Un nuevo informe sobre cómo proteger sus redes de los ataques puede ser un documento útil que cubre muchas bases diferentes dentro del panorama de la ciberseguridad. El informe, Proactive Preparation and Hardening to Protect Against Destructive Attacks, ha sido redactado por varios analistas de ciberseguridad "basándose en la experiencia de primera línea para ayudar a las organizaciones a prepararse, contener, erradicar y recuperarse de actores e incidentes de amenazas potencialmente destructivas", en palabras de los autores.
Contiene cientos de consejos para proteger los despliegues de Windows, incluyendo cadenas de línea de comandos, ajustando varios parámetros de políticas de grupo, y otros consejos muy prácticos que podrían indicar sistemas potencialmente comprometidos.
Si bien la lectura del informe es aleccionadora por su enorme visión, esa misma visión es también tremendamente útil y puede servir como modelo de cómo los responsables de TI y de seguridad pueden prepararse para el inevitable ataque, sin importar si su tamaño es el de General Motors o el de la floristería de la esquina. El informe cubre varias áreas específicas que requieren ser reforzadas.
Endurecimiento del Active Directory y copias de seguridad
Las organizaciones deben verificar que las copias de seguridad (se recomiendan las copias de seguridad del estado del sistema, y el informe muestra los comandos para iniciar y verificar dichas copias de seguridad) de los controladores de dominio y los activos críticos estén disponibles y protegidos contra el acceso o la modificación no autorizados. El informe también contiene muchas sugerencias sobre los "indicios" de malware que pueden buscar los gestores de seguridad, como el acceso de usuarios no autorizados a los medios de copia de seguridad o la eliminación de las instantáneas (un hecho común que precede a un ataque de ransomware).
Segmentación de la red
Las organizaciones deben tener una separación física y lógica entre los dominios de TI y los procesos y controles tecnológicos operativos. Esto significa tener bosques AD y segmentos de red separados, junto con los protocolos y puertos IP que podrían salvar la división entre los dos dominios. Un indicio común de compromiso potencial es cuando se intenta un inicio de sesión fallido a través de los dominios, por lo que un atacante está tratando de reutilizar las credenciales para moverse por su infraestructura.
Desactivar el acceso administrativo siempre que sea posible
Auditar y limitar este acceso es otro mecanismo de seguridad, ya que muchas organizaciones han creado demasiadas cuentas con una amplia colección de permisos. El informe sugiere utilizar modificaciones en las claves del registro, detener ciertas cuentas de servicio (o utilizar políticas de grupo para tener esto bajo control), y proporciona los comandos necesarios para rastrear y bloquear estas cuentas, junto con la detección y prevención de los abusos de otras cuentas privilegiadas.
Endurecimiento del RDP
Como escribimos a principios de este año, el Protocolo de Escritorio Remoto (RDP) puede ser una de las principales vías de entrada de los atacantes a sus redes. Las organizaciones deberían escanear periódicamente sus rangos de direcciones IP públicas para asegurarse de que todos los sistemas no tienen ningún puerto abierto 445 y 3389. El enlace anterior tiene otras sugerencias para bloquear esta vulnerabilidad, y el informe también tiene medidas proactivas adicionales, como el uso de la configuración de autenticación a nivel de red en las políticas de grupo y el uso del modo de administración restringido de RDP.
Le sugerimos que lea el informe completo para explorar toda la colección de consejos e investigaciones que contiene. Sin embargo, antes de que te sientas abrumado, debes tener en cuenta que el informe muestra cómo tienes que hacer estos cambios y buscar posibles sistemas comprometidos de forma regular después de implementar estas actividades de "endurecimiento".
Muchas organizaciones no hacen un seguimiento regular para ver si los cambios en su infraestructura de red o la seguridad de las cuentas de los antiguos empleados se han hecho realmente. Si bien es cierto que es prudente realizar las correcciones iniciales para reforzar sus defensas, estas acciones deben aplicarse de forma regular.