Lanzamiento de nuevo servicio de ciberserguridad: «Reportes Proactivos de Ciberseguridad»

13/10/2022 Noticias 0

Asunción, Octubre, 2022.

Hoy en día, la gran mayoría de los ataques a sistemas y/o activos digitales en organizaciones, son una consecuencia de una cadena de fallas, errores o vulnerabilidades en los mismos, que en su gran mayoría son amenazas que dan indicios previos, y que probablemente son desatendidos o ignorados, muchas veces, porque los administradores de TI o seguridad no se enteran de la amenaza latente, o por desconocimiento acerca de las medidas de mitigación. 
Dando respuesta a esa problemática, desde este mes,  la Dirección General de Ciberseguridad y Protección a la Información (DGCyPI) y el Centro de Respuestas a Incidentes Cibernéticos (CERT-PY) dependientes del Ministerio de Tecnologías de la Información y Comunicación (MITIC) ponen a disposición de las Instituciones Públicas un nuevo servicio denominado:

“Reportes proactivos de ciberseguridad”

El servicio consiste en el envío de reportes que pueden indicar problemas seguridad, sobre los activos digitales de las instituciones públicas (IPs públicas y dominios/subdominios públicos declarados) de los que hayamos recibido información desde fuentes de confianza, como ser:

  • indicadores de compromiso (IoC),
  • vulnerabilidades activas,
  • malas configuraciones,
  • falta de actualización de sistemas,
  • compromisos de sistemas o,
  • simples escaneo pasivos de los mismos entre otras informaciones.

Esto permite a cada OEE tomar conocimiento de qué activos se encuentran expuestos y también posibles amenazas de seguridad para realizar tareas preventivas de mitigación y corrección de los mismos evitando así  problemas mayores de seguridad en el futuro.

¿Cómo funciona?

El CERT-PY recibe a diario un gran volumen de información libre y pública de inteligencia de amenazas de ciberseguridad (threat intelligence feeds), que es posible identificar mediante patrones, desde diversas fuentes, tales como Shadowserver, OEA CSIRTAmericas, otros CSIRTs, entre otros. En ese conjunto de datos incluye información sobre indicios de compromiso y de ataques (IoC / IoA)  y de vulnerabilidades, malas configuraciones y/o exposiciones que involucran a IPs y/o dominios paraguayos. Este tipo de indicios son detectados de diversas maneras y compartidos a través de organizaciones de todo el mundo con los CSIRTs nacionales, incluido el CERT-PY. 

Estos reportes los recibe y envía de manera automatizada el CERT-PY a través de su Sistema de Gestión de Incidentes, con una periodicidad diaria a cada organización suscripta que recibe únicamente los reportes acerca de los eventos que involucren a su propio rango de IPs y dominios que fueron declarados.  

¿Qué tipos de eventos son los que se alertan o reportan?

  • Indicadores de compromiso y/o de ataque: son tipos de reportes que, por lo general, indican que la IP y/o el dominio se vio involucrada en un ataque (o intento de ataque) a terceros, siendo ésto un indicio claro de que existe algún dispositivo comprometido detrás de dicha IP o dominio. Atendiendo que, por lo general, existen múltiples dispositivos detrás de una IP, es necesario realizar un análisis para determinar cuál es el dispositivo afectado y tomar las acciones correspondientes.
  • Vulnerabilidades o exposiciones: son tipos de reportes que indican que algún dispositivo y/o servicio expuesto en la IP o dominio está afectado por alguna vulnerabilidad determinada o por una configuración insegura. No indica que un incidente de seguridad se haya materializado, pero sirve para justamente tomar las medidas preventivas antes de que se materialice un incidente.

¿Quién y cómo puede acceder al servicio? ¿Tiene costo?

Es un servicio gratuito y, por el momento, exclusivo para los Organismos y Entidades del Estado. Las instituciones públicas que deseen acceder al servicio y recibir los reportes deben suscribirse al mismo. Para ello, el Responsable de Seguridad de la Información (RSI), el Director TIC (DTIC) y/o los funcionarios que éstos designen deben ingresar al Portal Paraguay en: https://admin.paraguay.gov.py, ir al módulo de Inventario de Activos TIC, y declarar sus IPs públicas (tanto de la DMZ como de salida de navegación de la LAN) y sus dominios y subdominios públicos a Internet.

De esta manera, cuando el CERT-PY reciba algún indicio que involucre a alguna IP o dominio de dicha organización, las Instituciones públicas que ya hayan declarado dichos datos, empezarán a recibir automáticamente los reportes o alertas (alertas de 24 hs antes), a las direcciones de correo electrónico de los RSI, DTIC y demás funcionarios que tienen acceso al Portal Paraguay:  https://admin.paraguay.gov.py, de manera a que éstos puedan adoptar medidas apropiadas, de manera proactiva. 

Es responsabilidad de cada institución declarar todas las IPs públicas que corresponden a sus servicios y redes, así como todos los dominios y subdominios utilizados. El CERT-PY no podrá enviar reportes de IPs o dominios que no conoce o no le han sido declarados como activo de una organización en particular.

En un futuro próximo, esperamos ampliar este servicio para que lo puedan aprovechar organizaciones privadas (empresas, PYMEs, profesionales independientes, etc.).

Ejemplo

Remitente: "CERT-PY via RT" <reply@cert.gov.py>; 
Asunto: "[RTIR - CERT-PY #38851] Equipo Comprometido - Reportes Proactivos de Ciberseguridad - IoC - <Organizacion> - 2022-09-28"
Mensaje:

Estimados Srs. <Organizacion>:

En el marco de nuestro servicio de "Reportes proactivo de ciberseguridad" hemos detectado indicios de compromiso y/o de exposición que afectan a uno o más de un equipo o servicio en su rango de IP.

"Fecha", "IP afectada", "Categoria", "Información"
2022-09-27 01:04:52, 190.52.142.23, event4_sinkhole_http, https://www.cert.gov.py/reportes-proactivos-de-ciberseguridad/event4_sinkhole_http/
2022-09-27 01:04:59, 190.52.143.46, scan_isakmp, https://www.cert.gov.py/reportes-proactivos-de-ciberseguridad/scan_isakmp/

Puede encontrar los detalles en el archivo adjunto. Además, si desea saber más sobre el servicio, puede consultar el siguiente enlace: https://www.cert.gov.py/reportes-proactivos-de-ciberseguridad/ .

En caso de que dicha IP ya no le pertenezca, solicitamos puedan actualizar esta información en el módulo de Activos TIC: https://admin.paraguay.gov.py.

Este servicio automatizado aún se encuentra en fase de desarrollo, si encuentra algo que cree que no corresponde (Ej: Datos erróneos, mail masivos, errores de contactos, etc.) no dude en contactar con nosotros a ciberseguridad@mitic.gov.py para que podamos revisar el problema y corregirlo.

En caso de que tenga alguna duda y/o quisiera más información, puede responder a este mismo correo, o al final de éste encontrará nuestra información de contacto

Saludos.

Ventajas y Beneficios

El servicio de Reportes Proactivos de Ciberseguridad facilita las actividades de ciberseguridad de las Instituciones Públicas tomando ventaja sobre los atacantes al acceder a la información (alertas)  sobre las amenazas, en muchos casos de forma previa para dar una respuesta al momento de ser detectados, y esta manera prevenir ataques, crear planes y estrategias ante los posibles ataques de los múltiples frentes que existen, teniendo en cuenta que la atención oportuna es clave y por ende también mejora la capacidad de reacción ante cualquier actividad maliciosa en su organización.

Adicionalmente, el CERT-PY emite Boletines de Seguridad que permiten a las demás instituciones tomar conocimiento de las vulnerabilidades detectadas en ciertos sistemas, y actuar, implementando medidas preventivas.

Compartir: