Ciberseguridad
Microsoft

10 tareas para una revisión a mitad de año de la seguridad de la red de Microsoft

¿Están tus configuraciones, políticas y procesos al día con el cambiante panorama de las amenazas? Revisa tu red para asegurarte.

seguridad

Estamos a mediados de 2022 y es un momento perfecto para revisar los planes, los objetivos y los riesgos de tu red, sobre todo teniendo en cuenta el cambiante panorama de las amenazas. El ransomware, por ejemplo, se ha convertido en un objetivo más humano. Los operadores de ransomware buscan ahora métodos y pagos adicionales, además de utilizar la extorsión. Los puntos de entrada del ransomware van desde el correo electrónico, los señuelos de phishing y las vulnerabilidades sin parches, hasta los ataques más selectivos.

Teniendo esto en cuenta, éstas son las diez tareas que debes realizar para una revisión de seguridad de mitad de año:

 

1. Revisar las políticas de acceso y credenciales de terceros

Los atacantes buscarán el acceso al Protocolo de Escritorio Remoto (RDP) y utilizarán ataques de fuerza bruta como el relleno de credenciales. Saben que la gente tiende a reutilizar las credenciales que los atacantes obtienen de las bases de datos robadas para intentar obtener acceso a tu red.

Busco formas de manejar mejor las credenciales u otras aprobaciones de acceso para los consultores externos, ya que me preocupan más sus procesos y procedimientos de seguridad. Cuando trates con consultores externos, escribe en tus contratos la protección de seguridad que quieres que utilicen. Ya sea incluyéndolos en tus planes de autenticación de múltiples factores (MFA) o, como mínimo, abriendo las reglas de acceso y cortafuegos para restringir el acceso a redes específicas, debes tener un procedimiento que incluyas en tus acuerdos de nivel de servicio y contratos cómo los consultores manejan el acceso y las credenciales. Las credenciales de los usuarios nunca deben pasar de la empresa al consultor de manera que queden expuestas innecesariamente. El almacenamiento de estas credenciales debe hacerse de forma coherente con las políticas y procedimientos de la empresa contratante. Revisa y audita estos procesos en consecuencia.

 

2. Revisar los resultados de los escaneos de seguridad

Revisa los resultados de los escaneos programados y asegúrate de que se están realizando en activos que realmente muestran el riesgo externo de la empresa. Recientemente, una empresa realizó un escaneo externo de los recursos de mi red. Cuando revisé los resultados del escaneo automatizado, me di cuenta de que habían escaneado una serie de ordenadores que no reflejaban el borde externo de mi red. El informe, aunque interesante, no era una verdadera evaluación del riesgo externo de mi red. Por lo tanto, al contratar cualquier empresa de pen-testing o de escaneo externo, asegúrate de que la revisión y los resultados que te proporcionen reflejen el borde real de tu red. Los escaneos automáticos no tienen ningún valor si no te proporcionan información procesable.

 

3. Revisar los recursos y permisos de la nube

Si vas a trasladar los activos informáticos a la nube, no te limites a crear una réplica de lo que tienes en las instalaciones. Revisa cómo están configurados los recursos, qué permisos se han establecido y quién debe tener derechos sobre qué activos. A continuación, vuelve a tus despliegues locales y revisa qué líneas básicas de seguridad o directrices del NIST pueden proporcionar un endurecimiento adicional para tu red interna.

 

4. Desplegar las reglas de reducción de la superficie de ataque

Si no has desplegado reglas de reducción de la superficie de ataque en tus estaciones de trabajo y servidores para ayudar a bloquear la actividad sospechosa, haz de esto tu objetivo para la segunda mitad de 2022. Es posible que tengas que probar y revisar el impacto, pero empieza con este primer conjunto de reglas y habilita todas las que pueda:

  • Bloquea todas las aplicaciones de Office para que no creen procesos hijos.
  • Bloquea el contenido ejecutable del cliente de correo electrónico y del correo web.
  • Bloquea la ejecución de archivos a menos que cumplan un criterio de prevalencia, antigüedad o lista de confianza.
  • Bloquea la ejecución de scripts potencialmente ofuscados.
  • Bloquea la ejecución de contenidos descargados a través de JavaScript o VBScript.
  • Bloquea la creación de contenido ejecutable por parte de las aplicaciones de Office.
  • Bloquea que las aplicaciones de Office inyecten código en otros procesos.
  • Bloquea la aplicación de comunicación de Office para que no cree procesos hijos.
  • Bloquea los procesos no fiables y no firmados que se ejecutan desde el USB.
  • Bloquea la persistencia a través de la suscripción a eventos WMI (Persistencia).
  • Bloquea el robo de credenciales desde el subsistema de autoridad de seguridad local de Windows (lsass.exe) (Escalada de privilegios).
  • Bloquea la creación de procesos originados por comandos PSExec y WMI (Movimiento lateral).

 

5. Revisa la configuración y las políticas de seguridad de la red

Revisa cómo está configurada tu red. Durante demasiado tiempo hemos configurado las redes con permisos menos restrictivos e incluso hasta el punto de desactivar los firewalls dentro de la red. Revisa cómo configuras las estaciones de trabajo y pasa a que los firewalls de las estaciones de trabajo estén configurados con protocolos específicos.

Revisa la seguridad de las contraseñas y las políticas y considera la posibilidad de añadir Azure AD Identity Protection a su Directorio Activo existente para identificar mejor las contraseñas débiles en su red. Asegúrese de revisar las opciones de MFA con Windows Hello u otras soluciones MFA de terceros.

 

6. Revisa los procesos de despliegue de estaciones de trabajo

Revisa tu proceso de despliegue e instalación de estaciones de trabajo y asegúrate de no utilizar las mismas contraseñas administrativas locales al desplegar las estaciones de trabajo. Revisa tus opciones para gestionar las soluciones de contraseñas de administrador local que aleatorizan y cifran la contraseña de administrador local.

 

7. Revisa las políticas de copia de seguridad

Revisa los procesos que utilizas para realizar copias de seguridad y proteger los archivos importantes. Revisa los procesos de copia de seguridad para tener varias copias de seguridad, dos en diferentes tipos de almacenamiento, y al menos una copia de seguridad fuera del sitio, y considera el uso de almacenamiento en la nube de OneDrive para una copia de seguridad adicional para proteger tus archivos.

 

8. Utiliza el filtrado del correo electrónico

Utiliza el filtrado y el escaneo del correo electrónico para asegurarte de que tu correo electrónico es revisado antes de entrar en tus estaciones de trabajo. Los enlaces incluidos en el correo electrónico deben ser escaneados al hacer clic y deben ser eliminados de tus bandejas de entrada en caso de que esos enlaces sean posteriormente maliciosos.

 

9. Revisa la política de parches

A la hora de gestionar los parches, revisa los problemas que has tenido históricamente en tu red. Si tus dispositivos de borde no han tenido problemas con la aplicación de parches, es posible que desees racionalizar y programar tus actualizaciones para los dispositivos de borde más rápido que los dispositivos que han tenido problemas con la actualización. Revisa qué efectos secundarios has tenido y qué medidas de mitigación has tenido que tomar para recuperarte de cualquier problema. Revisa si hay software alternativo u otras soluciones que se puedan implementar para minimizar los efectos secundarios de los parches.

 

10. Revisa las capacidades de detección de ransomware de las soluciones antivirus y de protección del endpoint

Asegúrate de que tu solución antivirus y de detección de endopints pueda identificar los síntomas típicos de un ataque de ransomware. Desde situaciones en las que las copias de seguridad de los archivos se borran repentinamente, hasta la actividad de Cobalt Strike en tu red, u otras actividades sospechosas, tus soluciones deben alertarte de cuándo los atacantes están empezando a preparar los elementos para el ransomware.



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper