Quartz 4

Sobre la PEF

7 min read

practicas de telefonicas csirt area de desarrollo gestion vulnerabilidades Aquí tienes tu texto corregido y expandido con mayor claridad y coherencia:

Sobre la PEF

Relacionado: SolarWinds. Controles. IDOR. biblio. Herramientas.

  • Jueves 3 de abril: Presentación.
  • Jueves 11 de abril: Entrega.

CVE-2025-24472

Es importante revisar la información relacionada con esta vulnerabilidad:

  • CVE: Descripción y detalles de la vulnerabilidad.
  • CWE: Categoría de debilidad de software a la que pertenece.
  • Severidad: Nivel de impacto según el CVSS.
  • Explotabilidad: Si ha sido explotada activamente.
  • Probabilidad de explotación (EPSS): Estimación de la probabilidad de que sea explotada en el corto plazo.

Los elementos clave a considerar incluyen la información proporcionada por el fabricante, aunque suele ser limitada, y el origen del reporte para evaluar su confiabilidad.

Aspectos que suelen ignorarse en seguridad

Contexto del sistema

Para una gestión efectiva de la seguridad, es esencial:

  • Entender el propósito del sistema, sus requisitos de operación y qué riesgos son aceptables.
  • Definir un modelo de amenazas (Threat Model) adecuado para el sistema.
  • Evaluar el papel de los proveedores en la implementación y mantenimiento de la seguridad.
  • Considerar la seguridad en la cadena de suministro para evitar compromisos en componentes críticos.
  • Conocer el sistema de manera integral, de extremo a extremo.

Un ejemplo claro de un descuido en este aspecto es cuando alguien toma control de un dominio de una biblioteca en desuso y logra que se descargue su versión maliciosa.

Seguridad de extremo a extremo

Existen tareas críticas que a menudo se pasan por alto, como:

  • Si la solución emplea dispositivos para procesar o mostrar información, los datos residirán en dichos dispositivos. Un código malicioso en ellos podría extraer esos datos.
  • Uso de servicios de terceros: proveedores de hosting, integradores, proveedores de software. Un compromiso en cualquiera de estos entornos podría afectar la seguridad del sistema.
  • Dispositivos de red que pueden almacenar o interceptar tráfico.
  • Copias de seguridad y almacenamiento de datos sensibles en ubicaciones no controladas.

Más sobre el contexto

Gobernanza del riesgo

  • Documentar el motivo detrás de cada decisión de seguridad.
  • Justificar decisiones y omisiones en ejercicios de Red Team.
  • Asegurar que no haya ambigüedades en la asignación de responsabilidades y roles.

Dificultar el compromiso del sistema

La seguridad debe abordarse desde lo más simple hasta lo más crítico. Algunas estrategias clave incluyen:

  • Reducir la superficie de ataque: si un componente no se usa, debe eliminarse.
  • Identificar controles de seguridad críticos y verificar que funcionan correctamente.
  • Proteger entornos de gestión y operación frente a ataques dirigidos.
  • Utilizar soluciones probadas y validadas en lugar de desarrollar alternativas inseguras. Ejemplo: en autenticación, usar OAuth en lugar de crear un sistema propio.
  • Autenticar y registrar todas las operaciones y accesos.
  • Diseñar para un mantenimiento sencillo, simplificando la gestión del control de acceso para los administradores.

Construcción de sistemas resilientes

Un sistema robusto debe priorizar la disponibilidad sin sacrificar la seguridad. Algunos puntos clave:

  • Sistemas con mecanismos dinámicos que bloquean funciones pueden generar problemas si no están bien diseñados.
  • Los WAFs en modo paranoico pueden ser demasiado restrictivos, generando más problemas que soluciones.
  • Escalabilidad: es necesario probar la resistencia del sistema ante ataques DDoS.
  • La detección es clave: sin importar las medidas tomadas, siempre habrá actores maliciosos.
  • Independencia en la monitorización del sistema para evitar que un atacante silencie las alertas.
  • Atención especial a la infraestructura de gestión y a la anonimización de datos en herramientas de reporte.
  • Requisitos legales antes que la propia seguridad: las normativas pueden dictar estándares de protección que deben cumplirse.

Ejemplo: Contexto en el diseño de sistemas

  • El diseño de un sistema no parte desde cero, sino desde una arquitectura existente.
  • Es fundamental identificar todos los elementos presentes en el sistema para evitar puntos ciegos.
  • Creación de árboles de ataque para modelar posibles escenarios de compromiso.
  • Segmentación de red: agrupar recursos por nivel de criticidad.
    • Área de negocio
    • Área de procesos
    • Área de seguridad

Los árboles de ataque deben enriquecerse con vectores de ataque comunes en la industria.

Ejemplo real: CrashOverride

  • Durante las tensiones entre Ucrania y Rusia, se llevó a cabo un ataque cibernético contra la red eléctrica.
  • CrashOverride es un malware diseñado para atacar dispositivos IoT dentro de infraestructuras críticas.
  • El ataque fue exitoso porque los atacantes conocían la infraestructura y sus vulnerabilidades.
  • Este incidente demuestra los riesgos de confiar en la seguridad por desconocimiento.

Seguridad en la cadena de suministro

Ejemplos relevantes:

  • SolarWinds: un ataque en la cadena de suministro que comprometió múltiples entidades gubernamentales y corporativas.
  • Huawei y routers: restricciones impuestas para evitar que su infraestructura fuera usada en redes core debido a preocupaciones de seguridad.
  • Estrategia de defensa:
    • Desconfianza en los sistemas de frontera.
    • Diversificación de proveedores para evitar dependencias críticas (por ejemplo, usar DNS de diferentes fabricantes).

1. Tarlogic y la vulnerabilidad en ESP32

Tarlogic es una de las empresas de ciberseguridad más destacadas de España. Han encontrado una vulnerabilidad en el ESP32, lo cual es relevante porque este chip es ampliamente utilizado en IoT y sistemas embebidos. Muchas veces, hay partes de la documentación que no se publican o no están detalladas, lo que hace que los investigadores tengan que descubrirlas mediante ingeniería inversa.

Si tienes más información sobre la vulnerabilidad específica, la podemos analizar en detalle.

2. Virtualización para seguridad

Tener un Windows virtual dentro de un sistema más seguro puede servir para restringir ataques y mejorar la seguridad en ciertos contextos. Esto se hace mediante soluciones de escritorios virtuales o virtualización tipo VMware, VirtualBox, KVM, Hyper-V, etc..

Un enfoque más extremo es QubesOS, donde cada aplicación o sistema se ejecuta en su propia máquina virtual aislada. Esto limita el impacto de un ataque, ya que comprometer una VM no significa que se pueda acceder al resto del sistema.

3. Relés para limitar el flujo de datos

En electrónica, un relé es un interruptor electromecánico que controla el paso de la corriente. Pero en seguridad informática, si hablas de “relés en datos”, podríamos estar refiriéndonos a varias cosas:

  • Data Diode: Un sistema de seguridad que solo permite el flujo de datos en una dirección. Se usa en entornos de alta seguridad, como redes militares o industriales.
  • Controles de flujo de información: Se pueden usar firewalls, proxy reverso, microsegmentación y otras técnicas para restringir el movimiento de datos dentro de un sistema.
  • Aislamiento de datos: Usar contenedores o máquinas virtuales para evitar que los datos de diferentes aplicaciones se mezclen.

Microsegmentación y Zero Trust

Microsegmentación

La microsegmentación es una estrategia de seguridad que divide una red en segmentos más pequeños y aislados para controlar el tráfico interno con gran granularidad. A diferencia de un firewall tradicional que filtra el tráfico en los límites de la red, la microsegmentación actúa dentro de la red, controlando el tráfico entre servidores, aplicaciones y dispositivos.

Uso de agentes:

  • Se implementa mediante agentes en los endpoints o hipervisores para monitorear y aplicar políticas de acceso.
  • Se parece a un firewall, pero opera a nivel interno con mayor precisión y control sobre los flujos de datos dentro de la red.

Arquitectura Zero Trust

Zero Trust parte de la premisa de que no se confía en nadie ni en nada de forma predeterminada. Cada comunicación debe ser verificada explícitamente, sin importar si ocurre dentro o fuera de la red corporativa.

Los principios clave incluyen:

  1. Verify Identity – Validar la identidad del usuario con autenticación fuerte.
  2. Verify Device – Evaluar si el dispositivo es confiable antes de conceder acceso.
  3. Verify Access – Aplicar controles de acceso basados en el contexto.
  4. Verify Services – Verificar que los servicios solicitados sean legítimos.
  5. Pervasive Telemetry – Monitoreo continuo para detectar anomalías en tiempo real.

Acceso Condicional en Zero Trust

El acceso condicional evalúa múltiples factores antes de permitir o denegar el acceso, independientemente de si el usuario tiene MFA activado. Ejemplo de factores que pueden bloquear el acceso:

  • Dispositivo diferente al que suele usarse.
  • Ubicación inusual, como acceso desde un país extraño.
  • Patrones raros de comportamiento, como intentos de acceso en horarios no habituales o desde múltiples ubicaciones en poco tiempo.

En Zero Trust, no basta con autenticarse correctamente; el acceso solo se concede si el contexto es seguro.

OpenZiti para una Arquitectura Zero Trust

OpenZiti es una plataforma de red Zero Trust de código abierto que permite crear conexiones seguras sin necesidad de una VPN tradicional. Es ideal para construir una arquitectura Zero Trust, ya que elimina la dependencia de redes preexistentes y aplica controles estrictos sobre cada conexión.

Graph View

Backlinks