viernes, 22 de enero de 2010

IMPORTANTE: Alerta de Seguridad - Actualización de IIS

Boletín de seguridad de Microsoft MS10-002 – Crítico
Actualización de seguridad acumulativa para Internet Explorer (978207)

Resumen ejecutivo
Esta actualización de seguridad resuelve siete vulnerabilidades de las que se ha informado de forma privada y una vulnerabilidad de la que se ha informado de forma pública en Internet Explorer. La más grave de las vulnerabilidades podría permitir la ejecución remota de código si un usuario de Internet Explorer visita una página web especialmente diseñada. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

Recomendación.
La mayoría de los clientes tienen habilitada la actualización automática y no deben realizar ninguna acción porque esta actualización de seguridad se descargará e instalará automáticamente. Los clientes que no han habilitado la actualización automática deben buscar las actualizaciones e instalar esta actualización manualmente. Para obtener información sobre las opciones de configuración específicas de la actualización automática, vea el artículo 294871 de Microsoft Knowledge Base.

Utilice la versión más reciente del navegador, Internet Explorer versión 8, el cual provee la mitigación más efectiva al problema de seguridad reportado como “Boletín de Seguridad MS10-002” o alternativamente como “Ciberataque chino” o “Ataque a Google”.

Más información disponible en:

· Sitio e Seguridad de Microsoft: www.microsoft.com/latam/seguridad/default.mspx

· Blog de seguridad: http://blogs.technet.com/seguridad

Saludos

lunes, 11 de enero de 2010

Gestión de Seguridad Dinámica

Wake up Neo
The Matrix has you
Follow the white rabbit…
Knock Knock Neo.

Hoy el análisis de los problemas de seguridad se reduce a investigar en un servidor una cantidad importante de logs que son recolectados por herramientas de monitoreo y en donde el administrador de seguridad debe detectar algún tipo de falla. Es como leer la pantalla verde de Matrix (película del año 1999 en donde aparecía la lluvia digital y se debía interpretar lo que sucedía en la Matrix).

Problemática
Para entender lo que sucede, vamos analizar lo que ocurre en la mayoría de las compañías:
Logs: son archivos con registros de las actividades de los recursos de IT. Allí podemos analizar el comportamiento de este recurso y sobre todo, verificar la seguridad del mismo, verificando quienes acceden, que uso hacen del recurso y si hay intentos de ingreso no autorizado al mismo (entre otras cosas). Hoy muchas compañías no realizan seguimiento a este tipo de archivo a menos que suceda una violación de seguridad y sea detectado por un usuario o personal de sistemas.
Auditorias: por cuestiones de negocio, se implementan herramientas de monitoreo de logs que sirven para cumplir con las auditorías, pero en realidad nadie analiza u observa el comportamiento de estos recursos. El repositorio de logs de la herramienta crece y si no cuenta con mantenimiento, en cierto momento deja de funcionar por falta de recursos.
Alertas por correo: de manera preventiva los administradores de seguridad, configuran alertas que son enviadas por correo a su buzón y a dispositivos móviles. La cantidad de alertas que llegan provoca que los administradores terminen configurando reglas para desviar este tipo de correo a una carpeta del buzón, que será revisada por el administrador de seguridad cuando la misma tenga un tamaño considerable y se requiera borrar para disponer de espacio en el buzón.
Leyendo logs: un recurso de seguridad está haciendo seguimiento a los logs en horarios normales de trabajo. Esta actividad es descontinuada a la noche y fines de semana, por lo cual el seguimiento de los registros es parcial.

En base a estos ejemplos, que ocurren en la sociedad de IT hoy, es indispensable contar con soluciones que permitan tomar acciones ante un evento dado. Es sabido que los intentos de intrusión ocurren durante la noche o fines de semana, estos son los horarios que normalmente una plataforma administrada por personas, auditada por personas son más vulnerable. Entonces, ¿Por qué no contar con una solución que permita configurar acciones correctivas ante ciertas situaciones, además de mandar correo y alertas a celulares? ¿Es esto posible hoy en día? ¿Es costosa su implementación? ¿Qué tan efectiva es la implementación si no sabemos qué tipo de ataque podemos llegar a sufrir?

A tener en cuenta

La implementación de herramientas y soluciones de monitoreo con respuesta dinámica es totalmente viable y su implementación no debiera ser un dolor de cabeza para aquellos que implementan este tipo de soluciones. Para llevar a cabo una implementación exitosa, se requiere:
Monitoreo: Analizar que plataforma serían objeto de los monitoreos. Es importante analizar los sucesos que podrían provocar un imprevisto en la plataforma y producir un problema o incidente a los procesos críticos de negocio. No sirve querer auditar el todo en un principio. En base a esto, se debe definir las acciones que se tomarían en base a la detección de un suceso. Ejemplificandolo de otra manera, sería la alarma con monitoreo, se detecta que se dispara y tomamos acciones correctivas para mitigar el problema.
Recursos: contar con las herramientas y equipamientos necesario para ejecutar la solución de monitoreo. Aquí es indispensable la conectividad. La red debe funcionar correctamente y no tener tráfico basura que pueda impactar en su funcionamiento. Si una red posee problemas,por ejemplo, puede provocar que una alerta no llegue a destino y por lo tanto no sea detectada.
Análisis: Conocer los requerimientos de continuidad y seguridad del negocio, para implementar controles sobre los activos o recursos que participan en los procesos de negocio.
Seguimiento: Verificar regularmente que las reglas definidas estén funcionando correctamente y si la solución ha implementado una corrección, documentar, registrar y almacenar esta evidencia.
Implementación: mostrar a la Gerencia de la compañía que es una solución que asegurará los recursos de la compañía, que la misma es una inversión, ya que permitirá mantener un escenario seguro y confiable, sin importar los días y las horas en que se registren los sucesos. Periódicamente presentar reportes que ofrecen estas soluciones para mostrar el valor agregado que proveen estas soluciones.

Soluciones
Microsoft hoy provee un conjunto de soluciones que poseen las capacidades de prevenir un problema dado un suceso determinado. Para ello podemos contar con estas soluciones:

Microsoft IO: este modelo de madurez creado por Microsoft, basado en buenas prácticas, permite organizar su área de IT e implementar medidas que a corto plazo. Este modelo orienta hacia una gestión mejor de los desktops, servidores, dispositivos móviles, aplicaciones y redes, y muestra cómo hacer un uso eficiente de todos estos elementos para reducir su coste y su complejidad, garantizar que los sistemas se mantienen siempre en servicio y en perfecto estado, y disponer de una infraestructura con la máxima capacidad de respuesta.
System Center: System Center Operations Manager 2007 automatiza las tareas rutinarias y repetitivas y establece un entorno de monitorización y elaboración de informes inteligente que le ayuda a mejorar su eficacia y aumentar el grado de control sobre su entorno de IT. Aplica un modelo de seguridad basado en roles, se integra con el Directorio Activo y sus nuevos elementos de infraestructura facilitan las tareas de monitorización, configuración y despliegue en entornos complejos. Incorpora soporte para instalaciones de alta disponibilidad como arquitecturas en cluster y tolerancia a fallos, para asegurar que el entorno de IT siempre está adecuadamente monitorizado.
Forefront Stirling: Un elemento central del enfoque de integración de infraestructura de Microsoft es Dynamic Response, una innovadora tecnología Microsoft desarrollada en cada uno de los componentes de Forefront Stirling que permite que todo el sistema comparta y use información de seguridad para responder y resolver automáticamente amenazas a través de múltiples capas de la infraestructura de TI. Debido a que dichas amenazas continúan aumentando en frecuencia, Dynamic Response está diseñado para ayudar a las empresas a proteger proactivamente su ambiente de TI y responder con mayor rapidez.

Espero que este artículo sirva para mejorar el monitoreo de vuestra red. Nos vemos en la próxima.
Saludos

Enrique

viernes, 8 de enero de 2010

Actualizaciones plataforma Microsoft - ENERO 2010

Comenzando con las actividades del año, empezamos a informarles sobre las actualizaciones que publicará Microsoft. El día martes 12 del corriente año estará publicando el boletín planificado en donde se hace referencia a una única actualización.
La actualización es para la plataforma Microsoft Windows, en donde dependiendo el S.O es el nivel de criticidad en la cual se podrá ver afectado.
Les recomendamos tomar las siguientes acciones:

Notificaciones:
Registrarse en el sitio en donde les enviará un mail con las actualizaciones previstas por Microsoft. Para visitar el sitio ingrese AQUI.
WSUS: Implementar una solución que de alguna manera simplifique la administración de las actualizaciones. Les recuerdo que este servicio no posee costo alguno, solo requiere de un equipo en donde lo puedan instalar y espacio en disco.

Saludos
Enrique

jueves, 7 de enero de 2010

Honor a Quien Honor Merece

Estimados
Quiero compartir esta mención que nos da fuerza y empuje para comenzar un excelente 2010. Community Media Center Latino América homenajea a los oradores técnicos del CMC que han participado activamente en el último semetre del 2009.
Ellos son:

ORADORES MSDN

Norberto Planchart, Oscar Berroterán , Andrés Mora , Mauricio Grimberg, Juan Mestas, Juan Carlos Ruiz Pacheco, Manolo Herrera, Maxi Accotto, Haarón González, José Angel Yañez.

ORADORES TECHNET

Germán Antonio Ruiz, Enrique G. Dutra, Pablo Toapanta, Jesus Enrique Gonzáles Azcárate, Jorge Patricio Díaz Guzmán , Alejandro Gil , Eduardo Castro, Carlos Dinapoli, Miguel Angel Chirinos Amaro, Julio Martus.

Felicito a todos mis colegas y a cada uno de los asistentes que participan y colaboran con su feedback para que mejoremos día a día.
Saludos!

Quique