miércoles, 17 de abril de 2024

10 medidas que si o si debes implementar para proteger la identidad

 Estimados amigos de Inseguros !!!

Cuando hablo con las organizaciones, de distinto nivel de madurez, debo ofrecer distintas recomendaciones, está claro que no es lo mismo una pyme que un Ibex35. Pero si hay algo común en todas, es que el objetivo de todo el camino de la ciberseguridad es proteger la identidad. Ya sabes, no me vale que tu clave sea mega fuerte, si corres el riesgo de que si comprometo esa clave, estés bendido. Debemos ahondar en esto, te guste o no.

Sabes cuantas empresas me encuentro, de TODO TIPO, con TODO TIPO de soluciones de toda gama, y que aún tienen MUCHOS usuarios que no cambian clave. No me refiero a "servicios" me refiero a que no han conseguido una política robusta de autenticación. O las que no consiguen poner el MFA porque el usuario/directivo manda... Si en tu empresa no puedes virar hacia todo esto vas mal. Pon las excusas que quieras, o pon un firewall más alto...

A donde voy, aquí te dejo unas cuantas ideas para proteger tu IAM ( Identidad y Acceso). Te recomiendo avanzar en las que puedas, y lo primero, exprimir al máximo lo que te da tu infra. y luego buscar un partner/producto/servicio para cubrir nuevas necesidases. NO te guíes por un producto como marco de referencia.


10 Medidas para mejorar tu IAM


1. Implementar un Enfoque Zero Trust 

El enfoque Zero Trust en seguridad es un modelo que rechaza la idea de confianza implícita dentro de las redes y requiere verificación continua de usuarios y dispositivos. ¿Esto qué quiere decir? Que no pienses que “dentro” es distinto que “fuera”. Este enfoque es crucial porque minimiza el riesgo de acceso no autorizado, especialmente en un panorama de amenazas tan cambiante. 

Hoy tenemos un tipo de ataque, pero mañana tenemos otro. Para implementar el enfoque de Zero Trust, comienza por segmentar tu red, requerir autenticación multifactor para todo acceso y aplicar controles estrictos de acceso basados en los roles de usuario y procesos de empresa. También podrías implementar políticas contextuales, como permitir solo ciertos tipos de acceso desde determinadas ubicaciones o dispositivos, para una capa de seguridad adicional. 

Conocer la empresa, los procesos, las necesidades, y meterlo en la coctelera para proporcionar este enfoque. El otro día poníamos un video de cómo proteger el acceso a MsGraph en Azure: Bloqueando TODO y habilitando sólo lo que necesito. Esto es Zero Trust 



2. Utilizar Autenticación Multifactor (MFA) 

El concepto de autenticación multifactor (MFA) requiere que los usuarios proporcionen varias formas de identificación antes de acceder a sistemas. Algo que tienes, algo que sabes, algo que eres. Es un paso vital, ya que las contraseñas por sí solas siguen siendo susceptibles a ataques. 

La implementación de MFA se logra integrándola en tu proceso de autenticación, utilizando opciones como tokens de hardware o datos biométricos como factores de autenticación secundarios. Es MUY importante contar con una estrategia global. No implementes una solución MFA para O365, otra para Windows, otra para la VPN y otra para la APP. 

Las contraseñas de un solo uso basadas en el tiempo (TOTP por sus siglas en inglés) pueden ser una alternativa. Lo que es importante es una vez más conocer el negocio, y establecer este control de manera correcta, para no generar fatiga en el usuario. Créeme, encontrará maneras de bypasear esto. Imaginas pedirle un MFA a un usuario en Outlook cada vez que actualiza? 

3. Adoptar el Principio de Privilegio Mínimo 

El principio de privilegio mínimo es fundamental para un enfoque Zero Trust, ya que restringe el acceso de los usuarios a los permisos mínimos necesarios para sus roles. Para aplicar este principio, se deben revisar regularmente los permisos de usuario y ajustarlos en función de los requisitos del trabajo (también conocido como control de acceso basado en roles RBAC), asegurando que los usuarios solo tengan acceso a lo necesario para sus tareas. 

Esto se combina con soluciones de monitorización automáticas que examinan continuamente los derechos de acceso y señalan anomalías, así como permisos detallados que permiten personalizar el acceso hasta tareas o proyectos específicos. 

Un ejemplo muy sencillo, imagina un técnico HelpDesk con permiso para resetear passwords… Por defecto Azure no deja que un HelpDesk resetee un Global admin… pero si al CEO que es un usuario básico. HelpDesk debería ser un usuario TIER 0 porque es un Shadow Admin…

4. Realizar entrenamiento obligatorio de concienciación 

La idea es sencilla, ENTRENAR. Numerosos estudios sugieren que hasta el 88% de las brechas de datos podrían ser causadas por errores humanos. Este tipo de entrenamiento, que puede ser tanto presencial como virtual, tiene como objetivo educar al personal en los principios de la gestión segura de contraseñas, ayudándoles a reconocer intentos de phishing y comprender las implicaciones de las políticas de control de acceso. 

La famosa capa 8, el humano, sigue siendo un pilar fundamental. Realizar campañas de phishing no es lo mismo que un programa completo de concienciación. Hay que medir la evolución, el impacto de la acción. 

5. Cumplimiento normativo 

Puedes usar esta guía, o reinventar la tuya propia. Pero lo recomendable es seguir marcos de referencia. Hay infinidad de ellos, grupos de trabajo que han creado unos procedimientos concretos, y te olvides de “pensar”. Simplemente tienes que adaptar los procesos de cambio a tu organización. 

En España tenemos guías ENS, tenemos controles NIST, CIS, Cloud Alliance. Hemos hablado mucho de todo esto, incluso en este blog tenemos varios posts con medidas concretas, que adivina… YO he sacado de algún compliance ¡!!!! Yo no invento nada. 

6. Adoptar acceso Passwordless 

"Passwordless" se refiere a adoptar un enfoque de autenticación que elimina la necesidad de usar contraseñas tradicionales. En lugar de depender de contraseñas que los usuarios deben recordar y administrar, la autenticación sin contraseña utiliza métodos alternativos más seguros y convenientes, como la autenticación biométrica o el inicio de sesión basado en correo electrónico con códigos únicos. Este enfoque se adopta debido a que muchas personas encuentran difícil administrar sus contraseñas, lo que aumenta el riesgo de brechas de seguridad relacionadas con credenciales. Al eliminar las contraseñas, se reduce este riesgo. 

Sin embargo, la decisión de implementar completamente un sistema sin contraseña depende de cada organización. Hay organizaciones que no pueden obligar a usar un móvil. Hay otras en las que la biometría ha cargado mucho el N1. Yo he visto como el poder de los usuarios ha conseguido tumbar iniciativas de este tipo, porque “no va la huella”, pero en el gimnasio si… El usuario va a luchar contra el cambio, pero esto es otro tema… 

7. Realizar Test de penetración y simulación de adversarios 

Tengas muy elaborada la solución, o estés empezando, debes MEDIR. Realizar una prueba real del estado del sistema es un MUST para tomarlo como referencia de mejora. SEA cual SEA tu nivel actual, una auditoría, pentest, simulación o lo que sea es imprescindible. 

Me gusta separar estos dos conceptos, ya que un Pentest o auditoría está más orientada a la consecución de objetivos, generalmente un kill chain clásico de ataque, mientras que la simulación de adversarios está más encaminada a mejorar las capacidades de detección y contención. 

8. Estrategia de logs 

La estrategia de logs regula la manera en que una organización maneja y almacena los registros de actividad (logs) de sus sistemas. La recolección centralizada de logs simplifica la supervisión y auditoría para una respuesta rápida a incidentes y para cumplir con regulaciones. Se pueden utilizar soluciones de almacenamiento de logs basadas en la nube o en las instalaciones que agreguen logs de diversas fuentes de datos en tiempo real. 

Se debe crear una estrategia completa de Data Ware House de logs, teniendo en cuenta normalización, estrategia de almacenamiento frio/caliente, identificar Data Source de valor. En Inseguros hemos hablado MUCHO de los logs. NO se trata de tener los logs de UN sistema, sino de todo un proceso de mejora constante. 

9. Plataforma de IAM correcta 

Seleccionar la plataforma IAM adecuada es crucial para una gestión de seguridad efectiva. Necesitarás elegir una que ofrezca cobertura y visibilidad de extremo a extremo a lo largo de todo el viaje de acceso a los activos de tu negocio. De lo contrario, solo obtendrás una fracción de la historia. La implementación también es un factor importante: cuando se trata de control de acceso, no puedes permitirte tiempos de inactividad o errores, por lo que elegir una solución con opciones de implementación e integración rápidas y flexibles es una buena idea. 

 Mi aproximación siempre es contar con todos los servicios o funcionalidades que tenemos en nuestra plataforma base, y crecer con una solución complementaria SOLO cuando tenemos claro lo que necesitamos y el esfuerzo, tanto económico como de cambio de procesos. Los esfuerzos técnicos no me preocupan… 

10. Implementar controles basados en el tiempo

Dependiendo del servicio que queramos proteger, tenemos unas medidas u otras, por ejemplo, si queremos proteger los accesos temporales a máquinas de cómputo podemos recurrir a servicios nativos de Azure como Just In Time. Si hablamos de sesión, podemos usar varias funcionalidades relacionadas con la protección del token. Si usas un entorno híbrido, con ad connect en la modalidad Pass Trough ( autentica el entorno on premise) no el Pass The Hash por defecto( autentica el entorno cloud) puedes usar la restricción de tiempo nativa de Windows para aplicar este control al mundo cloud, por ejemplo al O365… 

Que una sesión en Office se re-autentique, o que el browser no guarde la sesión, hay varias opciones disponibles. La cuestión es abordar todas las medidas que nos de la plataforma. Si usas gestores IAM externos, contar con estos controles, porque son realmente efectivos.

Seguro que coincides conmigo, más o menos, pero la cuestión es ponerlo en marcha :-)

Si necesitas ayuda con este proceso a nivel consultoría, o quieres crecer en la ciberseguridad Azure con nuestros cursos, tu mismo.

Cuenta con un humilde murciano para lo que necesites.

lunes, 8 de abril de 2024

Día 19: Revisa la configuración de tu Azure !!!

  Estimados amigos de Inseguros !!!

Seguimos con la serie configuraciones y aspectos a revisar en la configuración de Azure. Viste el Día 1Día 2Día 3Día 4 Día 5Día 6Día 7Día 8Día 9Día 10, Día 11 , Día 12 , Día 13Día 14Día 15Día 16, día 17, día 18 

Muchos de vosotros que me seguís y venís a los cursos, os gusta la teoría, os gusta el planteamiento de conocer en profundidad cómo funcionan las cosas, pero muchos se que queréis ir al grano, queréis el click rápido... Aunque no es mi visión, con esta serie voy a intentar daros algunos consejos, o pautas, o simplemente sitios donde pinchar a loco :-) para mejorar la seguridad de vuestros tenant Azure.

Quieres acceder a algunas lecciones gratuitas del curso para verlo?
Aquí las tienes:
 https://buff.ly/3vEEQQz


Espero que os gusten los recursos que os voy dando, pero valorar la posibilidad de ir más allá y adentraros en conocer este mundo del cloud de Microsoft que sin duda es el presente de muchas organizaciones. 

Consejo 19

En esta ocasión vamos a dar un pequeño consejo para Azure, pero para el caso de que uses Azure Virtual Network, por ejemplo, si tienes publicado un sqlserver, una máquina con SSH o Rdp.

Lo más básico es que NO uses el puerto RDP/SSH desde Internet. Estos servicios son muy atractivos para los atacantes y debemos reducid la superficie de exposición. 
Para acceder a estas máquinas debemos pensar "cloud"  y debemos usar tecnologías como Azure bastion.
Con este servicio podemos conectarnos a estos entornos por la web, y así evitamos la exposición del puerto.  El proceso es muy sencillo, podemos hacer "siguiente" "siguiente" y el solo configura el host bastion y la subred. 

Como todo en Azure es fácil, pero hay que conocer el coste.  Básicamente cobra unos pocos céntimos por el tráfico generado de la conexión y el tiempo, pero no creo que estés 2 horas con el RDP cada día...





Ya está, eres un poco más seguro xD.


Lo has revisado? qué configuración tenías? Ánimate y sigue la serie. Este consejo es muy sencillo, pero iremos avanzando con otros quickwins más interesantes.

Y en paralelo, ya sabes que tenemos cursos relacionados con Azure en la academia. Uno grabado, donde tu puedes hacerlo a tu aire, y varias opciones para hacerlo en 4 meses y 8 meses

El curso "no va de esto", algunas cosas sí. Estos consejos de momento son BÁSICOS, y el curso es de nivel ALTO, tenlo en cuenta.


Como siempre, gracias por leerme !!!

jueves, 4 de abril de 2024

Dia 18: Revisa la configuración de tu Azure !!!

 Estimados amigos de Inseguros !!!

Seguimos con la serie configuraciones y aspectos a revisar en la configuración de Azure. Viste el Día 1Día 2Día 3Día 4 Día 5Día 6Día 7Día 8Día 9Día 10, Día 11 , Día 12 , Día 13Día 14Día 15Día 16, día 17

Muchos de vosotros que me seguís y venís a los cursos, os gusta la teoría, os gusta el planteamiento de conocer en profundidad cómo funcionan las cosas, pero muchos se que queréis ir al grano, queréis el click rápido... Aunque no es mi visión, con esta serie voy a intentar daros algunos consejos, o pautas, o simplemente sitios donde pinchar a loco :-) para mejorar la seguridad de vuestros tenant Azure.

Quieres acceder a algunas lecciones gratuitas del curso para verlo?
Aquí las tienes:
 https://buff.ly/3vEEQQz


Espero que os gusten los recursos que os voy dando, pero valorar la posibilidad de ir más allá y adentraros en conocer este mundo del cloud de Microsoft que sin duda es el presente de muchas organizaciones. 

Consejo 18

Vamos a ponernos en un escenario muy habitual, por desgracia, y es el de el robo de una suscripción completa. Existe la posibilidad, con los permisos necesarios, de que un owner o admin externo pueda mover de tenant una suscripción.


Imagine el escenario. Tienes un colaborador externo global admin. Le roban la clave, entran a todas sus suscripciones, pillan la tuya, y la mueven de directorio. Te darías cuenta? Si no es así, el malo, bajo esa suscripción, se dedica a meter máquinas de cómputo para minado, y te enteras al mes con la factura de 200k... Está pasando...

Para ello, debemos habilitar la opción de la suscripción para evitar este comportamiento.




Ya está, eres un poco más seguro xD.


Lo has revisado? qué configuración tenías? Ánimate y sigue la serie. Este consejo es muy sencillo, pero iremos avanzando con otros quickwins más interesantes.

Y en paralelo, ya sabes que tenemos cursos relacionados con Azure en la academia. Uno grabado, donde tu puedes hacerlo a tu aire, y varias opciones para hacerlo en 4 meses y 8 meses

El curso "no va de esto", algunas cosas sí. Estos consejos de momento son BÁSICOS, y el curso es de nivel ALTO, tenlo en cuenta.


Como siempre, gracias por leerme !!!


lunes, 4 de marzo de 2024

Día 17: Revisa la configuración de tu Azure !!!

 Estimados amigos de Inseguros !!!

Seguimos con la serie configuraciones y aspectos a revisar en la configuración de Azure. Viste el Día 1Día 2Día 3Día 4 Día 5Día 6Día 7Día 8Día 9Día 10, Día 11 , Día 12 , Día 13Día 14Día 15, Día 16 .

Muchos de vosotros que me seguís y venís a los cursos, os gusta la teoría, os gusta el planteamiento de conocer en profundidad cómo funcionan las cosas, pero muchos se que queréis ir al grano, queréis el click rápido... Aunque no es mi visión, con esta serie voy a intentar daros algunos consejos, o pautas, o simplemente sitios donde pinchar a loco :-) para mejorar la seguridad de vuestros tenant Azure.

Quieres acceder a algunas lecciones gratuitas del curso para verlo?
Aquí las tienes:
 https://buff.ly/3vEEQQz


Espero que os gusten los recursos que os voy dando, pero valorar la posibilidad de ir más allá y adentraros en conocer este mundo del cloud de Microsoft que sin duda es el presente de muchas organizaciones. 

Consejo 17

Cuando tenemos implementado un segundo factor de autenticación en nuestros clientes, vamos a seguir teniendo ataques, creeme. Ahora podemos configurar que los usuarios cuando reciban un intento de MFA en su aplicación por ejemplo, puedan identificarlo como fraude. 



Al realizar esta acción, pasan dos cosas, se genera un log detallado de que no ha sido un error humano, sino un intento de fraude, y el nivel de riesgo del usuario sube. 



Podemos indicar un correo también de administración para que un sysadmin sea notificado. También podemos bloquear la cuenta ( no lo recomiendo). Por último, tenemos la opción de indicar qué tecla deberíamos marcar en el teléfono, en el caso de que el MFA sea por llamada, para informar de fraude. 
Una opción súper interesante y necesaria.



Lo has revisado? qué configuración tenías? Ánimate y sigue la serie. Este consejo es muy sencillo, pero iremos avanzando con otros quickwins más interesantes.

Y en paralelo, ya sabes que tenemos dcursos relacionados con Azure en la academia. Uno grabado, donde tu puedes hacerlo a tu aire, y varias opciones para hacerlo en 4 meses y 8 meses

El curso "no va de esto", algunas cosas sí. Estos consejos de momento son BÁSICOS, y el curso es de nivel ALTO, tenlo en cuenta.


Como siempre, gracias por leerme !!!

jueves, 29 de febrero de 2024

Día 16: Revisa la configuración de tu Azure !!!

 Estimados amigos de Inseguros !!!

Seguimos con la serie configuraciones y aspectos a revisar en la configuración de Azure. Viste el Día 1Día 2Día 3Día 4 Día 5Día 6Día 7Día 8Día 9Día 10, Día 11 , Día 12 , Día 13Día 14, Día 15

Muchos de vosotros que me seguís y venís a los cursos, os gusta la teoría, os gusta el planteamiento de conocer en profundidad cómo funcionan las cosas, pero muchos se que queréis ir al grano, queréis el click rápido... Aunque no es mi visión, con esta serie voy a intentar daros algunos consejos, o pautas, o simplemente sitios donde pinchar a loco :-) para mejorar la seguridad de vuestros tenant Azure.

Quieres acceder a algunas lecciones gratuitas del curso para verlo?
Aquí las tienes:
 https://buff.ly/3vEEQQz


Espero que os gusten los recursos que os voy dando, pero valorar la posibilidad de ir más allá y adentraros en conocer este mundo del cloud de Microsoft que sin duda es el presente de muchas organizaciones. 

Consejo 16

Una de las batallas que tenemos que lidiar en nuestro entorno Azure es la autenticación. De echo, espero que después de varios consejos, te vayas dando cuenta de que Azure es un gestor de identidades, no es un PaaS de Gigas y Cores... Pero vuelvo. En esta ocasión te voy a dar este enlace para que revises que mecanismos de autenticación tienes implementados. En cada escenario de negocio deberás usar el que se adapte a tus necesidades, aquí no te voy a decir cual usar, pero si es importante revisarlo, para ser consciente, y sobre todo, detectar un posible caso de compromiso en el que alguien ha activado algo que no controlas. Quizas no un atacante, un partner, pero el control de esto es básico.


Lo has revisado? qué configuración tenías? Ánimate y sigue la serie. Este consejo es muy sencillo, pero iremos avanzando con otros quickwins más interesantes.

Y en paralelo, ya sabes que tenemos dcursos relacionados con Azure en la academia. Uno grabado, donde tu puedes hacerlo a tu aire, y varias opciones para hacerlo en 4 meses y 8 meses

El curso "no va de esto", algunas cosas sí. Estos consejos de momento son BÁSICOS, y el curso es de nivel ALTO, tenlo en cuenta.


Como siempre, gracias por leerme !!!

martes, 27 de febrero de 2024

Día 15: Revisa la configuración de tu Azure !!!

Estimados amigos de Inseguros !!!

Seguimos con la serie configuraciones y aspectos a revisar en la configuración de Azure. Viste el Día 1Día 2Día 3Día 4 Día 5Día 6Día 7Día 8Día 9Día 10, Día 11 , Día 12 , Día 13, Día 14

Muchos de vosotros que me seguís y venís a los cursos, os gusta la teoría, os gusta el planteamiento de conocer en profundidad cómo funcionan las cosas, pero muchos se que queréis ir al grano, queréis el click rápido... Aunque no es mi visión, con esta serie voy a intentar daros algunos consejos, o pautas, o simplemente sitios donde pinchar a loco :-) para mejorar la seguridad de vuestros tenant Azure.

Quieres acceder a algunas lecciones gratuitas del curso para verlo?
Aquí las tienes:
 https://buff.ly/3vEEQQz


Espero que os gusten los recursos que os voy dando, pero valorar la posibilidad de ir más allá y adentraros en conocer este mundo del cloud de Microsoft que sin duda es el presente de muchas organizaciones. 

Consejo 15

Este consejo más que de configuración va de uso. El concepto es revisar los inicios de sesión que has tenido, con una información de aciertos, errores y tasa, agrupados por la aplicación. En vez de acceder al SingIn Logs en detalle, podemos acceder a ESTA VISTA y así tener información de valor, no sólo datos. Por supuesto podemos ampliar la información para verlos, pero de esta manera podemos detectar fallos, ataques, etc


Lo has revisado? qué configuración tenías? Ánimate y sigue la serie. Este consejo es muy sencillo, pero iremos avanzando con otros quickwins más interesantes.

Y en paralelo, ya sabes que tenemos dcursos relacionados con Azure en la academia. Uno grabado, donde tu puedes hacerlo a tu aire, y varias opciones para hacerlo en 4 meses y 8 meses

El curso "no va de esto", algunas cosas sí. Estos consejos de momento son BÁSICOS, y el curso es de nivel ALTO, tenlo en cuenta.


Como siempre, gracias por leerme !!!

martes, 6 de febrero de 2024

Bubble Crash: No es un juego, es el fin de la burbuja?

 Estimados amigos de Inseguros !!!

Llevo tiempo diciendolo, no en grandes foros, pero si en mi entorno, mis familiares, amigos, en gente que contacta conmigo por las redes. Estamos en una burbuja !!! la burbuja va a explotar... y así ha pasado.


Apenas haces dos días, encontrar un programador junior era una tarea de titanes. Todos con exigencias, teletrabajo por supuesto, y salarios por encima de los 32k, que para cualquier empresa del ibex35 o grande/mediana podría ser aceptable, pero para la realidad de las empresas no. En Murcia una consultora de 3 programadores, más uno de ventas, mas dirección, marketing... los números bailan hacia el abismo. Hablo de la realidad española, no de esas grandes. Yo trabajo con todas...

Ahora es más fácil encontrar a un junior recien salido, pagarle 18, y "formarle". MENTIRA, no le formas. Le pones a trabajar. Formar es pagar formación externa. Que va a aprender de sus compañeros, de los clientes, de sus jefes, eso es algo IMPLICITO del trabajar, no lo puedes vender como formación.

Encontrar alguien de ciber se había puesto por las nubes, hablo de una franja de... quizas 3 o 4 años como mucho, no se precisar si desde un poco antes del covid, ponle 2 años, hasta hace poco, dos años más post-covid.

La crisis, la ruptura de la burbuja está fraguando, además, como siempre, por culpa del sistema, de las propias empresas, de la formación, y en última estancia, por nuestra culpa. No soy muy experto, ni poco, en esto, pero si que tengo contactos, hablo, me cuenta, veo, leo, escucho, y me doy cuenta de que donde antes no había apenas paro, empieza haberlo. Hablo de situaciones en las que un devops recibía 3 llamadas a la semana, mejorando el dinero. Quizás el proyecto no, pero si las condiciones económicas brutas.

Pero como en todo, hay que cojer con pinzas este mensaje de la burbuja. La burbuja se ha roto para los medios, iba a decir mediocre, pero no es la palabra. Me explico. Los cracks de cada disciplina siguen recibiendo ofertas buenas, menos, pero siempre tienen salidas o áreas de mejora. Los juniors están encontrando ofertas, pero veo gente trabajando en ciber por 18k. Creeme, MUCHOS. Hablo con muchos alumnos, gente que quiere mejorar, y tienen un "cargo" en IT, ya sea IT o ciber vertical, y no cobran más de 25k.

Es decir, hemos vuelto a lo mismo, a que un trabajador de Mercadona, con todos mis respetos, cobra más que un tipo con responsabilidades en una empresa.

La burbuja, la crisis, los cambios, todo esto es nuestra culpa. En primer lugar porque aceptamos los precios, aceptamos los cacahuetes. Yo lo veo a diario en mi entorno. No en el salarial-laboral, sino en los servicios. Las empresas intentan comprar barato, pero porque siempre hay quien vende barato...

Quien soy yo para decirle a alguien que vender con un margen del 5% es una locura. Porque a lo mejor ese tipo tiene mas potencia de venta, y puede ganar mucho más que yo con mi 10%... por decir algo. Cada uno es libre, pero la tendencia es que el sistema gana, al final siempre aparecen servicios low cost que enmascaran los buenos, y estos nos perjudica a TODOS. Porque tu compras una auditoria barata, contratas a un técnico barato, compras material barato, y vendes servicios peores y más baratos... y luego llegará una IA y te quitará de enmedio.

Hablo con empresas que no se permiten invertir en formación en sus trabajadores. Recuerdo donde trabajé 10 años en Murcia en un hospital, que NUNCA me negaron un curso, un viaje a Madrid a un evento. NUNCA.  Es más mi jefe que era Médico, entendía que yo, estaba dispuesto a quitarle tiempo a mi vida particular por formarme, para que eso revertiera en la empresa... Yo ahora alucino.

De verdad, decirme, 500 / 700 /1000 euros hoy en día, para una empresa es algo? si eso supone un freno, la empresa VA MAL.

El 50% de los cursos que vendo, son los trabajadores los que lo pagan. Porque quieren mejorar de condiciones, porque están hasta la po**** de cobrar esos 18k/25k al mes...

Vamos a las conferencias y nos reimos, el que no cobra 80k es un tolay... ya ya... me gustaría saber cuanto cobran la mayoría de mis lectores, de vosotros. Porque cuando hablo en confianza con amigos, MUCHOS, la MAYORÍA no cobran esas cifras. Y tengo amigos que cobran 120k, 150k, 90k pero la mayoría NO, la mayoría tiene sueldos de mierda, para el esfuerzo que requiere mantenerse al día en la ciberseguridad.

Y claro, seguro que alguno trabaja en un vendor internacional, o en una gran empresa, y me dirá que no es así, que los sueldos son altos... pero la mayoría de las personas no trabajan en esas empresas, y cobran miseria. 

La gente con la que yo aprendí ciberseguridad, eran expertos en sistemas operativos, redes, programación, comunicaciones, hablo de autenticos expertos. Gente que lleva 20 años dándole duro. Pero la realidad es que el mercado es tan grande, que contrata a gente del FP, sin experiencia, por cuatro duros. Claro, volvemos a lo de siempre. No tienes experiencia, no cobras. Pero en su momento yo opté por formarme. Hoy en día se ha establecido el binomio junior-oscp-25k y para empresas de pentesting nacionales, se los rifan, porque son productivos, y les pagan poco. Les pagan poco para lo que cobran esas empresas. Pero y si no eres pentester? o qué pasa después del oscp? como salto a 40k? a 60k? COMPLICADO. Ya la mayoría abandona Ubuntu y se pasan al Excel. Abandonan la shell y se pasan a Jira.

Creo que al final, ese sentimiento que muchos movíamos, de pagar a los profesionales. Ya sabes a quien me refiero. Estos que decimos que no hay necesidad de miles de expertos en ciber, sino necesidad de que se les pague y valore... al final, creo que estamos perdiendo. Y vuelvo a lo mismo, la culpa es nuestra y de la industria. De todos, porque todos somos parte.

Yo se salir de la burbuja. He pasado por encontrar trabajo siendo un crío de barrio sin estudios, cambios de dueños, jefes, compañías, negocios, modalidades, y SOLO he encontrado una manera de hacerlo, y SIEMPRE ha sido formándome. Estudiando. Certificándome, Creciendo. SOLO así he resistido 23 años en el mundo laboral de la informática, con más o menos suerte.

Lo digo porque aunque he llamado esto rotura de la crisis, hay una parte que cada uno podemos hacer, no podemos cambiar a la industria, es muy complicado, pero si a nosotros mismos, y ponérselo más dificil, para que no te pisen.

Tu qué opinas? cobras 80k al año? crees que cada vez hay más trabajo en ciber de calidad?

Gracias por leerme !!!

miércoles, 24 de enero de 2024

Día 14: Revisa la configuración de tu Azure !!!

 Estimados amigos de Inseguros !!!

Seguimos con la serie configuraciones y aspectos a revisar en la configuración de Azure. Viste el Día 1Día 2Día 3Día 4 Día 5Día 6Día 7Día 8Día 9Día 10, Día 11 , Día 12 

Muchos de vosotros que me seguís y venís a los cursos, os gusta la teoría, os gusta el planteamiento de conocer en profundidad cómo funcionan las cosas, pero muchos se que queréis ir al grano, queréis el click rápido... Aunque no es mi visión, con esta serie voy a intentar daros algunos consejos, o pautas, o simplemente sitios donde pinchar a loco :-) para mejorar la seguridad de vuestros tenant Azure.

Quieres acceder a algunas lecciones gratuitas del curso para verlo?
Aquí las tienes:
 https://buff.ly/3vEEQQz


Espero que os gusten los recursos que os voy dando, pero valorar la posibilidad de ir más allá y adentraros en conocer este mundo del cloud de Microsoft que sin duda es el presente de muchas organizaciones. 

Consejo 14

Ubicaciones por nombre, check aquí. Es importante configurar un pool de direcciones, por ejemplo de confianza, nuestro entorno público, o un pool de direcciones TOR, o un país... Al final tener configurado esto, nos puede ayudar posteriormente a aplicar directivas de acceso condicional, por ejemplo, dejarte entrar o no a un recurso, perdirte un MFA + algo si estás en un sitio concreto, o no pedírtelo... Conocer estas capacidades es importante, no sólo por la seguridad, sino por adaptar nuestros procesos de negocio a nuestros empleados. Por ejemplo, en una ubicación de confianza, quizás el MFA pueda ser más relajado... y así nuestros usuarios seguirán invitándonos a café. Por supuesto, revisar si tienes alguna configuración, por si alguien te la ha jugado y lo está usando como persistencia.


Lo has revisado? qué configuración tenías? Ánimate y sigue la serie. Este consejo es muy sencillo, pero iremos avanzando con otros quickwins más interesantes.

Y en paralelo, ya sabes que tenemos dos cursos relacionados con Azure en la academia. Uno grabado, donde tu puedes hacerlo a tu aire, y otro Online en donde tienes 3 días en los que obligarte a atender a las clases, aunque en ambos cursos deberás hacer muchas prácticas, yo calculo que unos 10 días a raticos.

El curso "no va de esto", algunas cosas sí. Estos consejos de momento son BÁSICOS, y el curso es de nivel ALTO, tenlo en cuenta.

Como novedad para este año, si haces los ejercicios propuestos para la certificación y son correctos ( se revisan) obtendrás un certificado real, en papel. De esta manera distinguimos entre diploma de asistencia y diploma de certificación.

Como siempre, gracias por leerme !!!

martes, 23 de enero de 2024

Día 13: Revisa la configuración tu Azure !!!

 Estimados amigos de Inseguros !!!

Seguimos con la serie configuraciones y aspectos a revisar en la configuración de Azure. Viste el Día 1Día 2Día 3Día 4 Día 5Día 6Día 7Día 8Día 9Día 10, Día 11 , Día 12 

Muchos de vosotros que me seguís y venís a los cursos, os gusta la teoría, os gusta el planteamiento de conocer en profundidad cómo funcionan las cosas, pero muchos se que queréis ir al grano, queréis el click rápido... Aunque no es mi visión, con esta serie voy a intentar daros algunos consejos, o pautas, o simplemente sitios donde pinchar a loco :-) para mejorar la seguridad de vuestros tenant Azure.

Quieres acceder a algunas lecciones gratuitas del curso para verlo?
Aquí las tienes:
 https://buff.ly/3vEEQQz


Espero que os gusten los recursos que os voy dando, pero valorar la posibilidad de ir más allá y adentraros en conocer este mundo del cloud de Microsoft que sin duda es el presente de muchas organizaciones. 

Consejo 13

Si estamos hablando de seguridad, no deberías dejar de pasarte por la opción Seguridad xD. El security center nos da unas recomendaciones sencillas para fortificar el entorno, personalizadas, en tu idioma, y de muy fácil configuración. Sólo tienes que entrar aquí, y repasar sus consejos. Este post es sencillo xD


Lo has revisado? qué configuración tenías? Ánimate y sigue la serie. Este consejo es muy sencillo, pero iremos avanzando con otros quickwins más interesantes.

Y en paralelo, ya sabes que tenemos dos cursos relacionados con Azure en la academia. Uno grabado, donde tu puedes hacerlo a tu aire, y otro Online en donde tienes 3 días en los que obligarte a atender a las clases, aunque en ambos cursos deberás hacer muchas prácticas, yo calculo que unos 10 días a raticos.

El curso "no va de esto", algunas cosas sí. Estos consejos de momento son BÁSICOS, y el curso es de nivel ALTO, tenlo en cuenta.

Como novedad para este año, si haces los ejercicios propuestos para la certificación y son correctos ( se revisan) obtendrás un certificado real, en papel. De esta manera distinguimos entre diploma de asistencia y diploma de certificación.

Como siempre, gracias por leerme !!!

lunes, 22 de enero de 2024

Día 12: Revisa la configuración de tu Azure

 Estimados amigos de Inseguros !!!

Seguimos con la serie configuraciones y aspectos a revisar en la configuración de Azure. Viste el Día 1Día 2Día 3Día 4 Día 5Día 6Día 7Día 8Día 9Día 10, Día 11

Muchos de vosotros que me seguís y venís a los cursos, os gusta la teoría, os gusta el planteamiento de conocer en profundidad cómo funcionan las cosas, pero muchos se que queréis ir al grano, queréis el click rápido... Aunque no es mi visión, con esta serie voy a intentar daros algunos consejos, o pautas, o simplemente sitios donde pinchar a loco :-) para mejorar la seguridad de vuestros tenant Azure.

Quieres acceder a algunas lecciones gratuitas del curso para verlo?
Aquí las tienes:
 https://buff.ly/3vEEQQz


Espero que os gusten los recursos que os voy dando, pero valorar la posibilidad de ir más allá y adentraros en conocer este mundo del cloud de Microsoft que sin duda es el presente de muchas organizaciones. 

Consejo 12

En el anterior post hablábamos del reset de contraseñas. Ahora vamos a la notificación de estas. Tenemos dos comportamientos a configurar. Que le llegue al usuario un correo, y que le llegue a un admin, cuando otro admin lo haya hecho. Sin duda, dos opciones indispensables. Por qué no las activas ya!?????



Lo has revisado? qué configuración tenías? Ánimate y sigue la serie. Este consejo es muy sencillo, pero iremos avanzando con otros quickwins más interesantes.

Y en paralelo, ya sabes que tenemos dos cursos relacionados con Azure en la academia. Uno grabado, donde tu puedes hacerlo a tu aire, y otro Online en donde tienes 3 días en los que obligarte a atender a las clases, aunque en ambos cursos deberás hacer muchas prácticas, yo calculo que unos 10 días a raticos.

El curso "no va de esto", algunas cosas sí. Estos consejos de momento son BÁSICOS, y el curso es de nivel ALTO, tenlo en cuenta.

Como novedad para este año, si haces los ejercicios propuestos para la certificación y son correctos ( se revisan) obtendrás un certificado real, en papel. De esta manera distinguimos entre diploma de asistencia y diploma de certificación.

Como siempre, gracias por leerme !!!

viernes, 19 de enero de 2024

Día 11: Revisa configuración de tu Azure !!!

 Estimados amigos de Inseguros !!!

Seguimos con la serie configuraciones y aspectos a revisar en la configuración de Azure. Viste el Día 1Día 2Día 3Día 4 Día 5Día 6Día 7Día 8Día 9, Día 10

Muchos de vosotros que me seguís y venís a los cursos, os gusta la teoría, os gusta el planteamiento de conocer en profundidad cómo funcionan las cosas, pero muchos se que queréis ir al grano, queréis el click rápido... Aunque no es mi visión, con esta serie voy a intentar daros algunos consejos, o pautas, o simplemente sitios donde pinchar a loco :-) para mejorar la seguridad de vuestros tenant Azure.

Quieres acceder a algunas lecciones gratuitas del curso para verlo?
Aquí las tienes:
 https://buff.ly/3vEEQQz



Espero que os gusten los recursos que os voy dando, pero valorar la posibilidad de ir más allá y adentraros en conocer este mundo del cloud de Microsoft que sin duda es el presente de muchas organizaciones. 

Consejo 11

Dejar que tus usuarios puedan resetear la contraseña es algo a priori positivo. Salvo en escenarios perrugueros donde el admin quieren saber la clave de su gente para vete tu a saber...

Lo que si es una buena práctica es habilitar doble mecanismo de MFA para realizar esta tarea.

Imagina que accedo a una sesión abierta en un browser y no se la clave, la cambio y pongo la mía...

Revisa como tienes esto, y habilita dos mecanismos. Si aparte mandas un mail a tu gente informando de la medida, mucho mejor.


Lo has revisado? qué configuración tenías? Ánimate y sigue la serie. Este consejo es muy sencillo, pero iremos avanzando con otros quickwins más interesantes.

Y en paralelo, ya sabes que tenemos dos cursos relacionados con Azure en la academia. Uno grabado, donde tu puedes hacerlo a tu aire, y otro Online en donde tienes 3 días en los que obligarte a atender a las clases, aunque en ambos cursos deberás hacer muchas prácticas, yo calculo que unos 10 días a raticos.

El curso "no va de esto", algunas cosas sí. Estos consejos de momento son BÁSICOS, y el curso es de nivel ALTO, tenlo en cuenta.

Como novedad para este año, si haces los ejercicios propuestos para la certificación y son correctos ( se revisan) obtendrás un certificado real, en papel. De esta manera distinguimos entre diploma de asistencia y diploma de certificación.

Como siempre, gracias por leerme !!!

jueves, 18 de enero de 2024

Día 10: Revisa la configuración de tu Azure !!!

  Estimados amigos de Inseguros !!!

Seguimos con la serie configuraciones y aspectos a revisar en la configuración de Azure. Viste el Día 1Día 2Día 3Día 4 Día 5Día 6Día 7Día 8, Día 9?

Muchos de vosotros que me seguís y venís a los cursos, os gusta la teoría, os gusta el planteamiento de conocer en profundidad cómo funcionan las cosas, pero muchos se que queréis ir al grano, queréis el click rápido... Aunque no es mi visión, con esta serie voy a intentar daros algunos consejos, o pautas, o simplemente sitios donde pinchar a loco :-) para mejorar la seguridad de vuestros tenant Azure.

Quieres acceder a algunas lecciones gratuitas del curso para verlo?
Aquí las tienes:
 https://buff.ly/3vEEQQz


Espero que os gusten los recursos que os voy dando, pero valorar la posibilidad de ir más allá y adentraros en conocer este mundo del cloud de Microsoft que sin duda es el presente de muchas organizaciones. 

Consejo 10

En esta ocasión, vamos a profundizar un poco más en el aspecto de como se vinculan los dipositivos en Azure, y que implicaciones de seguridad tiene. Para empezar, vamos a definir los tipos de estado de vinculación que tienen los devices ( teléfonos, tablets, pc, etc)


Esta aproximación es necesaria para trabajar con el famoso Zero Trust. Conocer el dispositivo es mucho más efectivo de... el pc está en la lan o en la wan. No es que sea más efectivo, sino que me permite más granularidad a la hora de controlar los permisos. Ejemplo sencillo, si estás en un pc corporativo te deja hacer EQUIS pero sino, te dejo hacer menos...


La manera más sencilla es tomar nuestro equipo unido al dominio y unirlo al dominio Azure. Aquí tenéis el procedimiento para hacerlo manualmente. Lo denominamos Hybrid ya que el equipo pertenece vinculado a ambos ámbitos, el cloud y el onpremise. Podemos usar una GPO para que todos nuestros dispositivos en el dominio local se registren en Azure, con la siguiente diretiva: Computer Configuration/Policies/Administrative Templates/Windows Components/Device Registration

Otra opción es Azure AD ( Microsoft Entra) join. Es unir el dispositivo directamente a Azure, sin pasar por el escenario empresarial del dominio on-premise. Suele ser utilizaro para empresas pure-cloud. Si, que no tienen On premise...

La tercera opción es tener el dispositivo Registered. Usado para escenarios en los que queremos controlar el dispositivo, pero quizás es del empleado ( BYOD)

En las dos opciones tipo join, es importante conocer el detalle de como se produce la autenticación y el proceso de registro a nivel de seguridad. Como se generan certificados que permitan la "confianza" entre entornos, y como se generan claves o tokens para ser usados en la auth.
Estos procesos son los que posteriormente intentaremos explotar cuando encontramos estos dispositivos, como es el caso de robar un PRT ( Primary Refresh Token) de un equipo joined y como transformarlo en un Access token que podamos usar en otro equipo... Estas cosas son las que vemos en profundidad en el curso... Seguimos...

Registered
Registered


Joined

Hybrid Joined


Ahora vamos con la configuración que queremos tratar en este post. esto era una pequeña introducción. Queremos comprobar aquí, como dejamos que nuestros usuarios registren dispositivos. Imagina un escenario en el que alguien compromete una cuenta, y envía correos desde fuera de la organización. Puede que exista un MFA para el uso de Outlook "fuera" de la empresa. Este usuario puede registrar en Azure ( gracias a las credenciales que tiene de Office... son las mismas !!! ) su equipo de trabajo y así trabajar desde un dispositivo joined, que quizás tenga una configuración más relajada para el MFA ( o más bien vamos a empezar a hablar bien, Acceso Condicional. Entiendes el "pollo" ?


Podemos ver la opción de unir o registrar. Como indica al tip, no implica a procesos automáticos como GPO y autopilot, ya que no trabajan con el contexto de usuario.
El siguiente setting, por supuesto, si permites unir dominios, habilitar el MFA para este tarea. 

Ten en cuenta otra cosa, estas configuraciones son independientes a que uses Intune o no.




Lo has revisado? qué configuración tenías? Ánimate y sigue la serie. Este consejo es muy sencillo, pero iremos avanzando con otros quickwins más interesantes.

Y en paralelo, ya sabes que tenemos dos cursos relacionados con Azure en la academia. Uno grabado, donde tu puedes hacerlo a tu aire, y otro Online en donde tienes 3 días en los que obligarte a atender a las clases, aunque en ambos cursos deberás hacer muchas prácticas, yo calculo que unos 10 días a raticos.

El curso "no va de esto", algunas cosas sí. Estos consejos de momento son BÁSICOS, y el curso es de nivel ALTO, tenlo en cuenta.

Como novedad para este año, si haces los ejercicios propuestos para la certificación y son correctos ( se revisan) obtendrás un certificado real, en papel. De esta manera distinguimos entre diploma de asistencia y diploma de certificación.

Como siempre, gracias por leerme !!!