Módulo de seguridad de MiLACNIC
¿Qué es el módulo de seguridad de MiLACNIC?
El módulo de seguridad, que se encuentra en el menú de reportes de MiLACNIC, es un servicio ofrecido por el CSIRT de LACNIC para sus asociados, que permite a los usuarios del sistema visualizar información de eventos de seguridad referentes a los recursos IP de las organizaciones que éstos administran.
El uso de este módulo brinda a los administradores información útil para identificar y corregir los distintos tipos de problemas de seguridad que se notifican.
Fuentes de información utilizadas
El módulo de seguridad se alimenta principalmente de datos generados por los proyectos que lleva a cabo el CSIRT de LACNIC, información recabada de fuentes públicas e información de indicadores de compromiso compartidos en plataformas de uso común entre la comunidad de CSIRTs.
Acceso al módulo de seguridad de MiLACNIC
Para visualizar el módulo de seguridad se debe ingresar al sistema MiLACNIC con un usuario con perfil de administrador de una organización.[1]
Una vez dentro del sistema, en el menú de funcionalidades se debe ingresar al menú Reportes y allí seleccionar Seguridad [figura 1]
Figura 1
Una vez que el usuario ingresa al módulo de Seguridad, visualizará una pantalla [figura 2] donde podrá o no tener recursos listados, dependiendo de si se detectaron eventos o no.
Figura 2
Información disponible en el módulo de seguridad
Actualmente en el módulo de reportes de seguridad de MiLACNIC se muestran eventos de seguridad asociados a los recursos asignados a una determinada organización. En particular, se listan las IPs que se encuentran involucradas en Botnets, Phishings, Open Resolvers o que hayan tenido interacción con algún sensor de nuestra red de sensores (HoneyNet).
Si bien sucede con menor frecuencia, también se advierte sobre direcciones IPs que están exponiendo algún servicio susceptible a ser usado por atacantes para realizar denegaciones de servicio a terceros. Estos servicios pueden ser Open Resolvers o algún otro protocolo que permite ataques de amplificación como los que se nombran en el proyecto
Protocolos UDP que posibilitan ataques de tipo DDoS.
Es importante aclarar que las direcciones IPs catalogadas como actividad maliciosa (“Malicious Activity Detected”), corresponden a recursos que fueron observados por nuestra red de sensores realizando alguna actividad sospechosa. Teniendo en cuenta que nuestros sensores simulan ser un sistema vulnerable, toda actividad que se ejecute dentro de los mismos es considerada sospechosa o maliciosa.
¿Por qué es importante monitorear los reportes de seguridad?
Si una o varias direcciones IP fueron listadas en el módulo de seguridad con alguna actividad maliciosa podría estar sucediendo que:
- Algún usuario de un sistema detrás de esa dirección IP estuvo realizando esta actividad directamente
- Algún sistema detrás de esa dirección IP está comprometido y un atacante lo está utilizando para realizar actividad maliciosa
- Un sistema que permite la redirección de tráfico de red, esté siendo utilizado para anonimizar ataques (Por ejemplo: un Open Proxy)
- Se han detectado recursos involucrados en alguna Botnet, por lo tanto los sistemas infectados están siendo controlados por un actor malicioso y podrían ser usados para llevar adelante diferentes tipos de ciberdelitos.
- Se ha detectado un Open Resolver, lo que significa que ese DNS acepta consultas desde cualquier origen de Internet. Esto lo hace susceptible a ser utilizado para realizar ataques de denegación de servicio a terceros.
Recomendación
Desde el CSIRT de LACNIC recomendamos realizar una revisión de este módulo al menos una vez a la semana, analizar el tipo de evento de seguridad e implementar medidas para corregir estas vulnerabilidades.
Referencias
Proyecto LACNIC HoneyNet
https://csirt.lacnic.net/honeynet
Proyectos Open Resolver:
https://csirt.lacnic.net/dns-open-resolvers-con-ipv4
https://csirt.lacnic.net/dns-open-resolvers-con-ipv6
Estudio de protocolos que permiten ataques de denegación de servicio:
Autores: Graciela Martinez, Guillermo Pereyra
Fecha de publicación: Diciembre 2022.
[1] Está planificado extender esta visualización a todos los perfiles de usuarios de MiLACNIC.