Te muestro como determinar el nivel de impacto de un incidente de ciberseguridad y donde obtener mas información

En algunas ocasiones es difícil el clasificar el nivel del impacto de un incidente de ciberseguridad, en este post vamos a ver como podemos clasificarlo de acuerdo con el tipo de incidente. 

Para la clasificación se utilizan cinco niveles: crítico, muy alto, alto, medio y bajo.

Los siguientes datos fueron adaptados para el uso en una organización privada, solo son una muestra de los datos para que tengas un punto de partida y puedas seguir más fácilmente.

Criterios para determinar el nivel de impacto de un incidente de ciberseguridad.

Crítico

  • Afecta a una Infraestructura Crítica.
  • Afecta a sistemas clasificados SECRETO.
  • Afecta a más del 90% de los sistemas de la organización.
  • Interrupción en la prestación del servicio superior a 24 horas y superior al 50% de los usuarios.
  • Daños reputacionales muy elevados y cobertura continua en medios de comunicación internacionales.

Muy alto

  • Afecta a un servicio esencial.
  • Afecta a sistemas clasificados RESERVADO.
  • Afecta a más del 75% de los sistemas de la organización.
  • Interrupción en la prestación del servicio superior a 8 horas y superior al 35% de los usuarios.
  • Daños reputacionales a la imagen de la organización.
  • Daños reputacionales elevados y cobertura continua en medios de comunicación nacionales.

Alto

  • Afecta a más del 50% de los sistemas de la organización.
  • Interrupción en la prestación del servicio superior a 1 hora y superior al 10% de usuarios.
  • Daños reputacionales de difícil reparación, con eco mediático (amplia cobertura en los medios de comunicación) y afectando a la reputación de terceros.

Medio

  • Afecta a más del 20% de los sistemas de la organización.
  • Interrupción en la presentación del servicio superior al 5% de usuarios.
  • Daños reputacionales apreciables, con eco mediático (amplia cobertura en los medios de comunicación).

Bajo

  • Afecta a los sistemas de la organización.
  • Interrupción de la prestación de un servicio.
  • Daños reputacionales puntuales, sin eco mediático

Sin impacto

  • No hay ningún impacto apreciable.
Puedes obtener más datos en la siguiente link: Guía de INCIBE 

 

Te muestro como se clasifican los incidentes de seguridad y donde obtener más información

Una de las labores mas difícil es saber como clasificar un incidente de ciberseguridad, en este post te muestro las categorías en las cuales se pueden clasificar de acuerdo con la documentación publicada por el Instituto Nacional de Ciberseguridad INCIBE en el sitio web taxonomía de un incidente. 

La siguiente clasificación muestra la categoría, subcategoría y una descripción de cada una de ellas:   

  • Contenido abusivo
    • SPAM: correo electrónico masivo no solicitado. El receptor del contenido no ha otorgado autorización válida para recibir un mensaje colectivo.
    • Delito de odio: contenido difamatorio o discriminatorio. Ejemplos: ciberacoso, racismo, amenazas a una persona o dirigidas contra colectivos.
    • Pornografía infantil, contenido sexual o violento inadecuado: material que represente de manera visual contenido relacionado con pornografía infantil, apología de la violencia, etc.
  • Contenido dañino
    • Sistema infectado: sistema infectado con malware. Ejemplo: sistema, computadora o teléfono móvil infectado con un rootkit.
    • Servidor C&C (Mando y Control): conexión con servidor de Mando y Control (C&C) mediante malware o sistemas infectados.
    • Distribución de malware: recurso usado para distribución de malware. Ejemplo: recurso de una organización empleado para distribuir malware.
    • Configuración de malware: recurso que aloje ficheros de configuración de malware. Ejemplo: ataque de webinjects para troyano.
    • Malware dominio DGA: nombre de dominio generado mediante DGA (Algoritmo de Generación de Dominio), empleado por malware para contactar con un servidor de Mando y Control (C&C).
  • Obtención de información
    • Escaneo de redes (scanning): envío de peticiones a un sistema para descubrir posibles debilidades. Se incluyen también procesos de comprobación o testeo para recopilar información de alojamientos, servicios y cuentas. Ejemplos: peticiones DNS, ICMP, SMTP, escaneo de puertos.
    • Análisis de paquetes (sniffing): observación y grabación del tráfico de redes.
    • Ingeniería social: recopilación de información personal sin el uso de la tecnología. Ejemplos: mentiras, trucos, sobornos, amenazas.
  • Intento de intrusión
    • Explotación de vulnerabilidades conocidas: intento de compromiso de un sistema o de interrupción de un servicio mediante la explotación de vulnerabilidades con un identificador estandarizado (véase CVE). Ejemplos: desbordamiento de buffer, puertas traseras, cross site scripting (XSS).
    • Intento de acceso con vulneración de credenciales: múltiples intentos de vulnerar credenciales. Ejemplos: intentos de ruptura de contraseñas, ataque por fuerza bruta.
    • Ataque desconocido: ataque empleando exploit desconocido.
  • Intrusión
    • Compromiso de cuenta con privilegios: compromiso de un sistema en el que el atacante ha adquirido privilegios.
    • Compromiso de cuenta sin privilegios: compromiso de un sistema empleando cuentas sin privilegios.
    • Compromiso de aplicaciones: compromiso de una aplicación mediante la explotación de vulnerabilidades de software. Ejemplo: inyección SQL.
    • Robo: intrusión física. Ejemplo: acceso no autorizado a Centro de Proceso de Datos y sustracción de equipo.
  • Disponibilidad
    • DoS (Denegación de Servicio): ataque de Denegación de Servicio. Ejemplo: envío de peticiones a una aplicación web que provoca la interrupción o ralentización en la prestación del servicio.
    • DDoS (Denegación Distribuida de Servicio): ataque de Denegación Distribuida de Servicio. Ejemplos: inundación de paquetes SYN, ataques de reflexión y amplificación utilizando servicios basados en UDP.
    • Sabotaje: sabotaje físico. Ejemplos: cortes de cableados de equipos o incendios provocados.
    • Interrupciones: interrupciones por causas externas. Ejemplo: desastre natural.
  • Compromiso de la información
    • Acceso no autorizado a información: acceso no autorizado a información. Ejemplos: robo de credenciales de acceso mediante interceptación de tráfico o mediante el acceso a documentos físicos.
    • Modificación no autorizada de información: modificación no autorizada de información. Ejemplos: modificación por un atacante empleando credenciales sustraídas de un sistema o aplicación o encriptado de datos mediante ransomware.
    • Pérdida de datos: pérdida de información. Ejemplos: pérdida por fallo de disco duro o robo físico.
  • Fraude
    • Uso no autorizado de recursos: uso de recursos para propósitos inadecuados, incluyendo acciones con ánimo de lucro. Ejemplo: uso de correo electrónico para participar en estafas piramidales.
    • Derechos de autor: ofrecimiento o instalación de software carente de licencia u otro material protegido por derechos de autor. Ejemplos: Warez.
    • Suplantación: tipo de ataque en el que una entidad suplanta a otra para obtener beneficios ilegítimos.
    • Phishing: suplantación de otra entidad con la finalidad de convencer al usuario para que revele sus credenciales privadas.
  • Vulnerable
    • Criptografía débil: servicios accesibles públicamente que pueden presentar criptografía débil. Ejemplo: servidores web susceptibles de ataques POODLE/FREAK.
    • Amplificador DDoS: servicios accesibles públicamente que puedan ser empleados para la reflexión o amplificación de ataques DDoS. Ejemplos: DNS open-resolvers o Servidores NTP con monitorización monlist.
    • Servicios con acceso potencial no deseado: servicios accesibles públicamente potencialmente no deseados. Ejemplos: Telnet, RDP o VNC.
    • Revelación de información: acceso público a servicios en los que potencialmente pueda revelarse información sensible. Ejemplos: SNMP o Redis.
    • Sistema vulnerable: sistema vulnerable. Ejemplos: mala configuración de proxy en cliente (WPAD), versiones desfasadas de sistema.
  • Otros
    • Otros: todo aquel incidente que no tenga cabida en ninguna categoría anterior.
    • APT: ataques dirigidos contra organizaciones concretas, sustentados en mecanismos muy sofisticados de ocultación, anonimato y persistencia. Esta amenaza habitualmente emplea técnicas de ingeniería social para conseguir sus objetivos junto con el uso de procedimientos de ataque conocidos o genuinos.
    • Ciberterrorismo: uso de redes o sistemas de información con fines de carácter terrorista.
    • Daños informáticos PIC: borrado, dañado, alteración, supresión o inaccesibilidad de datos, programas informáticos o documentos electrónicos de una infraestructura crítica. Conductas graves relacionadas con los términos anteriores que afecten a la prestación de un servicio esencial.


Te muestro las tres principales clases de vulnerabilidades que buscan los ciberdelincuentes en tu organización

Es este post, vamos a revisar las tres principales vulnerabilidades que busca un delincuente informático para hacerse con los datos de tu organización. 

Software sin mantenimiento: Nada más apetitoso para un delincuente que encontrarse con un sistema operativo sin mantenimiento con vulnerabilidades técnicas críticas que le permita acceder al sistema. Recuerda que a diario son reportadas entre 7 y 8 vulnerabilidades en toda clase de software. Consejo: identifica las vulnerabilidades de software y dales tratamiento. 

Configuraciones débiles: Muchas vulnerabilidades se debe al típico next, next, next cuando se están instalando dispositivos o configurando equipos de seguridad. Debes verificar estas configuraciones para detectar cosas como accesos no autorizados en el firewall o múltiples salidas a Internet en la red LAN.

Usuarios no capacitado: hace poco leí una frase que me causo curiosidad: ¿Qué es más costoso para la organización, capacitar un usuario y que se vaya o no capacitarlo y que se quede?. Ten en cuenta que si decides capacitar, debes tener en cuentas cuatro tipos de usuarios: usuario final, personal técnico, usuarios VIP y usuarios de terceros.

Existen más vulnerabilidades y estas dependen del sector en el cual está tu organización, te recomiendo un análisis de estado para verificar que puedes mejorar en temas de ciberseguridad.


Descubre que son los tipos de pruebas caja negra, blanca y gris cuando hablamos de seguridad informática

Para un mejor entendimiento de las pruebas de seguridad informática que se deben de realizar en la organización, en la industria se dividieron en tres tipos, las pruebas de seguridad que se sugieren se deben de ejecutar al Interior de la organización. 

El nombre de cada tipo de pruebas depende de la cantidad de información que se entrega para ejecutar las pruebas. A continuación se describen los tres principales tipos:

Caja negra

El tipo de pruebas caja negra simula el ataque de un perpetrador con sus propios recursos. Cuando las pruebas de tipo caja negra se hacen desde Internet, solo se dispone de información pública. También existen las pruebas internas de tipo caja negra, esto se hace simulando un empleado recién contratado con solamente una conexión a la red interna.

Caja blanca

Para esta clase de pruebas, el consultor tendrá acceso a toda la información disponible. El objetivo es endurecer los controles ya existentes y revisar la posibilidad de probar posibles nuevos ataques. Para el ejemplo de un aplicativo, se evalúan las posibles vulnerabilidades existentes desde el código fuente, pasando por el aplicativo en producción hasta la infraestructura donde está alojado el aplicativo, también debes comprobar el esquema de backups para buscar posibles puntos de quiebre.

Caja gris

Este es el tipo de pruebas más utilizadas, donde la información que se entrega es parcial, tal información pueden ser: direcciones IP, dominios de Internet, nombres de equipos entre otra. Aquí se busca evaluar la seguridad de los equipos sin ofrecer mayor información. 

Los tres tipos de pruebas tienen sus ventajas y desventajas, la elección de que clase de pruebas se deben realizar depende de cada organización y de la criticidad de los activos.

El contenido de cada tipo de pruebas depende de cada organización e igualmente de los activos que se quieren evaluar, son como un traje a la medida que se debe ajustar a las necesidades y objetivos de cada organización.