Este artículo forma parte de una serie que pretende mostrar a los profesionales de la ciberseguridad las lecciones aprendidas por las víctimas de ciberataques. Cada lección incluirá recomendaciones sencillas, muchas de las cuales no requieren que las organizaciones adquieran ninguna herramienta.
El mundo de la ciberseguridad es increíblemente dinámico y se desarrolla como un juego de ajedrez gigante en todo el mundo, con movimientos, contraataques y un conjunto de jugadores en constante cambio. Si tienes algún tipo de tecnología de la información en tu organización ¡entonces no tienes más remedio que jugar! Pero el juego no está a tu favor. Tus oponentes operan a todas horas del día, todos los días del año. Pueden estar en cualquier parte del mundo, ocultar sus movimientos y siempre están buscando debilidades en tu defensa e incluso usarán tus propias piezas en tu contra.
Lo que esto significa en el mundo real es que tus capacidades de ciberdefensa también deben operar a todas horas de todos los días. Necesitas encontrar tus propias debilidades y apuntalarlas antes de que un adversario las encuentre. También debes ser consciente de lo que podría hacer un adversario si encuentra una debilidad.
Parchear
Si bien la aplicación de parches en el sistema operativo y las aplicaciones es una preocupación importante y constante, la aplicación de parches en sus sistemas de cara al público es fundamental. Según el Active Adversary Playbook 2021 de Sophos, la explotación de aplicaciones de cara al público es una de las cinco técnicas principales utilizadas para obtener acceso inicial durante una infracción. Los ejemplos recientes de alto perfil incluyen las vulnerabilidades de Microsoft Exchange ProxyLogon (también conocido como Hafnium) y ProxyShell, y una vulnerabilidad de Confluence que se aprovechó una semana después de la divulgación durante el fin de semana festivo del Día del Trabajo de EEUU. Este año también se han aprovechado las soluciones de red privada virtual (VPN) de varios de los principales actores. WordPress, la aplicación detrás de muchos sitios web, es una víctima constante de explotación.
La única solución real es tener un inventario sólido de los sistemas de cara al público, monitorear esos sistemas en busca de revelaciones de vulnerabilidades y parchearlos tan pronto como sea posible. No esperes a noticias de un exploit, o un proveedor para crear una notificación de vulnerabilidad y exposición común (CVE): Microsoft proporcionó parches para Exchange en abril y mayo de 2021 contra ProxyShell, pero no reveló las vulnerabilidades hasta el 13 de julio, lo que hizo que muchos creyeran que los parches no eran importantes.
Panorama de amenazas
Mantenerse al tanto de las últimas tácticas, técnicas y procedimientos de los ciberdelincuentes es una parte importante de la defensa. Conoce a tu enemigo. Si ves una historia sobre las credenciales de 500.000 usuarios de VPN que se filtraron en la web oscura y usas la misma tecnología de VPN, investiga. Si leíste acerca de la explotación de Exchange para la implementación de ransomware y ejecutas un servidor de Exchange, investiga más.
Os recomendamos algunas webs:
https://www.bleepingcomputer.com
https://us-cert.cisa.gov
https://www.osi.es/
https://www.incibe.es/
https://news.sophos.com
https://nakedsecurity.sophos.com
Shadow IT
No es inusual que el lado “empresarial” de una organización no cuente con TI e implemente una solución por su cuenta, conocida como ” Shadow IT”. Es posible que quieran evitar el escrutinio o acelerar un proyecto, o puede ser que el departamento de TI haya dicho “no”, por lo que buscan encontrar otra manera. Aunque la solución Shadow IT no fue aprobada, esto no significa que pueda ignorarse. Asegúrate de que esté completamente en silos o controlalo. Trabajar en estrecha colaboración con la empresa para encontrar soluciones exitosas ayuda a prevenir Shadow IT, pero también necesitas monitorear nuevos sistemas y aplicaciones que podrían dejarte expuesto.
Conciencia situacional constante
Es posible que te sientas muy cómodo con tu postura de seguridad hoy. Pero solo se necesita una cuenta comprometida, un cambio inocente en el firewall o un exploit de día cero para permitir la entrada de un ciberdelincuente. Y aunque el adversario pueda encontrar este acceso durante tu horario comercial, esperará y lo utilizará cuando tu guardia esté baja. Un aviso de seguridad reciente del FBI y CISA advirtió a las organizaciones que los riesgos de ataque son mayores en días festivos y fines de semana, citando como ejemplos las violaciones de alto perfil de Colonial Pipeline, JBS y Kaseya. Como se señaló anteriormente, Confluence fue explotada al comienzo del fin de semana festivo del Día del Trabajo en EEUU.
Recomendamos a las organizaciones que busquen un servicio gestionado capaz de manejar una infracción a las 2 a.m. del sábado de un fin de semana largo. Uno que tenga conciencia de la situación global y pueda traducir eso en mejorar la postura de riesgo de tu organización. Asegúrate de seleccionar un proveedor que pueda tomar medidas, no solo enviar notificaciones, a menos que desees hacer la defensa práctica del teclado (y tengas la experiencia para hacerlo) mientras intentas disfrutar de un tiempo fuera de la oficina
Dejar un comentario