Archivos de autor malwarebytes

Pormalwarebytes

Fortalecimiento y olvido de contraseñas con Matt Davey y Kyle Swank

Fortalecimiento y olvido de contraseñas con Matt Davey y Kyle Swank

Al corriente: por 

Esta semana en Lock and Code, discutimos los principales titulares de seguridad generados aquí en Labs y en Internet. Además, hablamos con Matt Davey, jefe de optimistas de operaciones de 1Password, y Kyle Swank, miembro del equipo de seguridad de 1Password, sobre, qué más, contraseñas.

Es posible que sepamos que es importante tener una contraseña larga, segura e indescifrable y, sin embargo, probablemente todos conozcamos a alguien que escriba su contraseña en un post-it, que luego se coloca literalmente en su máquina. En el episodio de hoy, hablamos de contraseñas seguras, alternativas de contraseña y el futuro, y la posible muerte, de las contraseñas.

Sintonice todo esto y más en el último episodio de Lock and Code, con el presentador David Ruiz.

También puede encontrarnos en la  tienda Apple iTunes ,  Google Play Music y Spotify , además de cualquier plataforma de podcast preferida que utilice.

Cubrimos nuestra propia investigación sobre:

  • Fin de línea: observamos lo que sucede en un mundo donde sus dispositivos domésticos caros pueden perder soporte sin mucha advertencia
  • Tecnología de reconocimiento facial: proporcionamos un resumen sobre el cual las compañías recientemente decidieron no proporcionar la tecnología a las fuerzas del orden.

Además de otras noticias de ciberseguridad:

Pormalwarebytes

VPN: ¿deberías usarlos?

VPN: ¿deberías usarlos?

VPN: ¿deberías usarlos?

Al corriente: por 

Vamos a hablar hoy sobre algo que probablemente haya escuchado antes: VPN o redes privadas virtuales . En Malwarebytes hemos profundizado en estas herramientas en mayor profundidad , y las hemos discutido literalmente en las ondas digitales .

Pero queremos responder una pregunta que hemos estado recibiendo cada vez más. La gente ya no tiene tanta curiosidad acerca de qué es una VPN, como si deberían usar una.

La respuesta es, depende. Para eso, estamos aquí para ayudar.

Cómo funciona una VPN

Para comprender cómo funciona una VPN y si debe usar una, lo mejor es comprender primero qué sucede cuando navega por Internet. Cada vez que abres un navegador web y vas a un sitio web, te estás conectando a ese sitio web e intercambiando información con él. Este es su «tráfico» de Internet, y puede revelar bastante información sobre usted, incluidos los sitios web que visita, su dirección IP y más.

Una VPN actúa como un «túnel» para su tráfico de Internet. Su tráfico entra en el túnel y sale de uno de los nodos de salida del servicio VPN. El túnel cifra sus datos, haciéndolos indescifrables para su proveedor de servicios de Internet (ISP). En el mejor de los casos, su ISP puede ver que parte del tráfico encriptado va a un servicio VPN, pero no el contenido de ese tráfico, y no de dónde sale.

Lo interesante a tener en cuenta aquí es que, con esta funcionalidad básica, una VPN puede satisfacer muchas necesidades diferentes. Como escribimos antes :

Dependiendo de a quién le pregunte, una VPN es cualquiera de estos: [1] un túnel que se encuentra entre su dispositivo informático e Internet, [2] lo ayuda a permanecer anónimo en línea, evitando la vigilancia gubernamental, el espionaje y la recopilación excesiva de datos de grandes empresas, [3] una herramienta que encripta su conexión y enmascara su verdadera dirección IP con una que pertenece a su proveedor de VPN, [4] una pieza de software o aplicación que le permite acceder a recursos privados (como archivos de la empresa en su intranet de trabajo) o sitios que generalmente están bloqueados en su país o región.

Sin una VPN, su proveedor de servicios de Internet o ISP puede ver casi todo con lo que interactúa en línea. Con quién se conecta, qué tipo de tráfico, dónde se encuentra geográficamente. No bueno

Obscurecer su tráfico con una VPN

Si usa una VPN, su ISP sabe que se ha conectado a una VPN, pero no puede inspeccionar el contenido de su tráfico y no sabe de dónde sale en el otro extremo.

Además, a pesar del reciente aumento en la popularidad de las VPN, estas herramientas han estado en uso para las empresas durante mucho tiempo. Por lo general, se utilizan para acceder a recursos de forma remota como si estuviera en la oficina.

En algunos casos, incluso hemos visto aumentos de rendimiento mediante el uso de una VPN, donde el estrangulamiento artificial se evita mediante el uso de una VPN. Debido a que está haciendo un túnel en su conexión, su ISP no puede mirar su tráfico y estrangularlo , según el tipo de tráfico. Lo creas o no, este es un problema real, y algunos ISP reducen el tráfico de los usuarios cuando ven el intercambio de archivos, por ejemplo .

Recomendaciones del consumidor

Hay varios caminos que puede tomar al decidir implementar una VPN. Estas herramientas no solo funcionan en sus dispositivos personales, como sus computadoras portátiles y teléfonos móviles, sino que, en algunos casos, puede insertar su propio enrutador en la mezcla.

En muchos casos, el enrutador proporcionado por su ISP no es un dispositivo que usted controle por completo, y usarlo para sus necesidades de red puede abrirlo a posibles problemas de seguridad.

Estos dispositivos a veces tienen funciones administrativas que no son accesibles para los suscriptores. Algunos enrutadores de rango medio a superior ofrecidos en el mercado hoy en día le permiten colocar la VPN en el enrutador, encapsulando efectivamente todo su tráfico.

La ruta del hardware

Una posible solución sería obtener un enrutador de este tipo e instalar la VPN en él, en lugar de en sus máquinas individuales. Esto tiene la ventaja adicional de que proporciona protección VPN a dispositivos que no son compatibles con VPN, como dispositivos portátiles, consolas y dispositivos inteligentes.

En el pasado, hemos visto el hardware del ISP violado por cuentas codificadas en los módems / enrutadores que ofrecen a sus suscriptores.

Lamentablemente, la atención al cliente de ISP a menudo se resiste a ayudar si inserta su propio equipo en la mezcla. (De hecho, pueden hacer que lo elimine de la ecuación antes de que brinden soporte).

Esta solución es específica para cada enrutador y un poco más avanzada.

La ruta del software

También puede usar una aplicación VPN proporcionada por el proveedor de VPN. Esta aplicación proporcionará un túnel VPN a la computadora en la que está instalado, y solo eso, así que tenlo en cuenta.

Una de las opciones más sólidas a tener en cuenta para su solución de software es una funcionalidad de » interruptor de apagado «. Esto garantiza que si algo le sucede a la aplicación VPN, no se «abre por error» ni permite el tráfico de Internet si la VPN se rompe. Piénsalo. Está instalando esta aplicación por la funcionalidad explícita de que puede tunelizar su tráfico. Si la aplicación no funciona correctamente, es posible que existan riesgos de privacidad en la aplicación que aún le permitan conectarse a Internet, pero dejando que su tráfico se desvíe.

Más que nada, un interruptor de apagado evita la posibilidad de que esté operando con una falsa sensación de seguridad. Lo que usted dice en línea, y la posibilidad de que haya sido usted quien lo dijo, puede llamar la atención en algunos países con leyes mucho más estrictas sobre la libertad de expresión.

Otro factor que hace que una VPN realmente funcione es cuando tienen muchos nodos de salida. Estos nodos de salida son ubicaciones que se pueden usar para evitar la geolocalización. Cuantos más estén disponibles y mayor sea la variedad, más versátil y útil será el servicio VPN.

La velocidad también es un factor para los nodos de salida de VPN. No tiene mucho sentido tener un montón de nodos de salida a menos que sean rápidos. Una de las desventajas de usar una VPN es que al agregar todos estos «saltos» entre nodos, su tráfico tardará más en enrutarse. Si los nodos son razonablemente rápidos, el usuario final no debería notar desaceleraciones significativas.

Debe tener un proveedor de VPN que no discrimine el tipo de tráfico que fluye a través de su red. Algunas VPN más pequeñas no tienen la infraestructura necesaria para manejar grandes volúmenes de tráfico peer-to-peer o bittorrent , y lo prohíben directamente o tienen límites de datos reales.

Pensamientos finales

Recuerde, cuando usted está pensando en adoptar una de estas herramientas, se debe transferir la confianza: Cuando se utiliza una VPN permite transferir el acceso a su tráfico a un 3 rd partido, el proveedor de VPN. Toda esa visibilidad que los usuarios se resisten a renunciar a su ISP ahora se ha entregado a su proveedor de VPN. Se debe considerar cuidadosamente la confiabilidad de dicho proveedor de VPN.

Hay casos documentados en los que un proveedor de VPN reveló que sus usuarios podrían ser anonimizados y que el proveedor de VPN, de hecho, mantuvo registros y estaba dispuesto a entregarlos .

Recuerde, las VPN no deben verse como herramientas oscuras. Son, en realidad, herramientas comerciales y de privacidad. Permitieron que los investigadores que luchan contra el malware descubrieran qué hace realmente ese malware. Permiten que los empleados se conecten a los recursos de la empresa fuera de la oficina, lo cual es de suma importancia hoy en día. Y le permiten a usted, el usuario, reclamar una medida de privacidad.

Por lo tanto, es importante elegir con cuidado. La mayoría de las VPN ofrecen un servicio donde prometen no registrar ni inspeccionar su tráfico. Sin embargo, en muchos casos, esta afirmación es imposible de verificar.

¿La mejor opción para VPN, entonces? Lea reseñas, recorra foros y busque las funcionalidades que son importantes, específicamente para usted.

Pormalwarebytes

Honda y Enel afectados por un ciberataque sospechoso de ser ransomware

Honda y Enel afectados por un ciberataque sospechoso de ser ransomware

Honda y Enel afectados por un ciberataque sospechoso de ser ransomware

Al corriente: por el 

El fabricante de automóviles Honda ha sido golpeado por un ciberataque, según un informe publicado por la BBC, y luego confirmado por la compañía en un tweet . Otro ataque similar, también divulgado en Twitter , golpeó a Edesur SA, una de las compañías pertenecientes a Enel Argentina que opera en el negocio de distribución de energía en la Ciudad de Buenos Aires.

Según los ejemplos publicados en línea, estos incidentes pueden estar relacionados con la familia de ransomware EKANS / SNAKE. En esta publicación de blog, revisamos lo que se sabe sobre esta variedad de ransomware y lo que hemos podido analizar hasta ahora.

Ransomware dirigido con gusto por ICS

Las primeras menciones públicas del ransomware EKANS se remontan a enero de 2020, con el investigador de seguridad Vitali Kremez compartiendo información sobre un nuevo ransomware dirigido escrito en GOLANG.

El grupo parece tener un interés especial por los Sistemas de Control Industrial (ICS), como se detalla en esta publicación de blog de la firma de seguridad Dragos.

Figura 1: Nota de rescate de EKANS

El 8 de junio, un investigador compartió muestras de ransomware que supuestamente estaba dirigido a Honda y ENEL INT. Cuando comenzamos a mirar el código, encontramos varios artefactos que corroboran esta posibilidad.

Figura 2: Verificación de Mutex

Cuando el malware se ejecuta, intentará resolver a un nombre de host codificado (mds.honda.com). Si, y solo si lo hace, comenzará el cifrado del archivo. La misma lógica, con un nombre de host específico, también se aplicaba al ransomware presuntamente vinculado a Enel.

Figura 3: Función responsable de realizar la consulta DNS

Objetivo: Honda

  • Resolviendo dominio interno: mds.honda.com
  • Correo electrónico de rescate: CarrolBidell @ tutanota [.] Com

Objetivo: Enel

  • Resolviendo dominio interno: enelint.global
  • Correo electrónico de rescate: CarrolBidell @ tutanota [.] Com

RDP como un posible vector de ataque

Ambas compañías tenían algunas máquinas con acceso de Protocolo de escritorio remoto (RDP) expuesto públicamente (referencia aquí ). Los ataques RDP son uno de los principales puntos de entrada cuando se trata de operaciones de ransomware específicas.

  • RDP expuesto: /AGL632956.jpn.mds.honda.com
  • RDP expuesto: /IT000001429258.enelint.global

Sin embargo, no podemos decir de manera concluyente que así es como los actores de la amenaza pueden haber entrado. En última instancia, solo una investigación interna adecuada podrá determinar exactamente cómo los atacantes pudieron comprometer las redes afectadas.

Detección

Probamos las muestras de ransomware disponibles públicamente en nuestro laboratorio al crear un servidor interno falso que respondería a la consulta DNS realizada por el código de malware con la misma dirección IP que esperaba. Luego, analizamos la muestra presuntamente vinculada a Honda contra Malwarebytes Nebula , nuestra protección de punto final basada en la nube para empresas.

Figura 4: Panel de Nebula de Malwarebytes que muestra detecciones

Detectamos esta carga útil como ‘Ransom.Ekans’ cuando intenta ejecutarse. Para probar otra de nuestras capas de protección, también deshabilitamos (no recomendado) la protección contra malware para permitir que el motor de comportamiento haga lo suyo. Nuestra tecnología anti-ransomware pudo poner en cuarentena el archivo malicioso sin el uso de ninguna firma.

Las pandillas de ransomware no han mostrado piedad, incluso en este período de lidiar con una pandemia. Continúan apuntando a grandes empresas para extorsionar grandes sumas de dinero.

RDP ha sido señalado como una de las frutas colgantes más bajas preferidas por los atacantes. Sin embargo, también aprendimos recientemente sobre una nueva vulnerabilidad de SMB que permite la ejecución remota. Es importante que los defensores mapeen correctamente todos los activos, los apliquen y nunca permitan que sean expuestos públicamente.

Actualizaremos esta publicación de blog si encontramos nueva información relevante.

Indicadores de compromiso (COI)

Muestra relacionada con Honda:

d4da69e424241c291c173c8b3756639c654432706e7def5025a649730868c4a1
mds.honda.com

Muestra relacionada con Enel:

edef8b955468236c6323e9019abb10c324c27b4f5667bc3f85f3a097b2e5159a 
enelint.global
Pormalwarebytes

Bloqueo y código S1Ep8: Trabajando de forma segura desde casa 

Bloqueo y código S1Ep8: Trabajando de forma segura desde casa (FMH) con John Donovan y Adam Kujawa

Bloqueo y código S1Ep8: Trabajando de forma segura desde casa 

Al corriente: por 

Esta semana en Lock and Code, discutimos los principales titulares de seguridad generados aquí en Labs y en Internet. Además, hablamos con John Donovan, jefe de seguridad de Malwarebytes, y Adam Kujawa, director de Malwarebtyes Labs, sobre trabajar de forma segura desde su hogar (FMH).

Con las órdenes de refugio en el lugar ahora en pleno efecto para evitar la propagación del coronavirus, innumerables empresas se encuentran este año en situaciones obligatorias de trabajo desde el hogar. En el episodio de hoy, vamos más allá de solo hablar de amenazas. Tenemos un dialogo.

Primero, qué tipos de malware y métodos de ataque estamos viendo, y luego, cómo ha respondido Malwarebytes. Queremos darle una mirada interna, porque a pesar de que somos una empresa de ciberseguridad, mantener la seguridad cibernética va más allá de la detección de malware. Llega a educar a sus empleados e implementar políticas adecuadas para proteger su empresa.

Sintonice todo esto y más en el último episodio de Lock and Code, con el presentador David Ruiz.

También puede encontrarnos en la  tienda iTunes de Apple , en  Google Play Music , más cualquier plataforma de podcast preferida que utilice.

Cubrimos nuestra propia investigación sobre:

Además de otras noticias de ciberseguridad:

  • El cazarrecompensas de insectos obtiene un premio de $ 100,000 por el error de día cero en el sistema ‘ Iniciar sesión con Apple ‘. (Fuente: TechSpot)
  • 100,000 bandejas de entrada de la empresa golpeadas con phishing de mensajes de voz . (Fuente: Bleeping Computer)
  • El 80% de las organizaciones sufrieron al menos una violación de datos en la nube en los últimos 18 meses. (Fuente: Ciso Mag)
  • Mongolia arresta a 800 ciudadanos chinos en una investigación de delitos cibernéticos. (Fuente: Reuters)
  • Minnesota utilizó el rastreo de contactos para rastrear a los manifestantes, lo que creó un problema de confianza para los trabajadores médicos en la pandemia. (Fuentes: BGR y Cnet)
Pormalwarebytes

Las campañas de coronavirus conducen a un aumento de las amenazas de malware, según el informe de Malwarebytes

Las campañas de coronavirus conducen a un aumento de las amenazas de malware, según el informe de Labs

Las campañas de coronavirus conducen a un aumento de las amenazas de malware, según el informe de Malwarebytes

Al corriente: por 
Última actualización:

En los primeros tres meses de 2020, cuando el mundo se limitó a limitar el coronavirus, las amenazas cibernéticas aumentaron.

Nuestra última edición especial para nuestro informe trimestral CTNT se centra en las recientes y crecientes amenazas de malware que tienen una gran cosa en común: utilizar el coronavirus como señuelo. Nuestro informe, » Tácticas y técnicas de cibercrimen: ataque a la base de operaciones «, analiza los troyanos, ladrones de información y botnets que los actores de amenazas enviaron a cada vez más hogares de enero a marzo de este año.

Sin embargo, nuestro informe analiza más que el volumen de ataque. También captura los modelos reales que los actores de amenazas usaron para tratar de engañar a las víctimas desprevenidas. Desde un correo electrónico que pretende venir de UNICEF, hasta otro que dice contener información sobre el uso adecuado de la máscara facial, hasta un mapa fraudulento muy discutido que se presenta como un rastreador de casos de coronavirus legítimo y global de la Universidad John Hopkins: todo está aquí en nuestro último informe .

Los investigadores de Malwarebytes han seguido estos métodos de ataque durante meses.

Encontramos un correo electrónico fraudulento que aprovechaba el deseo de las personas de ofrecer apoyo durante la pandemia. Nosotros investigamos la actividad de un agente paquistaní informó amenaza patrocinada por el estado difusión de un troyano de acceso remoto a través de una campaña de spearphishing coronavirus de temática. Descubrimos innumerables correos electrónicos de suplantación de identidad y lanzamientos de aceite de serpiente que ocultan una variedad de keyloggers, ransomware y ladrones de datos.

En el informe de hoy, ahora tenemos los datos para mostrar qué amenazas de malware, específicamente, aumentaron en los primeros tres meses de 2020.

Conclusiones clave: ataque a la base de operaciones

  • Los ciberdelincuentes hicieron una transición rápida para entregar malware de años de antigüedad con nuevas campañas que aprovechaban la confusión, el miedo y la incertidumbre en torno a la pandemia mundial de coronavirus.
  • Malwarebytes descubrió que el malware de puerta trasera NetWiredRC , que se mantuvo bajo durante aproximadamente cinco meses en 2019, aumentó drásticamente su actividad a principios de 2020, con un aumento de detección de al menos 200 por ciento en marzo en comparación con diciembre pasado.
  • El período de tiempo entre enero y febrero fue, para varios de los tipos de malware analizados, un precursor de una actividad de detección aún mayor e incrementada entre febrero y marzo.
  • Malwarebytes registró mayores detecciones de casi el 110 por ciento entre febrero y marzo para el malware AveMaria , un peligroso troyano de acceso remoto que puede proporcionar acceso de escritorio remoto y control remoto de cámara web, con la capacidad adicional de robar contraseñas.
  • Malwarebytes registró mayores detecciones de más del 160 por ciento entre febrero y marzo para el malware DanaBot , un invasor de troyanos y ladrón de información que puede deslizar las credenciales de las cuentas bancarias en línea.
  • Las campañas de phishing parecen ser el método de ataque más popular, pero los ciberdelincuentes también se han vuelto creativos con sitios web fraudulentos que ocultan malware.
  • Un aumento del 26 por ciento en la actividad de descremado de tarjetas de crédito en marzo pone a los compradores domésticos en mayor riesgo

Para obtener más información sobre los métodos de ataque y los tipos de malware dirigidos a las personas hoy en día, y para encontrar recomendaciones sobre cómo proteger su base de operaciones y la de sus empleados remotos, lea el informe completo:

Tácticas y técnicas de cibercrimen: ataque a la base

Pormalwarebytes

MAZE: el ransomware que introdujo un giro extra

Laberinto: el ransomware que introdujo un giro extra

MAZE: el ransomware que introdujo un giro extra

Al corriente: por 
Última actualización:

Los desarrolladores del ransomware Maze han introducido una forma adicional de crear influencia contra las víctimas del ransomware . Si la víctima no está convencida de que debe pagar a los delincuentes porque sus archivos están encriptados, podría haber un método adicional de extorsión. Con el tiempo, más organizaciones han encontrado formas de mantener copias seguras de sus archivos importantes o utilizar algún tipo de tecnología de reversión para restaurar sus sistemas al estado en que se encontraban antes del ataque.

Para tener cierta influencia sobre estas organizaciones, los atacantes de ransomware roban datos del sistema infiltrado mientras implementan su ransomware. Luego amenazan con publicar los datos si la víctima decide no pagar. Dependiendo del tipo de datos, esta puede ser una razón bastante convincente para ceder.

Laberinto presenta datos filtrados

En el último trimestre de 2019, los desarrolladores de Maze introdujeron este nuevo método de extorsión. Y, como si el ransomware solo no fuera lo suficientemente malo, desde la introducción de esta metodología, muchos otros vendedores de ransomware han comenzado a adoptarlo. Las familias de ransomware más conocidas además de Maze que utilizan la filtración de datos como guarnición para ransomware son Clop, Sodinokibi y DoppelPaymer.

El dudoso honor de ser notada como la primera víctima fue para Allied Universal, una firma de servicios de seguridad con sede en California. Allied Universal vio que se arrojaron 700 MB de datos robados después de que se negaron a satisfacer la demanda de rescate establecida por Maze. Hoy en día, la mayoría de las pandillas de ransomware involucradas en este ataque de doble función tienen sitios web dedicados donde amenazan con publicar los datos robados de las víctimas que son reacias a pagar.

Sitio web de Maze
Sitio web donde los operadores de Maze publican los datos extraídos de sus «clientes».

Características del ransomware Maze

El ransomware Maze se desarrolló como una variante del ransomware ChaCha y fue descubierto inicialmente por el Director de Inteligencia de Amenazas Jérôme Segura de Malwarebytes en mayo de 2019. Desde diciembre de 2019, la pandilla ha estado muy activa haciendo muchas víctimas de alto perfil en casi todas las verticales: finanzas, tecnología, telecomunicaciones, atención médica, gobierno, construcción, hotelería, medios y comunicaciones, servicios públicos y energía, farmacia y ciencias de la vida, educación, seguros, venta al por mayor y legal.

Las principales formas de distribución de Maze son:

  • campañas de malspam que utilizan archivos adjuntos armados, principalmente archivos de Word y Excel
  • RDP ataques de fuerza bruta

Inicialmente, Maze se distribuyó a través de sitios web utilizando un kit de exploits como Fallout EK y Spelevo EK , que se ha visto utilizando vulnerabilidades de Flash Player. El ransomware Maze también ha utilizado exploits contra Pulse VPN , así como la vulnerabilidad de ejecución remota de código del motor VBScript de Windows para ingresar a una red.

Independientemente del método utilizado para establecerse en la red, el siguiente paso para los operadores de Maze es obtener privilegios elevados, realizar movimientos laterales y comenzar a implementar el cifrado de archivos en todas las unidades. Sin embargo, antes de cifrar los datos, se sabe que estos operadores extraen los archivos que encuentran. Estos archivos se utilizarán como un medio para obtener un apalancamiento adicional, amenazando con la exposición pública.

MAZE usa dos algoritmos para encriptar los archivos, ChaCha20 y RSA . Después del cifrado, el programa agrega una cadena de caracteres aleatorios de 4 a 7 al final de cada archivo. Cuando el malware ha terminado de encriptar todos los archivos de destino, cambia el fondo de escritorio a esta imagen:

Además, se reproduce un mensaje de voz para el usuario del sistema afectado, alertándolo del cifrado.

COI para ransomware Maze

Maze crea un archivo llamado DECRYPT-FILES.txt en cada carpeta que contiene archivos cifrados. Se salta algunas carpetas entre las que se encuentran:
•% windir%
•% programdata%
• Archivos de programa
•% appdata% \ local

También omite todos los archivos de los siguientes tipos:
• dll
• exe
• lnk
• sys

Esta nota de rescate llamada DECRYPT-FILES.txt contiene instrucciones para la víctima:

La nota de rescate explicando el ataque y cómo contactar a los ciberdelincuentes para obtener los archivos descifrados.

Luego prometen que:

Después del pago, los datos se eliminarán de nuestros discos y se le dará un desencriptador, para que pueda restaurar todos sus archivos.

SHA 256 hashes:

19aaa6c900a5642941d4ebc309433e783befa4cccd1a5af8c86f6e257bf0a72e 

6878f7bd90434ac5a76ac2208a5198ce1a60ae20e8505fc110icsofte42b3657d13

9ad15385f04a6d8dd58b4390e32d876070e339eee6b8da586852d7467514d1b1

b950db9229db2f37a7eb5368308de3aafcea0fd217c614daedb7f334292d801e

Proteccion

Malwarebytes protege a los usuarios con una combinación de diferentes capas, incluida una que detiene el ataque desde el principio y es completamente sin firma.

Además de usar Malwarebytes, también recomendamos:

  • Denegar el acceso a IP públicas a puertos importantes (puerto RDP 3389).
  • Permita el acceso a solo las IP que están bajo su control.
  • Junto con el bloqueo del puerto RDP, también sugerimos bloquear el puerto SMB 445. En general, se recomienda bloquear los puertos no utilizados.
  • Aplique los últimos paquetes de actualización de Microsoft y mantenga su sistema operativo y antivirus totalmente actualizados.

Pagos

Si bien nuestro consejo, como siempre, es no pagar a los delincuentes, ya que usted mantiene vivo su modelo de negocio al hacerlo, entendemos que la falta de archivos cruciales puede ser una razón de peso para pagarlos de todos modos. Y con el nuevo giro de la publicación de datos exfiltrados que presentaron los operadores de Maze, hay una razón adicional a la mano. Lanzar datos confidenciales en línea ha demostrado ser una persuasión adicional efectiva, ya que muchas organizaciones no pueden permitirse tenerlos a disposición del público.

Pormalwarebytes

Oscurecimiento: cifrado y aplicación de la ley

Oscurecimiento: cifrado y aplicación de la ley

Oscurecimiento: cifrado y aplicación de la ley

Al corriente: por 
Última actualización:

ACTUALIZACIÓN, 22/05/2020: en el advenimiento de la Ley EARN IT , el debate sobre la subversión gubernamental del cifrado se ha reavivado. Dado que las condiciones materiales de la tecnología no han cambiado y los argumentos dados a favor del proyecto de ley no son novedosos, hemos decidido volver a publicar el siguiente blog que describe nuestra postura sobre el tema.

Publicado originalmente el 25 de julio de 2017

Lo estamos escuchando mucho últimamente: el cifrado es un obstáculo insuperable entre la aplicación de la ley y mantenernos a salvo. No pueden reunir información sobre terroristas porque usan encriptación. No pueden condenar a los delincuentes porque no entregarán las claves de cifrado. No pueden evitar que sucedan cosas malas porque los malos no desbloquearán sus teléfonos. Por lo tanto, estrictamente para mantenernos a salvo, la industria de la tecnología debe proporcionarles medios para debilitar, eludir o subvertir el cifrado, todo por el bien público. No hay «puertas traseras», fíjate; simplemente quieren una forma de cifrado que funcione para las personas buenas, pero no está mal. Esto es una tontería peligrosa, por muchas razones.

1. Es técnicamente incorrecto

El cifrado mantiene su valor al proporcionar una protección de datos de extremo a extremo, así como lo que llamamos «datos en reposo». Los gobiernos han solicitado ambos medios para observar datos en tránsito, así como para recuperar datos en reposo en dispositivos de interés. También insisten en que no tienen interés en debilitar el cifrado en su conjunto, sino en recuperar la información que necesitan para una investigación. Desde una perspectiva técnica, esto es un galimatías contradictorio. Un algoritmo de cifrado codifica datos confidenciales o no lo hace: el único método para permitir que un tercero obtenga acceso a datos de texto sin formato sería proporcionarles las claves privadas de los comunicantes en cuestión o mantener una falla explotable en el algoritmo que un tercero podría aprovechar. A pesar de las protestas del gobierno en sentido contrario, esto tiene sentido intuitivo:Los algoritmos no pueden discernir buenas intenciones, por lo que deben estar seguros contra todos.

2. Tienen una miríada de otras opciones para obtener lo que necesitan

Supongamos por un momento que una entidad gubernamental tiene una sospecha razonable de que se ha cometido un delito, una certeza razonable de que cierta persona lo cometió y una sospecha razonable de que la evidencia que conduce a una condena se encuentra en un dispositivo cifrado. Históricamente, las entidades gubernamentales no han marcado todas estas casillas antes de intentar subvertir el descifrado, pero de momento les daremos el beneficio de la duda. Las opciones disponibles para varios niveles de aplicación de la ley y / o inteligencia incluyen, pero no se limitan a:

  • Escuchar a escondidas las comunicaciones no cifradas o mal configuradas del contacto de un sospechoso
  • Recopilación de metadatos no cifrados para caracterizar los datos cifrados
  • Detener al sospechoso indefinidamente hasta que descifren el dispositivo «voluntariamente»
  • Geolocalización para ubicar al sospechoso cerca del crimen
  • Análisis de enlaces para colocar al sospechoso en contacto social con delincuentes confirmados
  • Obtener datos no cifrados en reposo de terceros proveedores que cumplen con los requisitos
  • Escuchar a escondidas en otros canales donde el sospechoso describe los datos cifrados
  • Descifrado de llave

Dada la gran variedad de herramientas disponibles para las autoridades, ¿por qué necesitarían comenzar una investigación rompiendo la única herramienta disponible para el usuario promedio que mantiene sus datos a salvo de los piratas informáticos?

3. No están realmente «oscureciendo»

En 1993, el gobierno propuso un dispositivo criptográfico llamado » chip clipper » para encriptar los datos mientras mantiene las claves privadas en un «depósito de claves» controlado por la policía. En lugar de romper el cifrado, la policía simplemente habría tenido disponible una clave de descifrado. Para todo el mundo. Un análisis académico de por qué esta fue una idea increíblemente mala se puede encontrar aquí .

Dado que este programa se cerró en respuesta a una opinión pública abrumadoramente negativa, ¿las agencias de aplicación de la ley y de inteligencia no han podido recopilar datos durante los últimos 24 años? ¿O han recurrido a otras herramientas de investigación disponibles para ellos, según corresponda?

4. Si les damos una puerta trasera, ¿qué harían con ella?

Las tácticas de mano dura de estilo 1984 son poco probables en la actualidad, pero ¿una violación del gobierno que resulta en la pérdida de control de la puerta trasera? Mucho más probable. La violación en OPM  probablemente puso en peligro la información de hasta un tercio de los estadounidenses adultos, dependiendo de quién y cómo cuenta. (No lo sabemos con certeza porque el gobierno no dijo cómo contaban). Esa violación involucró datos de empleados gubernamentales sensibles y valiosos. ¿Lo harían mejor con una puerta trasera que impacta la tecnología utilizada por casi todos?

No , no lo  harían .

Echemos un vistazo a cómo protegen sus propias redes, publiquen OPM. Oh querido …

Si el gobierno más poderoso y rico del mundo no puede asegurar sus propios datos clasificados, ¿por qué deberíamos confiar en ellos con los nuestros? El ex jefe del FBI una vez pidió una «conversación de adultos» sobre el cifrado. Estamos de acuerdo. Así que aquí hay una modesta contrapropuesta:

  • Deje de clasificar en exceso la inteligencia de amenazas cibernéticas. La comunidad de seguridad no puede arreglar lo que no sabe. La inteligencia de amenazas de más de un año no tiene ningún valor.
  • Enviar expertos en la materia para participar en los ISAC , no en «enlaces».
  • Colaborar en los ISAC de buena fe: la inteligencia compartida debe tener contexto y la colaboración debe extenderse más allá de las listas de COI.
  • Comercio analítico de intercambio: los analistas en el gobierno a menudo usan técnicas que, aunque oscuras, no se clasifican. Esto mejorará el comercio en ambos lados.
  • Cumpla con el estándar DHS para asegurar sus propias máquinas, clasificadas o no. Nadie confiaría en alguien con un depósito de claves si esas claves se mantienen en un colador con fugas.

Creemos que estas son solicitudes razonables que pueden ayudar a mantener a las personas seguras, sin romper el cifrado en el que el mundo depende a diario para hacer negocios, mantener conversaciones privadas y, en ocasiones, expresar pensamientos sin temor a represalias.

Pormalwarebytes

Cuando ataca la infodemia de coronavirus

Cuando ataca la infodemia de coronavirus

Cuando ataca la infodemia de coronavirus

Al corriente: por 

Los sitios de redes sociales están intensificando sus esfuerzos en la guerra contra la desinformación … específicamente, la infodemia coronavirus / COVID-19 . Hay una corriente aparentemente interminable de información errónea potencialmente peligrosa que circula en línea relacionada con la pandemia COVID-19, y que podría tener resultados fatales.

Es una ciudad en auge en la tierra de las noticias falsas que se encuentra en lo alto de la ola de personas que se quedan con sus dispositivos tecnológicos las 24 horas, los 7 días de la semana. Yo mismo veo regularmente todo lo publicado en línea desde «gel de manos es un inmunizador» (no) y «los niños no pueden verse afectados» (no es cierto) a «las reglas del Reino Unido significan que los sobrevivientes de abuso doméstico deben permanecer con su cónyuge abusivo» (absolutamente no cierto en absoluto y muy peligroso de reclamar). 

Incluso tenemos ingenieros que están siendo escupidos gracias a las teorías de conspiración 5G que potencialmente resultan en la transmisión del coronavirus . Resulta que una pandemia global es un pararrayos para empujar a las personas a teorías de conspiración en abundancia, en la medida en que algunas personas tienen que ir a buscar guías para alejar a sus familiares de las falsificaciones de Internet . Hay graves consecuencias tomando forma, a través de todas las fuentes imaginables, no importa cuán desconcertante .

¿Qué se está haciendo para abordar estos cuentos en línea?

Youtube : Comenzamos con el monolito de video, eliminando múltiples videos de «Coronavirus causados ​​por 5G» (uno de los cuales tenía más de 1.5 millones de visitas) después de una investigación realizada por PressGazette . Algunos de los otros clips sobre Bill Gates, los medios de comunicación y temas relacionados pertenecían a un gran número de cuentas verificadas, a menudo con anuncios superpuestos de anunciantes que no querían que sus promociones estuvieran asociadas con dicho contenido. Si bien YouTube afirma haber eliminado miles de videos «desde principios de febrero», el gigante de los videos y muchos otros están bajo una intensa presión para llevar las cosas a un nivel superior .

Si bien los principales resultados de búsqueda para el «coronavirus 5G» en YouTube actualmente recuperan una variedad de fuentes verificadas que desacreditan las muchas afirmaciones de conspiración, filtrar videos por lo que se publicó «hoy» da como resultado una variedad de clips recién subidos de personas que filman torres 5G y etiquetan ellos con «Coronavirus» en los títulos. Si ve algo que impulsa específicamente una teoría de la conspiración, las opciones de informe siguen siendo bastante genéricas:

  • Contenido sexual
  • Contenido violento o repulsivo
  • Contenido odioso o abusivo
  • Actos nocivos o peligrosos.
  • Spam o engañoso

Si bien es probable que seleccione la última opción, todavía no hay nada específicamente sobre la pandemia en sí. Esto puede ser preocupante, considerando un estudio reciente de BMJ Global Health que encontró que uno de cada cuatro de los videos más populares sobre la pandemia contenía información errónea . Lo que parece es 62 millones de vistas en 19 videos dudosos de 69 videos populares de un solo día. Es bastante preocupante.

Twitter: este es interesante, ya que Twitter está buscando marcar Tweets y / o cuentas que envíen información incorrecta en relación con COVID-19 . Si bien este es un buen movimiento, parece ser algo hecho completamente al final; Si intenta marcar un Tweet usted mismo como información errónea COVID-19, no hay opción para hacerlo en la pestaña de informes. «Es sospechoso o spam» y «Es abusivo o dañino» son los más cercanos, pero no hay nada específico en las opciones de seguimiento vinculadas a cualquiera de esas selecciones.

Esto se siente un poco como una oportunidad perdida, aunque habrá razones por las cuales esto no está disponible como una opción. Tal vez anticipan informes falsos de bandera y troll de datos válidos, aunque uno esperaría que sus procesos internos para marcar contenido incorrecto pudieran contrarrestar esta posibilidad.

Facebook: El gigante de las redes sociales fue criticado en abril por su enfoque de la crisis de desinformación, con grandes conteos de visitas, contenido inadecuado no marcado como falso y hasta 22 días para emitir advertencias, liderando a un director de campaña de un activista financiado por crowdfunding grupo para afirmar que estaban «en el epicentro de la crisis de desinformación».

Ay.

Facebook decidió comenzar a notificar a los usuarios que habían interactuado con lo que se puede llamar de manera confiable «lo malo» para intentar rechazar el contenido que abunda en grupos y en otros lugares . Facebook continúa abordando el problema con múltiples iniciativas que incluyen abordar los anuncios malos, vincular a las personas con información creíble y combatir datos falsos en múltiples aplicaciones. Sin embargo, el gran tamaño de su base de usuarios sugiere que esta lucha está lejos de terminar.

TikTok: Pensando que las teorías de conspiración y la información errónea no aparecerían en la música viral / sensación de clip TikTok es probablemente una mala idea. En algunos casos, floreció en la plataforma, lejos de los ojos de investigadores serios, todavía enfocados en las grandes plataformas de redes sociales como Twitter y Facebook.

Si bien TikTok es algo único en lo que respecta a tener la información errónea COVID-19 como una categoría específica de informes , no ha sido exactamente una simple navegación. Aparentemente, las categorías de hashtag populares tienen más que su parte justa de contenido inadecuado , vinculando datos incorrectos y afirmaciones mal obtenidas de canciones geniales y fragmentos de sonido rápidos.

Internet Archive: incluso el Internet Archive no está a salvo de las travesuras de coronavirus, ya que las personas usan páginas guardadas para continuar difundiendo enlaces malos en línea. Incluso si un sitio malo se elimina, se marca como dañino o se elimina de los motores de búsqueda, el acto de sacarlo y colocarlo en Archive.org para siempre es una forma de que las personas detrás de los sitios sigan presionando esos enlaces . Por su parte, Internet Archive está luchando con mensajes de advertencia claros sobre algunos de los contenidos desacreditados.

Cuidado con una segunda ola de Infodemic

Aunque algunas de las principales plataformas en línea tardaron en responder a la ola de información falsa, la mayoría de ellas ahora parecen tener al menos algún tipo de plan de juego. Es discutible cuánto está funcionando, pero es probable que algo sea mejor que nada y las tácticas continúan evolucionando en respuesta a esas travesuras digitales.

Sin embargo, parece que al menos algunas advertencias de la actual llamada Infodemic no se tuvieron en cuenta durante muchos años y ahora estamos cosechando el torbellino. Desde los gobiernos y las organizaciones de atención médica hasta el público en general y las plataformas de intercambio de contenido en línea, todos hemos quedado atrapados en la retaguardia en varios grados. Si bien el genio actual está fuera de la botella y no volverá pronto , depende de todos nosotros pensar cómo podríamos hacerlo mejor la próxima vez, porque definitivamente habrá una próxima vez.

Pormalwarebytes

Una semana en seguridad informática (11 de mayo – 17 de mayo)

Una semana en seguridad (11 de mayo - 17 de mayo)

Una semana en seguridad informática (11 de mayo – 17 de mayo)

Al corriente: por 

La semana pasada en Malwarebytes Labs, explicamos por qué RevenueWire tiene que pagar $ 6.7 millones para liquidar los cargos de la FTC , cómo funciona CVSS: caracterizar y puntuar vulnerabilidades , y hablamos sobre cómo y por qué los piratas informáticos atacaron a una importante firma de abogados con ransomware Sodinokibi .

También lanzamos otro episodio de nuestro podcast Lock and Code , esta vez hablando con Chris Boyd, analista principal de inteligencia de malware en Malwarebytes, sobre la tecnología de reconocimiento facial: su historia temprana, sus fallos probados en la precisión y si mejorar la tecnología en realidad sería » bueno ”para la sociedad.

Otras noticias de ciberseguridad

  • Se reveló un nuevo método de ataque que apunta a dispositivos con un puerto Thunderbolt , lo que permite un malvado ataque de mucama. (Fuente: SecurityWeek)
  • A casi cuatro millones de usuarios de MobiFriends , una popular aplicación de citas de Android, los hackers les han robado sus datos personales y de inicio de sesión. (Fuente: IT Security Guru)
  • Cognizant estima que el ataque de ransomware de abril que afectó a su red interna le costará a la empresa de servicios de TI entre $ 50 y $ 70 millones. (Fuente: GovInfoSecurity)
  • La base de datos para el difunto foro de piratas informáticos WeLeakData se vende en la web oscura y expone las conversaciones privadas de los piratas informáticos que utilizaron el sitio. (Fuente: BleepingComputer)
  • El gobierno de los Estados Unidos divulgó información sobre tres nuevas cepas de malware utilizadas por hackers norcoreanos patrocinados por el estado . (Fuente: The Hacker News)
  • Se publicaron detalles sobre PrintDemon , una vulnerabilidad en el servicio de impresión de Windows que afecta a todas las versiones de Windows que se remontan a Windows NT 4. (Fuente: ZDNet)
  • Las agencias de inteligencia de EE. UU. Expresaron la necesidad de una campaña concertada para parchear las 10 vulnerabilidades más explotadas . (Fuente: CBR en línea)
  • Magellan Health , la compañía de seguros Fortune 500, ha informado de un ataque de ransomware y una violación de datos. (Fuente: ThreatPost)
  • Los investigadores encontraron un nuevo marco de ciberespionaje llamado Ramsay , desarrollado para recolectar y filtrar archivos confidenciales de redes con espacios de aire. (Fuente: DarkReading)
  • El EFF llamó la atención sobre las muchas formas en que la Ley EARN IT sería un desastre para la libertad de expresión y seguridad de los usuarios de Internet. (Fuente: Electronic Frontier Foubndation)
Pormalwarebytes

Cómo funciona CVSS: caracterizando y puntuando vulnerabilidades

Cómo funciona CVSS: caracterizando y puntuando vulnerabilidades

Cómo funciona CVSS: caracterizando y puntuando vulnerabilidades

Al corriente: por 
Última actualización:

El Sistema de puntuación de vulnerabilidad común (CVSS) proporciona a los desarrolladores de software, evaluadores y profesionales de seguridad y TI un proceso estandarizado para evaluar vulnerabilidades. Puede usar el CVSS para evaluar el nivel de amenaza de cada vulnerabilidad y luego priorizar la mitigación en consecuencia.

Este artículo explica cómo funciona el CVSS, incluida una revisión de sus componentes, y describe la importancia de utilizar un proceso estandarizado para evaluar las vulnerabilidades.

¿Qué es una vulnerabilidad de software?

Una vulnerabilidad de software es cualquier debilidad en la base de código que puede ser explotada. Las vulnerabilidades pueden ser el resultado de una variedad de errores de codificación, que incluyen lógica defectuosa, mecanismos de validación inadecuados o falta de protección contra desbordamientos del búfer. Las API desprotegidas y los problemas aportados por bibliotecas de terceros también son fuentes comunes de vulnerabilidades.

Independientemente de la fuente de la vulnerabilidad, todos presentan algún riesgo para los usuarios y las organizaciones. Hasta que se descubren vulnerabilidades y parches , o se fijan en una actualización de software, los atacantes pueden explotar a dañar los sistemas, cortes de causa, robar datos, o implementar y malware propagación.

Cómo se informan las vulnerabilidades

La forma en que se informan las vulnerabilidades depende del tipo de software en el que se descubren y del tipo de vulnerabilidad que parecen ser. Además, la importancia percibida de la vulnerabilidad para el buscador es un factor en cómo se informa.

Por lo general, los investigadores de seguridad, los probadores de penetración y los propios usuarios encuentran e informan vulnerabilidades. Los investigadores de seguridad y los probadores de penetración pueden trabajar a tiempo completo para las organizaciones o pueden funcionar como autónomos que trabajan bajo un programa de recompensas de errores .

Cuando las vulnerabilidades son menores o el usuario puede solucionarlas fácilmente sin la ayuda del proveedor o de la comunidad, es más probable que los problemas no se notifiquen. Del mismo modo, si un investigador de sombrero negro o un ciberdelincuente descubre un problema grave , es posible que no se informe. En general, sin embargo, las vulnerabilidades se informan a las organizaciones o desarrolladores cuando se encuentran.

Si se encuentra una vulnerabilidad en el software propietario, se puede informar directamente al proveedor oa una organización de supervisión de terceros, como la organización de seguridad sin fines de lucro, MITRE . Si se encuentra uno en el software de código abierto, se puede informar a la comunidad en general, a los gerentes de proyecto o a un grupo de supervisión.

Cuando se informan vulnerabilidades a un grupo como MITRE, la organización asigna al problema un número de identificación y notifica al vendedor o al gerente del proyecto. La parte responsable tiene 30 a 90 días para desarrollar una solución o parchear el problema antes de que la información se haga pública. Esto reduce la posibilidad de que los atacantes puedan explotar la vulnerabilidad antes de que haya una solución disponible.

¿Qué es CVSS?

El Sistema de puntuación de vulnerabilidad común (CVSS) es un conjunto de estándares abiertos y gratuitos. Estos estándares son mantenidos por el Foro de Respuesta a Incidentes y Equipos de Seguridad (FIRST), una organización de seguridad sin fines de lucro. Los estándares usan una escala de 0.0 a 10.0, con 10.0 representando la mayor severidad. La versión más reciente lanzada es CVSS 3.1 , lanzada en junio de 2019.

Estos estándares se utilizan para ayudar a los investigadores de seguridad, usuarios de software y organizaciones de seguimiento de vulnerabilidades a medir e informar sobre la gravedad de las vulnerabilidades. CVSS también puede ayudar a los equipos de seguridad y desarrolladores a priorizar las amenazas y asignar recursos de manera efectiva.

Cómo funciona la puntuación CVSS

La puntuación CVSS se basa en una combinación de varios subconjuntos de puntuaciones. El único requisito para clasificar una vulnerabilidad con un CVSS es completar los componentes de puntaje base. Sin embargo, se recomienda que los reporteros también incluyan puntajes temporales y métricas ambientales para una evaluación más precisa.

El puntaje base del CVSS se evalúa utilizando una subpunta de explotabilidad, una subpunta de impacto y una subpunta de alcance. Estos tres contienen métricas para evaluar el alcance de los ataques, la importancia de los datos y sistemas afectados, y el subpunto del alcance evalúa el impacto del ataque en sistemas aparentemente no afectados.

Puntaje base

El puntaje base está destinado a representar las cualidades inherentes de una vulnerabilidad. Estas cualidades no deberían cambiar con el tiempo ni deberían depender de ambientes individuales. Para calcular el puntaje base, los reporteros deben calcular el compuesto de tres subpuntos.

Puntaje de explotabilidad

El subpunto de explotabilidad mide las cualidades de un componente vulnerable. Estas cualidades ayudan a los investigadores a definir con qué facilidad los atacantes pueden explotar una vulnerabilidad. Este subpunto se compone de las siguientes métricas:

Métrico Medición Escala (de menor a mayor)
Vector de ataque (AV) Qué fácil es para los atacantes acceder a una vulnerabilidad Físico (presencia)
Local (presencia)
Adyacente (redes conectadas)
Red (remota)
Complejidad de ataque (AC) ¿Qué requisitos previos son necesarios para la explotación? Bajo
alto
Privilegios requeridos (PR) El nivel de privilegios necesarios para explotar la vulnerabilidad. Ninguno
Bajo
Alto
Interacción del usuario (UI) Si la explotación requiere acciones de un usuario terciario Binario: ninguno o obligatorio

Puntaje de impacto

El subpunto de impacto mide los efectos que la explotación exitosa tiene en el componente vulnerable. Define cómo se ve afectado un componente en función del cambio de explotación previa a posterior. Este subpunto se compone de las siguientes métricas:

Métrico Medición Escala
Confidencialidad (C) Pérdida de confidencialidad de datos en el componente o sistemas más amplios. Ninguno
Bajo
Alto
Integridad (I) Pérdida de integridad de datos en todo el sistema de componentes. Ninguno
Bajo
Alto
Disponibilidad (A) Pérdida de disponibilidad del componente o sistemas conectados. Ninguno
Bajo
Alto

Alcance de la calificación

El puntaje del alcance mide qué impacto puede tener una vulnerabilidad en componentes distintos al afectado por la vulnerabilidad. Intenta dar cuenta del daño general del sistema que un atacante puede ejecutar explotando la vulnerabilidad reportada. Esta es una puntuación binaria con un alcance que se cambia o no cambia.

Puntuación temporal

La puntuación temporal mide aspectos de la vulnerabilidad de acuerdo con su estado actual como vulnerabilidad conocida. Este puntaje incluye las siguientes métricas:

Métrico Medición Escala (de menor a mayor)
Explotar código de madurez (E) La disponibilidad de herramientas o código que pueden utilizarse para explotar la vulnerabilidad. Prueba de concepto
funcional
no probados
de alta
No definido
Nivel de remediación (RL) El nivel de remediación actualmente disponible para los usuarios Arreglo oficial
Solución
temporal Arreglo temporal No
disponible
No definido
Informe de confianza (RC) El grado de precisión del informe de vulnerabilidad. Desconocido
Razonable
Confirmado
No definido

Métricas ambientales

Las métricas ambientales miden la gravedad de la vulnerabilidad ajustada por su impacto en los sistemas individuales . Estas métricas son personalizaciones de las métricas utilizadas para calcular la puntuación base. Las métricas ambientales son más útiles cuando se aplican internamente por equipos de seguridad que calculan la gravedad en relación con sus propios sistemas.

La importancia de la estandarización.

CVSS proporciona pautas integrales para evaluar vulnerabilidades. Este sistema de puntuación es utilizado por muchos y tiene una amplia gama de aplicaciones. Sin embargo, quizás el aspecto más importante del CVSS es que proporciona un estándar unificado para todas las partes relevantes. La estandarización es crucial al responder a los riesgos y priorizar la mitigación.

Los puntajes CVSS son más que un medio de estandarización. Estos puntajes tienen aplicaciones prácticas y pueden tener un impacto significativo para ayudar a los equipos de seguridad y desarrolladores de productos a priorizar sus esfuerzos. 

Dentro de una organización, los equipos de seguridad pueden usar los puntajes CVSS para asignar eficientemente recursos limitados. Estos recursos pueden incluir capacidades de monitoreo, tiempo dedicado a parches o incluso búsqueda de amenazas para determinar si una vulnerabilidad ya ha sido explotada. Esto es particularmente valioso para equipos pequeños que pueden no tener los recursos necesarios para abordar cada vulnerabilidad.

Los puntajes CVSS también pueden ser útiles para los investigadores de seguridad. Estos puntajes pueden ayudar a resaltar componentes que son especialmente vulnerables o tácticas y herramientas que son particularmente efectivas. Luego, los investigadores pueden aplicar este conocimiento al desarrollo de nuevas prácticas y herramientas de seguridad para ayudar a detectar y eliminar amenazas desde el principio. 

Finalmente, los puntajes de CVSS pueden ser informativos para los desarrolladores y evaluadores en la prevención de vulnerabilidades en primer lugar. Un análisis cuidadoso de las vulnerabilidades de alto rango puede ayudar a los equipos de desarrollo de software a priorizar las pruebas. También puede ayudar a resaltar áreas donde se pueden mejorar las mejores prácticas de seguridad de código. En lugar de esperar hasta que se descubra que su propio producto es vulnerable, los equipos pueden aprender de los errores de otros