Etiqueta: seguridad de red

26 de septiembre de 2024Ravie LakshmananCiberespionaje/seguridad móvil Hasta 25 sitios web vinculados a la minoría kurda se han visto comprometidos como parte de un ataque de abrevadero diseñado para recopilar información confidencial durante más de un año y medio. La empresa francesa de ciberseguridad Sekoia, que reveló detalles de la campaña denominada SilentSelfie, describió la intrusión como de larga duración, y los primeros signos de infección se detectaron en diciembre de 2022. Los compromisos web estratégicos están diseñados para ofrecer cuatro variantes diferentes de una información. -Robo de marco, agregó. «Estos iban desde los más simples, que simplemente robaban la ubicación del usuario, hasta otros más complejos que grababan imágenes de la cámara selfie y conducían a usuarios seleccionados a instalar un APK malicioso, es decir, una aplicación utilizada en Android», afirman los investigadores de seguridad Felix Aimé y Maxime A. dijo en un informe del miércoles. Los sitios web objetivo incluyen la prensa y los medios kurdos, la administración de Rojava y sus fuerzas armadas, aquellos relacionados con partidos y organizaciones políticos revolucionarios de extrema izquierda en Türkiye y las regiones kurdas. Sekoia dijo a The Hacker News que el método exacto por el cual estos sitios web fueron violados sigue siendo incierto. Los ataques no se han atribuido a ningún actor o entidad amenazante conocido, lo que indica el surgimiento de un nuevo grupo de amenazas dirigido a la comunidad kurda, que ha sido previamente señalada por grupos como StrongPity y BladeHawk. A principios de este año, la firma de seguridad holandesa Hunt & Hackett también reveló que los sitios web kurdos en los Países Bajos fueron señalados por un actor de amenazas del nexo turco conocido como Sea Turtle. Los ataques de abrevadero se caracterizan por la implementación de un JavaScript malicioso que es responsable de recopilar diversos tipos de información de los visitantes del sitio, incluida su ubicación, datos del dispositivo (por ejemplo, número de CPU, estado de la batería, idioma del navegador, etc.) y datos públicos. Dirección IP, entre otros. Una variante del script de reconocimiento encontrada en tres sitios web (rojnews[.]noticias, hawarnews[.]com y plataforma objetivo[.]net.) también se ha observado que redirige a los usuarios a archivos APK de Android no autorizados, mientras que otros incluyen la capacidad de seguimiento de usuarios a través de una cookie llamada «sessionIdVal». La aplicación de Android, según el análisis de Sekoia, incorpora el sitio web como un WebView, al mismo tiempo que aspira clandestinamente información del sistema, listas de contactos, ubicación y archivos presentes en el almacenamiento externo en función de los permisos que se le otorgan. «Cabe señalar que este código malicioso no tiene ningún mecanismo de persistencia, sino que sólo se ejecuta cuando el usuario abre la aplicación RojNews», señalaron los investigadores. «Una vez que el usuario abre la aplicación, y después de 10 segundos, el servicio LocationHelper comienza a mostrar el fondo de la URL rojnews[.]news/wp-includes/sitemaps/ a través de solicitudes HTTP POST, compartiendo la ubicación actual del usuario y esperando que se ejecuten los comandos». No se sabe mucho sobre quién está detrás de SilentSelfie, pero Sekoia ha evaluado que podría ser obra del Gobierno Regional del Kurdistán de Irak basándose en el arresto del periodista de RojNews Silêman Ehmed por las fuerzas del KDP en octubre de 2023. Fue sentenciado a tres años de prisión en julio de 2024. «Aunque esta campaña de abrevadero es poco sofisticada, se destaca por la número de sitios web kurdos afectados y su duración», dijeron los investigadores. «El bajo nivel de sofisticación de la campaña sugiere que podría ser el trabajo de un actor de amenazas descubierto con capacidades limitadas y relativamente nuevo en el campo». ¿Encontró interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Muchas empresas confían en el Sistema de puntuación de vulnerabilidad común (CVSS) para evaluar la gravedad de las vulnerabilidades a la hora de priorizarlas. Si bien estos puntajes brindan una idea del impacto potencial de una vulnerabilidad, no tienen en cuenta los datos de amenazas del mundo real, como la probabilidad de explotación. Con nuevas vulnerabilidades descubiertas diariamente, los equipos no tienen el tiempo (ni el presupuesto) que perder en corregir vulnerabilidades que en realidad no reducen el riesgo. Continúe leyendo para obtener más información sobre cómo se comparan CVSS y EPSS y por qué el uso de EPSS cambia las reglas del juego para su proceso de priorización de vulnerabilidades. ¿Qué es la priorización de vulnerabilidades? La priorización de vulnerabilidades es el proceso de evaluar y clasificar las vulnerabilidades en función del impacto potencial que podrían tener en una organización. El objetivo es ayudar a los equipos de seguridad a determinar qué vulnerabilidades deben abordarse, en qué plazo o si es necesario solucionarlas. Este proceso garantiza que los riesgos más críticos se mitiguen antes de que puedan explotarse y es una parte esencial de la gestión de la superficie de ataque. En un mundo ideal, los equipos de seguridad podrían remediar cada vulnerabilidad tan pronto como se descubra, pero eso no es posible ni eficiente. Las investigaciones han demostrado que la mayoría de los equipos solo pueden remediar entre el 10% y el 15% de sus vulnerabilidades abiertas por mes, razón por la cual priorizar de manera efectiva es tan importante. En última instancia, lograr una correcta priorización de las vulnerabilidades garantiza que las organizaciones puedan hacer el mejor uso de sus recursos. ¿Por qué esto importa? Porque las empresas no pueden darse el lujo de gastar dinero en cosas a menos que esto marque la diferencia, y la gestión de riesgos consiste en asegurarse de que el dinero se gaste en reducir genuinamente el riesgo. Las limitaciones de CVSS para la priorización de vulnerabilidades Históricamente, una de las formas más comunes en que las organizaciones priorizan las vulnerabilidades es mediante el uso de puntuaciones base CVSS. Las puntuaciones base de CVSS están determinadas por factores que son constantes en el tiempo y en los entornos de usuario, como la facilidad y los medios técnicos mediante los cuales se puede explotar una vulnerabilidad y las consecuencias de una explotación exitosa. Estos factores se cuantifican y combinan para generar una puntuación final entre 0 y 10: cuanto mayor sea la puntuación, mayor será la gravedad. Las puntuaciones CVSS ofrecen una línea de base y una forma estandarizada de evaluar la gravedad y, en ocasiones, son necesarias para el cumplimiento. Sin embargo, tienen limitaciones que hacen que confiar en ellos sea menos eficiente que considerarlos junto con fuentes de datos en tiempo real. Una de las principales limitaciones de las puntuaciones CVSS es que no consideran el panorama de amenazas actual, como por ejemplo si una vulnerabilidad se está explotando activamente en la naturaleza. Esto significa que una vulnerabilidad con una puntuación CVSS alta puede no ser necesariamente el problema más crítico al que se enfrenta una organización. Tomemos como ejemplo CVE-2023-48795. Su puntuación CVSS actual es 5,9, que es «media». Pero si considera otras fuentes de inteligencia sobre amenazas, como EPSS, verá que existe una alta probabilidad de que sea explotada en los próximos 30 días (al momento de escribir este artículo). Esto muestra la importancia de adoptar un enfoque más holístico para la priorización de vulnerabilidades que considere no solo las puntuaciones CVSS sino también la inteligencia sobre amenazas en tiempo real. Mejorar la priorización con datos de explotación Para mejorar la priorización de vulnerabilidades, las organizaciones deben ir más allá de las puntuaciones CVSS y considerar otros factores, como la actividad de explotación identificada en la naturaleza. Una fuente valiosa para esto es EPSS, un modelo desarrollado por FIRST. ¿Qué es la EPSS? EPSS es un modelo que proporciona una estimación diaria de la probabilidad de que una vulnerabilidad sea explotada en los próximos 30 días. El modelo produce una puntuación entre 0 y 1 (0 y 100%), donde puntuaciones más altas indican una mayor probabilidad de explotación. El modelo funciona recopilando una amplia gama de información sobre vulnerabilidades de diversas fuentes, como la Base de datos nacional de vulnerabilidad (NVD), CISA KEV y Exploit-DB, junto con evidencia de actividad de explotación. Utilizando el aprendizaje automático, entrena su modelo para identificar patrones sutiles entre estos puntos de datos, lo que le permite predecir la probabilidad de una explotación futura. CVSS vs EPSS Entonces, ¿cómo ayudan exactamente las puntuaciones de EPSS a mejorar la priorización de vulnerabilidades? El siguiente diagrama ilustra un escenario en el que las vulnerabilidades con una puntuación CVSS de 7 o superior tienen prioridad para su corrección. El círculo azul representa todos estos CVE registrados el 1 de octubre de 2023. En rojo, puede ver todos los CVE con puntuaciones CVSS que fueron explotados en los siguientes 30 días. Como puede ver, la cantidad de vulnerabilidades que fueron explotadas en la naturaleza representa una pequeña cantidad de vulnerabilidades con una puntuación CVSS de 7 o superior. Fuente original: FIRST.org Comparemos esto con un escenario en el que las vulnerabilidades se priorizan en función de un umbral de EPSS establecido en el 10 %. Una diferencia notable entre los dos diagramas siguientes es el tamaño de los círculos azules, que indican la cantidad de vulnerabilidades que deben priorizarse. Esto da una idea de la cantidad de esfuerzo requerido para cada estrategia de priorización. Con un umbral de EPSS del 10 %, el esfuerzo es significativamente menor, ya que hay muchas menos vulnerabilidades que priorizar, lo que reduce el tiempo y los recursos necesarios. La eficiencia también es significativamente mayor, ya que las organizaciones pueden centrarse en las vulnerabilidades que tendrían el mayor impacto si no se abordan primero. Fuente original: FIRST.org Al considerar EPSS al priorizar las vulnerabilidades, las organizaciones pueden alinear mejor sus esfuerzos de remediación con el panorama de amenazas real. Por ejemplo, si EPSS indica una alta probabilidad de explotación de una vulnerabilidad con una puntuación CVSS relativamente baja, los equipos de seguridad podrían considerar priorizar esa vulnerabilidad sobre otras que pueden tener puntuaciones CVSS más altas pero una menor probabilidad de explotabilidad. Simplifique la priorización de vulnerabilidades con Intruder Intruder es una plataforma de seguridad basada en la nube que ayuda a las empresas a administrar su superficie de ataque e identificar vulnerabilidades antes de que puedan ser explotadas. Al ofrecer monitoreo continuo de la seguridad, administración de la superficie de ataque y priorización inteligente de amenazas, Intruder permite a los equipos concentrarse en los riesgos más críticos mientras simplifica la ciberseguridad. Una captura de pantalla de la plataforma Intruder Intruder está a punto de lanzar una función de priorización de vulnerabilidades, impulsada por el Exploit Prediction Scoring System (EPSS), un modelo que aprovecha el aprendizaje automático para predecir la probabilidad de que una vulnerabilidad sea explotada en los próximos 30 días. Pronto podrá ver las puntuaciones de EPSS directamente dentro de la plataforma Intruder, lo que le brindará a su equipo un contexto del mundo real para una priorización más inteligente. Estos puntajes se mostrarán junto con el sistema de puntaje existente, que combina puntajes CVSS con aportes del equipo de expertos en seguridad de Intruder para priorizar inteligentemente sus resultados. Regístrese ahora para adelantarse al nuevo lanzamiento. Comience su prueba gratuita de 14 días o reserve algo de tiempo para charlar y obtener más información. ¿Encontró interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

26 de septiembre de 2024The Hacker News Detección de amenazas/Seguridad de TI Imagínese intentar encontrar una aguja en un pajar, pero el pajar está en llamas y hay un millón de otras agujas que también necesita encontrar. Así es como se puede sentir lidiar con las alertas de seguridad. Se suponía que SIEM haría esto más fácil, pero en algún momento, se convirtió en parte del problema. Demasiadas alertas, demasiado ruido y poco tiempo para detener las amenazas. Es hora de un cambio. Es hora de recuperar el control. Únase a Zuri Cortez y Seth Geftic en un seminario web revelador mientras navegan por las complejidades de «Resolver el problema SIEM: un reinicio completo de las soluciones heredadas». Compartirán conocimientos internos, estrategias probadas en batalla y un camino claro para domesticar a la bestia SIEM en esta sesión informativa. Esto es lo que cubriremos: SIEM 101: un repaso rápido sobre qué es SIEM, por qué es importante y los desafíos que enfrenta hoy El problema con el SIEM heredado: correremos el telón y revelaremos por qué las soluciones tradicionales tienen dificultades para mantenerse al día con el panorama de amenazas moderno Un nuevo enfoque: descubra una forma más inteligente y sencilla de administrar la seguridad que se centra en información procesable, no solo en alertas interminables Soluciones del mundo real: vea cómo ayudamos a organizaciones como la suya a tomar el control de su seguridad y desarrollar una defensa más resistente No dejes que las alertas de seguridad te ahoguen. Si es un profesional de seguridad experimentado o recién está comenzando su viaje, este seminario web es para usted. Únase a nosotros y descubra cómo transformar su enfoque de la seguridad y construir un futuro más seguro para su organización. Únase a este seminario web ¿Encontró interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.