RE: [SEGURIDAD TI] Estemos preparados. Es lo fundamental.

[Ramiro Pulgar <ramiro.pulgar AT bluehatconsultores.com>]

Excelente información!!!!

No creo que esté de más reunirnos informalmente e incrementar el 
relacionamiento comunitario, acuerdos, intercambio de información a través de 
plataformas, etc.

Me quedo atento por si existe alguna idea.

Saludos Cordiales,

Ramiro Pulgar
CyberSecurity Expert | Trainer
BLUE HAT CERT
Linkedin: http://www.linkedin.com/in/ramiropulgar

www.bluehatconsultores.com
Av. 12 de Octubre N24-739 y Av. Cristóbal Colón
Edificio Boreal, piso 8, oficina 802
Quito, PI, 170523
Telf: +593 2 382 6909
Móvil: +593 99 275 1705

PublicKeyID: 0x0BAA7B2D http://keys.gnupg.net  |  http://keyserver.pgp.com
Fingerprint: 4096R/0BAA7B2D 4C7E 5264 F07A CFFA 3987 18CF DBD6 C750 0BAA 7B2D

Disclaimer: The information contained in this e-mail is confidential and 
intended only for the use of the person or company to which it is addressed. 
This information is considered provisional and referential; it can not be 
totally or partially distributed nor copied by any media without the 
authorization from the sender. The sender does not assume responsibility 
about this information, opinions or criteria contented in this e-mail.


-----Original Message-----
From: seguridad-request AT listas.cedia.org.ec 
<seguridad-request AT listas.cedia.org.ec> On Behalf Of Ernesto Perez
Sent: jueves, 13 de junio de 2019 10:16
To: seguridad AT listas.cedia.org.ec
Subject: [SEGURIDAD TI] Estemos preparados. Es lo fundamental.

hola todos
hemos publicado la siguiente información de interés para todos:

https://csirt.cedia.org.ec/2019/06/estemos-preparados-es-fundamental/

¿Recuerdan los incidentes de Abril? Durante este incidente se sucedieron 
algunos ataques de DDOS, exfiltración de datos, desfiguración de sitios web 
del país. Podría repetirse un evento de similares características si no 
tomamos medidas adecuadas.

Estos eventos aprovecharán, en su mayoría, fallas conocidas y no parcheadas 
en sistemas del país como: XSS, CSRF, SQLi, claves débiles, bypass de 
autenticación. En muchos casos se aprovecharán sistemas olvidados o 
abandonados. Sistemas que ya no se usan por las instituciones y que están 
todavía publicados. En fin, sistemas desactualizados.

* Sugerencias para prepararse ante un posible ataque Estas sugerencias son 
básicas y continuamente deben revisarse que estén aplicadas en su 
organización. No pueden considerarse como la única forma de protegerse ante 
un ataque mas bien busca que los interesados logren realizar ciertas tareas 
de protección ante ataques que típicamente se ejecutan contra nuestras 
organizaciones.

La prevención es fundamental en estos momentos, por lo que sugerimos tener en 
cuenta y ejecutar cada una de las siguientes medidas:
- Monitorear la actividad, comportamiento, reacción de los sistemas y 
equipamiento en busca de anomalías.
- Escaneo de su red para detectar equipos y servicios habilitados en ella.
- Deshabilitar, apagar, despublicar cualquier sistema o servicio expuesto que 
ya no se esté utilizando en su institución. Tener en cuenta que, por ejemplo, 
en servidores web pueden haber sitios activos y sitios de prueba o 
abandonados que ya no se usen. Deben deshabilitarse los no usados.
- Cerrar servicios innecesarios. En la actualidad tenemos varias redes con 
los siguientes servicios abiertos que pueden ser mal utilizados.
Sugerimos no exponer a internet estos:
-- RDP
-- NTP desconfigurado
-- DNS de caché abierto
-- telnet
-- SNMP con clave por defecto
- Respaldar la información de su organización
- Actualizar todos los sistemas operativos y sistemas informáticos de su
organización: Routers, firewalls, endpoints y servidores. Así como 
aplicaciones como manejadores de contenidos, CRM, LMS, aplicaciones de 
importancia para su organización donde se publiquen datos de sus usuarios, 
etc.
- Revisar contra malware instalado en equipos y sistemas de su organización. 
La preparación para los ataques pueden estar sucediendo en estos momentos a 
través de la implantación de troyanos que puedan ser activados cuando los 
atacantes consideren necesario.
- Endurecer sistemas operativos de su organización
- Limitar accesos a herramientas administrativas de su organización a IPs o 
redes de su confianza
- Cambiar las claves de sus sistemas, utilizando claves fuertes. De ser 
posible autenticación en dos etapas.
- Revisar políticas de su firewall para impedir se expongan servicios 
innecesarios
- De ser posible, ubicar sus sitios web detrás de un WAF
- Solicitar a los trabajadores de su institución estén atentos ante intentos 
de aplicación de ingeniería social para extraer información (pueden utilizar 
phishing u otra técnica para convencer a las personas que ejecuten 
aplicaciones maliciosas)
- Permanecer atento ante cualquier información sobre el inicio de los ataques.

Sugerimos además:
- Constituir un grupo de reacción a incidentes o designar a una persona 
responsable de la seguridad en su organización e integrarse al canal de slack 
que tenemos formado: https://csirtec.slack.com
- suscribirse a la lista pública:
https://listas.cedia.org.ec/sympa/info/seguridad
- Solicitar suscripción a la lista de CSIRTs en caso de ser un CSIRT enviando 
un mail a csirt AT cedia.org.ec
- Solicitar ingreso a grupo de seguridad de WhatsApp "Seguridad INF - 
Ecuador" enviando un mail a jcedeno AT securityandbusiness.com

Este aviso ha sido preparado por CSIRT CEDIA con la colaboración de BlueHat 
CSIRT


--
CEDIA
La principal herramienta de Investigación en el Ecuador.

Gonzalo Cordero 2-122 y J. Fajardo
Cuenca -  Ecuador
Telf: +593 7 407 9300 Ext. 115
info AT cedia.org.ec
www.cedia.edu.ec
--
CEDIA
http://listas.cedia.org.ec

Attachment: smime.p7s
Description: S/MIME cryptographic signature