Hola a todos!

Nos hacemos eco de un artículo del blog de seguridad de Microsoft del día 11 de agosto.

Aquí, en Microsoft Compromise Recovery Security Practice (CRSP), trabajamos con clientes que han experimentado incidentes de seguridad disruptivos para restaurar la confianza en los sistemas de identidad y eliminar el control de los adversarios. Durante 2020, el equipo respondió a muchos incidentes relacionados con ransomware y la implementación de herramientas de criptominería. El ransomware es una amenaza creciente para las organizaciones y los usuarios domésticos, ya que es un modelo comercial de bajo costo y alto rendimiento. Estos ataques no son complejos, se basan en herramientas y vulnerabilidades de software que existen desde hace muchos años y aún no se han solucionado. Todavía se buscan por una razón simple: todavía funcionan.

En esta publicación, esperamos compartir con usted las formas más prácticas y rentables de no necesitar nunca nuestros servicios.

Actualice y mantenga su seguridad básica:

Hay una vieja historia sobre dos excursionistas en el desierto que ven un oso que se les acerca. Uno busca sus zapatos para correr y su amigo dice: «nunca superarás a un oso». El primer excursionista responde: «No tengo que hacerlo, solo necesito dejarte atrás».

El tema detrás de esta historia hace eco en el panorama actual de amenazas a la ciberseguridad. Las noticias están llenas de historias de ciberataques, la mayoría de los cuales se describen como “extremadamente sofisticados”. Sin embargo, la verdad es que la mayor parte de los incidentes cibernéticos no son particularmente sofisticados. La mayoría de los atacantes no son estados-nación bien financiados; son solo criminales que intentan hacer algo de dinero. La ganancia financiera directa es un motivador clave detrás de los ataques cibernéticos en 2020. Esto es particularmente cierto cuando las víctimas son pequeñas y medianas empresas y sectores sin fines de lucro, como escuelas y organizaciones benéficas. Una manera fácil de mejorar su postura de seguridad es con parches rápidos y eficientes.

A principios de 2020, una organización del sector público en Australia contrató al Equipo de Detección y Respuesta de Microsoft (DART) para investigar un ataque cibernético. La investigación de DART determinó que un atacante se originaba desde una dirección IP extranjera. La investigación de Respuesta a incidentes (IR) descubrió que el adversario comenzó su ataque escaneando la infraestructura orientada a Internet en busca de puertos expuestos para atacar. En este caso, se abrió una conexión de escritorio remoto directamente a Internet para permitir que un proveedor de software brindara soporte. Rápidamente se forzó una contraseña administrativa débil. Con acceso administrativo al servidor expuesto, realizaron un reconocimiento de red razonablemente ruidoso, utilizando herramientas de piratería comúnmente disponibles. Los atacantes se movieron rápidamente lateralmente a través de la red, llegando a los controladores de dominio.

Luego de la investigación de DART, el equipo de CRSP trabajó para recuperar el entorno mediante el restablecimiento de la confianza en los sistemas de identidad, el fortalecimiento de las defensas y la eliminación del control del adversario. Aunque de alto perfil y con buenos recursos, la organización del sector público era una organización pequeña de alrededor de 500 empleados y lamentablemente se había quedado atrás en las medidas de seguridad en los últimos años.

Desde el ataque inicial de fuerza bruta, el atacante logró dominar el dominio en cuestión de horas. En este ataque, el adversario mostró su motivación financiera al implementar herramientas de criptominería en todos los servidores y estaciones de trabajo. Como sucedió el fin de semana, el ataque pasó desapercibido durante un período.

No hubo indicios de que el ataque estuviera dirigido específicamente a la organización, las motivaciones del atacante parecían ser puramente financieras. La criptominería es una carga útil de bajo riesgo y bajo rendimiento, no requiere una elección explícita por parte de la víctima para pagarlos. Las recompensas son menores pero son instantáneas, perfectas para ataques de alto volumen y bajo valor.

Las lecciones de este incidente son: si puede hacerlo más difícil que el promedio, los atacantes poco hábiles a menudo se dan por vencidos rápidamente y pasan al siguiente objetivo. Básicamente, dejar atrás a tu amigo, no al oso. Centrarse en arreglar lo básico contribuirá en gran medida a proteger a la mayoría de las pequeñas y medianas empresas. A continuación se presentan siete áreas (totalmente no exhaustivas) que pueden convertirlo rápidamente en un objetivo más difícil de alcanzar, y son todas las cosas que implementamos cuando interactuamos con los clientes en proyectos reactivos.

  1. Parche todo, más rápido:

Apuntar a una cobertura completa de parches dentro de las 48 horas mejorará notablemente su postura de seguridad. Aplique parches a sus servidores tan pronto como pueda, centrándose en los sistemas de nivel 0, como los controladores de dominio y Microsoft Azure Active Directory Connect.

La aplicación de parches es igualmente importante, en particular las aplicaciones de productividad empresarial, como clientes de correo electrónico, clientes VPN y navegadores web. Habilite la actualización automática de sus navegadores web, ya sea Edge, Chrome, Firefox u otros. Los navegadores desactualizados exponen los datos del usuario y el dispositivo a riesgos. El uso de la nube y Windows Update for Business puede ayudar a automatizar la aplicación de parches y eliminar algunas de las cargas de mantenimiento cuando la fuerza laboral de su organización está distribuida, especialmente con una fuerza laboral distribuida al estilo pandémico.

Como parte de una Recuperación comprometida, trabajamos para asegurarnos de que nuestros clientes puedan parchear sus activos más importantes en cuestión de horas, lo que generalmente incluye la implementación de procesos rápidos de aprobación de parches y ciclos de prueba para cargas de trabajo críticas. Vemos un gran beneficio en mantener sus sistemas de parches separados para sus cargas de trabajo clave, como implementar una herramienta de administración de actualizaciones dedicada solo para controladores de dominio.

  1. Proteja activamente sus dispositivos:

Un dispositivo Windows actualizado y bien configurado que ejecute Microsoft Defender para Endpoint u otra solución de detección y respuesta extendida (XDR) debería ser su primera línea de defensa. Junto con un sistema de gestión de eventos de incidentes de seguridad (SIEM) para sus sistemas comerciales clave y críticos, esto le ayudará a tener visibilidad sobre sus activos importantes. Asegúrese de que las personas vean las alertas y realicen un seguimiento de las actividades.

Después de haber pasado tiempo con nuestros clientes, nos gusta asegurarnos de que todo lo que sucede dentro de sus importantes sistemas comerciales esté bien monitoreado y administrado. Ser capaz de reaccionar ante cualquier cosa que pueda ocurrir en este entorno es vital para mantener la seguridad continua en un entorno.

  1. Reduzca su exposición:

Abrir cualquier servicio a Internet conlleva riesgos inherentes. Un riesgo es que cualquier cosa conectada a Internet se escanee de forma rutinaria y regular. Como vimos con el reciente exploit HAFNIUM, cualquier cosa que se considere vulnerable será potencialmente explotada a los pocos minutos de estar en línea.

Además, hay recursos disponibles públicamente de servicios disponibles en línea. Estos resultados no solo son de interés para los piratas informáticos que buscan explotar los recursos, sino que también pueden ser útiles para aquellos que buscan mejorar su postura de seguridad.

Un firewall que restrinja el acceso a direcciones de origen definidas mitigará un poco el riesgo, al igual que colocarlas detrás de una conexión VPN, especialmente una que requiera autenticación de dos factores.

Si sus servidores están en Azure u otra nube, use un grupo de seguridad de red para restringir el acceso a direcciones IP específicas, o mejor aún, use el acceso justo a tiempo y Microsoft Azure Bastion.

En el ejemplo de nuestro cliente, el protocolo de escritorio remoto se expuso directamente a Internet, sin controles de mitigación.

Trabajamos con nuestros clientes para justificar y reducir la exposición de cualquier servicio relacionado con Internet dentro de un entorno. Trabajamos junto con las prácticas administrativas para asegurarnos de que los administradores puedan mantener completamente un sistema pero haciéndolo de una manera más segura.

  1. Reduzca su privilegio:

La mayoría de los ataques dependen de que el atacante obtenga acceso administrativo. Si podemos limitar la exposición, recorreremos un largo camino para bloquear muchos ataques. Tener una contraseña de administrador local común hace que el movimiento lateral y la elevación de privilegios sean una tarea trivial para los atacantes.

Solución de contraseña de administrador local (LAPS), que administra las cuentas de administración local en los sistemas, ha estado disponible durante casi seis años y es gratuita. No obstante, en muchos compromisos, vemos que no se ha implementado. Despliéguelo en su red hoy.

En nuestro ejemplo del sector público, el atacante pudo extraer credenciales altamente privilegiadas de un servidor de aplicaciones. La implementación de la gestión de privilegios y las soluciones de administración justo a tiempo agregan un gran valor, pero pueden ser complejas y llevar tiempo. Se pueden obtener ganancias rápidas observando la membresía de sus grupos de seguridad críticos, como administradores de dominio y de empresa, y reduciéndolos a solo aquellos que realmente lo necesitan. En todos los entornos, excepto en los más grandes, debería poder contar la cantidad de administradores de dominio con los dedos de una mano.

El uso de una estación de trabajo de administrador dedicada para tareas de alto valor reduce el riesgo de que se roben las credenciales de administrador. Incluso las personas más cuidadosas a veces hacen clic en el enlace equivocado. No es una buena idea usar su cuenta de administrador en la misma PC que lee correos electrónicos o navega por la web debido a los riesgos que presenta para su privilegio.

Use cuentas de servicio administradas con contraseñas rotativas automáticamente, si un proveedor de aplicaciones le dice que su cuenta de servicio debe ser un administrador, es hora de retroceder con fuerza.

Lea más sobre nuestra guía sobre cómo asegurar el acceso privilegiado.

Tener dispositivos reforzados dedicados solo para administradores es una forma excelente y rentable de aumentar tácticamente su seguridad. Tener una máquina independiente sin correo electrónico o navegación web aumenta en gran medida las dificultades que enfrentan los atacantes.

Para nuestro cliente del sector público, los límites al uso de privilegios habrían hecho mucho más difícil para el atacante moverse desde la cabeza de playa inicial en el servidor expuesto al resto del entorno.

  1. Utilice el poder de la nube:

Considere qué servicios aún necesita para ejecutar en las instalaciones. Si no tienes una necesidad muy explícita de hacerlo tú mismo, deja que otro lo haga. El modelo de responsabilidad compartida en la nube le brinda la oportunidad de reducir su exposición y delegar la seguridad de la plataforma a un proveedor de la nube. La nube puede escalar automáticamente donde la TI tradicional no puede, y lo mismo debería decirse de los servicios de seguridad en la nube.

Mire lo que está ejecutando y reemplácelo con aplicaciones de plataforma como servicio (PaaS) o software como servicio (SaaS) donde pueda.

Como ejemplo, los servidores de Exchange locales son un gran producto, pero requieren mantenimiento, aplicación de parches y configuración. La migración de buzones de correo a Exchange Online elimina mucho trabajo y reduce la superficie de ataque al bloquear la mayoría de los enlaces maliciosos y de suplantación de identidad antes de que lleguen a los buzones de correo.

Ejecutar un servidor web seguro en su entorno puede ser difícil si puede, a largo plazo, migrar a una solución basada en la nube en Azure u otra nube. Esto no habría sido relevante en este caso, pero es un vector de ataque común.

Utilice herramientas de seguridad modernas basadas en la nube, como Azure Security Center y Azure Defender. Incluso si sus servidores residen en las instalaciones o en otra nube, aún pueden configurarse para informar al Centro de seguridad y brindarle una imagen de su postura de seguridad. El uso de un sistema SIEM como Microsoft Azure Sentinel puede brindar una mayor visibilidad de posibles ataques.

Si nuestro cliente atacado hubiera estado usando soluciones de seguridad en la nube, habría visto cómo se producía el ataque.

  1. Pague su deuda técnica:

La ejecución de sistemas operativos heredados aumenta su vulnerabilidad a los ataques que aprovechan las vulnerabilidades de larga data. Siempre que sea posible, busque retirar o actualizar los sistemas operativos Windows heredados. Los protocolos heredados pueden aumentar el riesgo. Las tecnologías de uso compartido de archivos más antiguas son un vector de ataque bien conocido para el ransomware, pero todavía se usan en muchos entornos.

En este incidente, hubo muchos sistemas, incluidos los controladores de dominio, que no se habían reparado recientemente. Esto ayudó mucho al atacante en su movimiento a través del entorno. Como parte de ayudar a los clientes, analizamos los sistemas más importantes y nos aseguramos de ejecutar los protocolos más actualizados que podamos para mejorar aún más el entorno.

  1. Mire sus registros y actúe sobre las alertas:

Como dice el dicho, “recolectar no es detectar”. En muchos enfrentamientos, las acciones del atacante son claras y obvias en los registros de eventos. El problema común es que nadie los mira día a día o entiende cómo es la normalidad. Los cambios inexplicables en los registros de eventos, como la eliminación o los cambios de retención, deben considerarse sospechosos e investigarse.

En este incidente, las acciones del atacante podrían rastrearse fácilmente a través de registros posteriores al hecho. Un sistema SIEM, que coteja registros de muchas fuentes, era tradicionalmente una gran inversión y estaba fuera del alcance de todas las empresas excepto las grandes. Con Azure Sentinel, ahora está al alcance de todos, sin requisitos de infraestructura local y sin inversión inicial. Simplemente implemente agentes en sus sistemas (no importa si son locales, Azure u otra nube).

Aprende más:

No existe una solución tecnológica mágica que lo convierta en un objetivo más difícil de alcanzar. Los equipos de Microsoft DART y CSRP son una gran multitud de personas, amables y serviciales, pero realmente no es necesario que nos conozca.

Un actor de amenazas decidido y con buenos recursos, con el tiempo, violará las mejores defensas cibernéticas. En resumen, no es posible dejar atrás al oso, pero dar los primeros pasos para convertirte en un objetivo más difícil hará que sea mucho más probable que los atacantes pasen a objetivos más fáciles.

Para obtener más información sobre las soluciones de seguridad de Microsoft, visite nuestro sitio web. Marque el blog de seguridad para mantenerse al día con nuestra cobertura de expertos en asuntos de seguridad. Además, síganos en @MSFTSecurity para conocer las últimas noticias y actualizaciones sobre ciberseguridad.

Por jioller

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *