Tendencias sobre ataques de ciberseguridad

Fecha    Duración
30/10/2018 60 minutos

Resumen

Se expondrán tendencias de los diferentes ataques de seguridad que realizan actores maliciosos en la red, que se observan desde el WARP de LACNIC. Además, se hablará sobre los proyectos de investigación en los cuales el WARP está trabajando, y se realizarán una serie de recomendaciones de seguridad.

Instructores

Graciela Martínez, Coordinadora de WARP / Darío Gómez, Analista de Seguridad

Preguntas

¿Tienen datos estadísticos y/o ejemplos sobre ataques de ransomware en nuestra región LAC?

Hay varios ransomware que afectan la región y puede variar el tipo de acuerdo al país. Sin embargo, a pesar de toda la prensa que recibió WannaCry debida a su rápida propagación a nivel mundial, en LAC los sabores más comunes de este tipo de malware son TeslaCrypt y CryptoWall.

A modo de reflexión: pagar la recompensa es ser parte del problema, por lo que deberíamos de pensarlo muy bien antes de acceder a la extorsión. Además, es importante tener en cuenta que pagar para obtener la clave no garantiza que la van a enviar, así como tampoco que vaya a funcionar y se pueda recuperar la información encriptada.

¿Cuál es el rol de LACNIC como administrador del direccionamiento IP ante un Hijack de BGP?

LACNIC, a través de su Centro de Respuesta a Incidentes, WARP, actúa en su rol de coordinador y mediador para resolver en forma efectiva el problema. Ante un incidente de BGP Hijack, se analiza el reporte y se contacta con la organización involucrada para alertarla de la situación y se le solicita que se tomen las acciones pertinentes que remedien la situación.

¿LACNIC tiene alguna herramienta online para probar nuestros servidores DNS?

Aún no. Estamos trabajando en un proyecto para incluir en el sitio de WARP una herramienta para realizar el test tanto para IPv6 como para IPv4.

Tengo reglas en mi firewall que detectan intentos de ataques a puerto SSH y SMTP. ¿Se podría automatizar alguna API para reportar estos IP de origen en WARP ?

Es posible reportar al WARP este tipo de incidentes vía correo electrónico, ya sea a través de un reporte diario o semanal, o por medio de aplicaciones como Fail2ban.

¿Hay alguna recomendación o documento sugerido para segregar redes?

La segregación de la red debe responder a las necesidades de cada organización. Un esquema básico es la separación entre la red corporativa, la red de servicios y la red de control. Es importante realizar un análisis de requerimientos de conectividad y de seguridad, por ejemplo si todo lo que está interconectado y/o conectado a Internet es necesario, contar con un buen mapa de riesgos, y evaluar si la arquitectura actual de la red se ajusta a los mismos o si justifica un rediseño.

Ojalá se pudiera crear un grupo de colaboración o una lista de distribución

Actualmente existe una lista relacionada con temas de seguridad en la cual se puede compartir información y solicitar colaboración. Su nombre es “Lista de Seguridad en Redes” y puede obtener más información en: https://www.lacnic.net/997/1/lacnic/listas-de-discusion

Para el caso de CSIRTs o CERTs, que ya están operando en la región, se puede solicitar el alta a la lista lac-csirts@lacnic.net. Para ello deberán ser presentados por algún miembro ya existente.

¿Qué condiciones cumplen los CSIRT que se listan en el sitio WARP? ¿Cómo se registran para aparecer en esas listas?

Para integrar la lista de CERTs y CSIRTs de la región que figuran en el sitio del WARP, se solicita que sea un Centro de Respuesta a Incidentes de Seguridad constituido.

Para solicitar el ingreso a la lista se deberá enviar correo a info-warp@lacnic.net con la siguiente información: nombre del Centro de Respuesta a Incidentes de Seguridad, organización host, teléfono, horario, contacto, web corporativa, breve descripción de la comunidad objetivo, link para formulario web de reporte de incidentes.

SYSTEM CERTIFICATION ISO 9001 LSQA

CHK_LACNIC