blog

La seguridad de información es “el estado de la información e infraestructura donde la posibilidad de robo, manipulación, o interrupción de información y servicios se mantiene bajo o tolerable”. Se basa en cinco elementos principales: Confidencialidad, integridad, disponibilidad, autenticidad, y no repudio.

Confidencialidad

La confidencialidad es la garantía de la información es accesible unicamente para autorizados. Las brechas a la confidencialidad pueden ocurrir debido a un inapropiado manejo de datos o un intento de hacking. Los controles de confidencialidad incluyen la clasificación, encriptación de datos, y una apropiada eliminación de equipos (como DVD, unidades USB y discos Blu-ray).

Integridad

La integridad es la fiabilidad de los datos o recursos en la prevención de cambios inapropiados o no autorizados; es decir la garantía de la información es lo suficientemente precisa para su propósito. Los mecanismos para mantener la integridad de datos pueden incluir una suma de verificación (un número producido por una función matemática para verificar un bloque de datos determinado no ha cambiado) y control de acceso (lo cual garantiza únicamente personas autorizadas puedan actualizar, añadir, o borrar datos).

Disponibilidad

La disponibilidad es la garantía los sistemas responsables para la entrega, almacenamiento, y procesamiento de información sean accesibles cuando sean requeridos por usuarios autorizados. Los mecanismos para mantener la disponibilidad de los datos puede incluir arreglos de discos para sistemas redundantes y equipos en clúster, software antivirus para combatir malware, y sistemas para la prevención de negación de servicio distribuido (DDoS).

Autenticidad

La autenticidad se refiere a la característica de las comunicaciones, documentos, o cualquier dato garantiza la calidad de ser genuino o sin corrupción. El rol principal de la autenticación es para confirmar un usuario es genuino. Controles como biometría, tarjetas inteligentes, y certificados digitales garantizan la autenticidad de los datos, transacciones, comunicaciones, y documentos.

No repudio

El no repudio es una manera de garantizar el remitente de un mensaje no pueda negar posteriormente haberlo enviado, y tampoco el receptor no pueda negar haber recibido el mensaje. Individuos y organizaciones utilizan firmas digitales para garantizar el no repudio.

Fuentes:

https://destcert.com/resources/five-pillars-information-security/
 

Los servicios en la nube han permitido a las empresas hacer más por menos. Aunque esto tiene beneficios cuantitativos inmediatos, existen riesgos inherentes de ciberseguridad los cuales deben ser resueltos antes de los proveedores de la nube puedan establecer una relación de confianza.

Recomendaciones para la Continuidad del Negocio

• Revisar el contrato de compromisos con terceros para mantener y continuar los servicios.
• Revisar los procesos para Continuidad del Negocio de terceros y cualquier certificación necesaria
• Conducir una evaluación in situ sobre las instalaciones del Proveedor de Servicios en la Nube (CSP)
• El cliente debe asegurarse de recibir confirmación de cualquier prueba BCP/DR realizada por el CSP.

Recomendaciones para Recuperación ante Desastres

• Los clientes de la nube no deben depender sobre un solo proveedor, y deben tener un plan para Recuperación ante Desastres en el evento el proveedor falle
• Los proveedores IaaS deben tener acuerdos contractuales con múltiples proveedores, y estar listos para restaurar rápidamente los sistemas en el evento de una falla crítica

Es importante revisar el plan para restauración documentada del proveedor de servicios, incluyendo los detalles de las prioridades para la restauración. Este debe estar alineado con el SLA.

Acordar detalladamente los controles para seguridad de la información los cuales se consideran e implementan durante el proceso para restauración, tales como:

• Autorizaciones del personal
• Seguridad en sitios alternativos
• Dependencia sobre otros proveedores y servicios
• Separación física y lógica del sitio secundario

Fuentes:

https://cloudsecurityalliance.org/

Algunas barreras para el desarrollo de sistemas SaaS incluyen cumplimiento, lo multi-inquilino, y dependencia de un proveedor. Aunque estas son citadas como algunas de las principales razones para la reticencia ante la migración de seguridad hacia la nube, estas son las mismas preocupaciones enfrentadas en los centros de datos tradicionales. El cumplimiento se plantea como una preocupación dado el entorno de regulación global. Los proveedores de Seguridad como Servicio (SaaS) deben ser conscientes de las regulaciones regionales afectando los servicios y sus clientes, las cuales pueden incorporarse como un servicio.

Los más diligentes proveedores de Seguridad como Servicio frecuentemente contratan servicios legales y de mediación de terceros para resolver de forma preventiva requerimientos de regulación del consumidor con los requisitos regulatorios regionales de una jurisdicción. Como con cualquier servicio en la nube, lo multi-inquilino presenta preocupaciones de fuga de datos entre instancias virtuales. Los proveedores de Seguridad como Servicio (SaaS) deben tomar significativas precauciones para asegurar los datos estén compartimentados y cualquier dato compartido se anonimice para proteger la identidad y origen.

Cuando se utiliza Seguridad como Servicio el proveedor puede tener estándares propietarios. En el evento de un cliente busque un nuevo proveedor, debe realizar una transición ordenada y con rigor forense, además de garantizar los datos y archivos de registro existentes sean traducidos correctamente y con rigor forense. Es importante anotar salvo en el caso de multi-tenencia, cada una de estas preocupaciones no son únicas para la nube, sino son problemas enfrentados en modelos tradicionales y tercerizados. Cuando se despliega Seguridad como Servicio en un entorno o industria altamente regulada, el acuerdo sobre las métricas definiendo el nivel de servicio requerido para alcanzar los objetivos de regulación deben ser negociados en paralelo con los documentos SLA (Acuerdo de Nivel de Servicio) definiendo el servicio.

La Seguridad Web como Servicio (SaaS) ofrece un control técnico protector, de detección, y reactivo. Ofrece protección en tiempo real, ya sea on premise mediante software o un appliance, o mediante la nube utilizando un proxy o redirigiendo el tráfico web hacia el proveedor de nube.

Fuentes:

https://cloudsecurityalliance.org/
 

Tres opciones válidas para proteger los datos:

Descubrimiento de Contenido: Identifica el almacenamiento de información sensible. Las organizaciones pueden definir políticas alrededor de diversas medidas incluyendo el tipo de información, estructura, o clasificación. En este punto los datos en almacenamiento son escaneados  utilizando análisis avanzado de contenido para identificar violaciones a las políticas. Esto puede ser hecho mediante un servicio gestionado.

Encriptación del Almacenamiento en Volumen: Esto protege volúmenes de exploración por parte del proveedor de la nube, como también protege ante la clonación de instantáneas y la pérdida física de las unidades.

Encriptación del Almacenamiento de Objetos: La encriptación del almacenamiento de objetos y el almacenamiento en volumen abordan muchos de los mismos problemas. La principal diferencia es la encriptación para el almacenamiento de objetos permite al usuario implementar Almacenamiento Privado Virtual (VPS), pues frecuentemente está expuesto hacia redes públicas.

Similar a una Red Privada Virtual (VPN), los VPS permiten la utilización de una infraestructura compartida pública mientras proporciona protección de datos. Únicamente aquellos con  la llave correcta de encriptación pueden desencriptar y visualizar los datos, sin relevancia de la exposición. Algunos tipos de encriptación para almacenamiento de objetos son:

• Encriptación de archivos/carpetas: Utilizar la encriptación estándar de archivos/carpetas para asegurar los datos antes de implementar el almacenamiento de objetos.
• Encriptación de cliente/aplicación: Encripta datos utilizando un algoritmo para encriptación dentro de la aplicación o el cliente. El almacenamiento de objetos es utilizado como back-end para una aplicación, incluyendo aplicaciones móviles.
• Encriptación del proxy: Los datos son enviados a través de un proxy de encriptación antes de moverse hacia el almacenamiento de objetos.

Prevención ante Pérdida de Datos (DLP)

Es definido como un producto el cual, en base a políticas centrales, identifica, vigila, y protege los datos en reposo, en movimiento, y en tránsito, a través de un análisis profundo de contenido. DLP puede proporcionar opciones sobre como manejar datos violando políticas. Algunas maneras en la cual la prevención ante pérdida de datos puede ser manejada son: 1) Acceso o transmisión de datos puede ser bloqueada (interrumpiendo una actividad), o 2) Permitir pueda ser factuble de proceder después de los datos han sido apropiadamente encriptados.

Migración de Datos hacia la Nube (Detección)

Muchas organizaciones encuentran retador gestionar los datos cuando se mueven hacia la nube. Existen dos pasos para gestionar el movimiento hacia la nube aparte de los controles tradicionales (control de acceso, encriptación, etc.):

El primero es utilizar Vigilancia de Actividad para la Base de Datos y Vigilancia de Actividad de Archivos para vigilar grandes migraciones de datos internos. Los datos necesitan ser extraídos desde su localización actual antes de puedan ser transferidos hacia la nube. La Vigilancia para Actividad de la Base de Datos puede detectar cuando un administrador u otro usuario intenta recuperar o replicar un gran conjunto de datos o base de datos, lo cual podría indicar una migración. La Vigilancia para Actividad de Archivos proporcionada es muy similar al de los recursos compartidos de archivos.

Lo segundo es utilizar el Filtrado de URL junto con la Prevención ante Pérdidas de Datos (DLP) para vigilar los datos siendo movidos hacia la nube. El filtrado de URL permite vigilar o prevenir las conexiones de los usuarios hacia la nube. DLP mira el contenido de los datos transmitidos para ver si están aprobados. El administrador puede configurar los sistemas para alerten de bloqueos basado sobre la clasificación o el tipo de datos. Por ejemplo el usuario puede permitir los datos privados de la corporación vayan hacia un servicio en la nube aprobado si es hecho por usuarios aprobados, pero bloquear los mismos datos de migración para un servicio en la nube no aprobado.

Vigilancia de Actividad de la Base de Datos

Los Vigilantes de Actividad de la Base de Datos registran; toda la actividad del Lenguaje Estructurado para Consulta (SQL) (incluida la actividad del administrador de la base de datos) en tiempo real o casi real, a través de múltiples bases de datos, y pueden ser configurados para alertar sobre violaciones de políticas. La Vigilancia para Actividad de Base de Datos (DAM) soporta vigilancia de actividad de base de datos casi en tiempo real y puede ser configurada para enviar alertas basadas sobre violaciones de políticas, como inyecciones SQL o la transferencia o replicación de la base de datos por parte de un administrador sin aprobación. Las herramientas DAM para entornos en la nube suelen estar típicamente basadas en agentes, conectándose hacia un servidor central de recolección.

Vigilancia de Actividad de Archivos

Productos los cuales vigilan y registran toda la actividad dentro de repositorios de archivos específicos y envían alertas sobre violaciones de políticas. La Vigilancia de Actividad de Archivos para la nube requiere un agente de punto final o un appliance físico entre el almacenamiento en la nube y los usuarios.

Dispersión de Datos

La dispersión de datos o información es una técnica la cual es comúnmente utilizada para mejorar la seguridad de los datos sin encriptarla. Estos algoritmos son capaces de proporcionar alta disponibilidad (HA) y salvaguarda para los datos almacenados en la nube, proporcionando fragmentación de datos, siendo comunes en muchas plataformas de nube.

Fragmentación de Datos

Con la fragmentación de datos, un archivo es dividido en un número específico de fragmentos; todos los fragmentos están firmados y son distribuidos hacia servidores remotos. El archivo es reconstruido cuando el usuario accede a un número determinado de fragmentos elegidos arbitrariamente. El mecanismo de fragmentación puede también ser utilizado para almacenar datos de larga vida en la nube con alta seguridad.

La seguridad de los datos es significativamente mejorada cuando se combina la fragmentación y la encriptación, pues un ciberatacante debe comprometer varios nodos en la nube para recuperar suficientes fragmentos del archivo para posteriormente romper los mecanismos de encriptación.

Fuentes:

https://es.slideshare.net/slideshow/cloud-security-guide/26365895

La principal meta en seguridad de la información es asegurar los datos contenidos dentro de aplicaciones y sistemas.

Las compañías quienes están migrando hacia la nube encuentran retador implementar métodos de seguridad tradicionales para los datos. La computación en la nube inicia con la gestión de datos internos mientras se migra hacia la arquitectura en la nube. Esto incluye aplicaciones y servicios a través de todas las organizaciones.

En resumen la seguridad de información y los datos requiere una arquitectura y estrategia de red cuando se mueve hacia la nube.

Localizaciones lógicas vs. físicas de los datos

En lugar de un único ciclo de vida, se puede ilustrar esta relación pensando en varios ciclos de vida pequeños ejecutándose en diferentes entornos, algunas veces físicos, algunas veces lógicos. En casi cualquier fase los datos pueden moverse dentro, entre, y fuera de estos entornos.

La localización física y geográfica de datos tiene muchas importantes preocupaciones en lo relacionado a regulación y legal. Es altamente importante comprender las localizaciones lógicas y físicas de los datos debido a temas legales, de regulación, contractuales, y jurisdiccionales.

Almacenamiento en volumen: Esto incluye discos duros virtuales e instancias de LaaS. El almacenamiento en volumen rutinariamente apoya la seguridad y la resiliencia con una técnica conocida como dispersión de datos.

Almacenamiento de objetos: El almacenamiento de objetos (o almacenamiento de archivos) es similar a compartir archivos mediante un API sobre la web, en lugar de un disco duro virtual.

Fuentes:

https://es.slideshare.net/slideshow/cloud-security-guide/26365895
 

Los hipervisores de tipo 1 son nativos del sistema anfitrión sobre el cual están siendo ejecutado el software para virtualización. Los tipo 1 son también conocidos como hipervisores de hardware porque se ejecutan directamente sobre el hardware. Los hipervisores originales desarrollados por IBM eran de tipo 1. Quizás se esté familiarizado con algunos de los hipervisores más comunes de tipo 1, Citrix Hypervisor, VMware ESX o la solución Hyper-V.

En el otro lado existen los hipervisores de tipo 2. Los tipo 2 son hipervisores lógicos ejecutándose internamente dentro de un sistema operativo. En lugar de ejecutarse como el sistema operativo para el hardware, los hipervisores tipo 2 se ejecutan como aplicaciones dentro del sistema operativo. Hipervisores familiares de tipo 2 son las soluciones de VMware, como VMware Workstation. Quizás las soluciones virtuales caseras más comunes sean VMware Workstation Player y VirtualBox, ambos hipervisores de tipo 2. Si se ha utilizado algunos de estos antes, se conoce son ejecutados dentro del sistema operativo anfitrión y permiten la interacción entre los sistemas operativos invitado y anfitrión.

Con una red física es fácil aislar sistemas mediante separación física. Dado muchos entornos virtualizados utilizan una proporción de uno a muchos entre sistemas físicos y virtuales, el aislamiento puede ser un reto difícil. Es importante recordar el acceso hacia la máquina física también significa el acceso hacia todas las máquinas virtuales hospedadas. Los fundamentos de seguridad, como la separación de responsabilidades y el mínimo privilegio también deben aplicarse hacia los entornos virtualizados.

Una buena estrategia para la separación es aislar los servidores virtuales de escritorios virtuales los cuales son accedidos por usuarios básicos. Adicionalmente es una buena práctica separar sistemas críticos hospedando datos sensibles desde otros sistemas.

Fuentes:

https://pentestlab.blog/2013/02/25/common-virtualization-vulnerabilitie…
https://www.emc2data.com/hypervisor.html
 

El panorama actual de computación no es del todo nuevo. Antes de las computadoras personales y computación móvil, la principal infraestructura computacional era la computación mainframe. Esta computación funcionaba similar a los clientes ligeros de la actualidad: un sistema cliente se conecta hacia un sistema principal el cual realiza todo el trabajo pesado y el procesamiento sobre el backend. De hecho los primeros sistemas completamente virtualizados fueron creados por IBM en la década de 1960.

Los entornos virtuales actuales se ejecutan sobre hipervisores los cuales administran y vigilan las máquinas virtuales. Los hipervisores pueden ser ya sea físicos o lógicos. El sistema operativo local o nativo se conoce como la máquina anfitrión, y el software virtual ejecutándose sobre este es el sistema operativo invitado. Software moderno de virtualización es a la vez una ventaja y una desventaja. Es una ventaja por las oportunidades y facilidad de uso para los clientes, y es una desventaja por el nuevo panorama de ciberamenazas el cual abre. Como con toda nueva tecnología, se debe ser proactivos y diligentes para garantizar la mejor y más segura experiencia para los usuarios y sus datos personales.

Igual a la seguridad de red tradicional, es vital tener visibilidad del tráfico dentro de la red virtual. Al igual los switches físicos son configurados para vigilar tráfico de red hacia y desde máquinas físicas, los conmutadores virtuales se utilizan para vigilar y gestionar el tráfico hacia y desde máquinas virtuales. También como los dispositivos físicos, los switches virtuales deben también ser configurados para operar en modo promiscuo con el propósito de vigilar el tráfico de red.

Con una infraestructura en la nube, los métodos tradicionales para encaminamiento y conmutación están virtualmente obsoletos. Al igual los switches Ethernet tradicionales, los switches virtuales gestionan paquetes.

Los switches virtuales vienen en varias formas:

• Incorporados en el software virtual
• Incluidos como firmware sobre el servidor
• Adaptadores Ethernet virtuales

Los adaptadores Ethernet virtuales conectan sistemas virtuales únicos el uno con el otro, o hacia el switch virtual. También se pueden configurar tarjetas NIC virtuales para interactúen con switches virtuales específicos. Una máquina virtual con su propia NIC es considerada aislada, pues no tiene la capacidad para interactuar con otras máquinas virtuales. Esta funcionalidad es importante cuando se trata de aislar con éxito máquinas virtuales, ya sea por buenas prácticas de seguridad o por acuerdo contractual cuando se trata de ofertas de nubes privadas.

Fuentes:

https://pentestlab.blog/2013/02/25/common-virtualization-vulnerabilitie…
https://softwareengineering.stackexchange.com/questions/196405/how-did-…
 

Como se repite constantemente, la separación de tipos de datos es vital tanto para los sistemas tradicionales cuanto para los virtuales. La separación lógica de datos en un entorno virtualizado puede ser realizado de muchas maneras:

• Dispositivos para conmutación virtual gestionando tráfico de datos de red similar a los switches tradicionales.
• Los firewalls virtuales proporcionan filtrado e inspección de contenido.

La importancia de una aplicación de parches oportuna y eficaz es fundamental. Esto es especialmente verdadero cuando se habla sobre virtualización. Aunque es más fácil recordar las máquinas anfitrionas subyacentes tendrán vulnerabilidades y requerirán parches, es igualmente importante recordar las máquinas virtuales tendrán sus propios sistemas operativos y requerirán también sus propios parches.

Además de la separación lógica, las máquinas virtuales pueden también ser separadas simplemente utilizando diferentes máquinas físicas como sus anfitriones. En muchas instancias esto es un requerimiento. Las organizaciones gubernamentales y comerciales quienes posean y procesen información altamente sensible frecuentemente requieren los sistemas virtuales estén separados en servidores físicos diferentes.

Otra buena táctica de defensa es emplear VLAN independientes para diferentes sistemas y redes virtualizadas. Igual a los switches físicos, los switches virtuales pueden también ser utilizados para gestionar y crear LAN virtuales.

Fuentes:

https://www.vmware.com/topics/virtualized-security
 

Hyper Jumping

Muchos sistemas operativos invitados frecuentemente residen dentro de un sistema físico. El hyper Jumping ocurre cuando un ciberatacante es capaz de generar una brecha en un sistema operativo invitado, para luego migrar o saltar hacia otro sistema operativo invitado siendo hospedado en el mismo sistema físico. Esto incluye tanto sistemas operativos cuanto aplicaciones. En lugar de tomar control del hipervisor o de la máquina anfitrión, el hyper jumping es un compromiso lateral el cual utiliza una máquina invitada para comprometer otras.

Rowhammer

Rowhammer es un ataque el cual puede ser utilizado contra máquinas virtuales para escalar privilegios de usuario y escapar de los sandboxes y el aislamiento de las máquinas virtuales. Rowhammer es un exploit de hardware el cual manipula elementos de memoria física. El ataque funciona manipulando e intercambiando bits en la memoria de la computadora.

Blue Pill

Mientras Rowhammer es un exploit físico, Blue Pill es un ataque lógico el cual están constituido por paquetes de software malicioso llamados rootkits. El ataque Blue Pill es una forma de Hiperjacking, el cual manipula el modo a bajo nivel del kernel para proporcionar permisos con nivel de root al ciberatacante. Esto permite al ciberatacante interceptar y manipular las comunicaciones hacia y desde las máquinas invitadas. Si alguna vez se ha visto la película Matrix, probablemente se adivine el origen para el nombre de este exploit. Así como Neo; el protagonista de la película; tenía acceso hacia todos los sistemas y repositorios, el exploit Blue Pill proporciona al usuario mlicioso acceso ilimitado hacia los demás invitados. Blue Pill es uno de los exploits ejecutándose como un hipervisor falso, proporcionando acceso hacia los demás sistemas operativos invitados. Este software malicioso funcionó tan bien que Intel lo integró en su tecnología Intel VT.

Fuentes:

https://www.zdnet.com/article/blue-pill-the-first-effective-hypervisor-…
https://news.softpedia.com/news/new-ffs-rowhammer-attack-targets-linux-…
 

Errores de Aislamiento

Un común error administrativo cometido por los ingenieros de red es no segmentar los dispositivos y componentes de red. Esto puede ser aplicado también a la virtualización. Teniendo en mente las máquinas virtuales también emplean sus propias tarjetas virtuales para interfaz de red, es importante asegurarse las máquinas virtuales estén apropiadamente configuradas para únicamente interactuar con sistemas autorizados. Adicionalmente si un ciberatacante comprometiese un sistema virtual, también podría tener acceso de red hacia todos los sistemas conectados con aquel comprometido.

Vulnerabilidades Inherentes

Recordar el sistema anfitrión tiene un sistema operativo, y las máquinas invitadas también tienen sus propios sistemas operativos. Esto significa existen ahora múltiples conjuntos de vulnerabilidades únicas por los cuales preocuparse. El sistema operativo anfitrión tendrá sus vulnerabilidades, y el sistema operativo invitado también tendrá las suyas. Por ejemplo si se está ejecutando Windows 10 y Windows 8 y están siendo hospedados sobre un servidor Windows 2016. En este escenario existen tres sistemas operativos diferentes, cada uno único, y cada uno con sus propias vulnerabilidades. Esto incrementa enormemente tanto el panorama de amenazas como la necesidad de ciberseguridad.

Fuentes:

https://www.cse.wustl.edu/~jain/cse571-09/ftp/vmsec.pdf