Cuatro mitos sobre la seguridad de Cloud Computing

cloud_security

 

Solo porque es difícil entender cómo funciona el Cloud Computing, muchos administradores se sienten paranoicos sobre cuán segura es en realidad la nube. Por eso exponemos cuatro de los mitos que más predominan sobre la seguridad en esta herramienta.

 

  1. Los entornos de la nube son más fáciles de atacar

Dos servidores idénticos comparten las mismas potenciales vulnerabilidades, ya sea que se encuentren en el Data Center privado de tu compañía o dentro de un proveedor de nube pública. El nivel de protección de datos depende menos de las máquinas y más en la postura de seguridad que adopte cada data center. Es por eso que muchas empresas almacenan sus datos más sensibles en nubes privadas que protegen y mantienen. Renegando a los de menor importancia en Datacenter CSP Públicos.

 

  1. No puedes controlar a dónde viaja tus datos en la nube

Cuando estás al mando de una multinacional, tus datos viajan a través del mundo. A menos que quieran construir tu propio datacenter en diferentes países, dependerás de CSPs para operar localmente. Aunque necesites estos proveedores, estás aún en control de donde viajen tus datos. Además, eres responsable por seguir las regulaciones de protección de datos locales.

Saber en dónde se encuentran tus datos requiere de transparencia de tu proveedor, quien debe suministrarte información acerca de cómo son protegidos cuando no son usados cómo viajan por el ciberespacio.

En vez de improvisar una red de proveedores locales, busca un CSP que opere datacenters en diferentes países. Tal proveedor entenderá las regulaciones locales, y cumplirá tus demandas de transparencia.

 

  1. ¿Es fácil espiar a otros?

Una de las características que definen el Cloud Computing es el concepto de recursos compartidos. Si visualizas a la nube como una herramienta porosa, puedes imaginar que es fácil para otro robar tus datos.

En realidad, la virtualización proporciona particiones fuertes entre los inquilinos dentro del datacenter. E incluso, aunque las máquinas virtuales compartan el mismo servidor, están completamente aisladas de las otras. A menos que compartas tu datacenter con un competidor que esté hambriento de tus secretos comerciales, es muy improbable que te conviertas en una víctima.

 

  1. Las nubes aún operan en máquinas.

La virtualización se desarrolló como un método para obtener más eficiencia y efectividad de los servidores y las máquinas virtuales todavía dependen de recursos físicos. Desafortunadamente, a menos que construyas tu propio datacenter y tus propias nubes privadas, debes confiar en alguien más para que cuide tus datos.

Cuando añades una capa extra de vulnerabilidad a la naturaleza confusa de Cloud Computing, puedes entender porque los no asociados a TI desconfían de la seguridad de la nube. Lo bueno es que, luego de desestimar algunos mitos, los beneficios de esta tecnología no deberían ser difíciles de entender.

Fuente: huffingtonpost.com

Google Quita Nombres de Dominios de los Resultados de Búsqueda Móvil.

 

Mientras Google se prepara para su mayor actualización de algoritmo móvil la próxima semana, el gigante de las búsquedas hay hecho un cambio de como los sitios aparecen en búsqueda móvil, utilizando el nombre real del sitio, en vez del nombre del dominio.

URL ConceptEn una publicación en su Blog Central de Webmaster, Google explicó que la estructura URL de los sitios aparecerá en un formato parecido a migajas de pan. El cambio esta destinado a “Ayudar a los buscadores móviles a entender mejor tu sitio cuando lo mostremos en los resultados de búsqueda movil”

Por ahora, el cambio de nombre de sitios en solo en EE.UU, mientras que Google está moviendo la estructura alrededor del mundo.

En un post describiendo la actualización del Nombre de Dominio, Andrew Allemann expresó: “este movimiento devalúa nombres de dominio y coloca más énfasis en lo que sea que alguien quiera poner como nombre del sitio. Espero que Google tenga una buena manera de prevenir que la gente burle los nombres; yo coloco mucha confianza en el resultado de búsqueda, basado en el dominio específico al que esté apuntando.”

La devaluación de los nombres de dominio también podría tener un impacto negativo en la nueva adopción de gTLD. Más de la mitad de búsquedas de Google vienen de la versión móvil y si los nombres de dominio no aparecen en los resultados de las búsquedas, ¿Tiene sentido invertir dinero en un nuevo gTLD? Estoy seguro de que es una pregunta que cualquier compañía se hará una vez que el cambio esté completo.

Por supuesto, ahora que Google se encuentra en el negocio de ofrecer nombres de dominios, esto es seguramente algo en lo cual la compañía mantendrá el ojo puesto.

El inversionista en dominios Elliot Silver expresó: “Desde mi punto de vista de usuario estoy preocupado por la seguridad al entrar en un sitio web. Al leer emails, me he entrenado a mí mismo para analizar bien la estructura del URL antes de darle clic a cualquier link para asegurarme de que no se trata de phishing o una redirección a un sitio web que no planeaba visitar. Quitar el URL podría facilitarle a ciertas personas maliciosamente cambiar el nombre de su sitio web. Confío en que Google hará lo mejor para proteger a sus usuarios, pero imagino que habrá personas esperando aprovecharse de este cambio lo más pronto posible.”

Fuente: thewhir.com

Error al Mantener Cumplimiento PCI Expone a los Comerciantes Online a Brechas de Seguridad

data-security-hacker-password-security-breach-mobile-patch-theft

Los comerciantes online están luchando con un número en aumento de brechas de seguridad. De acuerdo al Reporte de conformidad PCI realizado por Verizon en Marzo, 80 por ciento de las empresas fallan la evaluación de conformidad PCI.

El estudio examinó los datos de una evaluación PCI DSS con respecto a las Americas, Europa y APAC con industrias incluyendo servicios financieros, comercio y hospitalidad.

Con un aumento aproximado de 66 por ciento en el volumen de incidentes de seguridad desde 2009, es importante para los comerciantes online que estén atentos a los retos significantes a los que se enfrentan.

El ecommerce móvil también está creciendo muy rápido pero actualmente no sujeto a los mismos estándares PCI como el ecommerce. Los canadienses experimentaron una tasa de crecimiento en el comercio online móvil de 11 por ciento aproximadamente, mientras que en China Alipay reportó un crecimiento de 30 por ciento.

“Las soluciones móviles pueden coleccionar, almacenar y usar datos de pago en diferentes modos y ubicaciones,” Explicó el Reporte de Verizon. “Y aunque las aplicaciones de pago desarrolladas para el uso en dispositivos móviles no están actualmente sujetas a los requerimientos de PCI PA-DSS, aún necesitan cumplir con los controles de desarrollo de aplicaciones seguras en PCI DSS.

De acuerdo al reporte, “Con más de do tercios de todas las compras realizadas con tarjetas de pago y $20 trillones en transacciones de tarjeta de crédito se esperan para 2015, la seguridad se ha convertido en una prioridad para las organizaciones que aceptan tarjetas de crédito.”

Este incremento en las brechas de seguridad es evidenciada por varias casos de alto perfil en el año pasado. Grandes negocios de comercio como Home Depot, Kmart y Dairy Queen experimentaron hacks exponiendo información sensible sobre la tarjeta de crédito de los clientes.

“Otra tendencia problemática del reporte de este año es que la seguridad de los datos aún es inadecuada,” expresó Rodolphe Simonetti, director de gestión, servicios profesionales de Verizon Enterprise Solutions. “El volumen y escala de brechas de datos en los 12 años pasados son prueba de que las técnicas actuales no detienen a los atacantes. En muchos casos ni los frenan. El cumplimiento PCI DSS debe ser visto como una parte de la estrategia de seguridad comprehensiva de información y gestión de riesgos.”

“Las 3 áreas clave en las cuales las organizaciones caen fuera de cumplimiento son: sistemas de prueba regular de seguridad, mantenimiento de sistemas de seguridad y protegiendo datos almacenados,” Dijo Simonetti. “De todos las brechas de datos estimados, los resultados de Verizon claramente muestran que ninguna compañía tenía un cumplimiento complete PCI DAA al momento de la brecha.”

Los requerimientos de la última versión de PCI DSS y PA-DSS se hicieron efectivos el primero de enero de 2015.

Fuente: thewhir.com

Google Pone en la Lista Negra a Certificados Digitales Emitidos por Autoridades Principales de Certificado en China.

Google rechazó los Certificados Digitales emitidos por el Centro de Información de red de Internet en China (CNNIC) a través de Chrome, luego del descubrimiento de que certificados no autorizados para dominios de Google fueron rastreados hasta la Principal Autoridad de Certificados de China, Administradora del dominio “.cn”.

Bar Code ID
El CNNIC había emitido certificados intermedios a una compañía egipcia llamada MCS Holdings, la cual instaló claves privadas en un proxy Man-in-the-middle en vez de en un módulo de seguridad de hardware.

Google descubrió los certificados el 10 de Marzo, e informó a los CNNIC y los Buscadores más populares. También bloqueó el certificado MCS en Chrome con un Push CRLSet.

Advertencia

CNNIC le informó a Google 2 días después que bajo su contrato MCS emitiría certificados solo para los dominios registrados. Google considera esto como una delegación inapropiada de autoridad.

En este caso, Google ha decidido bloquear la raíz y las extensiones de las autoridades de validación de certificado, aunque una “Lista Blanca hecha pública” permitirá a los certificados CNNIC ya existentes ser confiados por Chrome hasta una futura actualización.

“Mientras ninguno de nosotros, ni CNNIC cree que más certificados digitales no autorizados están siendo emitidos, tampoco creemos que los certificados emitidos erroneamente fueron utilizados fuera del límite de alcance de la red de prueba de MCS Holdings, CNNIC seguirá trabajando para prevenir futuros incidentes,” Escribió el Ingeniero de seguridad de Google, Adam Langley. “CNNIC implementará Transparencia de Certificados para todos sus certificados. Aplaudimos a CNNIC por sus instrucciones proactivas, y les damos la bienvenida a restablecerse una vez que sea tomado el correcto control técnico.

Mozilla esta considderando sus opciones cuidadosamente, y podría adquirir un enfoque similar al de Google, reporta Ars Technica.

La confianza continúa siendo un punto importante para Google. Fue revelado el mes pasado que debido a un bug,  Google Apps expuso los datos personales de sus usuarios. La compañía dice que el problema con CNNIC resalta la necesidad de transparencia de certificados.

Certificate Authority Trustwave, La Autoridad de Certificado admitió emitir certificados a una compañía privada para espiar en conexiones protegidas por SSL dentro de su propia red en 2012, por lo que fue cuestionada su confiabilidad. Los comentarios en la publicación en el Blog de Google sugieren que el espionaje es la motivación de los certificados CNNIC No autorizados.

China bloqueó Google como parte de una campaña mayor de censura, frente a que el verano pasado se conmemorara el aniversario 25 de la masacre en Tiananmen Square, y está acusado de bloquear acceso a Gmail a finales 2014.

Fuente: thewhir.com

OPSWAT Lleva Escaneo Múltiple Anti-Malware al Servidor Exchange

malware-analysisOPSWAT, proveedor de soluciones de protección y administración la infraestructura IT, anunció el 18 de marzo la incorporación del nuevo Mail Agent para el servidor de Microsoft Exchange de su producto Metascan con prevención de amenazas y escaneo multi-anti-malware. El Mail Agent es el resultado de la reciente adquisición de OPSWAT, el Software Red Earth, desarrollador de soluciones de Seguridad en correo electrónico para el Servidor Exchange. El nuevo Mail Agent ahora incluye la tecnología de protección avanzada contra amenazas en correos electrónicos.

Una encuesta reciente de OPSWAT mostró que más de la mitad de los encuestados había experimentado una brecha de malware via email en los pasados 18 meses. Debido a que el email representa una fuente grande de malware, el Mail Agent de Metascan es una adición importante en ayudar a las organizaciones a protegerse contra amenazas avanzadas.

Análisis de datos Adjuntos para el Servidor Exchange

Con el Mail Agent, Metascan puede interceptar todos los datos de entrada y salida en el Servidor Microsoft Exchange y escanearlos rápidamente con varias herramientas anti-malware (más de 30 herramientas). Cuando se encuentra una amenaza, el mail puede ser introducido en cuarentena para una inspección futura. Cada licencia Metascan incluye una licencia del Mail Agent para más de 25 usuarios, con más usuarios disponibles al comprar.

“Utilizar el escaneo múltiple anti-malware es esencial para la seguridad de los correos ya que incrementa significativamente las cifras de detección de malware y reduce las vulnerabilidades creadas por las limitaciones de las herramientas de varios antivirus,” declaró Mike Spykerman, Vice Presidente de Administración del Producto en OPSWAT.

“Estamos emocionados por el lanzamiento del nuevo Mail Agent de nuestro producto Metascan. La adición a la Seguridad Mail, junto con nuestro servidor, web, y seguridad puntual, nos ha permitido dar un paso más hacia nuestra meta de ofrecer una solución completa que asegure la corriente de datos de trabajo desde todos los puntos de entrada,” expresó Benny Czarny, CEO de OPSWAT.

Acerca de Metascan

Metascan es una solución de escaneo múltiple flexible y poderosa que puede escanear archivos rápidamente con herramientas anti-malware múltiples para detectar y bloquear amenazas avanzadas. Al usar múltiples herramientas anti-malware de empresas como Symantec, ESET, McAfee y otros, la tecnología de Metascan incrementa el porcentaje de detección para todo tipo de malware sin la complicación de las licencias y el mantenimiento de los antivirus. La tecnología de sanitización de documentos de Metascan permite la eliminación de amenazas desconocidas que podrían ser obviadas por otros antivirus.

Acerca de OPSWAT

OPSWAT es una compañía de Software localizada en San Francisco que provee soluciones para asegurar y administrar la infraestructura IT. Fundada en el 2002, OPSWAT  ayuda a organizaciones a protegerse de ataques cibernéticos, usando múltiples herramientas anti-malware al escanear y sanitización de documentos.

Fuente: prweb.com

Cinco tips para prevenir fraudes con e-Commerce

url43

Prevenir fraudes es algo que tanto el proveedor de servicios como el usuario pueden conseguir a través de la diligencia debida y la educación propia. Como empresario de e-Commerce querrás tener decenas de pedidos reales y tan pocos fraudulentos como sea posible entrando en tu sistema. De igual manera, quieres que tus clientes tengan la mejor experiencia posible sin tener que preocuparse de que alguien se aproveche de ellos.

Los siguientes son cinco tips que te ayudarán a prevenir fraudes en tu sitio web e-commerce:

1. Servicio de verificación de dirección (AVS) – Un servicio como este automatiza el proceso de verificar que la dirección que el usuario coloca coincida con la dirección que ha proporcionado la cuenta bancaria sobre su tarjeta de crédito.

2. Software de prevención de fraudes – Varias compañías de seguridad ofrecen herramientas de protección de fraudes que pueden detectar transacciones conducidas por malware, ataques “Phishing”, y otros tipos de actividad criminal.

3. Solicita verificación CVC2 y CVV2 – En transacciones con tarjeta de crédito estándar deberás solicitar a los compradores que introduzcan un código de seguridad de 3 dígitos de la parte trasera de la tarjeta, en adición a la fecha de expiración de la tarjeta. Esta es una precaución extra, ya que hay una menor probabilidad de que el cibercriminal que haya logrado robar el número de la tarjeta, tenga también el número de 3 dígitos.

4. Anota el país de origen – Si haces negocios en un país principalmente, deberás tener más cuidado con órdenes de otros países. Puede ser una señal de fraude, especialmente si la dirección IP del cliente viene de un país extranjero mientras los detalles del pago incluyen una residencia local.

5. Siempre Verifica – Si hay alguna discrepancia o problema, siempre contacta con el cliente. En la mayoría de los casos los cibercriminales no serán tan valientes como para responder al contacto directo, y si lo hacen, puedes atraparlos en caso de haber realizado una acción ilegal.

La prevención de fraudes debe ser una combinación entre buenas tecnologías, tales como sistemas de verificación automatizada, así como buenas prácticas de seguridad empresarial. También puedes educar a tus clientes al comprar online, y con una combinación de estos tips, debes ser capaz de minimizar timos en tu sitio de e-commerce.

Fuente: thehostingnews.com