Resulta imprescindible, para poder mantener nuestros sistemas lo más robustos posibles ante amenazas externas, estar al día de las mismas. Conocer qué tipo de ataques se están produciendo a gran escala en un momento dado, y detectar nuevas vulnerabilidades que puedan afectar a nuestros sistemas de referencia con objeto de poder mitigarlos.
La célebre frase “Conócete a ti mismo, y conoce a tu enemigo” reflejada en el tratado del “Arte de la guerra” https://es.wikipedia.org/wiki/El_arte_de_la_guerra, ya reconoce esta necesidad de información como imprescindible.
En lo relativo a conocernos a nosotros mismos, la respuesta se encuentra en la correcta documentación de sistemas y procesos, de manera que a través de una normalización y herramientas complementarias (por ejemplo GLPI del que ya hablamos anteriormente) podamos tener identificados sistemas, equipos, cambios, problemas e incidencias.
Y respecto a conocer a nuestros enemigos, me temo que resulta mucho más complicado que la idea del concepto reflejada en la célebre frase anterior, y es que no hay nunca un enemigo claro, puede ser un ataque genérico o dirigido, tratarse de una IP Rusa, una botnet con distintos orígenes, un adolescente espabilado y con ganas simplemente de hacer daño, un equipo de hackers organizado con el objetivo de ganar dinero, o simplemente un trabajador de nuestra empresa que inocentemente ha picado en un enlace malicioso … y todo esto en el contexto de que tampoco hay una frontera clara sobre que proteger, sino decenas o cientos de equipos con software diverso, y características heterogéneas.
En el todo este contexto, resulta imprescindible una vigilancia tecnológica constante, que nos mantenga al día sobre amenazas, vulnerabilidades, nuevas herramientas disponibles, etc…
Y en este sentido, resultan muy útiles los siguientes recursos gratuitos del INCIBE (Instituto Nacional de Ciberseguridad):
Avisos de seguridad de Incibe:
URL: https://www.incibe.es/protege-tu-empresa/avisos-seguridad
Se trata de avisos de seguridad de actualidad, sobre campañas de malware o phishing en curso (ejemplo: una campaña de correos electrónicos fraudulentos haciéndose pasar por un Banco concreto muy activa en un momento dado), y avisos sobre detección de vulnerabilidades de software de referencia que pueden afectarnos por su extendido uso (ej. vulnerabilidades de una versión concreta de Windows y cómo solucionarlo).
INCIBE facilita además una suscripción a través de correo electrónico, con objeto de que estos avisos nos lleguen a nuestro buzón automáticamente, fácil y sencillo.
Lo suyo claro está, es que no sólo recibamos los avisos, sino que actuemos en consecuencia. Si por ejemplo hay una campaña activa de phishing suplantando a correos, podemos tomar acciones como informar a nuestros usuarios, o configurar en el firewall o sistema antispam reglas para minimizar el impacto. Si se nos avisa de un agujero de seguridad en un software concreto, y éste está extendido en la empresa, lo suyo es actualizarlo o realizar las acciones correctoras que nos recomienden.
Vulnerabilidades INCIBE
URL: https://www.incibe-cert.es/alerta-temprana/vulnerabilidades
Orientado a profesionales IT, INCIBE ha desarrollado además un repositorio de vulnerabilidades basado en el reconocido NVD (National Vulnerability Database) http://nvd.nist.gov/, cuya información ha sido además traducida al español.
El registro de vulnerabilidades emplea el estándar CVE (Common Vulnerabilities and Exposures), que básicamente es un código único con el formato CVE-ID, que identifica la vulnerabilidad inequívocamente, e indica a versiones software afecta, posible solución si existe, acciones para mitigarlo e información bibliográfica correspondiente.
Al igual que con la funcionalidad de Alertas INCIBE, es posible suscribirse a través de un boletín de correo o RSS para que nos lleguen estos avisos de seguridad automáticamente:
Y lo mejor de todo, podremos configurar avisos personalizados para el software que tenemos en la empresa, por ejemplo, si nuestra base de datos corporativa es MySQL, y el servidor web habitual Nginx, podremos añadir ambos sistemas en el aviso personalizado de vulnerabilidades:
Además en la web posee un buscador de vulnerabilidades que nos permite filtrar resultados a través de varias categorías.
Por último incluimos un ejemplo de un correo electrónico asociado al sistema de alertas de INCIBE:
