Este Informe de Análisis Conjunto (JAR) es el resultado de los esfuerzos analíticos entre el Departamento de
Homeland Security (DHS) y la Oficina
Federal de Investigaciones (FBI). Este documento
Proporciona detalles técnicos sobre las herramientas e infraestructura utilizadas por los civiles rusos y
Servicios de inteligencia militar (RIS) para comprometer y explotar redes y puntos finales
Asociado con las elecciones en los Estados Unidos, así como una gama de gobiernos, políticos y privados
Sector. El Gobierno de los Estados Unidos se refiere a esta actividad cibernética maliciosa de RIS como
GRIZZLY STEPPE.
Los JARs anteriores no han atribuido actividad cibernética malintencionada a países o actores de amenaza específicos.
Sin embargo, la atribución pública de estas actividades a RIS está respaldada por indicadores
La US Intelligence Community, el DHS, el FBI, el sector privado y otras entidades. Esta
La determinación se amplía con la Declaración Conjunta emitida el 7 de octubre de 2016 del Departamento
De Seguridad Nacional y el Director de Inteligencia Nacional sobre Seguridad Electoral.
Esta actividad de RIS es parte de una campaña en curso de operaciones cibernéticas dirigidas a la
El gobierno de Estados Unidos y sus ciudadanos. Estas operaciones cibernéticas han incluido campañas de spearphishing
Dirigidas a organizaciones gubernamentales, entidades de infraestructura crítica, grupos de reflexión, universidades,
Organizaciones políticas y corporaciones que conducen al robo de información. En países extranjeros,
Los agentes de RIS llevaron a cabo ataques cibernéticos perjudiciales y / o disruptivos, incluidos ataques a
Infraestructuras. En algunos casos, los actores RIS se disfrazan de terceros,
Falsos personajes en línea diseñados para hacer que la víctima atribuya erróneamente la fuente del ataque. Esta
JAR proporciona indicadores técnicos relacionados con muchas de estas operaciones, mitigaciones recomendadas,
Acciones propuestas en respuesta a los indicadores proporcionados, e información sobre cómo
Reportar tales incidentes al Gobierno de los Estados Unidos.
TLP: BLANCO
2 de 13 TLP: BLANCO
Descripción
El Gobierno de los Estados Unidos confirma que dos agentes RIS diferentes participaron en la intrusión
Partido político americano El primer grupo de actores, conocido como Advanced Persistent Threat (APT) 29,
Entró en los sistemas del partido en el verano de 2015, mientras que el segundo, conocido como APT28,
Primavera de 2016.
Figura 1: Las tácticas y técnicas utilizadas por APT29 y APT 28 para realizar intrusiones cibernéticas contra sistemas de destino
Ambos grupos se han centrado históricamente en organizaciones gubernamentales, think tanks, universidades y
Corporaciones en todo el mundo. APT29 se ha observado la elaboración de spearphishing objetivo
Campañas de aprovechamiento de enlaces web a un cuentagotas malicioso; Una vez ejecutado, el código entrega
Access Tools (RATs) y evita la detección utilizando una gama de técnicas. APT28 es conocido por
Aprovechando dominios que imitan de cerca a las de las organizaciones objetivo y engañan el potencial
Las víctimas para que ingresen credenciales legítimas. Los actores de la APT28 se apoyaron fuertemente en la
Sus campañas de correo electrónico spearphishing. Una vez que APT28 y APT29 tengan acceso a las víctimas,
Los grupos exfiltran y analizan información para ganar valor de inteligencia. Estos grupos usan esto
Información para diseñar campañas de spearphishing altamente apuntadas. Estos actores
Infraestructura para ofuscar su infraestructura de origen, dominios de host y malware para la orientación
Organizaciones, establecer nodos de mando y control y recolectar credenciales y otros
Información de sus objetivos.
En el verano de 2015, una campaña de lanzamiento de APT29 dirigió mensajes de correo electrónico que contenían un enlace malicioso
A más de 1.000 beneficiarios, incluyendo múltiples víctimas del gobierno de los Estados Unidos. APT29 usó legítimo
TLP: BLANCO
3 de 13 TLP: BLANCO
Dominios, para incluir dominios asociados con organizaciones e instituciones educativas
Malware de host y enviar correos electrónicos spearphishing. En el transcurso de esa campaña, APT29
Comprometió a un partido político estadounidense. Por lo menos un individuo dirigido enlaces activados a malware
Alojados en la infraestructura operacional de archivos adjuntos abiertos que contienen malware. APT29
Entregó malware a los sistemas del partido político, estableció persistencia, aumentó los privilegios,
Cuentas de directorio activo enumeradas y correo electrónico exfiltrado de varias cuentas a través de
Conexiones cifradas a través de la infraestructura operacional.
En la primavera de 2016, APT28 comprometió al mismo partido político, de nuevo a través de la focalización selectiva.
Esta vez, el correo electrónico spearphishing engañó a los destinatarios en el cambio de sus contraseñas a través de un
Dominio webmail falso alojado en la infraestructura operacional APT28. Usando la cosecha
Credenciales, la APT28 pudo acceder y robar contenidos, lo que probablemente condujo a la exfiltración de
Información de múltiples miembros del partido. El Gobierno de los Estados Unidos evalúa esa información
Fue filtrada a la prensa y divulgada públicamente.
Figura 2: Uso de las credenciales de robo y de robo de APT28
Los actores probablemente asociados a RIS continúan participando en campañas de spearphishing,
Incluyendo uno lanzado tan recientemente como noviembre de 2016,
Pocos días después de las elecciones estadounidenses. TLP: WHITE4 de 13 TLP: WHITEReported rusa servicios de inteligencia militares y civiles (RIS) alternativo NamesAPT28APT29Agent.btzBlackEnergy V3BlackEnergy2 APTCakeDukeCarberpCHOPSTICKCloudDukeCORESHELLCosmicDukeCOZYBEARCOZYCARCOZYDUKECrouchingYetiDIONISDragonflyEnergetic BearEVILTOSSFancy BearGeminiDukeGREY CLOUDHammerDukeHAMMERTOSSHavexMiniDionisMiniDukeOLDBAITOnionDukeOperation Hipoteca StormPinchDukePowershell backdoorQuedaghSandwormSEADADDYSeadukeSEDKITSEDNITSkipperSofacySOURFACESYNful KnockTiny BaronTsar Teamtwain_64.dll (implante-X Agent 64 bits) VmUpgradeHelper.exe (X-Túnel Implante) WaterbugX-AgentTLP: WHITE5 de 13 TLP: WHITET detalles técnicosIndicadores de Compromiso (IOCs) Las COI asociadas con los agentes cibernéticos RIS se proporcionan dentro de los archivos .csv y .stix de JAR-16-20296.Yara Signaturerule PAS_TOOL_PHP_WEB_KIT {meta: description = " PAS TOOL PHP WEB KIT FOUND "cadenas: $ php =" <? Php "$ base64decode = /\='base'\.\(\d+\*\d+\)\.'_de'\.'code'/$ Strreplace = "(str_replace) ($ string = 20KB y tamaño de archivo <22KB) y # de la cadena de archivos $ strdr = (" $ md5 = ".substr (md5 (strrev ($ gzinflate =" gzinflate " Cookies == 2 y # isset == 3 y todos ellos} Acciones a Tomar Usando IndicadoresDHS recomienda que los administradores de red revisen las direcciones IP, hashes de archivos y Yarasignature proporcionados y agregue los IPs a su lista de seguimiento para determinar si se ha observado actividad maliciosa dentro de sus Organizaciones. La revisión del flujo de red perimetral o firewalllogs ayudará a determinar si su red ha experimentado actividad sospechosa. Al revisar los registros del perímetro de red para las direcciones IP, las organizaciones pueden encontrar numerosas situaciones de estas direcciones IP que intentan conectarse a sus sistemas. Al revisar el tráfico de estos IPs, algún tráfico puede corresponder a actividad maliciosa, y algunos pueden corresponder a actividad legítima. Algunos tráficos que pueden parecer legítimos son en realidad maliciosos, como el escaneo de vulnerabilidad o la exploración de servicios públicos legítimos (por ejemplo, HTTP, HTTPS, FTP). Las conexiones de estos IPs pueden estar realizando exploraciones de vulnerabilidades que intentan identificar sitios web que son vulnerables a los ataques de intrusión de scripts entre sitios (XSS) o de lenguaje de consulta estructurada (SQL). Si la exploración identificó sitios vulnerables, los intentos de explotar las vulnerabilidades pueden ser experimentados. TLP: WHITE6 de 13 TLP: Se recomienda a los administradores de la red que comprueben sus sitios web orientados al público para los hash de archivos maliciosos. Se aconseja también a los propietarios de sistemas que ejecuten la firma Yara en cualquier sistema que haya sido elegido por los actores de RIS. Las amenazas de los agentes de IOCsMalicious pueden utilizar una variedad de métodos para interferir con los sistemas de información. A continuación se enumeran algunos de los tipos de ataque. • Las fallas de inyección son técnicas generales de ataque de aplicaciones web que intentan enviar comandos a un navegador, una base de datos u otro sistema, lo que permite a un usuario regular controlar su comportamiento. El ejemplo más común es la inyección de SQL, que subvierte la relación entre una página web y su base de datos de soporte, normalmente para obtener información contenida dentro de la base de datos. Otra forma es la inyección de comandos, donde un usuario no confiable es capaz de enviar comandos a los sistemas operativos que soportan una aplicación web o una base de datos. • Las vulnerabilidades de XSS (cross-site scripting) permiten a los actores de la amenaza insertar y ejecutar código no autorizado en aplicaciones web. Los ataques XSS exitosos en sitios web pueden proporcionar al atacante acceso no autorizado. Para estrategias de prevención y mitigación contra XSS, vea Alerta de US-CERT sobre Servidores Web Compromisos y Web Shells • Las vulnerabilidades de los servidores pueden ser explotadas para permitir el acceso no autorizado a información confidencial. Un ataque contra un servidor mal configurado puede permitir que un adversario acceda a información crítica incluyendo cualquier sitio web o base de datos alojado en el servidor. Para obtener información adicional, consulte la información de USCERT sobre la seguridad del sitio web. Recomendaciones de mitigación para la seguridad cibernética Mejores prácticas El compromiso con la buena seguridad cibernética y las mejores prácticas es fundamental para proteger las redes y los sistemas. Aquí hay algunas preguntas que puede que le pida a su organización para ayudar a prevenir andmitigate contra attack.1. Copias de seguridad: ¿Hacemos copia de seguridad de toda la información crítica? ¿Están las copias de seguridad almacenadas sin conexión? ¿Hemos probado nuestra capacidad de volver a copias de seguridad durante un incidente? Análisis de Riesgos: ¿Hemos realizado un análisis de riesgo de seguridad cibernética de la organización? Capacitación del personal: ¿Hemos capacitado al personal en las mejores prácticas de seguridad cibernética? Escaneo y revisión de vulnerabilidades: ¿Hemos implementado escaneos regulares de nuestra red y sistemas y un parche apropiado de vulnerabilidades conocidas del sistema? Lista blanca de aplicaciones: ¿Permitimos que sólo se ejecuten programas aprobados en nuestras redes? Respuesta al incidente: ¿Tenemos un plan de respuesta a incidentes y lo hemos practicado? TLP: WHITE7 de 13 TLP: WHITE7.Continuidad del Negocio: ¿Somos capaces de sostener las operaciones comerciales sin acceso a ciertos sistemas? ¿Por cuanto tiempo? ¿Hemos probado esto? Pruebas de Penetración: ¿Hemos intentado hackear nuestros propios sistemas para probar la seguridad de nuestros sistemas y nuestra capacidad de defenderse contra los ataques? Siete Estrategias de Mitigación de la Parte SuperiorDHS alienta a los administradores de red a implementar las siguientes recomendaciones que pueden prevenir hasta el 85% Ataques. Estas estrategias son de sentido común, pero el DHS sigue viendo intrusiones porque las organizaciones no utilizan estas medidas básicas. Aplicaciones de parches y sistemas operativos - Las aplicaciones vulnerables y los sistemas operativos son los objetivos de la mayoría de los ataques. Garantizar que estos son parcheados con las últimas actualizaciones reduce enormemente el número de puntos de entrada explotable disponibles para un atacante. Utilice las mejores prácticas al actualizar el software y los parches descargando sólo las actualizaciones de sitios de proveedores autenticados. Lista blanca de aplicaciones - La lista blanca es una de las mejores estrategias de seguridad porque permite que sólo se ejecuten programas especificados mientras se bloquean todos los demás, incluido malicioussoftware.3. Restringir los privilegios administrativos - Los actores de la amenaza se centran cada vez más en el control de las credenciales legítimas, especialmente aquellas asociadas con cuentas altamente privilegiadas. Reduzca los privilegios sólo a los necesarios para las funciones de un usuario. Separar a los administradores en niveles de privilegios con acceso limitado a otros niveles. Segmentación y Segregación de Red en Zonas de Seguridad - Segmentar enclaves intológicos de redes y restringir rutas de comunicaciones de host a host. Esto ayuda a proteger la información sensible y los servicios críticos y limita el daño de la red perimeterbreaches.5. Validación de entrada - La validación de entrada es un método de desinfectar la entrada de usuario no confiable proporcionada por los usuarios de una aplicación web, y puede prevenir muchos tipos de fallos de seguridad de aplicaciones web, como SQLi, XSS e inyección de comandos. Reputación de archivos - Ajustar los sistemas de reputación de archivos antivirus a la configuración más agresiva posible; Algunos productos pueden limitar la ejecución sólo a los archivos de mayor reputación, stoppinga amplia gama de código no fiable de ganar control.7. Entender los firewalls - Cuando cualquier persona o cualquier cosa puede acceder a su red en cualquier momento, su red es más susceptible a ser atacado. Los cortafuegos pueden configurarse para bloquear datos de determinadas ubicaciones (listas blancas de IP) o aplicaciones, a la vez que permiten obtener datos relevantes y necesarios. TLP: WHITE8 de 13 TLP: WHITERrelación al acceso no autorizado a redesImplementar su respuesta de incidente de seguridad y plan de continuidad de negocio. Los profesionales de TI de su organización pueden tardar en aislar y eliminar las amenazas a sus sistemas y restaurar operaciones normales. Mientras tanto, usted debe tomar medidas para mantener las funciones esenciales de su organización de acuerdo con su plan de continuidad de negocio. Las organizaciones deben mantener y analizar regularmente planes de respaldo, planes de recuperación de desastres y procedimientos de continuidad de negocios. Le animamos a que se ponga en contacto con el DHS NCCIC (NCCICCustomerService@hq.dhs.gov o 888-282-0870), el FBI a través de una oficina local o de la División Cibernética del FBI (CyWatch@ic.fbi.gov o 855-292-3937). Reportar una intrusión y torequest recursos de respuesta a incidentes o asistencia técnica. Estrategias detalladas de mitigaciónProtect contra la inyección de SQL y otros ataques a los servicios Web Evaluar de forma regular las vulnerabilidades conocidas y publicadas, actualizaciones de software y la tecnología se actualiza periódicamente y auditar sistemas externos para conocer las vulnerabilidades de aplicaciones web conocidas. Tomar medidas para endurecer tanto las aplicaciones Web como los servidores que las alojan para reducir el riesgo de intrusión de red a través de este vector.1 • Adoptar y configurar los firewalls disponibles para bloquear ataques • Tomar medidas para asegurar sistemas Windows como instalar y configurarMicrosoft Enhanced Mitigation Experience Toolkit (EMET) y Microsoft AppLocker • Monitorizar y eliminar cualquier código no autorizado presente en cualquier directorio www. • Deshabilitar, interrumpir o rechazar el uso de Internet Control Message Protocol (ICMP) y el Simple Network Management Protocol (SNMP) y la respuesta a estos protocolos En la medida de lo posible • Eliminar los verbos HTTP no requeridos de los servidores Web como servidores Web típicos y las aplicaciones sólo requieren GET, POST y HEAD • Cuando sea posible, minimice la huella digital del servidor configurando servidores Web para evitar responder con banners que identifiquen el software del servidor y el número de versión • Proteger tanto el sistema operativo como la aplicación • Actualizar y reparar periódicamente los servidores de producción • Deshabilitar las llamadas de procedimiento almacenadas en SQL potencialmente dañinas • Desinfectar y validar la entrada para asegurarse de que está debidamente mecanografiada y no contiene código escrito • Considere usar Los procedimientos almacenados de tipo seguro y declaraciones preparadas • Realizar auditorías regulares de los registros de transacciones para actividades sospechosas • Realizar pruebas de penetración en los servicios Web • Asegurar que los mensajes de error son genéricos y no exponer
Demasiada información.1 http://msdn.microsoft.com/en-us/library/ff648653.aspx. • Implementar un registro de la Política de Remitentes (SPF) para el archivo de zona de Sistema de Nombres de Dominio (DNS) de su organización para minimizar los riesgos relacionados con la recepción de mensajes falsificados. Eduque a los usuarios a desconfiar de llamadas telefónicas no solicitadas, interacciones de redes sociales o mensajes de correo electrónico de personas que preguntan acerca de empleados u otra información interna. Si un individuo desconocido afirma pertenecer a una organización legítima, trate de verificar directamente su identidad con la compañía • No proporcione información personal o información sobre su organización, incluyendo su estructura o redes, a menos que esté seguro de la autoridad de una persona para tener la información • No revele información personal o financiera en medios sociales o correo electrónico, y no responda a las solicitudes de esta información. Esto incluye los siguientes enlaces enviados por correo electrónico: • Preste atención a la URL de un sitio web. Los sitios web maliciosos pueden ser idénticos a los sitios legítimos, pero la URL a menudo incluye una variación en la ortografía o un dominio distinto al del sitio web válido (por ejemplo, .com vs. .net) • Si no está seguro de si una solicitud de correo electrónico es legítima, intente Verifíquelo poniéndose en contacto directamente con la empresa. No utilice la información de contacto proporcionada en un sitio web conectado al mismo; En su lugar, revise las declaraciones anteriores para obtener información de contacto. La información sobre los ataques de phishing conocidos también está disponible en línea desde grupos como el Anti-PhishingWorking Group (http://www.antiphishing.org) • Aproveche las características antiphishing que ofrece su cliente de correo electrónico y navegador web • Repare todos los sistemas Para vulnerabilidades críticas, priorizando el parche oportuno del software que procesa los datos de Internet, tales como los navegadores web, complementos de navegador y lectores de documentos.Permisiones, privilegios y controles de acceso • Reducir los privilegios sólo a los necesarios para las funciones de un usuario. Permisos) para instalar y ejecutar aplicaciones de software no deseadas, y aplicar el principio de "Menos Privilegio" a todos los sistemas y servicios. Restringir estos privilegios puede impedir que el malware se ejecute o limitar su capacidad de propagación a través de red • Considerar cuidadosamente los riesgos antes de conceder derechos administrativos a los usuarios en sus propias máquinas • Fregar y verificar todas las cuentas de administrador con regularidad • Configurar la directiva de grupo para restringir a todos los usuarios sólo Una sesión de inicio de sesión, cuando sea posible • Imponga la autenticación segura de la red cuando sea posible • Instruya a los administradores a usar cuentas no privilegiadas para funciones estándar como Webbrowsing o chequeo de correo web.TLP: WHITE10 de 13 TLP: BLANCO • Segmente las redes en enclaves lógicos y Restringir las rutas de comunicación de host a host.La confinación proporcionada por el enclave también hace que la limpieza de incidentes sea significativamente menos costosa • Configure los firewalls para desautorizar el tráfico RDP procedente de fuera de la red borderland, excepto en configuraciones específicas como tunneled a través de VPN secundaria con privilegios menores • Hacer cumplir las reglas de firewall existentes y cerrar todos los puertos que no sean explícitamente necesarios para los negocios. • Hacer cumplir una estricta política de bloqueo para los usuarios de la red y monitorear de cerca los registros de la inactividad de inicio de sesión fallida. • Si el acceso remoto entre las zonas es una necesidad inevitable del negocio, registre y supervise las conexiones de forma estrecha • En entornos con un alto riesgo de interceptación o intrusión, las organizaciones deberían considerar la complementación de la autenticación de contraseñas con otras formas de autenticación tales como Desafío / respuesta o autenticación multifactorial utilizando tokens biométricos o físicos. • Imponga un modelo administrativo en niveles con estaciones de trabajo de administrador dedicadas y cuentas administrativas separadas que se utilizan exclusivamente para cada nivel para evitar que herramientas, como Mimikatz, roben las credenciales de recopilar credenciales de nivel de dominio • Tenga en cuenta que algunos servicios (por ejemplo, FTP, telnet y .rlogin) transmiten las credenciales de los usuarios en el texto inclear. Minimice el uso de estos servicios cuando sea posible o considere alternativas más seguras • Proteja adecuadamente los archivos de contraseñas haciendo que las contraseñas hash sean más difíciles de adquirir.Los hashes de contraseña se pueden romper en cuestión de segundos usando herramientas disponibles libremente. Considere restringir el acceso a los hashes de contraseñas confidenciales utilizando un archivo de contraseña de sombra o equivalente en sistemas UNIX • Sustituya o modifique los servicios para que todas las credenciales de usuario se pasen a través de un canal encriptado • Evite directivas de contraseña que reduzcan la credencial general. Las políticas para evitar incluir la falta de la fecha de caducidad de la contraseña, la falta de la política de bloqueo, requisitos de complejidad de contraseña baja o deshabilitada y el historial de contraseñas establecido en cero
• Utilizar contraseñas únicas para cuentas locales para cada dispositivo.TLP: WHITE11 de 13 TLP: WHITELogging Prácticas • Asegurar el registro de sucesos (aplicaciones, eventos, actividades de inicio de sesión, Los atributos de seguridad, etc.) • Cambiar PowerShell a nuevas versiones con funciones de registro mejoradas y monitorear los logs a los siguientes: • Configurar los registros de red para proporcionar información suficiente para ayudar a desarrollar rápidamente una determinación imprecisa de un incidente de seguridad. Detectar el uso de los comandos de PowerShell, que a menudo están relacionados con programas maliciosos • Los registros seguros, potencialmente en una ubicación centralizada, y protegerlos de la modificación • Preparar un plan de respuesta a incidentes que se puede implementar rápidamente en caso de una ciberintrusión. El Poste de Seguridad Cibernética de la Organización ofrece una variedad de recursos para que las organizaciones ayuden a reconocer y abordar sus riesgos de seguridad en la cibernética. Los recursos incluyen puntos de discusión, pasos para comenzar a evaluar un programa de seguridad cibernética y una lista de recursos prácticos disponibles para las organizaciones. Para obtener una lista de servicios, visite www.us-cert.gov/ccubedvp. Otros recursos incluyen: • El programa de Asesores de Seguridad Cibernética (CSA, por sus siglas en inglés) refuerza la preparación para la seguridad cibernética, la mitigación de riesgos y la capacidad de respuesta a incidentes de las entidades de infraestructura críticas y las alinea con el Gobierno Federal. Las ASCs son personal asignado por el DHS en todo el país y los territorios, con al menos un asesor en cada una de las regiones del 10CSA, que refleja las regiones de la Agencia Federal para el Manejo de Emergencias. La evaluación de la resistencia a la cibernética (CRR) es una evaluación voluntaria sin costo para evaluar e incrementar la ciberseguridad dentro de los sectores de infraestructura crítica, así como los gobiernos estatales, locales, tribales y territoriales. El objetivo del CRR es desarrollar una comprensión y medición de las capacidades clave de ciberseguridad para proporcionar indicadores significativos de la resistencia operacional de la identidad y la capacidad de gestionar el riesgo cibernético a servicios críticos durante operaciones normales y tiempos de estrés y crisis operacionales. Visitorttps: //www.cert.org/resilience/rmm.html para obtener más información sobre el modelo de gestión de resiliencia de CERT • Servicios de seguridad cibernética mejorados (ECS) ayudan a los propietarios y operadores de infraestructuras críticas a proteger sus sistemas compartiendo información confidencial y confidencial con proveedores de servicios comerciales (CSP) y Implementadores Operacionales (OI). Los CSP usan la información de amenazas cibernéticas para proteger a los clientes de CI. OIs utilizan la información de la amenaza para proteger redes internas. Para más información, emailECS_Program@hq.dhs.gov./ El Programa de Intercambio de Información y Colaboración en Ciberseguridad (CISCP) es un programa avoluntario de intercambio de información y colaboración entre y entre el TLP: WHITE, los socios de la infraestructura y el Gobierno Federal. Para más información, emailCISCP@us-cert.gov./ La iniciativa Automaticised Indicator Sharing (AIS) es un esfuerzo del DHS para crear un sistema donde tan pronto como una empresa o agencia federal observe un intento de compromiso, el indicador se compartirá en tiempo real con Todos nuestros socios, protegiéndolos de esa amenaza particular. Eso significa que los adversarios sólo pueden usar un ataque una vez, lo que incrementa sus costos y, en última instancia, reduce la prevalencia de los ciberataques. Mientras que el AIS eliminará sofisticadas amenazas cibernéticas, permitirá a las empresas ya las agencias federales concentrarse más en ellas, eliminando ataques menos sofisticados. Los participantes del AIS se conectan a un sistema administrado por el DHS en el NCCIC que permite el intercambio bidireccional de indicadores de amenazas cibernéticas. Un servidor alojado en la ubicación de cada participante permite intercambiar indicadores con el NCCIC. Los participantes no sólo recibirán indicadores desarrollados por el DHS, sino que también podrán compartir los indicadores que han observado en los esfuerzos de defensa de la red, que el DHS compartirá con todos los participantes del AIS. Para más información, visite https://www.dhs.gov/ais./ El Marco de Ciberseguridad (Marco), desarrollado por el Instituto Nacional de Estándares y Tecnología (NIST) en colaboración con los sectores público y privado, es una herramienta que puede mejorar la Cibernética de las entidades. El Marco permite que las entidades, independientemente del tamaño, el grado de riesgo cibernético o la sofisticación cibernética, apliquen principios y mejores prácticas de gestión de riesgos para mejorar la seguridad y la resistencia de la infraestructura crítica. El Marco proporciona normas, directrices y prácticas que funcionan eficazmente hoy en día. Consiste en tres partes: el núcleo del marco, el perfil del proyecto y los niveles de implementación del marco, y hace hincapié en cinco funciones: Identificar, proteger, detectar, responder y recuperar. El uso del Marco es estrictamente voluntario. Para obtener más información, visite https://www.nist.gov/cyberframework oremail cyberframework@nist.gov.TLP: WHITE13 de 13 TLP: WHITECcontacto InformaciónRecipien
Se anima a los participantes de este informe a aportar cualquier información adicional que pudieran haber relacionado con esta amenaza. Incluya el número de referencia JAR (JAR-16-20296) en la línea de asunto de toda la correspondencia por correo electrónico. Para cualquier pregunta relacionada con este informe, comuníquese con NCCIC o con el FBI.NCCIC: Teléfono: + 1-888-282-0870Email: NCCICCustomerService@hq.dhs.govFBI: Teléfono: + 1-855-292-3937Email: cywatch @ ic. Fbi.govFeedbackNCCIC
No hay comentarios:
Publicar un comentario