Tres protecciones a nivel de autenticación para usuarios y dispositivos remotos
El filtrado de salida, las reglas de acceso condicional y las herramientas gratuitas de los gobiernos pueden ayudar a identificar actividades sospechosas y proteger las credenciales.
¿Las técnicas tradicionales de protección siguen funcionando en la era del trabajo desde casa? Sí, pero hay que utilizar reglas y productos diferentes. Las redes tradicionales se han configurado de la misma manera: un dominio tradicional de Active Directory, una variedad de controladores de dominio, estaciones de trabajo bajo el control de ese dominio, y todo escondido detrás de un cortafuegos.
Antes de la pandemia teníamos portátiles o usuarios itinerantes que nos daban los dolores de cabeza de los perfiles de usuario y las políticas de grupo dirigidas a los que se quedaban en la red frente a los que vagaban por nuestros dominios. La pandemia golpeó y nuestras estaciones de trabajo están ahora en cualquier lugar y en todas partes. En lugar de un dominio bastante agradable y ordenado escondido detrás de una serie de cortafuegos y defensas, ahora está conectado a la misma red que los dispositivos de Alexa. La respuesta suele ser lanzar motores de escaneo y productos antivirus en las estaciones de trabajo, pero todo lo que hace es retrasar los tiempos de arranque y el inicio de sesión en la red.
Tener desplegadas múltiples herramientas de escaneo no es la respuesta. Hay que pasar a otros métodos de protección. En lugar de desplegar recursos de protección a nivel de estación de trabajo, es necesario revisar qué protecciones tiene a nivel de autenticación. Como señaló Microsoft en una reciente publicación de su blog, los CISO están buscando centrarse en la protección contra el ransomware, ya que lo ven como un claro riesgo para sus redes.
Filtrado de salida
Empecemos por uno de los fundamentos de la red de siempre: el filtrado de salida. FireEye informa de que el tiempo medio de permanencia de un atacante en su red antes de lanzar un ataque de ransomware es de 72,75 días. Por lo tanto, tienes dos meses para analizar el tráfico de la red y encontrar a un atacante al acecho.
Una de las primeras herramientas de su arsenal es revisar el tráfico saliente de las estaciones de trabajo y los servidores bajo su control. Determina si puede desactivar los protocolos de intercambio de archivos más antiguos que permiten a los atacantes campar a sus anchas por la red. Revisa el tráfico que sale de los servidores sensibles con jugosas bases de datos.
El filtrado de salida no es una técnica nueva, pero a menudo se pasa por alto. Para estos sistemas sensibles, limita los sistemas de salida sólo a aquellos puertos y protocolos que permitan manejar las necesidades de la red. Configura conjuntos de reglas de cortafuegos para que el Protocolo de Escritorio Remoto (RDP) sólo se permita a determinadas estaciones de trabajo administrativas cuando pueda. Los ataques de ransomware a menudo comienzan con una apertura de escritorio remoto y una contraseña recopilada. Analiza tu red en busca de aperturas de escritorio remoto antes de que los atacantes las encuentren.
Utilice las herramientas de seguridad proporcionadas por el gobierno
Los gobiernos también han aumentado los recursos para ayudarnos a protegernos contra las amenazas. El Centro Nacional de Ciberseguridad del Reino Unido (NCSC) ha publicado una serie de secuencias de comandos NMAP Scripting Engine diseñadas para ayudar a los propietarios y administradores de sistemas a encontrar sistemas con vulnerabilidades. Utilízalos junto con la lista de Catálogo de Vulnerabilidades Conocidas Explotadas de la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA) para orientar tus protecciones en consecuencia. En mi propia red, los intentos de phishing todavía pueden colarse en la red a pesar de las herramientas que he habilitado para bloquearlos. A menudo se necesita una persona ligeramente paranoica que no haga clic en algo como única barrera entre mi red y los atacantes.
Utilizar opciones de acceso condicional basadas en la nube
Con un mayor número de estaciones de trabajo que se trasladan a casa o a conexiones remotas, limitar el acceso a los servicios sólo a través de la dirección IP puede no ser factible. Los servicios en la nube ofrecen tecnologías que suelen denominarse acceso condicional. Con Azure, el acceso condicional puede añadir reglas basadas en el riesgo a la autenticación que examinan los nombres de usuario y los inicios de sesión para determinados comportamientos. Si sabes que los usuarios de un departamento nunca iniciarán sesión en un servicio utilizando direcciones IP que no sean de un determinado país, puedes establecer reglas de acceso condicional para limitar en consecuencia.
Puedes utilizar Intune para establecer estas políticas basadas en el riesgo para acceder a los recursos de la red. También puedes utilizarlo para controlar el acceso a las aplicaciones locales. Por ejemplo, puedes utilizar las reglas de Intune para establecer un acceso condicional basado en el control de acceso a la red o en el riesgo de los dispositivos, para los PC de Windows, incluidos los equipos de propiedad de la empresa y los de "traiga su propio dispositivo" (BYOD), y para Exchange en las instalaciones. Puede diseñar Intune para que se utilice en escenarios de unión de Azure Active Directory híbrido o en implementaciones de Azure Active Directory en la nube. También puede establecer reglas para permitir el acceso a determinadas aplicaciones.
Ya no son sólo los escritorios de Windows en nuestras redes. Ahora debemos asegurar los dispositivos de Apple, como iPhones y iPads, conectados a nuestras redes. Microsoft está añadiendo funciones de gestión de dispositivos para controlar otros sistemas operativos.
Otro argumento para utilizar reglas de acceso condicional: los atacantes roban credenciales de formas no tradicionales. Un método consiste en inyectar software malicioso en aplicaciones que luego se insertan en otras redes, también conocido como ataque a la cadena de suministro de software. Se centra en las credenciales en lugar de atacar dispositivos específicos.
Crowdstrike detalló una secuencia de ataque que utiliza el salto de credenciales para ocultar el movimiento lateral, el secuestro del servicio principal y de la aplicación de Office 365, la suplantación y la manipulación, el robo de cookies del navegador para eludir la autenticación multifactor, el uso del implante TrailBlazer y la variante Linux del malware GoldMax en los sistemas y, por último, el robo de credenciales mediante Get-ADReplAccount. Crowdstrike descubrió que una cuenta se autenticó en una cuenta de Microsoft 365 desde un servidor en lugar de la estación de trabajo esperada.
