CERT.at Cómo te cubrimos las espaldas

junio 11, 2024

Como CERT nacional, una de nuestras tareas extremadamente importantes es informar de forma proactiva a los operadores de red sobre problemas de seguridad potenciales o confirmados que podrían afectar a las empresas austriacas. Inicialmente, tenía la intención de discutir los cambios técnicos en nuestros sistemas, pero creo que es mejor comenzar explicando qué hacemos realmente y cómo le ayudamos a dormir bien por la noche, ¡aunque nunca debe confiar únicamente en nosotros!

Comprender el panorama de la seguridad

Considere la inmensidad de Internet: millones de dispositivos conectados, millones de configuraciones diferentes y miles de soluciones. Sólo en Austria, shodan.io informa de aproximadamente 1,7 millones de dispositivos accesibles en línea [1]. Estos incluyen servidores web y de correo, puntos finales VPN, bases de datos y prácticamente cualquier otra cosa que puedas imaginar conectada a Internet. Estos dispositivos pueden estar mal configurados, quedar expuestos por error o tener vulnerabilidades críticas. Si bien los propietarios son los principales responsables de sus servicios, mejoramos la seguridad de los austriacos notificando a los operadores de red sobre problemas importantes.

Como puedes imaginar, manejar todos los casos posibles sería imposible. Por eso, nos centramos en los problemas más típicos y automatizamos gran parte de nuestros procesos. Nuestro enfoque se basa en gran medida en el procesamiento automatizado de datos y el envío de notificaciones por correo electrónico. Para lograr esto, nos suscribimos a fuentes de datos de socios como ShadowServer. [2]una organización sin fines de lucro, y procesarlos con una solución de código abierto llamada IntelMQ [3]. Manejamos alrededor de 90 mil eventos diariamente, lo que genera aproximadamente entre 3 y 4 mil correos electrónicos enviados cada mes.

Con pocas excepciones, no analizamos dispositivos accesibles en línea. En primer lugar, carecemos de recursos para explorar Internet en busca de tantos casos diferentes de forma independiente. Además, el escaneo plantea desafíos legales; Es completamente ilegal en algunos países, mientras que otros lo permiten. Con el tiempo podríamos obtener el derecho explícito y, en algunos casos, incluso la obligación de realizar escaneos según la ley NIS2. Sin embargo, todavía es sólo un borrador. [4]y estamos esperando la versión final.

Nuestros socios que realizan escaneos se aseguran de hacerlo de manera legal y no intrusiva, y generalmente operan sus servidores en países donde el escaneo no está prohibido. Este es el enfoque elegido por ShadowServer [5]nuestra principal fuente de datos.

Nuestro rol

Si no escaneamos, ¿cuál es exactamente nuestro papel? En pocas palabras: te informamos. Los detalles, sin embargo, son más complejos. Simplificando, gestionamos dos tipos de fuentes de datos: fuentes regulares, totalmente automatizadas y fuentes urgentes recibidas, por ejemplo, durante incidentes en curso de investigadores que han identificado dispositivos vulnerables o infectados.

Saber más Herramientas de seguridad preventiva (ITSAP.00.058) - Centro Canadiense de Seguridad Cibernética

Las transmisiones automatizadas son procesadas inmediatamente por nuestro sistema IntelMQ. Los feeds de datos urgentes pasan primero ChatGPT un elemento humano: nuestro equipo de coordinación (las personas amigables que responden a sus correos electrónicos y monitorean las amenazas actuales, como se ve en nuestras selecciones de noticias diarias). [6]) y, si es necesario, a nuestro Equipo de Análisis (otras personas simpáticas que se especializan en descifrar lo que realmente está pasando). Evalúan la fuente y la relevancia de la información para garantizar que se refiera a incidentes importantes y que lo mantengamos informado sobre lo que realmente importa sin enviarle spam.

Posteriormente, todo procede a través de IntelMQ, donde nuestros flujos de trabajo son muy similares para ambos tipos de casos. Estandarizamos el formato, eliminamos duplicados (para evitar enviarle múltiples notificaciones sobre el mismo problema desde diferentes fuentes) y buscamos datos de contacto de los operadores de los dispositivos y servicios afectados para que nuestras notificaciones sean lo más valiosas posible. Cada mañana enviamos estas notificaciones por correo electrónico a los operadores de red. En casos urgentes, el Equipo de Coordinación podrá decidir enviar notificaciones en cualquier momento.

Entonces, la pelota está en tu tejado: debes decidir qué hacer con la información. Por lo general, esto implica parchear el software afectado o restringir el acceso a los servicios, aunque a veces puede decidir que la configuración actual es necesaria y optar por mantener abierta una base de datos, por ejemplo. Siempre puede volver a escribirnos para solicitar aclaraciones o solicitar la exclusión de futuras notificaciones. Si no se toma ninguna medida, se lo notificaremos nuevamente, normalmente cada 30 días, según la gravedad del problema.

Nos esforzamos por mantener un nivel bajo de falsos positivos; nadie quiere lidiar con ellos. Sin embargo, enviamos notificaciones en decenas de casos. [7], y en ocasiones podrías dejar abierto el acceso a un servicio intencionadamente, quizás porque contiene datos públicos o por otros motivos. Si bien esto puede ser aceptable, le instamos a que considere dichas decisiones cuidadosamente, especialmente cuando reciba una notificación nuestra. En muchos casos, los servicios que se dejan abiertos intencionalmente pueden ser explotados para ataques de amplificación (D)DoS, una situación en la que un actor de amenazas engaña a su sistema para que envíe una gran cantidad de datos a la víctima objetivo, como se ve en ataques bien conocidos que aprovechan Memcache. [8]. Cuando opere servicios accesibles en línea, considere no solo sus propias necesidades, sino también tome medidas para minimizar el riesgo de que sus sistemas se utilicen para dañar a otros.

Cómo se procesan los datos en CERT.at

¿Te conocemos?

Probablemente no, y eso es un desafío. La eficacia de nuestras notificaciones depende en gran medida de si llegan a la persona adecuada. Encontrar datos de contacto precisos no es sencillo y esta es un área en la que invertimos un gran esfuerzo para mejorar.

Saber más CNCS - Detalle de noticias

Nuestras notificaciones de problemas de seguridad normalmente se dirigen a servidores específicos identificados por sus direcciones IP. El primer lugar donde buscamos información de contacto es la base de datos RIPE. [9]. Por ejemplo, si recibimos un evento relacionado con una IP en una red operada por nic.at, nuestra empresa matriz, podemos acceder directamente a la base de datos RIPE para contactos de abuso relevantes. [10]. Este método funciona mejor para organizaciones que administran sus propios rangos de IP y mantienen contactos de abuso actualizados y monitoreados.

Sin embargo, muchas veces no es tan sencillo. Muchas veces, solo recibimos un correo electrónico de abuso genérico de un proveedor de servicios de Internet o una plataforma de alojamiento. Mientras enviamos la notificación, garantizar que llegue a los operadores responsables de los servicios reales depende de los procedimientos internos de cada empresa. Apreciamos a quienes se toman en serio esta responsabilidad (¡gracias!), pero a otros les cuesta reenviar correctamente las notificaciones a los cuidadores pertinentes.

Si bien no podemos influir en cómo los ISP manejan nuestras notificaciones, sus clientes pueden tomar medidas para garantizar que las notificaciones se transmitan. ¿Quizás podría considerar preguntar a sus proveedores cómo gestionan dichas notificaciones?

Para abordar estos problemas, mantenemos contactos internos con una lista de operadores. Actualmente, este sistema no se adapta bien ya que principalmente tenemos información de las organizaciones con las que trabajamos directamente y la actualización de los contactos es mayoritariamente manual.

Nuestro intento de resolver este problema es construir un portal electoral profesional. [11]. Ya hemos migrado una parte importante de nuestros datos de contacto allí y estamos trabajando en mayores integraciones con nuestros sistemas internos. Pronto, los usuarios del Portal podrán proporcionar contactos de abuso y administrar los tipos de notificaciones que desean recibir de nuestra parte. El acceso al portal es actualmente muy limitado, pero esperamos incorporar más organizaciones este año.

Saber más El portal estatal esti.ee cumple con las WCAG nivel A

Mantenerse actualizado

Otro desafío al que nos enfrentamos es decidir qué datos procesamos automáticamente y estar atentos a las fuentes existentes. Esto es crucial para proporcionar información confiable y precisa.

Durante el año pasado, desarrollamos un proceso que incluye reuniones periódicas de representantes de todos los equipos involucrados. Cada dos semanas, discutimos todos los cambios recientes y entrantes en nuestro sistema de notificación. Se analizan brevemente los nuevos flujos de datos que conocemos a través de nuestras fuentes actuales, conexiones privadas, reuniones en diferentes eventos o anuncios públicos. Si es necesario, el equipo de análisis echa un vistazo más de cerca. El Equipo de Coordinación comparte experiencias de retroalimentación y prepara las comunicaciones necesarias. Finalmente, el equipo de datos y desarrollo es responsable de integrar la fuente de datos y garantizar que el sistema funcione sin problemas a diario.

Este nuevo proceso y una revisión única de las fuentes existentes dieron como resultado un aumento significativo en los tipos de problemas que procesamos. Para nuestro principal proveedor, ShadowServer, duplicamos la cantidad de feeds procesados en el último año y actualmente admitimos alrededor de 70 de sus feeds. Para la mayoría de los datos, también hemos preparado descripciones breves disponibles en nuestro sitio web. [12].

Es sólo el comienzo

He descrito brevemente cómo intentamos informar de forma proactiva a los operadores de red sobre posibles problemas. Si bien hacemos todo lo posible para ampliar constantemente nuestra cobertura y mejorar la entrega de notificaciones, es fundamental enfatizar: no reemplazamos su responsabilidad por sus servicios. Estamos aquí para ayudar, pero en última instancia, usted es responsable de sus servicios. No vemos todo, no comprobamos todo y, lo más importante, incluso si intentamos ser lo más rápidos posible, si le hemos notificado, es posible que los actores de amenazas ya hayan notado su servicio. Sea proactivo, responsable y tome precauciones oportunas.

Esta publicación es solo una pequeña muestra de nuestras tareas diarias, basadas en lo que hago personalmente. Brindamos muchos más servicios, incluida la emisión de advertencias públicas, el monitoreo de fuentes de noticias, la respuesta a incidentes, el intercambio de IoC y la recopilación de notificaciones de incidentes NIS. Cada día, hacemos todo lo posible para cubrirte las espaldas.

Referencias

[1] https://www.shodan.io/search?query=country%3AAT [2024-05-15]
[2] https://www.shadowserver.org
[3] https://github.com/certtools/intelmq
[4] https://www.ris.bka.gv.at/Dokument.wxe?Abfrage=Begut&Dokumentnummer=BEGUT_42FD65C8_76B7_40F0_97E3_BB29BDFC0CE9
[5] https://www.shadowserver.org/faq/is-scanning-legal/
[6] https://www.cert.at/de/meldungen/tagesberichte/ (parcialmente sólo en alemán)
[7] https://www.cert.at/de/services/daten-feeds/vulnerable/
[8] https://blog.cloudflare.com/memcrashed-major-amplification-attacks-from-port-11211/
[9] https://apps.db.ripe.net/db-web-ui/query
[10] https://apps.db.ripe.net/docs/Types-of-Queries/Abuse-Contacts/
[11] https://tuency.cert.at/docs/
[12] https://www.cert.at/de/services/daten-feeds/vulnerable/

Source link