Acompáñanos en este artículo para descubrir las diez principales estrategias de mitigación de la ciberseguridad de la NSA.
Las diez principales estrategias de mitigación de la ciberseguridad de la NSA contrarrestan una amplia gama de técnicas de explotación utilizadas por los actores de amenazas persistentes avanzadas (APT).
Estas mitigaciones establecen prioridades para que las organizaciones empresariales minimicen el impacto de la misión.
Las mitigaciones también se basan en las funciones del Marco de Ciberseguridad del NIST para gestionar el riesgo de ciberseguridad y promover una postura de seguridad de defensa en profundidad.
Las estrategias de mitigación se clasifican según su eficacia frente a las tácticas APT conocidas.
Se necesitarán estrategias y mejores prácticas adicionales para mitigar la aparición de nuevas tácticas.Las funciones de ciberseguridad del NIST relacionadas están codificadas como:
- Identificar.
- Proteger.
- Detectar.
- Responder.
- Recuperar.
Actualice y actualice el software inmediatamente:
Aplique todas las actualizaciones de software disponibles, automatice el proceso en la medida de lo posible y utilice un servicio de actualización proporcionado directamente por el proveedor.
La automatización es necesaria porque los actores de amenazas estudian parches y crean exploits, a menudo poco después del lanzamiento de un parche.
Estos exploits de “día N” pueden ser tan dañinos como los de día cero. Las actualizaciones de los proveedores también deben ser auténticas; Las actualizaciones generalmente se firman y entregan a través de enlaces protegidos para garantizar la integridad del contenido.
Sin una aplicación de parches rápida y exhaustiva, los actores de amenazas pueden operar dentro del ciclo de parches de un defensor.
Defender privilegios y cuentas:
Asignar privilegios en función de la exposición al riesgo y según sea necesario para mantener las operaciones.
Utilice una solución de gestión de acceso privilegiado (PAM) para automatizar la gestión de credenciales y el control de acceso detallado.
Otra forma de gestionar los privilegios es mediante el acceso administrativo por niveles, en el que cada nivel superior proporciona acceso adicional, pero está limitado a menos personal.
Cree procedimientos para restablecer de forma segura las credenciales (por ejemplo, contraseñas, tokens, tickets).
Las cuentas y servicios privilegiados deben controlarse porque los actores de amenazas continúan apuntando a las credenciales de administrador para acceder a activos de alto valor y moverse lateralmente a través de la red.
Hacer cumplir las políticas de ejecución de software firmadas:
Utilice un sistema operativo moderno que aplique políticas de ejecución de software firmadas para scripts, ejecutables, controladores de dispositivos y firmware del sistema.
Mantenga una lista de certificados confiables para prevenir y detectar el uso y la inyección de ejecutables ilegítimos.
Las políticas de ejecución, cuando se utilizan junto con una capacidad de arranque seguro, pueden garantizar la integridad del sistema.
La lista blanca de aplicaciones se debe utilizar con políticas de ejecución de software firmadas para proporcionar un mayor control.
Permitir software sin firmar permite a los actores de amenazas ganar terreno y establecer persistencia a través de código malicioso integrado.
Ejercer un plan de recuperación del sistema:
Cree, revise y ejerza un plan de recuperación del sistema para garantizar la restauración de datos como parte de una estrategia integral de recuperación ante desastres.
El plan debe proteger datos, configuraciones y registros críticos para garantizar la continuidad de las operaciones debido a eventos inesperados.
Para obtener protección adicional, las copias de seguridad deben cifrarse, almacenarse fuera del sitio, fuera de línea cuando sea posible, y admitir la recuperación y reconstitución completa de sistemas y dispositivos.
Realizar pruebas periódicas y evaluar el plan de respaldo.
Actualice el plan según sea necesario para adaptarse al entorno de red en constante cambio.
Un plan de recuperación es una mitigación necesaria para los desastres naturales, así como para las amenazas maliciosas, incluido el ransomware.
Gestionar activamente sistemas y configuraciones:
Realice un inventario de los dispositivos y software de red.
Elimine hardware y software no deseado, innecesario o inesperado de la red.
Comenzar desde una línea de base conocida reduce la superficie de ataque y establece el control del entorno operativo.
A partir de entonces, administre activamente dispositivos, aplicaciones, sistemas operativos y configuraciones de seguridad.
La gestión empresarial activa garantiza que los sistemas puedan adaptarse a entornos de amenazas dinámicos mientras se escalan y optimizan.
Búsqueda continua de intrusiones en la red:
Tome medidas proactivas para detectar, contener y eliminar cualquier presencia maliciosa dentro de la red.
Las organizaciones empresariales deben asumir que se ha producido un compromiso y utilizar equipos dedicados para buscar, contener y eliminar continuamente los actores de amenazas dentro de la red.
Los mecanismos de detección pasiva, como registros, productos de gestión de eventos e información de seguridad (SIEM), soluciones de respuesta y detección de puntos finales (EDR) y otras capacidades de análisis de datos, son herramientas invaluables para encontrar comportamientos maliciosos o anómalos.
Las actividades activas también deben incluir operaciones de caza y pruebas de penetración utilizando procedimientos de respuesta a incidentes bien documentados para abordar cualquier brecha de seguridad descubierta.
El establecimiento de medidas proactivas hará que la organización vaya más allá de los métodos de detección básicos, permitiendo la detección y remediación de amenazas en tiempo real mediante una estrategia de mitigación y monitoreo continuo.
Aproveche las funciones de seguridad del hardware moderno:
Utilice funciones de seguridad de hardware como el arranque seguro de la interfaz de firmware extensible unificada (UEFI), el módulo de plataforma segura (TPM) y la virtualización de hardware.
Programe dispositivos más antiguos para una actualización de hardware.
Las funciones de hardware modernas aumentan la integridad del proceso de arranque, proporcionan certificación del sistema y funciones de soporte para la contención de aplicaciones de alto riesgo.
El uso de un sistema operativo moderno en hardware obsoleto da como resultado una capacidad reducida para proteger el sistema, los datos críticos y las credenciales de los usuarios de los actores de amenazas.
Segmentar redes e implementar defensas basadas en aplicaciones:
Segmentar redes y servicios críticos. Implemente defensas de red conscientes de las aplicaciones para bloquear el tráfico formado incorrectamente y restringir el contenido, de acuerdo con la política y las autorizaciones legales.
La detección de intrusiones tradicional basada en firmas conocidas como incorrectas está perdiendo eficacia rápidamente debido a las técnicas de cifrado y ofuscación.
Los actores de amenazas ocultan acciones maliciosas y eliminan datos a través de protocolos comunes, lo que hace que la necesidad de mecanismos defensivos sofisticados y conscientes de las aplicaciones sea fundamental para las defensas de las redes modernas operaciones administrativas.
Integrar servicios de reputación de amenazas:
Aproveche los servicios de reputación de amenazas de múltiples fuentes para archivos, DNS, URL, IP y direcciones de correo electrónico.
Los servicios de reputación ayudan en la detección y prevención de eventos maliciosos y permiten respuestas globales rápidas a las amenazas, una reducción de la exposición a amenazas conocidas y brindan acceso a un análisis de amenazas y una capacidad de información mucho más amplios que los que una organización puede brindar por sí sola.
Las amenazas emergentes, ya sean campañas dirigidas o globales, ocurren más rápido de lo que la mayoría de las organizaciones pueden manejar, lo que resulta en una cobertura deficiente de las nuevas amenazas.
Los servicios de intercambio de información y reputación de múltiples fuentes pueden proporcionar una postura de seguridad más oportuna y efectiva contra los actores de amenazas dinámicas.
Transición a la autenticación multifactor:
Priorice la protección de cuentas con privilegios elevados, acceso remoto y/o utilizadas en activos de alto valor.
Se deben utilizar sistemas de autenticación basados en tokens físicos para complementar factores basados en el conocimiento, como contraseñas y PIN.
Las organizaciones deben alejarse de la autenticación de factor único, como los sistemas basados en contraseñas, que están sujetos a malas elecciones de los usuarios y susceptibles al robo, falsificación y reutilización de credenciales en múltiples sistemas.
Espero que sea útil.
Un saludo