es una buena idea instalar software de localización remota de laptops extraviados (lo hay incluso gratuito). Este tipo de software permite rastrear la IP/ubicaciónde un dispositivo que esté fuera de control de su legítimo usuario, incluso obtener instantáneas si dispone de webcam. Es un buen consejo marcar el aparato de alguna forma e indicar un medio de localización no muy explícito del propietario o de la compañía (nombre, teléfono). Si se extravía, en un buen porcentaje de casos será retornado, pero hay que tener en cuenta que si se ha producido un robo esos datos pueden utilizarse para romper los medios de seguridad.
Mecanismos de Encriptación Asegúrese de que existen medios que permitan criptografiar con claves seguras los documentos importantes y que hayan de permanecer asegurados.
Defina y clasifique – de acuerdo con la dirección y el departamento legal – las tipologías de información de forma que quede bien claro qué puede quedar desencriptado y lo que – obligatoriamente – haya de enmascararse. Incluya esa información en las normas de uso aceptable.
Siguiendo las normas que se marquen, asegúrese que la información de tipo estratégico o sensible se almacena o transmite criptografiada. Emplee para hacerlo los medios que se le hayan proporcionado y claves fuertes que aseguren la dificultad de acceder a los datos originales.
Comunicaciones internas Asegure que los dominios quedan claramente definidos y protegidos con los medios adecuados. Si es necesario, segmente la red y/o aisle del resto aquellas secciones en las que haya de circular información especialmente necesaria de protección. Monte las redes privadas virtuales (VPN) necesarias para separar el tráfico y evitar interferencias. En el interior de los recintos corporativos, utilice prioritariamente las comunicaciones a través de cable, obviando medios inalámbricos.
Si ha de acceder desde fuera de las instalaciones, hágalo a través de comunicaciones seguras (VPN, ADSL,…) evitando redes Wifi públicas
Comunicaciones externas (especialmente correo electrónico) Disponga los medios que permitan una impermeabilización razonable de las redes internas con el mundo exterior. Firewall, AntiSpam, zonas desmilitarizadas y otras herramientas semejantes son imprescindibles. Pero pueden también establecerse arquitecturas de proxy que disminuyan sensiblemente las superficies de ataque por parte de hackers externos. Ponga especial cuidado en el empleo del correo electrónico, evitando abrir (y comunicandolo a IT) cualquier comunicado o anexo que pueda parecerle sospechoso.
Si ha de anexar datos reservados, encríptelos y remita al destinatario por medios diferentes al propio correo (por ejemplo voz o sms) las claves que permitan restituirlos a su estado original.
Aplicación de parches y actualizaciones del software Haga que su equipo técnico filtre los patches o actualizaciones que publiquen los fabricantes de los diversos productos, identificando los necesarios para su instalación de los que puedan obviarse por no aplicar. Preferiblemente, establezca su propio centro de difusión de actualizaciones, paquetizándolas en función de las diversas tecnologías y haciendo que los usuarios acudan a él para ponerse al día o empújelas para hacerlo. Si ello no es posible, publique internamente la lista de las necesarias de forma que los usuarios vayan a buscarlas a las webs de los fabricantes correspondientes. No instale patches innecesarios. Si en su instalación existe un procedimiento para actualizar el software de base, empléelo, evitando acudir a las webs de los fabricantes. Nunca efectúe este tipo de actualizaciones empleando redes inseguras (hoteles, aeropuertos, …)
Inventario de medios Asegurese de que dispone de un correcto y actualizado inventario de los dispositivos a cargo de la compañía y del software que contienen.
Incorpore dentro de las normas de uso aceptable de dispositivos BYOD los requisitos que deben cumplir y las restricciones en cuanto a aplicaciones instaladas u otros extremos que puedan afectar a la seguridad.
Si está utilizando un dispositivo propio, ajústese a los requisitos de uso aceptable que le haya dado a conocer la compañía. Evite instalar aplicaciones innecesarias.
Uso de servicios Cloud (especialmente almacenamiento) Evite que sus usuarios empleen indiscriminadamente servicios de almacenamiento y trabajo en grupo alojados en nubes públicas. Si este tipo de tareas son imprescindibles, adquiera productos o contrate servicios que le permitan hacerlo en una nube privada, dotada de los mecanismos de control y seguridad necesarios. Aténgase a las directrices que le pueda proporcionar su compañía en este sentido.
Si emplea un dispositivo BYOD, procure establecer separación entre el área empresarial y la privada mediante el uso de diferentes UserId dotados de diferentes privilegios.
Recuperación ante hurtos o desastres y seguridad física Suministre a sus usuarios mecanismos para realizar copias de seguridad (deseablemente de forma automática) de los datos contenidos en sus sistemas, accesibles para su recuperación de forma desasistida y cuyo resultado se almacene de forma segura y controlada. Verifique periódicamente que se están realizando sin problemas las copias de seguridad correspondientes y que el repositorio en el que se almacenan es accesible.
Si su dispositivo es BYOD, compruebe que ello se realiza con los datos correspondientes a la compañía.

Logo Linkedin Seguridad

Si está Vd interesado en temáticas de seguridad y posee cuenta en LinkedIn, únase a nuestro grupo de discusión “Ingelan Seguridad” haciendo click sobre el logo.

Permanent link to this article: http://www.ingelan.com/?p=4614

Oct 23 2014

Seguridad en el Endpoint (1 de 2)

Como usuario de un dispositivo móvil (laptop, tablet o smartphone), o como responsable de soportar los que utilicen los empleados de su compañía para manejar información de interés para su corporación, es muy importante asegurar que los datos manejados están a buen recaudo. Un 67% de los directivos están preocupados por las posibles pérdidas de información que – por descuido o mal uso – se puedan producir. Y un 57% (muy significativa cantidad), por que se produzcan accesos no autorizados por parte de personas extrañas a la entidad.

Nótese que hemos establecido una doble responsabilidad: El que se produzcan este tipo de situaciones no concierne únicamente a los Responsables de Tecnología o de Sistemas de Información, que deben establecer los procedimientos y poner los medios y herramientas para evitarlas. Quien realmente ha de velar por que no se presenten es el usuario: Aquélla persona que maneja contínuamente el dispositivo y lo emplea para desarrollar las tareas que se le tengan encomendadas.

El panorama se va haciendo más complejo conforme se implantan nuevas formas de trabajo: La deslocalización de los puestos de trabajo; El empleo por parte de los colaboradores de sus propios dispositivos para actividades laborales (BYOD); La irrupción y uso extensivo de nuevos dispositivos (laptops, tablets y smartphones); La proliferación de software y app’s diseñadas y desarrolladas para ser empleadas en esos medios. Los riesgos en esas circunstancias se multiplican de forma exponencial.
Para mitigarlos es preciso poner en marcha una serie de medios que no únicamente responden al empleo de software. Es más: Esa es una parte mínima de lo que hay que hacer. Permítannos proporcionarles unos pocos consejos, dependiendo del rol que Vd. juegue en ese entorno:

 

Si es Vd. el CIO de la Compañía Si Vd. es usuario de los servicios IT
Políticas de uso Preocúpese del tema y asegure que existe una normativa escrita y accesible a todo el mundo que contemple todos los casos, definiendo los usos aceptables de los medios tecnológicos, sean estos propiedad de la compañía o aportados por el empleado. Esté informado, aténgase a las normas de uso y cumplalas, procurando en todo momento disponer en su sistema (sea propio o corporativo) y puestos al día de los medios de seguridad suministrados
Sensibilización Proporcione a sus usuarios la información necesaria en todo momento, haciendo énfasis en lo que significa la seguridad y en las consecuencias personales y empresariales que puede traer consigo la pérdida de los datos. Preste atención a las informaciones de seguridad y siga exactamente los consejos e instrucciones que se le proporcionen. Nunca menosprecie, minimice ni ignore los riesgos inherentes al uso de los medios en sus manos.
Monitorización Establezca los medios que permitan identificar proactivamente y de forma temprana eventuales peligros en cualquiera de los dispositivos conectados de una forma u otra a su red corporativa. Esté al tanto. Compruebe que su dispositivo actúa correctamente. Si identifica cualquier comportamiento anómalo, comuníquelo inmediatamente al equipo de seguridad IT.
Administración Personalice cada dispositivo empresarial al uso de quien haya de emplearlo (UserId). Elimine las cuentas de administración o asegúrese de que no quedan para ellas las passwords por defecto Si el dispositivo es suyo, no emplee la cuenta del administrador y cambie con una cierta frecuencia las contraseñas de los usuarios definidos, no dejando en ningún caso la que viniera por defecto
Identificación Centralice la gestión de las identificaciones de usuarios para definir de forma centralizada y una sola vez las atribuciones y los privilegios de cada uno. Haga que se difundan automáticamente altas, actualizaciones o revocaciones. Asegurese de que el perfil que se le ha asignado corresponde exectamente a sus necesidades según el rol que se le haya atribuido. Evite acumular privilegios innecesarios para desarrollar sus tareas
Autenticación y acceso Establezca políticas de renovación de las palabras de paso cada cierto tiempo y ponga los medios para que se cumplan. Asegurese de que se trate de contraseñas fuertes, de estructura compleja y difíciles de hackear. Independientemente de que el dispositivo pueda ser suyo (y las políticas empresariales puedan no tener que aplicarse), renueve frecuentemente su password. Haga que sea lo suficientemente compleja como para que nadie pueda imaginarla.
Antivirus / Antimalware Proporcione a sus usuarios medios para combatirlos. Preferiblemente a varios niveles: A nivel de endpoint y en la red, mediante el uso de cortafuegos o dispositivos que impidan el paso de estas piezas de software Asegúrese de que la base de datos de firmas de su antivirus está permanentemente actualizada. Evite realizar actualizaciones si no está trabajando a través de una red segura.

 

En un próximo post continuaremos desarrollando este tema

Logo Linkedin Seguridad

Si está Vd interesado en temáticas de seguridad y posee cuenta en LinkedIn, únase a nuestro grupo de discusión “Ingelan Seguridad” haciendo click sobre el logo.

Permanent link to this article: http://www.ingelan.com/?p=4601

Oct 06 2014

DragonFly pone en jaque los sistemas de control de la industria farmacéutica

dragonflyEn su momento ya nos hicimos eco (publicando la correspondiente comunicación en esta web) de la noticia acerca de la muy peligrosa difusión de Havex, un troyano dotado de la capacidad de infiltrarse en los sistemas de supervisión y control (SCADA) y controlarlos.

Nuevamente el tema de la seguridad de los sistemas de planta vuelve a nuestras cabeceras, al informarse muy recientemente (Mayo/Junio de 2014) de la aparición de Dragonfly, un ejecutable que persigue objetivos similares. No se conocen de momento acciones de sabotaje empleando este instrumento que – parece – tiene como finalidad última sustraer datos sensibles, tales como formulaciones y procesos patentados o arquitecturas de las redes industriales (quizá con el objetivo de atacarlas en el futuro).

Dragonfly emplea una serie de medios para conseguir sus finalidades: Extrae informaciones de los libros de contactos de Outlook para conseguir nombres y direcciones de correo electrónico, instala software de control remoto y esnifa las redes para documentarlas e identificar posibles nuevos objetivos. En muchos casos se estima que permanece “dormido” (y por tanto muy dificil de localizar) entretanto no sea activado desde el exterior.

Por lo que se conoce hasta el momento, las instalaciones infectadas han resultado contaminadas como consecuencia de la apertura de anexos pdf a correos electrónicos remitidos en campañas de distribución masiva. Otra fuente ha sido el redireccionamiento desde sites web legítimos a otros conteniendo el malware. Y por fin, la descarga desde sites web de fabricantes de Sistemas de Control Industrial (pirateadas por los hackers) de copias contaminadas de software de supervisión y control y/o actualizaciones/parches para las mismas. Por todo ello se recomienda extremar las medidas preventivas, mantener al día los antivirus y el software de los cortafuegos y ser prudente, asegurándose de que anexos y/o sites web visitados están fuera de peligro.

Como en el caso de Havex, se sospecha que el creador (o grupo de creadores) opera desde los países del Este de Europa y que, visto el modo de operación, las webs en las cuales se ha introducido y las instalaciones que han resultado afectadas, se dirige – concretamente y a diferencia de versiones anteriores – al sector de la producción farmacéutica.

Permanent link to this article: http://www.ingelan.com/?p=4588

Sep 27 2014

OPC-UA: Unificar la mensajería electrónica de la planta

OPC Foundation LogoOPC-UA (Open Plattform Communications – Unified Architecture)

Desarrollado y patrocinado desde 2004 por la Fundación OPC y sus partners, con implementaciones desde 2008 y ostentando desde 2011 el código IEC 6541 (International Electric Commision), OPC-UA es un estándar de interoperabilidad independiente de suministradores que permite canalizar e integrar las comunicaciones de los diferentes dispositivos de la planta a fin de que puedan colaborar e intercambiar información de forma segura.

La incorporación de este instrumento permite resolver un grave problema en las plantas de fabricación: La práctica imposibilidad de coordinar (salvo que los dispositivos fueran manufacturados por el mismo proveedor) la actuación de los diversos sistemas que intervienen o tienen algo que decir (los correspondientes a la Gestión de la Planificación y la Logística – Nivel 4 de ISA-95, los que se habrían de ocupar de la Gestión de las Operaciones – Nivel 3, los de Supervisión y Control – Nivel 2) y los dispositivos de planta – PLCs y HMIs entre otros…) debido al empleo de diferentes protocolos y estándares de comunicación por parte de los diversos suministradores.

Imagen OPC-UA 2El Servidor OPC-UA se sitúa como una pasarela (ver el gráfico) entre las aplicaciones y los dispositivos, de forma que transmite a éstos en el dialecto que cada uno es capaz de entender, las instrucciones remitidas por sus sistemas de supervisión y control. A la vez, recoge, decodifica y transfiere a los sistemas superiores en un lenguaje que éstos sean capaces de entender, los mensajes procedentes de los periféricos que correspondan. OPC-UA se convierte, de esta forma, en un “intérprete políglota” de las instrucciones y las respuestas entre los instrumentos.

Las ventajas que un sistema así proporciona son claras:

  • Independencia de plataformas y sistemas operativos: Diseñado y construido de esta forma, OPC-UA puede ejecutarse sobre muy diversas arquitecturas hardware y software, y se ha abierto a los dispositivos móviles mediante el uso de Java, lo que ha permitido – por ejemplo – desarrollar clientes basados en Android o HMIs alojadas en tablets.
  • Sencillez de despliegue e instalación: La arquitectura necesaria para desplegarlo es muy simple, y pueden irse integrando los diversos módulos (idiomas y funcionalidades) progresivamente, en función de las necesidades. Ello permite una puesta en marcha paso a paso y muy segura sin necesidad de realizar cambios sobre los dispositivos afectados. Además, se han desarrollado diversos SDKs (Software Development Kits) para construir las funciones que pudieran ser necesarias adicionalmente. Esto hace de la solución un medio muy escalable en el que puede, muy sencillamente, incrementarse el ámbito o la funcionalidad.
  • Incremento de la seguridad de las comunicaciones de la planta: OPC-UA se encarga de realizar todas estas tareas según la configuración que se desee activar: Transporte, encriptación, firma de los mensajes, autenticación, validación de envíos y recepciones, control de usuarios y generación y mantenimiento de los registros de auditoría.
  • Al estar basado en un modelo de información muy estándar, puede ser empleado como protocolo de comunicaciones de datos e información entre diversos sistemas que utilicen también modelos estándares de información. Estandarizado por IEC, el protocolo puede ser examinado por cualquiera y ha sido validado por organizaciones neutrales.

Si desean información detallada, aquí podrán encontrar un e-book con los detalles que puedan estimar necesarios.

 

Permanent link to this article: http://www.ingelan.com/?p=4559

Página 1 de 3112345...102030...Última »