Categoría : Profesional

Home»Archive by Category "Profesional"

Inyección – Problema de seguridad en aplicaciones

Los problemas de inyección en una sistema, como por ejemplo inyección de SQL, OS, XXE y LDAP ocurren cuando datos no validados por la aplicación son ejecutados en el interprete de comando o consulta. De esta manera, si un intruso encuentra un problema de inyección y puede controlar el ataque, puede ocasionar graves consecuencias desde obtener, modificar e insertar datos en una base de datos hasta ejecutar comando en el sistema operativo.

¿Como puedo prevenirlo?

Existen diferentes librerías que permiten detectar tipos de inyecciones según el tipo de dato en el parámetro de entrada, pero lo mas importante es todos los datos que lleguen al sistema deben ser validados, controlados y filtrados.

  1. Aplicar un desarrollo seguro desde el análisis, diseño e implementación.
  2. Realizar auditorías de hacking ético al sistema, para evaluar los problemas y riesgos del sistema frente a un intruso y validar que las implementaciones de los controles de seguridad estén funcionando correctamente.
  3. Utilizar librerías seguras y utilizadas internacionalmente por la comunidad.
  4. La validación de entradas de “lista blanca” también se recomienda, pero no es una defensa integral dado que muchas aplicaciones requieren caracteres especiales en sus entradas.

Referencias

Si quieres mantenerte informado sobre temas de seguridad informática, subscríbete a nuestro Newsletter

Riesgo de seguridad en aplicaciones

En la actualidad existen nuevos y diferentes adversarios cibernéticos que pueden utilizar diferentes vectores de ataques contra un sistema informático, para lograr obtener un beneficio propio y como consecuencia dañar al negocio a nivel de pérdida de dinero, imagen, prestigio y confianza con clientes y/o proveedores, hasta el limite de tener que cerrar sus puertas.

Esto se debe que existen diferentes riesgos dentro de los posibles vectores de ataque hacia un sistema, aprovechando de una debilidad de seguridad y tomando control de la deficiencia de los controles de seguridad. La manipulación de estos problemas de seguridad utilizados para beneficio propio del intruso, logran desde impactos técnicos y posiblemente de la continuidad de la empresa.

El proyecto OWASP Top 10 se enfoca en la identificación de los riesgos más serios para una amplia gama de organizaciones. Para cada uno de estos riesgos, proporciona información genérica sobre la probabilidad y el impacto técnico a través del siguiente esquema de calificaciones, que está basado en Metodología de Evaluación de Riesgos OWASP.

OWASP Top Ten 2017 Candidate

¿Como evaluar el riesgo de un sistema?

Para evaluar el nivel de riesgo de un sistema informático se recomienda realizar Auditorías de Hacking ético, que comprende un conjunto de metodologías y técnicas para realizar un diagnóstico integral de las debilidades de los sistemas informáticos de la organización. Consiste en un modelo que reproduce intentos de acceso a cualquier entorno informático de un intruso potencial desde los diferentes puntos de entrada que existan, tanto internos como remotos. Detectando las debilidades de la organización antes de que se produzcan los ingresos indebidos de intrusos.

  • Hacking Ético Externo: Permite evaluar el estado de la seguridad de una organización desde Internet como si lo hiciera un intruso real.
  • Hacking Ético Interno: Permite evaluar el estado de la seguridad dentro de la organización.

Referencias

Si quieres mantenerte informado sobre temas de seguridad informática, subscríbete a nuestro Newsletter

 

Mejores prácticas para mitigar un ataque de Ransomware

Actualmente una empresa para mantenerse sin interrupciones operativas, pérdida de reputación, dinero y imagen, debe tener un diseño/esquema de su tecnología en base a un sistema proactivo, que permita mitigar ataques Ransomware como otros tipos de ciberataques. Para este diseño, los administradores IT deberían implementar un esquema de “Defensa en profundidad” para proteger los activos del negocio.

Un esquema “Defensa en profundidad” permite implementar capas de seguridad en cada nivel que van desde el nivel de usuario, servidores, redes, el perímetro tecnológico y corporativo de la empresa.

 Algunas de las mejores prácticas

  • Aplicar políticas de seguridad en la organización
  • Contar con un plan de resguardo de información
  • Contar con un plan de recuperación ante desastres
  • Minimizar software de repositorios no verificados
  • Charlas de concientización para colaboradores
  • Prohibir utilizar permisos administrador en cuentas de usuarios
  • Mantener actualizado los sistemas
  • Implementar un sistema de monitoreo de redes y de seguridad (SIEM)
  • Implementar un sistema IDS – sistema detección de intrusos
  • Auditar el negocio con servicios de Hacking ético externo e interno
  • Mantener un sistema de control de vulnerabilidades
  • Aplicar segmentación en redes
  • Implementar un sistema antivirus de pago corporativo

Si quieres mantenerte informado sobre temas de seguridad informática, subscríbete a nuestro Newsletter

Hackearon al FBI, a la NASA…¿Qué te hace creer que no te pueda pasar?

Durante las diversas conversaciones que tenemos con personas que dirigen sus negocios solemos escuchar “A nosotros no nos va a pasar…” o “No tengo información importante…“, ¿no has escuchado palabras similares?, nos hace pensar que aún falta mucho trabajo de concientización para saber que en la actualidad, una empresa que no tenga lineamientos firmes de seguridad informática en su proceso de negoció, no durará mucho tiempo en el mercado.

Es importante comprender que en Internet cualquiera es un objetivo, desde tener un e-commerce, una página institucional, etc hasta el smartphone que se utiliza para los negocios y de forma personal.

Si usted tiene información de su empresa, clientes, proveedores, usuarios, contraseñas, documentos confidenciales, correos electrónicos, etc, ya es un objetivo para los ciberdelincuentes. No es algo personal porque muchos de los ataques masivos de la actualidad se planean en forma automatizada, y ahí depende como su negocio esté preparado para afrontar un ataque cibernético.

Tras un ataque cibernético tu negocio se verá afectado en:

  • Problemas legales
  • Difamación pública
  • Daño a la imagen y prestigio
  • Pérdida de dinero, clientes y proveedores.

En Talsoft contamos con una suite de servicios en ciberseguridad que le permite a la empresa conocer el estado de seguridad informática frente a un ataque informático, implementar controles para monitorear y controlar una acción que atente con su negocio, permitiendo tomar medidas para mitigar el impacto de un ataque cibernético.

Si quieres mantenerte informado sobre temas de seguridad informática, subscríbete a nuestro Newsletter

¿Que hacemos en un servicio HD en tu empresa?

HD (Hacking Ético y Defensa) es un servicio integral de seguridad informática, en la que se realiza una auditoría externa e interna para obtener el nivel de seguridad informática de la empresa frente a un ataque cibernético y luego se planifican proyectos en defensa en profundidad para mejorar los controles de seguridad. Más info

Lo que nuestros clientes nos dicen

Como trabajamos

Valor de propuesta

Si quieres saber más sobre como proteger Tu negocio frente ataques informáticos, subscríbete a nuestro Newsletter