bienvenido a t-cert
Todas las compañías quieren cumplir con las mejores prácticas de seguridad pero, ¿quién decide que es lo mejor? Si algo es bueno para una empresa, ¿lo es para todas? Con demasiada frecuencia no se toma el tiempo suficiente para analizar lo que se protege para asegurar las mejores prácticas. Sin embargo, existen algunas técnicas básicas que se pueden implementar en casi todas las organizaciones. Una suerte de prácticas mínimas.
La autenticación multifactor (MFA) es una protección imprescindible que toda empresa necesita para determinar cómo y dónde implementar. Algunos dicen que una de las mejores situaciones es no usar mensajes de texto u otras técnicas de autenticación basadas en teléfonos que podrían ser pirateadas. Pero, el objetivo no es la perfección. Más bien ser lo suficientemente seguros como para que el atacante pase de largo y vaya a por otra víctima. Los ataques por SMS requieren que el atacante se dirija a la compañía. La suplantación de un número de teléfono específico requiere planificación y tiempo. Para la mayoría de organizaciones, esta focalización no es realista. Cualquier tipo de segundo método de autenticación es una ventaja.
Las vulnerabilidades recientes de Microsoft Exchange demostraron la importancia de priorizar las actualizaciones en una red. Con demasiada frecuencia, se implementan parches de estación de trabajo sobre otros de red porque permiten la recuperación de los problemas del endpoint más rápido que los del servidor. Al evaluar qué parchear, hay que revisar las posibilidades de explotación y dar prioridad a cualquier técnica que esté de cara al público. La puntuación del Common Vulnerability Scoring System (CVSS) ayuda a comprender la gravedad de las vulnerabilidades. Cuanto más alta sea esa puntuación, más remoto puede ser un atacante.
El phishing es una forma clave de los atacantes para acceder a las compañías. Para que tenga éxito, existe un punto de entrada importante: los macros de Office. La mayor parte de su base de usuarios a menudo puede funcionar bien con una versión simplificada de Word o Excel para el uso diarios. Asimismo, hay que revisar las opciones de control PowerShell y otras técnicas de scripting. Hay que configurar una política que permita que solo se ejecuten en la compañía scripts de PowerShell firmados.
Todavía vivimos en un mundo lleno de contraseñas. Con demasiada frecuencia se reutilizan y no se eligen claves seguras. Si la infraestructura básica de Active Directory de una organización impide configurar credenciales seguras, frases de contraseña, datos biométricos o incluso tarjetas inteligentes, se pueden añadir soluciones de dos factores. La administración de contraseñas debe seguir siendo un objetivo clave en las compañías. El robo de éstas supone la vía de entrada para los ciberdelincuentes.
En la era de la nube, no hay que pasar por alto el elemento en que se solía confiar para la seguridad: el firewall. A menudo, puede hacer parte del trabajo pesado al bloquear el tráfico que no debería salir de la red. Idealmente, solo el tráfico conocido y permitido debe tener configuradas reglas de salida. La realidad es que para muchas aplicaciones ejecutar el firewall en modo auditoría permite comprender mejor dónde se dirige el tráfico y después desarrollar las reglas de firewall en consecuencia.
Es necesario registrar y recopilar registros de eventos de servidores clave y estaciones de trabajo que se estime que se incluirían en los ataques dirigidos. Ya se utilice Splunk o los productos Sentinel de Microsoft, hay que instalar el módulo Sysinternals SYSMON. Es una herramienta clave para monitorizar los registros en busca de ataques.
.jpg){kind=small}