martes, 30 de diciembre de 2014

Uso del Pentesting, una realidad un riesgo. Parte 1/2

Unos de los principales desafíos de las grandes organizaciones es proteger la información que día a día maneja, en la actualidad existen muchas amenazas a las que están expuestas las grandes empresas y muchas veces son generadas por los mismos empleados. 

Las compañías se ven afectadas principalmente por ataques externos, por intentos de robo de información que se generan por personas expertas en encontrar brechas de seguridad desde fuera de las organizaciones. Sin embargo existen herramientas y expertos que pueden apoyar en soluciones de mitigar las brechas de seguridad que mantienen las empresas dentro de su plataforma.

Normalmente los consultores de seguridad usan herramientas de Pentesting para realizar evaluaciones de las plataformas e identificar las debilidades o posibles brechas de seguridad, sin embargo este mecanismo a pesar de ser efectivo y ofrecerte la información sobre el estado de salud de tu plataforma son poco practicos a la hora de conocer y entender el mundo cambiante que vivimos.

Los ataques que se generan por aquellas personas que intentan ingresar a nuestra plataforma par realizar comunmente robo de información es producto de las debilidades de los software y hardware que conforman cada componente de las infraestructuras de la red, sin embargo es instrusivo y deficiente, y esto se debe a la rápida tendencias


El pentesting es un mecanismo de protección, es la simulación de un ataque a los sistemas de una empresa, por qué se dice que se debe hacer sin aviso, porque a tu empresa los atacantes no te mandan un correo diciendo la hora y el día en que van a atacar tu organización, sino que preferiblemente realizan un ataque en el momento que sepan que estás más descuidado, una noche, una madrugada o un fin de semana; es cuando van a lanzar los ataques aprovechando una de tus vulnerabilidades.

El pentesting realmente lo que emula es eso, simular un ataque de un ciberdelincuente, realizar un tipo de pruebas que puede hacer un atacante desde afuera para poder identificar qué vulnerabilidades tiene tu empresa, qué brechas de seguridad tienes, por donde puede un atacante acceder a tu información o poner en riesgo tus datos, lo que se busca es identificarlos para poderlos mitigar y poderlos controlar y no dejarlos visibles a los ciberdelincuentes.

Hay que hacerlo de forma permanente porque la seguridad no es estática y los riesgos que encuentras hoy no son los mismos que encuentras mañana, porque resulta que en el transcurso de las dos horas o tres horas después del ataque encuentras 15 o 20 vulnerabilidades más en cualquiera de las soluciones digitales que tiene tu empresa.
Publicado por en
Etiquetas ,

Lista de ciberataques y brechas de seguridad de 2014



 Enero
1 Enero, 2014 – 1.1 MILLION customers’ credit card data was swiped in Neiman Marcus breach  
20 Enero, 2014 – Credit Card Details of 20 Million South Koreans Stolen 
21 Enero, 2014 – Microsoft blog hacked by Syrian Electronic Army  
24 Enero, 2014 – CNN website, Twitter and Facebook hijacked by Syrian Electronic Army 
25 Enero, 2014 – Michaels Stores confirms payment card information compromised in breach   

 Febrero
5 Febrero, 2014 – Texas health system attacked, data on more than 400K compromised  
14 Febrero, 2014 – Forbes.com Hacked by Syrian Electronic Army Because of “Hate for Syria”  
16 Febrero, 2014 – Kickstarter hacked: Passwords, phone numbers, and phone numbers stolen  
24 Febrero, 2014 – YouTube ads spread banking malware  
25 Febrero, 2014 – Mt. Gox exchange goes dark as allegations of $350 million hack swirl
 
Marzo  
10 Marzo, 2014 – Hackers steal 12 million customer records from South Korean phone giant  
14 Marzo, 2014 – Credit Card Breach at California DMV  
17 Marzo, 2014 – Morrisons employee arrested following data breach involving details of 100k staff  
20 Marzo, 2014 – EA Games website hacked to phish Apple IDs from users 
28 Marzo, 2014 – Malware in 34 Spec’s stores, payment data compromised for 550K  

Abril 
7 Abril, 2014 – Germany suffers biggest ever data breach in its history 
8 Abril, 2014 – The Heartbleed bug: serious vulnerability found in OpenSSL cryptographic software library  
15 Abril, 2014 – German space centre endures cyber attack 
15 Abril, 2014 – Welsh Councils break DPA 2.5 times a week  
22 Abril, 2014 – Iowa State server breach exposes SSNs of nearly 30,000  
29 Abril, 2014 – Security breach at AOL. Users told to change passwords
 
Mayo 
8 Mayo, 2014 – Orange Suffers Data Breach Again, 1.3 Million Affected  
9 Mayo, 2014 – WooThemes users notified of payment card breach, 300 reports of fraud 
21 Mayo, 2014 – eBay Suffers Cyber Attack, Users Asked to Change Passwords  
27 Mayo, 2014 – Avast Suffers Cyber Attack; 400,000 users affected
 
Junio  
14 Junio, 2014 – P.F. Chang’s Confirms Credit Card Breach  
17 Junio, 2014 – Hackers Takeaway Domino’s Pizza Customer Data; More Puns Inside  
19 Junio, 2014 – Hacker puts Code Spaces out of business  
19 Junio, 2014 – Sun and Sunday Times Websites Hacked by the Syrian Electronic Army 
22 Junio, 2014 – British Gas Help Twitter account hacked, customers pointed towards phishing sites  
23 Junio, 2014 – ‘Most sophisticated DDoS’ ever strikes Hong Kong democracy poll  
25 Junio, 2014 – European Bank Hit by Cyber Attack; £400,000 stolen
 
Julio  
1 Julio, 2014 – Energy Firms Hacked by Cyber Espionage Group ‘Dragonfly’  
4 Julio, 2014 – $3.75 Billion Brazilian Boleto Malware Attack  
8 Julio, 2014 – HotelHippo.com Closes after Data Leak  
15 Julio, 2014 – CNET Hacked, One Million Users’ Data Stolen  
16 Julio, 2014 – Information Commissioner’s Office Suffers Data Security Breach  
23 Julio, 2014 – eBay has suffered a security breach for the second time this year  
31 Julio, 2014 – Gizmodo Brazil hacked, fake Adobe Flash download opens backdoor  
31 Julio, 2014 – Massive Paddy Power hack: nearly 650,000 customers’ records stolen
 
Agosto  
5 Agosto, 2014 – Goodwill and FBI Investigate Possible Security Breach  
15 Agosto, 2014 – Supervalu supermarket chain begin investigating possible data breach  
19 Agosto, 2014 – US Cyber Crime Goes Nuclear: NRC Computers Hacked THREE Times  
21 Agosto, 2014 – Over 50 UPS franchises hit by data breach  
27 Agosto, 2014 – Norwegian oil industry under attack by hackers  
27 Agosto, 2014 – Records of 25,000 Homeland Security Employees Stolen in Cyber Attack 
28 Agosto, 2014 – FBI Probes Possible Hacking Incident at J.P. Morgan
 
Septiembre  
4 Septiembre, 2014 – Home Depot suffers breach that may be larger than Target’s  
5 Septiembre, 2014 – 800k Payment Cards Compromised in Goodwill Industries Breach  
5 Septiembre, 2014 – ObamaCare Website Hacked  
18 Septiembre, 2014 – Home Depot: 56M Cards Impacted, Malware Contained  
23 Septiembre, 2014 – 880,000 Affected by Viator Payment Card Breach  
25 Septiembre, 2015 – Payment card data stolen in Jimmy John’s data breach  
29 Septiembre, 2014 – Hundreds of US Stores Affected as POS Provider is Hacked  
30 Septiembre, 2014 – SuperValu compromised again – for the second time in three months
 
Octubre  
3 Octubre, 2014 – JPMorgan suffers data breach affecting 76 million customers  
10 Octubre, 2014 – Dairy Queen data breach hits 395 stores 
14 Octubre, 2014 – ‘Big K’ raided by hackers: Kmart warns customers after malware discovered  
21 Octubre, 2014 – Staples stores investigated: suspected payment card breach  
23 Octubre, 2014 – POODLE attack digs up downgrade flaw in TLS  
29 Octubre, 2014 – White House unclassified network hacked
 
Noviembre  
7 Noviembre, 2014 – Home Depot admits 53 million email addresses stolen in data breach  
13 Noviembre, 2014 – Data breach affects 2.7 million HSBC Turkey cardholders  
17 Noviembre, 2014 – US State Department network shut amid reports of cyber breach  
18 Noviembre, 2014 – Staples confirms POS malware attack  
25 Noviembre, 2014 – Sony Pictures Entertainment hacked  
27 Noviembre, 2014 – Syrian Electronic Army attack on Gigya affects Telegraph, Independent, Evening Standard…
 
Diciembre  
4 Diciembre, 2014 – Possible credit card breach at Bebe Stores  
11 Diciembre, 2014 – Union Station parking lot suffers suspected data breach  
11 Diciembre, 2014 – Electronic payment company CHARGE Anywhere suffers five-year breach  
15 Diciembre, 2014 – Personal information leaked in University of California, Berkeley, data breach 19 Diciembre, 2014 – KeyPoint cyber attack compromises 48,000 federal employees  
22 Diciembre, 2014 – Staples confirm details of six-month breach, 1.16 million cards affected


 Fuente: Lista de ciberataques y brechas de seguridad de 2014
Publicado por en
Etiquetas