Seguridad en redes y servicios
Conceptos
- Activo de información.- Sistema de información del abonado o cliente.
- Amenaza.- Es un evento que puede desencadenar un incidente que producirá daños en los sistemas de información del cliente.
- Vulnerabilidad.- Se refiere a la debilidad o deficiencia de un sistema de información del cliente que puede ser aprovechado o por una o más amenazas.
- Evento de Seguridad de la Información.- Un evento de seguridad de la información es la ocurrencia identificada de un estado de un sistema, servicio o red, que muestra una posible brecha de política de seguridad de la información, falla de protecciones, o una situación previa desconocida que puede ser relevante para la seguridad.
- Incidente de Seguridad.- Evento o una serie de eventos inesperados o no deseados que tienen una probabilidad significativa de comprometer de forma negativa los sistemas de información del cliente y/o en el proveedor de servicios
- Riesgo de Seguridad de la Información: Grado de exposición de un activo ante una amenaza que al materializarse causaría un impacto negativo en la infraestructura tecnológica del cliente y/o en el proveedor de servicios.
- Gestión de vulnerabilidades.- Proceso proactivo de seguridad que consiste en identificar debilidades en los sistemas de información, con el objetivo de reducirlas antes de que sean causa de un incidente de seguridad.
- Gestión de incidentes.- Procesos para la detección, notificación, evaluación, respuesta, tratamiento y aprendizaje de incidentes, en aplicación de la “Norma técnica para coordinar la gestión de incidentes y vulnerabilidades que afecten a la seguridad de las redes y servicios de telecomunicaciones.”
- Abonados o clientes.- clientes masivos y corporativos de la CNT EP.
Vulnerabilidades
En consideración a lo establecido en los artículos 8 y 9 de la “Norma Técnica para Coordinar la Gestión de Incidentes y Vulnerabilidades que afecten a la Seguridad de las Redes y Servicios de Telecomunicaciones”, el ARCOTEL generó el Catálogo y Priorización de Vulnerabilidades e Incidentes Iniciales donde se definen los tipos de vulnerabilidades para abonados y clientes.
Los tipos de vulnerabilidades que no han sido definidas en el catálogo, se irán agregando conforme se vayan reportando ya sea por ECUCERT-ARCOTEL o por los abonados y clientes.
| # | Vulnerabilidad | Nombre | Descripción del riesgo | Prioridad clientes |
|---|---|---|---|---|
| 1 | Netis_Router | Routers Netis | Un atacante podría acceder de manera no autorizada al sistema de información vulnerando la confidencialidad, integridad y disponibilidad del sistema | Crítica |
| 2 | Accesible_RDP | Accesible Remote | Un atacante podría acceder de manera no autorizada al sistema de información vulnerando la confidencialidad, integridad y disponibilidad del sistema | Alta |
| 3 | Cisco_Smartinstall | Cisco_Smartinstall | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema | Alta |
| 4 | Open_Memcache d | mem-cashed memory caching system | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema | Alta |
| 5 | Open_Netbios | Network Basic Input Output System | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema | Alta |
| 6 | Open_VNC | Virtual Network Computing | Un atacante podría acceder de manera no autorizada al sistema de información vulnerando la confidencialidad del sistema | Alta |
| 7 | Poodle_SSLv3 | Padding on Oracle on Downgraded Legacy Encryption | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la disponibilidad de la información de dicho sistema | Alta |
| 8 | CWMP | CPE Customer Premise Equipment WAN Management Protocol | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema | Media |
| 9 | DNS_Open_Resolv er | DNS Domain Name System - Open Resolver | Un atacante podría utilizar el servidor DNS Vulnerable a fin de ejecutar ataques a sistemas de información | Media |
| 10 | Freak_SSL | Factoring Attack on RSA Export | Un atacante podría interceptar conexiones HTTPS y posteriormente decifrar su vulnerando la confidencialidad de la información transmitida | Media |
| 11 | ISAKMP | Internet Security Association and Key Management Protocol | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema. | Media |
| 12 | LDAP | Lightweight Directory Access Protocol | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema | Media |
| 13 | Mdns | Multicast Domain Name System | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema | Media |
| 14 | NAT_PMP | Network Address Translation Port Mapping Protocol | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema | Media |
| 15 | NTP_Version | Netwwork Timpe Protocol Version | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la disponibilidad de la información de dicho sistema | Media |
| 16 | Open_Chargen | Open Character Generator Protocol | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la disponibilidad de la información de dicho sistema | Media |
| 17 | Open_DB2 | Relational DataBase Management System | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema | Media |
| 18 | Open_IPMI | Intelligent Platform Management Interface | Un atacante podría acceder de manera no autorizada al sistema de información vulnerando la confidencialidad, integridad y disponibilidad del sistema | Media |
| 19 | Open_MongoDB | Base de datos MongoDB | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema | Media |
| 20 | Open_NTP_monit or | Network Time Protocol Monitor | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema | Media |
| 21 | Open_Proxy | Open Proxy Server | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema | Media |
| 22 | Open_Redis | Remote Dictionary Server Redis | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad de la información de dicho sistema | Media |
| 23 | Open_SMB | Server Message Block SMB | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema | Media |
| 24 | Open_SNMP | Simple Network Management Protocol SNMP | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema | Media |
| 25 | Open_SQL_Server _Resl | Microsoft SQL Server Resolution | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema | Media |
| 26 | Open_Telnet | Teletype Network | Un atacante podría acceder de manera no autorizada al sistema de información vulnerando la confidencialidad, integridad y disponibilidad del sistema | Media |
| 27 | Scan_Elasticsearc h | Elastic search | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema | Media |
| 28 | Open_Portmappe r | Remote Procedure Call RCP Port mapper | Un atacante podría acceder de manera no autorizada al sistema de información vulnerando la confidencialidad, integridad y disponibilidad del sistema | Baja |
| 29 | Open_Qotd | Open Quote of the Day QOTD | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la disponibilidad de la información de dicho sistema | Baja |
| 30 | Open_SSDP | Open Simple Service Discovery Protocol | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema | Baja |
| 31 | Open_TFTP | Trivial File Transfer Protocol | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema | Baja |
| 32 | XDMCP | X Display Manager Control Protocol | Un atacante podría acceder de manera no autorizada al sistema de información vulnerando la confidencialidad del sistema | Baja |
Incidentes
En consideración a lo establecido en los artículos 8 y 9 de la “Norma Técnica para Coordinar la Gestión de Incidentes y Vulnerabilidades que afecten a la Seguridad de las Redes y Servicios de Telecomunicaciones”, el ARCOTEL generó el Catálogo y Priorización de Vulnerabilidades e Incidentes Iniciales donde se definen los tipos de incidentes para abonados y clientes.
Los tipos de incidentes que no han sido definidos en el catálogo, se irán agregando conforme se vayan reportando ya sea por ECUCERT-ARCOTEL o por los abonados y clientes.
| # | Incidente | Descripción | Riesgos | Prioridad clientes |
|---|---|---|---|---|
| 1 | Fraude IPPBX | La dirección IP detectada hace referencia a una central telefónica IP PBX la cual ha sido comprometida por actores maliciosos | Perjuicio económico a los administradores de la Central Telefónica | Crítica |
| 2 | Ataque DNS | La dirección IP detectada hace referencia a un host que ha realizado actividad maliciosa contra un sistema DNS | Realización de ataques informáticos utilizando infraestructura ubicada en el territorio ecuatoriano | Alta |
| 3 | Blacklisted | La dirección IP detectada hace referencia a un host que ha sido bloqueado internacionalmente debido a actividad maliciosa contra sistemas de información | Bloqueo a infraestructura de comunicaciones de prestadores de servicios de telecomunicaciones | Alta |
| 4 | Botnet | La dirección IP detectada hace referencia a un host comprometido y manipulado remotamente por un actor malicioso | Realización de ataques informáticos utilizando infraestructura ubicada en el territorio ecuatoriano | Alta |
| 5 | Command and Control | La dirección IP detectada hace referencia a un host / servidor el cual controla a otros sistemas con fines maliciosos | Ejecución de varias técnicas de ataques a sistemas de información. | Alta |
| 6 | Compromised Website | La dirección IP detectada hace referencia a un servidor web el cual ha sido comprometido y manipulado por un actor malicioso | Vulneración de la confidencialidad, integridad y disponibilidad de la información contenida en el servidor web | Alta |
| 7 | Defacement | La dirección IP detectada hace referencia a un sitio web cuyo contenido fue manipulado por un actor malicioso | Daño a la reputación del propietario de la infraestructura tecnológica. | Alta |
| 8 | Phishing | La dirección IP detectada hace referencia a un host/servidor ubicado en el territorio ecuatoriano que almacena un sitio web fraudulento | Engaño a usuarios para obtener información personal | Alta |
| 9 | SPAM | La dirección IP detectada hace referencia a un host desde el cual se origina el envió de información no solicitada. | Engaño a usuarios para obtener información personal y ejecución de técnicas de ataque a sistemas de información | Alta |
| 10 | Bruteforce | La dirección IP detectada hace referencia a un host el cual ha intentado acceder a un sistema de información de manera no autorizada. | Acceso no autorizado a sistemas y la consecuente vulneración de la confidencialidad, integridad y disponibilidad de la información. | Media |
| 11 | DDoS | La dirección IP detectada hace referencia a un host el cual ha atacado un sistema de información con el objetivo de suspender sus servicios. | Vulneración de disponibilidad de servicios y operación de un sistema de información. | Media |
| 12 | Fast_Flux | La dirección IP detectada hace referencia a un host el cual abusa de un servicio DNS para ejecutar técnicas de ataques a sistemas de información | Ejecución de varias técnicas de ataques a sistemas de información. | Media |
| 13 | Inyección de Código | La dirección IP detectada hace referencia a un host desde el cual se transmite código malicioso hacia sistemas de información | Ejecución de varias técnicas de ataques a sistemas de información. | Media |
| 14 | Malware | La dirección IP detectada hace referencia a un host / server en el cual se ha detectado un tipo específico de malware | Vulneración de la confidencialidad, integridad y disponibilidad de la información contenida en el host / server | Media |
| 15 | Scanners | La dirección IP detectada hace referencia a un host el cual estaría analizando puertos abiertos y cerrados de un sistema de información especifico | Ejecución de varias técnicas de ataques a sistemas de información. | Media |
| 16 | SQL Injection | La dirección IP detectada hace referencia a un host desde el cual se transmite código malicioso hacia sistemas de información. | Ejecución de varias técnicas de ataques a sistemas de información. | Media |
| 17 | Sinkhole | La dirección IP detectada hace referencia a un host que enruta tráfico de su destino original hacia otro lugar con intenciones maliciosas. | Realización de ataques informáticos utilizando infraestructura ubicada en el territorio ecuatoriano. | Media |
Medidas de mitigación
ECUCERT – ARCOTEL dispone en su portal web www.ecucert.gob.ec las acciones recomendadas para la mitigación de incidentes y vulnerabilidades de seguridad anteriormente listados en los numerales anteriores.
Mitigación de incidentes de seguridad: https://www.ecucert.gob.ec/incidentes.html
Mitigación de vulnerabilidades de seguridad: https://www.ecucert.gob.ec/vulnerabilidades.html
Responsabilidades
De acuerdo a la Norma técnica para coordinar la gestión de incidentes y vulnerabilidades que afecten a la seguridad de las redes y servicios de telecomunicaciones, Artículo 30.- Gestión de Incidentes y vulnerabilidades que involucre las redes de los abonados o clientes, numeral 2:
Para los casos en los que la gestión de incidentes o vulnerabilidades de las redes públicas de telecomunicaciones requiera correctivos por parte del cliente o abonado, el prestador del servicio informará al abonado o cliente acerca del particular, indicándole las medidas técnicas que debe tomar para solucionar el problema. Es obligación del abonado o cliente adoptar las medidas sugeridas por el prestador de servicios, a fin de salvaguardar la integridad de la red y las comunicaciones, sin perjuicio de las responsabilidades de los prestadores.
Artículo 34.- Obligaciones de los abonados o clientes, numeral 1:
Adoptar las medidas sugeridas por el prestador de servicios a fin de salvaguardar la integridad de la red y las comunicaciones.
Para informar lo antes expuesto, la CNT EP utilizará su página web institucional.
Reportes
Los clientes masivos y corporativos que detecten vulnerabilidades o incidentes de seguridad en el uso de los servicios de telecomunicaciones de la Corporación Nacional de Telecomunicaciones CNT EP, deberán reportarlo a la dirección de correo electrónico cert@cnt.gob.ec.
Soporte al cliente
¡En CNT queremos brindarte la mejor experiencia! Si tienes alguna consulta o problema por favor usa nuestro centro de soporte. ¡Te atenderemos con mucho gusto!