Como ACME salvó su negocio gracias a FS7300 y las safe-guarded copies

Hoy en día los ataques de ransomware se han convertido en una amenaza constante para las empresas de todos los tamaños. Una solución eficaz para este desafío es el uso de copias protegidas en sistemas de almacenamiento avanzados como las que ofrecen los sistemas de almacenamiento FS7300 de IBM. Este artículo explora un caso en el que un cliente, que llamaremos ACME y que logró recuperar sus sistemas críticos en minutos tras un ataque de ransomware, gracias a las capacidades de la cabina FS7300.

Una tecnología clave: IBM Safe-guarded copies

Las copias protegidas en los sistemas FS7300 de IBM son réplicas de datos que se almacenan de manera segura y aislada dentro del mismo sistema. Estas copias no son accesibles para modificaciones o eliminaciones normales, lo que las hace inmunes a ataques de software malicioso como el ransomware.

Nuestro cliente

ACME es un proveedor líder en servicios financieros en un país del norte de África que enfrentó recientemente un sofisticado ataque de ransomware en Noviembre de 2023. Este ataque encriptó una cantidad significativa de sus datos críticos, afectando a operaciones esenciales. Afortunadamente, había implementado recientemente la cabina de almacenamiento FS7300 de IBM, que incluía la función de copias protegidas y que SIXE había programado para que se ejecutaran regularmente. Una alerta desde IBM Storage Protect alertó del que más ficheros de los normale habían sido modificados a la hora de los backups planificados.

Respuesta al Ataque

Cuando ACME se dio cuenta del ataque, su equipo de TI actuó rápidamente. Utilizando las copias protegidas almacenadas en su cabina FS7300, fueron capaces de restaurar los datos afectados en cuestión de minutos. Esta rápida recuperación fue posible gracias a la eficiente gestión de datos y la capacidad de recuperación instantánea del sistema FS7300.

Beneficios Clave

La capacidad de recuperarse rápidamente de un ataque de ransomware es crucial para mantener la continuidad del negocio. En el caso de ACME, la cabina FS7300 de IBM proporcionó:

  1. Recuperación Rápida: La restauración de los datos fue casi instantánea, minimizando el tiempo de inactividad.
  2. Integridad de Datos: Las copias protegidas aseguraron que los datos restaurados estuvieran libres de corrupción o manipulación.
  3. Operaciones Ininterrumpidas: La rápida recuperación permitió que las operaciones críticas de la empresa continuaran sin interrupciones significativas.

Este caso demuestra cómo una solución de almacenamiento avanzada como la cabina FS7300 de IBM, equipada con la tecnología de copias protegidas, puede ser un salvavidas en situaciones de crisis como ataques de ransomware. Proporciona no solo una capa adicional de seguridad, sino también la confianza de que los datos empresariales pueden recuperarse rápida y eficientemente, garantizando la continuidad del negocio en tiempos de incertidumbre y amenazas constantes.

Primeros pasos con la API de QRadar XDR usando python y Alienvault OTX

IBM QRadar XDR es una plataforma de gestión de eventos e información de seguridad (SIEM) que se utiliza para monitorear la seguridad de la red de una organización y responder a incidentes de seguridad de la manera más rápida y completa posible. Aunque QRadar ya es increiblemente potente y personalizable por sí mismo, hay varias razones por las que podríamos querer mejorarlo con scripts de Python utilizando su completa API.

Primeros pasos con la API de QRadar

Veamos un ejemplo de cómo podrías usar la API de QRadar para obtener diferentes informaciones de su base de datos (ArielDB) usando Python. Lo primero que necesitamos antes es un token, que se crea desde el Admin – > Authorized Services

Generando el código en python para la API de QRadar

Vamos a empezar por algo muy simple, conectarnos y sacar los últimos 100 eventos detectados por la plataforma.

import requests
import json

# Configura las credenciales y la URL del servidor QRadar
qradar_host = 'https://<your_qradar_host>'
api_token = '<your_api_token>'

# Define la URL de la API para obtener los eventos
url = f'{qradar_host}/api/ariel/searches'

# Define los encabezados de la solicitud
headers = {
'SEC': api_token,
'Content-Type': 'application/json',
'Accept': 'application/json'
}

# Define la consulta AQL (Ariel Query Language) para obtener los últimos 100 eventos
query_data = {
'query_expression': 'SELECT * FROM events LAST 100'
}

# Realiza la solicitud a la API de QRadar
response = requests.post(url, headers=headers, data=json.dumps(query_data))

# Verifica que la solicitud fue exitosa
if response.status_code == 201:
print("Solicitud de búsqueda enviada correctamente.")
search_id = response.json()['search_id']
else:
print("Error al enviar la solicitud de búsqueda:", response.content)

En este ejemplo, reemplaza <your_qradar_host> con la dirección del host de tu servidor QRadar y <your_api_token> con el token de la API que obtuviste de tu instancia de QRadar.

Este código solicitará a QRadar que ejecute una búsqueda de los últimos 100 eventos. La respuesta a esta solicitud de búsqueda incluirá un ‘search_id’ que luego puedes usar para obtener los resultados de la búsqueda una vez que estén disponibles. Puedes cambiar esta consulta por cualquiera disponible en la guía que IBM nos facilita para aprovechar al máximo  el Ariel Query Language de QRadar

Detectando IPs maliciosas en QRadar usando fuentes abiertas de AlienVault OTX

Si bien en QRadar tenemos X-Force como módulo pre-determinado para realizar búsquedas de IPs maliciosas e integrarlas en nuestras reglas, por multitud de razones (incluido el fin del pago del soporte / SWMA a IBM) podemos querer usar fuentes abiertas para realizar este tipo de funciones. Un ejempo bastante habitual del que hablamos en nuestros cursos y talleres, es el mantener una serie de estructuras de datos actualizadas con IPs “maliciosas” obtenidas a través de fuentes de datos de cibserseguridad abiertas.

Usando la API de QRadar, podemos crear código en python para crear una regla que actualice constamentemente un reference_set que posteriormente utilizaremos en distintas reglas.

Para lograr lo que estás pidiendo, necesitarías dividirlo en dos pasos.

  1. Primero, necesitarías una fuente de inteligencia de seguridad de código abierto que proporcione una lista de IPs maliciosas. Un ejemplo comúnmente usado es la lista de IPs maliciosas de AlienVault Open Threat Exchange (OTX) que acabamos de mencionar.
  2. Luego, usaremos la API de QRadar para actualizar un “reference set” con esa lista de IPs.

Programarlo en Python es muy sencillo:

Primero, descarga las IPs maliciosas de la fuente de inteligencia de seguridad de código abierto (en este caso, AlienVault OTX):

import requests
import json

otx_api_key = '<your_otx_api_key>'
otx_url = 'https://otx.alienvault.com:443/api/v1/indicators/export'

headers = {
'X-OTX-API-KEY': otx_api_key,
}

response = requests.get(otx_url, headers=headers)

if response.status_code == 200:
malicious_ips = response.json()
else:
print("Error al obtener las IPs maliciosas:", response.content)

A continuación usamos la API de QRadar para actualizar un reference set con esas IPs:

qradar_host = 'https://<your_qradar_host>'
api_token = '<your_api_token>'
reference_set_name = '<your_reference_set_name>'

url = f'{qradar_host}/api/reference_data/sets/{reference_set_name}'

headers = {
'SEC': api_token,
'Content-Type': 'application/json',
'Accept': 'application/json'
}

for ip in malicious_ips:
data = {'value': ip}
response = requests.post(url, headers=headers, data=json.dumps(data))

if response.status_code != 201:
print(f"Error al agregar la IP {ip} al conjunto de referencia:", response.content)

El siguiente y último paso paso es utilizar este reference set en las reglas que necesitemos ¡Facil!

¿Quieres saber más de IBM QRadar XDR?

Consulta nuestros servicios de venta, despliegue, consultoríay formación oficial.

Actualización de los cursos de IBM QRadar SIEM/XDR a la versión 7.5.2. Incluyendo las funciones de SOAR, NDR y EDR de QRadar Suite

Nos complace anunciar que todos nuestros cursos de IBM QRadar SIEM / XDR han sido actualizados a la versión 7.5.2. En esta nueva versión, se han incorporado poderosas funciones de SOAR, NDR y EDR dentro de la QRadar Suite, brindando a nuestros estudiantes una experiencia de aprendizaje aún más completa y actualizada con una visión en el medio plazo de la tecnología a través de CloudPak for Security los nuevos productos disruptivos de ciberseguridad de IBM que están en camino.

IBM QRadar XDR es la solución líder en el mercado de seguridad de la información que permite la gestión y análisis de eventos de seguridad en tiempo real. Con su capacidad para recopilar, correlacionar y analizar datos de múltiples fuentes, QRadar SIEM brinda a las organizaciones una visión integral de su postura de seguridad y les ayuda a detectar y responder de manera efectiva a las amenazas.

En la versión 7.5.2 de QRadar SIEM / XDR, se han introducido tres funciones clave que amplían aún más las capacidades de la plataforma:

  1. SOAR (Security Orchestration, Automation and Response): Esta función permite la automatización de tareas de seguridad y la orquestación de respuestas, lo que agiliza y optimiza los procesos de detección y respuesta ante incidentes. Con SOAR, las organizaciones pueden automatizar flujos de trabajo, investigar incidentes de manera más eficiente y tomar medidas rápidas y precisas para contener y mitigar las amenazas.
  2. NDR (Network Detection and Response): Con la función NDR, QRadar SIEM / XDR amplía su capacidad para detectar amenazas en la red. Esta función utiliza algoritmos avanzados de análisis de tráfico de red para identificar comportamientos sospechosos y actividades maliciosas. Al combinar la detección de amenazas en la red con la correlación de eventos y registros de seguridad, QRadar SIEM / XDR proporciona una visibilidad integral de las actividades de amenazas en toda la infraestructura.
  3. EDR (Endpoint Detection and Response): La función EDR permite la detección y respuesta a amenazas en los dispositivos finales, como computadoras de escritorio, laptops y servidores. Con EDR, QRadar SIEM / XDR monitorea de forma continua los endpoints en busca de indicadores de compromiso, actividades maliciosas y comportamientos anómalos. Esto ayuda a identificar y contener rápidamente las amenazas que podrían pasar desapercibidas por las soluciones de seguridad tradicionales.

En Sixe, estamos comprometidos con ofrecer a nuestros estudiantes los conocimientos más actualizados y relevantes en el campo de la ciberseguridad. La actualización de nuestros cursos de IBM QRadar SIEM / XDR a la versión 7.5.2, junto con la incorporación de funciones de SOAR, NDR y EDR de QRadar Suite, nos permite brindar una experiencia de aprendizaje integral que refleja las últimas tendencias y avances en el ámbito de la seguridad de la información.

Si estás interesado en aprender sobre QRadar SIEM / XDR y aprovechar todas estas nuevas funciones, te invitamos a explorar nuestros cursos actualizados:

También puedes solicitarnos una formación o consultoría a medida, así como soporte técnico y apoyo con tus proyectos de QRadar.

Sealpath IRM: discutimos integraciones nativas y sus opciones on-premises y SaaS (cloud)

Durante los últimos años, Sealpath se ha esforzado mucho en ofrecer integraciones nativas con diversas herramientas populares y ampliamente utilizadas en entornos empresariales para facilitar la adopción y mejorar la eficiencia en la protección de datos y la propiedad intelectual. A continuación, se mencionan algunas de estas herramientas. A continuación os dejamos un listado actualizado de los productos 100% compatibles con Sealpath IRM que en Sixe hemos probado y de los que ya disfrutan muchos clientes en todo el mundo.

Principales integraciones de Sealpath a través de módulos opcionales

Todos estos módulos están disponibles tanto en formato on-premises (instalación local) o cloud (SaaS)

  1. Sealpath for RDS: Este módulo permite trabajar en entornos de escritorio remoto o Citrix que requieren un único instalador por servidor de terminal.
  2. Sealpath for File Servers and SharePoint: Permite la protección automática de carpetas en servidores de archivos, SharePoint, OneDrive, Alfresco y otros repositorios de documentación.
  3. Automatic Protection for Exchange: Proporciona protección automática de cuerpos de mensajes y archivos adjuntos en Microsoft Exchange según reglas específicas.
  4. AD/LDAP Connector: Permite la integración con Active Directory o LDAP en un sistema SaaS.
  5. SealPath for Mobile Devices: Proporciona acceso a documentación protegida a través de la aplicación SealPath Document Viewer o Microsoft Office Mobile en dispositivos móviles iOS, Android o Mac OSX.
  6. Platform customization: Incluye la posibilidad de personalizar la apariencia de las invitaciones por correo electrónico, portales de usuario y administrador.
  7. Multi-organization: Ofrece la posibilidad de tener más de un “huesped” o suborganización vinculada a la misma empresa. Ideal para grandes grupos empresariales u oficinas gubernamentales con diferentes tipos de jerarquías u organigramas muy complejos.
  8. Conectores DLP: Permite la protección automática de la información basada en reglas configuradas en el DLP de Symantec, McAfee y ForcePoint, que son las soluciones que más nos gustan dentro de este sector.
  9. SealPath Sync Connector: Facilita el acceso sin conexión a una gran cantidad de archivos almacenados en ciertas carpetas de un dispositivo de usuario.
  10. Protection Based Classification Connector: Permite la protección automática de documentos clasificados por una solución de clasificación de información que incluye etiquetas en los metadatos del archivo.
  11. SealPath Secure Browser: Habilita la visualización y edición de documentos protegidos en el navegador web.
  12. SealPath SDK (.Net, REST, command-line): Permite el uso de SDK de SealPath en formato REST, .Net o línea de comandos para la integración de protección con ciertas aplicaciones corporativas.

Como veis, no son pocos los módulos y complementos que amplían las capacidades de la solución principal de Sealpath IRM, permitiendo a las organizaciones adaptar la protección y el control de acceso a sus necesidades específicas… y sobretodo, sin tener que cambiar su manera de trabajar o los productos que ya utilizan.

¿Lo desplegamos o usamos el modo SaaS)?

Esta es la segunda gran pregunta de los clientes. Sealpath IRM ofrece dos modalidades de implementación: Software como Servicio (SaaS) y On-Premises. Ambas opciones ofrecen la misma funcionalidad y protección de datos, pero difieren en la forma en que se alojan y administran. A continuación, se presentan las principales diferencias entre ambas modalidades:

  1. Alojamiento y administración de la infraestructura:

  • Sealpath SaaS: En la modalidad SaaS, la infraestructura y los servidores están alojados y administrados por Sealpath en la nube. Esto significa que los clientes no necesitan preocuparse por el mantenimiento, la actualización y la seguridad de los servidores, ya que estos aspectos son responsabilidad de Sealpath.
  • Sealpath On-Premises: En la opción On-Premises, la infraestructura y los servidores se implementan y administran dentro de las instalaciones del cliente o en su propio entorno de nube privada. Esto brinda a los clientes un mayor control sobre la ubicación y el acceso a sus datos, pero también implica que deben administrar y mantener los servidores por sí mismos.
  1. Integración con Active Directory y LDAP:

  • Sealpath SaaS: En la versión SaaS, los clientes pueden integrar Sealpath con sus sistemas de Active Directory o LDAP utilizando el conector AD/LDAP. Este conector permite sincronizar usuarios y grupos con el sistema de Sealpath y facilita la administración de permisos y políticas de acceso.
  • Sealpath On-Premises: En la versión On-Premises, la integración con Active Directory o LDAP está integrada por defecto y no es necesario adquirir un conector adicional.
  1. Licenciamiento de módulos adicionales:

  • Sealpath SaaS: Algunos módulos, como SealPath for Mobile Devices, están incluidos en la versión SaaS sin costo adicional.
  • Sealpath On-Premises: En la opción On-Premises, estos módulos deben adquirirse por separado según las necesidades de la organización.
  1. Personalización de la plataforma:

  • Sealpath SaaS: La personalización del aspecto y la apariencia de la plataforma (colores, logotipos, etc.) puede estar limitada en comparación con la opción On-Premises, ya que se basa en un entorno compartido en la nube.
  • Sealpath On-Premises: La opción On-Premises permite una mayor personalización de la plataforma, ya que se aloja en un entorno dedicado y controlado por el cliente.

La elección entre Sealpath SaaS y On-Premises depende de las necesidades y preferencias de la organización en términos de control sobre la infraestructura, costos y facilidad de administración. Ambas opciones brindan una sólida protección y las mismas funcionalidades para el control de acceso a la información confidencial y la propiedad intelectual. A diferencia de Microsoft y otros competidoes, no se obliga a los clientes a usar un modelo u otro, pues solo ellos saben lo que más les conviene.

¿Te interesa Sealpath IRM?

Solicita una demostración sin compromiso

Sealpath IRM en el sector del diseño industrial: Fortaleciendo la gestión de proyectos y protegiendo la propiedad intelectual

El diseño industrial es un sector altamente competitivo en el que la propiedad intelectual juega un papel crucial. Los directores de proyectos en empresas dedicadas al diseño industrial enfrentan desafíos en la gestión de la información sensible y la protección de la propiedad intelectual. La solución de Gestión de Derechos de Información (IRM) de Sealpath puede ser de gran ayuda en estos casos y garantizar la protección de la información crítica y el éxito en la gestión de proyectos.

A continuación, se describen algunas formas en que Sealpath IRM puede ayudar a las empresas dedicadas al diseño industrial y cuyo valor depende de la correcta protección de su propiedad intelectual.

Protección de la propiedad intelectual en archivos CAD y otros documentos

Los archivos de Diseño Asistido por Computadora (CAD) y otros documentos técnicos contienen información valiosa sobre los productos y diseños de una empresa. Sealpath IRM permite proteger estos datos sensibles mediante la encriptación y el control de accesos, garantizando que solo los usuarios autorizados puedan acceder, editar y compartir los archivos.

Colaboración segura con proveedores y clientes

En el sector del diseño industrial, la colaboración entre proveedores, clientes y otros stakeholders es esencial para el éxito de los proyectos. Sealpath IRM permite compartir archivos de forma segura y controlar el acceso a la información, incluso después de que los documentos hayan sido compartidos fuera de la organización. Esto garantiza que la propiedad intelectual esté protegida durante todo el proceso de colaboración.

Seguimiento y auditoría del uso de archivos

Sealpath IRM proporciona un registro detallado del uso de los archivos, incluyendo quién ha accedido a ellos, cuándo y desde dónde. Esto permite a los directores de proyectos monitorear el uso de la información confidencial y detectar posibles violaciones de seguridad o mal uso de la propiedad intelectual.

Facilitar el cumplimiento normativo

El sector del diseño industrial puede estar sujeto a diversas regulaciones y normativas relacionadas con la protección de la propiedad intelectual y la privacidad de los datos. Sealpath IRM facilita el cumplimiento de estas normativas al garantizar que la información confidencial esté protegida y accesible solo para usuarios autorizados.

Integración con herramientas de gestión de proyectos y software CAD

Sealpath IRM puede integrarse fácilmente con las herramientas de gestión de proyectos y software CAD existentes, lo que permite a los directores de proyectos proteger la propiedad intelectual sin alterar los flujos de trabajo existentes. Esto facilita la adopción de la solución y mejora la eficiencia en la gestión de proyectos.

Integración con otras herramientas empresariales

En conclusión, Sealpath IRM es una herramienta valiosa para las empresas dedicadas al diseño industrial. Al proteger la propiedad intelectual y facilitar la colaboración segura, la solución puede mejorar la eficiencia en la gestión de proyectos y garantizar el éxito en un sector altamente competitivo. Estas incluyen:

  1. Microsoft Office: Sealpath ofrece integración nativa con las aplicaciones de Microsoft Office, como Word, Excel, PowerPoint y Outlook. Esto permite a los usuarios proteger fácilmente sus documentos, hojas de cálculo y presentaciones, así como controlar el acceso y compartirlos de manera segura a través del correo electrónico.
  2. Microsoft SharePoint y OneDrive: La integración con Microsoft SharePoint y OneDrive facilita la protección y el control de acceso a los archivos almacenados en estas plataformas de colaboración y almacenamiento en la nube.
  3. Microsoft Teams: Sealpath se integra con Microsoft Teams para garantizar la protección de la información compartida en los chats y canales de colaboración. Esta integración permite a los usuarios aplicar políticas de protección directamente desde Teams y controlar el acceso a los documentos compartidos.
  4. Google Workspace (anteriormente G Suite): Sealpath se integra con Google Workspace para proteger los documentos, hojas de cálculo y presentaciones creados y almacenados en Google Drive. Los usuarios pueden aplicar políticas de protección y controlar el acceso a sus archivos directamente desde las aplicaciones de Google Workspace.
  5. Alfresco: Sealpath ofrece una integración nativa con el sistema de gestión de contenidos empresariales Alfresco. Esto permite a los usuarios proteger y controlar el acceso a los documentos y archivos almacenados en el repositorio de Alfresco.
  6. Box: La integración de Sealpath con Box permite a los usuarios proteger y controlar el acceso a los archivos almacenados en esta plataforma de almacenamiento en la nube. Los usuarios pueden aplicar políticas de protección y seguimiento directamente desde la interfaz de Box.
  7. Salesforce: Sealpath se integra con Salesforce para proteger la información confidencial almacenada en la plataforma CRM. Los usuarios pueden aplicar políticas de protección y controlar el acceso a los datos directamente desde Salesforce, garantizando la seguridad de la información del cliente y la propiedad intelectual.

¿Te interesa la solución?

Contacta con nosotros y solicita una demostración ahora mismo

“El comercial me ha engañado” o porqué necesitas un servicio de Radar Tecnológico

El título de este artículo, “el comercial me ha engañado”, es uno de los comienzos más habituales en nuestras conversaciones con nuevos clientes. Grandes proyectos con escaso retorno cuando no directamente la omisión de información clave que de haberla conocido hubiera cambiado el trasncurso de las decisiones estratégicas en tecnología. Increibles pliegos donde alguien se olvida de los servicios profesionales necesarios para que la solución se ponga en marcha, o de la correcta formación del personal que la explotará los años venideros. Leer más

Nueva certificación de analista en ciberseguridad con QRadar SIEM 7.4.3

Acaba de salir de la primera de las nuevas certificaciones de IBM QRadar SIEM. Como siempre, han empezado por la más sencilla, la de analista. Está destinada a profesionales que deseen validar sus conocimientos sobre QRadar SIEM en la versión 7.4.3. El exámen es el C1000-139, titulado “IBM Security QRadar SIEM V7.4.3 – Analysis” y la certificación que se obtiene es la de “IBM Certified Analyst – Security QRadar SIEM V7.4.3

Como sabéis (y si no, os lo contamos) la principal novedad en la versión 7.4 es el cambio de interfaz de usuario. Han ido incluyendo paneles de control y de monitorización que permiten mejorar la visibilidad de los incidentes de seguridad con mapeos concretos a metodologías como MITRE ATT&CK. No deja de ser una manera de estandarizar los incidentes, dar un poco de abstracción al producto, proporcionarnos una visión de más alto nivel sobre lo que está sucediendo, más alla de las reglas concretas que han ido aplicando y las cadenas de eventos que se han generado.

Como requisitos previos (no forma parte del examen) es necesario dominar:

  • Conceptos de SIEM (qué es, qué no y para qué sirve)
  • Dominar la teoría de redes TCP/IP
  • Tener un buen conocimiento de terminología de seguridad informática.
  • Conocer los diferentes módulos y plugins de QRadar como son Network Insights o Incident Forensics.

¿Por qué nos preguntan en el exámen?

  • Análisis de ofensas y eventos de seguridad (logs, flujos de red, etc)
  • Comprensión de los listados de datos de referencia (sets, maps, tables, etc)
  • Dominar las reglas y los “building blocks”
  • Saber buscar en informes, crearlos desde cero, programarlos, modificarlos, etc.
  • Tener un conocimiento básico de la arquitectura de QRadar, fundamentalmente sus componentes, licenciamiento y configuración a nivel de red.
  • Por último, las configuraciones multi-dominio y multi-cliente que parece están cada vez más de moda, tienen un apartado dedicado en este exámen.

¿Me debo re-certificar?

En nuestra opinión, si estás certificado en versiones 7.2.X o 7.3.X no hay necesidad alguna de volver a certificarse. Otra cosa es que tu empresa lo requiera para mantener cierto nivel de partner con IBM o sea requisito para alguna licitación pública. Eso si, si vas a certificarte, aprovecha y hazlo cuando vayan saliendo las nuevas versiones.

¿Cuando saldrán el resto de certificaciones en 7.4.2?

Entre este trimestre y el que viene saldrán las de “administrator” y “deployment professional”.  Las diferencias entre todas ellas las cubrimos hace tiempo en este artículo. Aunque cambien las versiones, los tipos de exámenes y sus objetivos son los mismos.

¿Nos podéis ayudar con QRadar?

Claro, ofrecemos formación, servicios profesionales, soporte y también vendemos y renovamos sus licencias. Contáctanos y hablemos.

Nuevos cursos de IBM QRadar actualizados a la versión 7.4.2

De todos los cursos de IBM, quizás los más demandados y valorados por clientes y socios de IBM son los de QRadar SIEM. Por eso, a partir del mes de Junio de 2021 estarán disponibles los nuevos cursos oficiales: QRadar SIEM Fundamentals (BQ104G) y QRadar SIEM funcionalidades avanzadas (BQ204G) También hemos actualizado nuestro taller práctico de pre-venta, arquitectura, despliegue y configuración inicial a la versión 7.4. Desde 2014 hemos formado a más de 35 clientes y 400 alumnos de 20 países diferentes en esta increíble tecnología. Hemos transmitido toda nuestra experiencia práctica en proyectos reales y hemos ayudado a superar con éxito las certificaciones oficiales.

¿Qué es QRadar?

La solución lider en el mercado para la prevención, detección y remediación de incidentes de seguridad. Cientos de SOCs (Centros de Operaciones de Seguridad) de todo el mundo basan sus capacidades en la tecnología desarrollada por Q1 Labs y adquirida por IBM en 2011 para completar sus capacidades de ciberseguridad. QRadar nos permite poner en relación eventos que van desde la seguridad física (controles de acceso), lectores de tarjetas de identificación, dispositivos OT pasando por la infraestructura de servicios desplegada en la nube o hasta los registros de la actividad diaria de los usuarios. Sus capacidades permiten analizar miles de eventos por segundo para garantizar que nuestra organización no solo está segura, sino que se cumplen las normativas y legislaciones aplicables de cada sector. QRadar tiene además alianzas estratégicas con Juniper Networks, Enterasys, Nortel, McAfee, Foundry Networks y 3Com entre otras compañías. El producto es tan potente que muchas de estas compañías venden sus propios SIEM basados en la tecnología de QRadar.

¿Qué novedades hay?

En el último año y medio muchas cosas han ido cambiando. Desde el interfaz de usuario que ha sido totalmente renovado, hasta nuevas aplicaciones que permiten analizar los incidentes de una manera totalmente automatizada. Por ejemplo la aplicación QRadar Advisor con Watson (IA de IBM) asigna automáticamente las tácticas y técnicas disponibles en la base de datos MITRE ATT&CK a reglas internas de QRadar. A través de un novedoso panel de monitorización se puede ver las técnicas empleadas por los atacantes y su relación con los incidentes de seguridad abiertos.

La nuevas versiones permiten usar los consejos y pistas que nos da IBM QRadar Use Case Manager (anteriormente QRadar Tuning app) para ayudarnos a optimizar la configuración y ajuste de las reglas de QRadar, manteniéndolas siempre actualizadas y listas para cuando sean necesarias.

 

¿Y las certificaciones?

Llevamos mucho tiempo tanto ayudando a preparar los exámenes oficiales de IBM en las tecnologías que enseñamos. Por eso hemos decidido que desde Junio de 2021, vamos a incluir sin coste adicional una jornada de preparación para las certificaciones en todos los cursos privados que se nos contraten con al menos 4 alumnos inscritos.

Quiero inscribirme en un curso

Contáctanos y en menos de 24h recibirás una oferta. Todos los cursos se imparten tanto presencialmente como a distancia. Nuestros instructores hablan inglés, francés y español.

¿Necesitas más ayuda?

En Sixe Ingeniería somos BP de seguridad de IBM. Vendemos, instalamos y ofrecemos soporte técnico de IBM QRadar SIEM. También realizamos formación, seminarios y charlas técnicas a medida. También te asesoramos con las licencias y la definición de la arquitectura que necesitas sin coste adicional. Solicita una demostración del producto sin compromiso.

La importancia de la ciberseguridad en el sector sanitario

Los hospitales, los centros de salud y todos los elementos que componen el sector sanitario dependen en gran medida del buen funcionamiento de sistemas informatizados. De hecho, estos son indispensables para realizar tareas clínicas y administrativas a cualquier hora durante todos los días del año. Por todo ello, y teniendo en cuenta la alta sensibilidad de los datos clínicos de los pacientes, la prevención en materia de ciberseguridad se antoja imprescindible. Los robos o malos usos de ellos pueden tener consecuencias devastadoras.

Ciberataques a hospitales y centros de salud, una práctica poco novedosa

Es curioso, pero tradicionalmente los complejos que componen el sector sanitario han cuidado poco o nada sus procesos en materia de ciberseguridad. De hecho, se ha considerado como un sector de escaso interés para los ciberdelincuentes, cuando realmente podría decirse todo lo contrario.

Es cierto que, con la llegada de la pandemia de COVID-19, los ciberataques se han multiplicado y han pasado a cobrar más relevancia a nivel mediático. Sin embargo, no son los primeros. Por ejemplo, las diferentes organizaciones que componen el sector de la salud en los Estados Unidos cifraron las pérdidas que ocasionó esta actividad delictiva en 2019 en más de 4000 millones de dólares.

Los riesgos de no cuidar la ciberseguridad en el sector de la salud

Pero ¿cuáles son los principales motivos por los que los ciberdelincuentes se centran en el ataque a hospitales y centros de salud? Fundamentalmente, podemos citar los siguientes:

  • Robo de la información clínica de los pacientes.
  • Robo de la identidad de los especialistas médicos.
  • Acceso a datos confidenciales de pacientes.
  • Compra y venta de información clínica en el mercado negro.

Esto releva la importancia de contratar a un profesional experimentado con una carrera en ciberseguridad. Pero hay más. Por ejemplo, en los últimos años, la cifra de dispositivos médicos que funcionan conectados a Internet ha crecido exponencialmente. Y, con ellos, el riesgo a sufrir un ciberataque. De hecho, es de prever que esta tendencia continúe al alza durante bastante tiempo.

Estos dispositivos utilizan tecnología del denominado como Internet de las Cosas (Internet of Things o IoT) y, a pesar de su indudable utilidad en el sector sanitario, la mayor parte de los ciberataques van dirigidos hacia ellos. La falta de protección y la vulnerabilidad que presentan ante los hackers hace que, en demasiados casos, la seguridad del usuario final se vea comprometida por ellos.

La fórmula preferida de los ciberdelincuentes para atacar a los dispositivos IoT del sector sanitario

No hay duda de que los archivos y programas maliciosos ransomware son los más utilizados por los ciberdelincuentes a la hora de atacar a centros de salud, hospitales y otros lugares especialmente vulnerables dentro del sector sanitario.

Un ransomware es un programa que se descarga, instala y ejecuta en el equipo gracias a Internet. Al hacerlo, ‘secuestra’ todo el dispositivo o parte de la información que almacena y, a cambio de su liberación, solicita un rescate económico (de ahí su nombre).

La eliminación de estos archivos y programas maliciosos no es excesivamente compleja para los especialistas en seguridad informática, pero las consecuencias que pueden tener sobre los hospitales y centros médicos son de mucha consideración. Por ejemplo, conllevan:

  • Interrupción de los procesos operativos del centro, al menos, en los equipos IoT afectados.
  • Incapacidad de acceder a la información de los pacientes y a sus pruebas diagnósticas.
  • Necesidad de restaurar sistemas y copias de seguridad.
  • Daño en la reputación corporativa del centro o empresa tras sufrir el ataque.

Todo esto conlleva un coste económico muy importante desde el punto de vista empresarial. De hecho, puede llegar a ser tan elevado que la inversión que supone implantar las mejores soluciones en ciberseguridad suene ridícula. El mero hecho de restaurar los sistemas es una tarea que puede detener la actividad del centro médico durante casi un día.

¿Cómo prevenir los ciberataques en el sector de la salud?

Curiosamente, la mejor manera de prevenir los ciberataques a equipos IoT es mediante la inversión estratégica en dichos dispositivos. Es decir, haciendo un mayor y mejor uso de ellos. Cada vez existen más tecnologías que permiten controlar los accesos, bloquear ataques por parte de archivos maliciosos y, en definitiva, salvaguardar la información y los procesos críticos con la menor intervención humana posible.

La realidad es adquirir una infraestructura de equipos, de programas y de personal especializado dentro de un hospital o centro médico puede llegar a suponer una inversión inasumible. Sin embargo, existen alternativas. La más interesante de ellas es la que pasa por la implementación de soluciones en la nube. La reducción en los costes es muy notoria y las soluciones ofrecidas resultan muy eficaces.

En estos momentos, las soluciones SaaS (Software as a Service) son las más utilizadas en aquellos centros médicos que utilizan plataformas en la nube para sus sistemas. Pero, para que funcionen, es necesario plantear una estrategia de ciberseguridad de los datos previamente al volcado de los datos en los servidores. Los mecanismos de cifrado y encriptación son básicos en este punto. Una tarea bastante sencilla y totalmente automatizable que puede suponer un retorno de la inversión realmente elevado.

En definitiva, el sector sanitario, tanto en lo que compete a hospitales como a centros de salud, es especialmente delicado en materia de ciberseguridad. Sobre todo, desde que la mayoría de sus procesos dependen de dispositivos IoT muy sensibles a la acción de los hackers. Sin embargo, las ventajas que brindan en materia de eficiencia y productividad hacen indispensable su uso. Teniendo esto claro, resulta obvio que la inversión en proteger esos sistemas, la cual debe ser realizada siempre desde una perspectiva estratégica, es imprescindible.

Las mejores soluciones de cibserseguridad OT para la industria y salud.

Introducción

Las redes de control industrial actuales son una colmena de dispositivos interconectados diseñados para trabajar juntos en su conjunto. Si el mecanismo falla en cualquier momento, puede desencadenar un efecto dominó grave. Por ejemplo, se necesitan sistemas de comunicaciones para asesorar a las centrales eléctricas sobre la cantidad de electricidad disponible en la red y para regular su producción. Un hospital depende de sus propias redes para enviar diagnósticos a los clientes y una fábrica de automóviles tiene robots complejos que también están interconectados. Aunque no todo es accesible en Internet, hay muchas maneras de acceder a estos entornos y el riesgo está creciendo exponencialmente.

En general, cada uno de los 16 Recursos Críticos de Infraestructura (CIKR) está altamente interconectado y generalmente se ve afectados por vulnerabilidades y vectores de ataque similares. Asegurar CIKR es difícil debido a muchos factores. Estos entornos fueron planeados inicialmente para ser independientes, por lo que no se requirió ni implementó ninguna defensa en línea. También fabrican bienes y operan sin parar durante miles de horas, por lo que el tiempo de inactividad, excepto las reparaciones y parches, tendría un impacto significativo en el negocio. Pocos hospitales actualizan una máquina de rayos X si funciona y hace su trabajo, ni un transportador de gravedad o centrífuga de uranio. Esto es un problema porque el hardware y las aplicaciones antiguas son propensos a crear problemas cuando se exponen a ataques modernos.

Los CIKR se han mostrado reacios a adoptar tecnologías más nuevas porque su diseño ha sido capaz de ofrecer de forma fiable un resultado necesario para nuestra sociedad moderna a lo largo de los años utilizando sus propios protocolos, procesos y sistemas de seguridad (por antiguos que sean). La gran mayoría de los sistemas WO funcionan día a día sin errores significativos. Sin embargo, el riesgo de soportar aplicaciones y sistemas heredados incluso desde finales de la década de 1980 es cada vez más alto.

Medigate

Medigatees nuestra solución preferida para hacer que los hospitales y centros médicos estén seguros y libres de amenazas cibernéticas. Identifica la naturaleza del ataque por lo que el usuario tendrá la capacidad de prevenir una acción de erupción o ser objetivo. El contexto clínico ayudará a identificar el desarrollo del comportamiento humano caótico. Los perfiles de dispositivo le ayudarán a administrar los ciclos de vida de los dispositivos y a ofrecer seguridad de red adicional como resultado. Medigate y Check Point han llegado a una solución de seguridad avanzada para implementar el Internet de las cosas (IoT) y las redes IoMT. La solución combinada de Check Point con Medigate establece un monitoreo de seguridad rápido y eficaz para los hospitales. Las características clave incluyen:

  • Registro de dispositivos médicos realistas y holísticos.
  • Detección de anomalías automatizadas asignadas.
  • Las directivas se generan a partir de atributos de dispositivo.
  • “Panel único de cristal” para todo el contenido producido por Medigate en Check Point Smart Console.
  • Activación automática de ipS marcando el Internet de las cosas conocido explota.

Los expertos en seguridad se preguntan si el mecanismo de seguridad de los hospitales en línea no se ha desarrollado de manera diferente. Esto debe verse como otro indicio de que muchas redes heredadas nunca se hicieron teniendo en cuenta la seguridad de los datos, lo que pone en riesgo recursos vitales y vidas. Por supuesto, capas de seguridad de defensa cibernética se pueden añadir hoy en día. La única dificultad real es diseñar y aplicar capas apropiadas de seguridad de Internet en capas. Otra forma de hacerlo es incorporar programas de seguridad a las aplicaciones. Esta sería la decisión más segura a largo plazo. En resumen, la transición tomará mucho tiempo. La actualización de los equipos de dichas instalaciones conllevaría la misma magnitud de riesgos que la instalación de sistemas de seguridad.

La plataforma pasiva de Medigate puede ser instalada por hospitales e integradores de sistemas de seguridad muy fácilmente y se integra con el sistema de gestión R80 de Check Point y las puertas de enlace de seguridad. Una vez conectada, la plataforma de seguridad del dispositivo médico compartió la información de identificación del dispositivo y la información de la aplicación con la consola inteligente de Check Point. Esto permite una vista completa de la pantalla para un screencast de ambos dispositivos. Debido a la visibilidad granular en los dispositivos quirúrgicos, la eficacia de los medicamentos está asegurada. Medigate aprovecha la inspección profunda de paquetes para supervisar los dispositivos mediante identificadores específicos, incluida la configuración, el uso, el rendimiento y la ubicación. Esto permite que ambos sistemas se muestren simultáneamente en la consola inteligente de Check Point, eliminando la necesidad de retroceder y volver entre los paneles.

La capacidad de etiquetar dispositivos médicos por tipo de conectividad, nombre de modelo y proveedor permite una administración de directivas más detallada. Medigate comprueba lo que está cambiando en la red cada hora para asegurarse de que las etiquetas se mantengan actualizadas.

Tenable.ot

El corazón de una empresa es una red computarizada de controladores que transmiten y reciben comandos. Los controladores lógicos programables (PLC) y las unidades de terminal remota (RTU) son equipos industriales que actúan como la base de los procesos industriales. La infraestructura de operaciones ahora tiene una superficie de ataque a gran escala y varios vectores de ataque. Si no somos capaces de supervisar el acceso a la información, existe un fuerte riesgo de ser objetivo.

Tenable.ot (conocido como Indegy ICS) está diseñado para proteger las redes empresariales de las amenazas cibernéticas, los infiltrados maliciosos y los errores humanos. Nuestra solución también ofrece identificación y evitación de vulnerabilidades, seguimiento de activos, informes y administración de la configuración de una red Wi-Fi. La protección y protección del Sistema de Control Industrial (ICS) se mejora drásticamente. El enfoque proporciona una comprensión situacional clara en todas las ubicaciones departamentales.

Al tomar decisiones de inversión en sistemas OT, el costo sigue siendo una preocupación. Para financiar la iniciativa, debemos transferir los costes a los usuarios de los servicios. Estas innovaciones no son asequibles ya que los usuarios de los bienes producidos por esta tecnología tienen costos de capital fijo incluidos en el costo de los bienes vendidos. El aumento de la inversión en tecnología junto con su corta vida útil sería costoso. Muchos de los costos del reciclaje no se transmitirían a los consumidores debido a la legislación federal. El sector no ha llegado a un consenso sobre las consecuencias de proteger sus procesos de OT y cómo financiar esas mejoras a lo largo de las décadas.

Recientemente no había pruebas de que se desarrollaran estrategias especiales para defenderse de los ciberataques. En aumento son escenarios de ciberguerra y como resultado, los usuarios y las empresas deben ser seguros, así. La necesidad urgente es que los mecanismos de autenticación protejan UTM/OTM para que los administradores del sistema puedan proteger y proteger sus sistemas de extremo a extremo.

Integración de QRadar SIEM

QRadar es una solución de información de seguridad que ofrece monitoreo en tiempo real de las redes de TI. Ofrecemos una amplia variedad de soluciones QRadar, incluyendo piezas principales SIEM y hardware adicional asociado.

La característica clave de la plataforma QRadar SI permite la adquisición de información de seguridad en tiempo real. La solución recopilará datos de los registros adjuntos para analizar anomalías y producir advertencias perturbadoras hasta que se identifique una amenaza de seguridad. Este dispositivo único reconoce, evalúa y realiza un seguimiento de las amenazas de seguridad, aplicación y directivas en las redes. Permite a los administradores de red y a otros decidir sobre iniciativas proactivas de seguridad de la red.

Este módulo escanea la red de su ordenador en busca de errores, así como examina los datos obtenidos de otros hackers (como Nessus y Rapid7). Uso de nuestro sistema para abordar problemas de seguridad de red. Además, esto enumera el índice de vulnerabilidades que IBM QRadar Vulnerability Manager puede utilizar más en las reglas de conexión y los informes. Este módulo le ayudaría a inspeccionar sus dispositivos informáticos en cuestión de horas o incluso minutos.

Garantizar la seguridad mediante SIEM de próxima generación

  • Los proveedores de seguridad usarán enfoques de aprendizaje automático e inteligencia artificial para eludir las herramientas de seguridad antiguas que utilizan leyes estáticas. Puede desactivar los ataques desconocidos mediante un servicio SIEM de próxima generación basado en análisis de big data. Los sistemas de aprendizaje automático evolucionan fácilmente y son capaces de identificar amenazas avanzadas que los sistemas de detección basados en la ley o la firma no pueden identificar.
  • Los análisis de comportamiento se pueden utilizar para realizar un seguimiento del peligro interno y las prácticas de espionaje. Comprender todo el cuerpo de “Anomalía de comportamiento” es una clave para identificar un peligro interno a nivel individual y comunitario. Los ataques de información privilegiada provienen de la ruptura en los derechos de acceso que se les han dado. Estas acciones maliciosas pueden ser identificadas usando un SIEM de próxima generación que introdujo un potente análisis de comportamiento.
  • Los buenos sistemas de respuesta a emergencias son importantes para la gestión de desastres. Las amenazas cibernéticas que no se detienen también tienen consecuencias perjudiciales. Al impartir y mantener la instrucción de la empresa sobre los procedimientos para llevar a cabo en caso de un asalto, su organización minimiza el daño de un ataque.
  • Los médicos deben asegurarse de que sus datos médicos permanezcan privados y limitados a personas aprobadas. Los documentos de EMR contienen información de salud, por lo que es importante mantener los datos médicos privados. Por lo general, los SIEM heredados permiten a las organizaciones mezclar datos confidenciales de los pacientes con otros datos de TI, así como detalles de aplicación, una solución SIEM de próxima generación ofrece todos los privilegios necesarios para preservar la seguridad de los datos, como la anonimización de datos, la administración de acceso basada en roles, el filtrado o borrado de datos y un seguimiento de auditoría completo.
  • Las empresas de salud están sujetas a más legislación en la cultura actual. Las tecnologías SIEM de próxima generación ofrecen informes detallados y de última generación para satisfacer regulaciones como HIPAA, HITRUST, GDPR y otros.

Conclusión

Los profesionales de la salud son conscientes de la necesidad de preservar los registros de los pacientes. La seguridad sanitaria está siendo atacada por amenazas externas e internas, por lo que es imperativo proteger a las personas Información de Salud Personal (PHI). Ha habido un aumento sustancial en el costo de la atención médica, y las empresas están siendo objetivo de su información y resultados. La organización a menudo se enfrenta a una fuerte presión regulatoria que castiga el mal manejo descuidado o travieso de los datos.

Debemos tener en cuenta para proporcionar suficiente protección en nuestro clima empresarial. Esta forma de red puede ayudarnos a aprender más sobre lo que está sucediendo en nuestra máquina, así como en Internet. Una de las técnicas de seguimiento y análisis más comunes es la información de seguridad y la gestión de eventos, que recopilan información como eventos de dispositivos informáticos y los archivan y procesan. Se debe prestar especial atención a la instalación de SIEMs en redes OT y deben tenerse en cuenta las peculiaridades de estas redes. Podemos ayudarle a implementar e integrar IPS, SIEM e IDS. ¡Contáctenos!

Sixe Ingeniería
×