Casa > Ciber Noticias > Preach About the Breach: CVE y Respuesta a Incidentes
CYBER NOTICIAS

Predica Sobre el incumplimiento: CVE y Respuesta a Incidentes

Vulnerabilidades, proveedores y empresas. Las tres palabras a menudo se unen, para horror de todos los sitios en cuestión. Las empresas a menudo carecen de suficientes política de gestión de parches y grupos de respuesta a incidentes, o no tener en cuenta la importancia de una educación adecuada sobre temas relacionados con la seguridad. Por lo tanto, la frecuencia de los ataques de día cero y los ataques de phishing de lanza (entre otros) sólo parece inevitable.

Las vulnerabilidades son como puertas abiertas que permiten que el malware en un sistema, programa, navegador, ya veces juegos. Los proveedores de software suelen emitir un aviso de seguridad y el parche una vez que se da a conocer una vulnerabilidad. Sin embargo, los delincuentes cibernéticos a menudo tienen suficiente tiempo para explotar estas debilidades antes de que el vendedor se entera de lo que está pasando, o antes de liberar el parche necesario.

Aprender más acerca de Exploit Kit Ataques

En muchos casos, semanas o meses antes de que las vulnerabilidades se encuentran de paso por, dejando una puerta abierta para la explotación que se puede continuar desde varias horas a varios meses. Software ampliamente extendido, como navegadores, navegador plug-ins y productos Java / Adobe Flash son a menudo propensos a las vulnerabilidades y su explotación maliciosa.

CVE-sensorstechforum

Si usted sigue la porción diaria de noticias sobre seguridad informática, usted sabe exactamente lo que queremos decir. En teoria, cualquier organización (tanto de los sectores público y privado) puede convertirse en una víctima de un incidente de seguridad. En la práctica, hay mucho que aprender y tener en cuenta con el fin de salvar a sí mismo ya su organización de las brechas de seguridad, o para minimizar los daños de tales.

Vamos a empezar desde el comienzo..

CVE 101 – Vulnerabilidades y Exposiciones Comunes

La buena noticia es que hay varias grandes bases de datos que se centran en la investigación y elaboración de informes CVE. Uno de ellos es https://www.cvedetails.com.

Ante todo, vamos a explicar qué es CVE. La abreviatura significa Vulnerabilidades y Exposiciones Comunes.

Fundamentalmente, una CVE puede ser contemplado como un catálogo de amenazas de seguridad conocidas. Como es visible por el nombre, las amenazas se suelen dividir en dos grandes sub-categorías:

Vulnerabilidades.
Así, ¿cómo entendemos vulnerabilidades? Fundamentalmente, la vulnerabilidad no es más que un error de software que permite a un mal actor para atacar un sistema o red accediendo directamente a él. Las vulnerabilidades pueden permitir a un atacante para actuar como un super-usuario o incluso un administrador de sistema y concediéndole privilegios de acceso completo.

Exposiciones.
La exposición es diferente de la vulnerabilidad. Proporciona un agente malicioso con acceso indirecto a un sistema o una red. Una exposición podría permitir a un hacker para cosechar información confidencial de manera encubierta.

La definición Catálogo CVE

CVEs sirven para estandarizar la forma en que se da a conocer las vulnerabilidades y las exposiciones son identificadas; un proceso que es muy importante para los administradores de seguridad. Gracias a la estandarización, podían acceder a los detalles técnicos específicos sobre amenazas activas a través de las fuentes de información CVE.

La base de datos CVE es patrocinado por el Departamento de Seguridad Nacional de Estados Unidos y US-CERT. La organización sin fines de lucro MITRE mantiene el catálogo CVE y el sitio web que está disponible para el público. MITRE también administra el Programa de Compatibilidad CVE que promueve el uso de identificadores CVE estándar por las autoridades autorizadas CVE Numeración.

MITRE-sin fines de lucro-CVE

He aquí una lista de los proveedores de software que están participando como Autoridades de numeración CVE:

  • Adobe Systems Incorporated (Solamente cuestiones de Adobe)
  • Apple. (Solamente cuestiones de Apple)
  • Attachmate (Sólo cuestiones Attachmate / Novell / SUSE / NetIQ)
  • Zarzamora (Sólo cuestiones BlackBerry)
  • sistemas de Cisco, Inc. (Sólo cuestiones Cisco)
  • Debian GNU / Linux (Sólo cuestiones Linux)
  • EMC Corporation (Sólo cuestiones EMC)
  • FreeBSD (Sólo principalmente cuestiones de FreeBSD)
  • Corporación Google. (Cromo, Chrome OS, única y cuestiones del proyecto Android Open Source)
  • Hewlett-Packard Development Company, L.P. (Solamente cuestiones de HP)
  • IBM Corporation (Solamente cuestiones de IBM)
  • Corporación Microsoft (Solamente cuestiones de Microsoft)
  • Corporación Mozilla (Sólo cuestiones Mozilla)
  • Oracle (Solamente cuestiones de Oracle)
  • Red Hat, Inc. (Sólo cuestiones Linux)
  • Silicon Graphics, Inc. (Sólo cuestiones SGI)
  • Symantec Corporation (Solamente cuestiones de Symantec)
  • Ubuntu Linux (Sólo cuestiones Linux)

No cualquier empresa puede participar como un CNA. Hay varios requisitos que deben cumplirse:

Ante todo, CNA debe ser un proveedor de software importante con una base de usuarios importante y una capacidad de asesoramiento especial de seguridad. La otra opción para convertirse en un CNA es ser un tercero establecido que actúa como un neutral colaborar entre los investigadores y los proveedores.

Además, como ha señalado MITRE, la CNA debe ser un punto de distribución se conformó con las revelaciones de vulnerabilidad de primera vez.

Siguiendo el requisito CVE para identificar los asuntos públicos, la CNA sólo debe asignar CVE-ID para los problemas de seguridad que se harán públicos. Por último, debe seguir las prácticas anuncio susceptibles que son ampliamente aceptados en las comunidades de seguridad. Todos estos requisitos sirven para asegurarse de que no cometen errores.

Enlaces importantes a seguir:
https://web.nvd.nist.gov/view/vuln/search

La base de datos Exploit

Otra base de datos que debe ser 'el honor' es Explotar la base de datos sostenida por Seguridad Ofensivo.

-explotar la base de datos

La base de datos es un Exploit CVE archivo compatible de exploits públicos y el correspondiente software vulnerable, desarrollado para el uso de pruebas de penetración e investigadores de vulnerabilidad. Nuestro objetivo es servir a la colección más completa de hazañas obtenida a través de presentaciones directas, listas de correo, así como otras fuentes públicas, y presentarlos en una libre disposición y fácil de navegar la base de datos. La base de datos Exploit es un repositorio de exploits y conceptos de prueba de lugar de avisos, por lo que es un recurso valioso para aquellos que necesitan datos procesables inmediato.

El DB Exploit se puede utilizar para la presentación de muestras. Sin embargo, varias reglas tienen que ser seguido para que el equipo para aceptar la presentación. Más en https://www.exploit-db.com/submit/.

¿Por qué son CVE bases de datos importantes y lo que se de respuesta a incidentes

En noviembre 2013, FireEye señaló el creciente volumen de ataques dirigidos. Hoy, Estadísticas de la industria todavía revelan un porcentaje asombroso de los sitios web que tienen múltiples vulnerabilidades. Las cosas se ponen aún peor, porque en 2015 estamos viendo la ciberdelincuencia sea más iniciativa que nunca, y los criminales cibernéticos elaboración de formas innovadoras para alcanzar sus metas de violación. Por ejemplo, en enero KrebsOnSecurity publicó un artículo en el que un foro subterráneo llamado Enigma fue revelado. Es sólo una de una creciente comunidad de foros de delincuencia cibernética privada, que han redefinido el significado de los ataques dirigidos. La oferta-y-pregunte foros como Enigma conectar ladrones que buscan acceso a los datos específicos, recursos o sistemas con codificadores maliciosos capaces y motivados.

A pesar de que los ataques de phishing de lanza son actualmente popular y mucha gente está dispuesta a pagar para adquirir información confidencial de esta manera, exploits de día cero no debe ser subestimada, así. por lo menos, como visible por la imagen a modo de ejemplo por encima de, ataques de phishing pueden señalar a la explotación de una vulnerabilidad conocida en particular. El mayor cross-site scripting vulnerabilidad en Internet Explorer desde enero de este año podría abrir la puerta a los ataques de phishing e ilustrado cómo este tipo de amenazas cibernéticas peligrosos para los usuarios.

Otro ataque de día cero que no pasó desapercibido preocupados Adobe. En octubre se confirmó que una particular vulnerabilidad afectada versión de Flash 19.0.0.207. A continuación, la vulnerabilidad fue catalogada como CVE-2.015-7.645. Esta es la descripción de la vulnerabilidad de la base de datos de MITRE:

Adobe Flash Player 18.x través 18.0.0.252 y 19.x través 19.0.0.207 en Windows y OS X y 11.x través 11.2.202.535 en Linux, permite a atacantes remotos ejecutar código arbitrario a través de un archivo SWF diseñado, tan explotados en estado salvaje en octubre 2015.

CVE-zero-day-ataque
Así es como un ataque se lleva a cabo. La imagen es ejemplar. Fuente de la imagen: RSA / CNET

Lo que era bastante peculiar sobre este ataque fue que una vulnerabilidad previamente desconocida en versiones totalmente parcheado de Flash Player de Adobe se apalancó. Por explotarlo, los atacantes podrían instalar malware en los usuarios finales’ máquinas. Se informó Esos ataques para afectar sólo las agencias del gobierno como parte de una campaña de espionaje a largo plazo iniciado por un grupo conocido como Tormenta Hipoteca.

Puesto que tales ataques son un hecho cotidiano en numerosas organizaciones, respuesta a incidentes es una necesidad.

Respuesta a incidentes es un enfoque organizado para abordar y gestionar los efectos de un fallo de seguridad. El objetivo de IR es para hacer frente a la violación de la mejor manera posible, al limitar el daño y la reducción de los gastos de recuperación. Un buen plan de respuesta a incidentes contiene una política que define lo que es un incidente y administra un tutorial paso a paso que se debe seguir estrictamente cuando un ataque tiene lugar.

El Instituto SANS ha recopilado seis pasos para hacer frente a un incidente conocido como. un ataque de la manera más suficiente:

  • Preparación. Las empresas deben educar a sus empleados y el personal de TI de la importancia de las medidas de seguridad actualizados y capacitarlos para responder a incidentes informáticos y de seguridad de la red de una manera rápida y adecuada.
  • Identificación. El equipo de respuesta se señala cada vez que una posible infracción tiene lugar, y debe decidir si se trata de un incidente de seguridad o algo más. El equipo se recomienda a menudo para ponerse en contacto con el Centro de Coordinación CERT, que rastrea y registra las actividades de seguridad de Internet y recopila la información más reciente sobre los virus y gusanos.
  • Contención. El equipo de respuesta decide sobre la gravedad y la duración de la emisión. Desconexión de todos los sistemas y dispositivos afectados para evitar daños mayores también se aplica.
  • Erradicación. El equipo de respuesta continúa con la investigación para revelar el origen del ataque. La causa raíz del problema y todas las sobras de códigos maliciosos se erradicó.
  • Recuperación. Los datos y el software se restablecen a partir de archivos de copia de seguridad limpias, asegurándose de que no hay vulnerabilidades se dejan. Los sistemas son monitoreados para detectar cualquier signo de la propensión a una falla.
  • Lecciones aprendidas. El equipo de respuesta analiza el ataque y la forma en que fue tratado, y prepara recomendaciones para la mejor respuesta futuro y en aras de la prevención de incidentes.
  • Referencias

    https://cve.mitre.org/
    https://www.offensive-security.com/
    https://www.sans.org/
    https://krebsonsecurity.com/
    https://www.fireye.com/

    donload_now_250
    Escáner Spy Hunter sólo detectará la amenaza. Si desea que la amenaza se elimine de forma automática, usted necesita comprar la versión completa de la herramienta anti-malware.Obtenga más información sobre la herramienta de SpyHunter Anti-Malware / Cómo desinstalar SpyHunter

    Milena Dimitrova

    Milena Dimitrova

    Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim

    Más Mensajes

    Sígueme:
    Gorjeo

    Dejar un comentario

    Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Compartir en Facebook Compartir
Cargando ...
Compartir en Twitter Pío
Cargando ...
Compartir en Google Plus Compartir
Cargando ...
Compartir en Linkedin Compartir
Cargando ...
Compartir en Digg Compartir
Compartir en Reddit Compartir
Cargando ...
Compartir en Stumbleupon Compartir
Cargando ...