14 ene 2022

Ransomware: 15 medidas efectivas

Muchas veces los informáticos somos amigos del "programa X" o del "comando Y" o incluso del "Sistema operativo Z" porque es más seguro... Muchas veces, o casi siempre, somos nosotros mismos nuestros peores enemigos.

Voy a poner un ejemplo, algo con lo que por desgracia siempre tengo en mente, la dieta. Yo creo que todo el mundo sabe qué hacer para mantener un estado de forma saludable, pero siempre buscas "la dieta" el "papelito con las comidas" las "pautas" el "motivador"... si está muy claro, pero en el subconsciente, los que tenemos este problema, siempre buscamos la "pastilla mágica" la solución.

Cuando hablas de Ransomware, ocurre lo mismo. TODOS sabemos qué hay que hacer, pero siempre esperas que tu empresa de confianza, tu producto, tu blog favorito... te de las pautas concretas. Seguro que las sabes.

Para más detalle se puede consultar la "Guía para evitar infecciones de RANSOMWARE" de OWASP [PDF].

Voy a intentar dar unos consejos básicos, muy concretos, y si crees que puedes ayudar a crear una mejor lista, prometo actualizarlo.

  • Backup de los datos en formato 3,2,1. De los datos. Algo que llevamos diciéndolo desde la saciedad, y claro, si lo llevas a cabo te aburre leerlo, pero ¿y la cantidad de gente que no lo hace?
  • Backup de imágenes maestras. Gold Backup. Es importante tener copias de los sistemas críticos independiente de los datos. Por ejemplo, el controlador de dominio, el servidor de aplicaciones, el servidor de base de datos. Luego restauraremos una copia del dominio, de las aplicaciones y de las bases de datos, pero tener una imagen maestra funcional ayuda mucho a la hora de crear un restablecimiento Tier 0. Imagina tus copias de seguridad con Veeam... cada día... con una retención de 1 mes... Y ahora imagina que el malo llevaba en ese sistema 4 meses sin dar la cara...
  • Actualización de software. Es imprescindible tener un plan de actualizaciones. Todos sabemos que muchas veces es inevitable tener servidores antiguos o versiones desactualizadas. TODOS, pero si tiene una justificación, tiene que tener un plan. Por ejemplo, si necesitas un 2008 para lo que sea, fortifícalo al máximo, por ejemplo, establece un firewall de por medio para los publicar solo el servicio necesario, mete unas ACL's fuertes y monitoriza su uso.
  • Segmentación. Qué decir de las VLANs!! Tener segmentada la red, con VLANs o LANs, o DMZ     es básico. Usa ACLs entre VLANs porque mo sirve de nada tener 20 VLANs si puedes "traficar" de una a otra.
  • Evita el RDP expuesto a internet. Evita cualquier servicio que permita conectarse a la organización sin que exista medidas de seguridad básicas como MFA. Si, a todos!!! SSH, VPN, correo, TODO. Es sencillo!!! Los que estamos haciendo auditorias de seguridad lo vemos todos los días. El proceso en el hacking, lo que hacen los malos, es comprometer un sistema y desde ese, moverse por el resto con credenciales. Si para cualquier movimiento te pide MFA, paras casi TODOS los ataques. Hace unos años esto era inviable, pero hoy por hoy, todo el mundo trabaja con un MFA bancario, y si es un requisito, lo es. Además no es caro. Olvida esconder el puerto RDP. Tampoco inventes procesos raros, complejos para el usuario. Quizás tu seas capaz de gestionar un Port Knocking pero tus usuarios no. Usa MFA!
  • Seguridad en el puesto de trabajo. El 90 % de los ataques nos van a venir por el usuario final, por una navegación, por un correo, por una mala praxis. Tenemos que tener equipos fortificados. Por supuesto con un buen antivirus. Esto es como todos, hay buenos y malos, caros y baratos. Por otro lado, si la mayoría de los ataques vienen por el endpoint, el usuario NO debe ser administrador. Esto tiene muchos problemas, no puede instalar lo que quiere, no puede comportarse como quiere... PERFECTO, es lo que tenemos que lograr. Podemos jugar con seguridad de aplicaciones, denegado y autorizando un pool de aplicaciones. Podemos jugar con el VDI y crear escenarios "homogéneos". Según el tamaño y presupuesto de tu organización podrás hacer unas cosas u otras, pero esta línea de trabajo debe estar definida. No digo que de un día para otro le quites el "admin" a tu jefe y 10 directivos, a veces no se puede, pero tenlo en el radar y prepara un plan.
  • Formación al usuario. Al hilo de lo anterior. Si la mayoría de las veces tenemos el susto por aquí, tenemos que formar y entrenar al usuario. No es justo que queramos digitalizar la empresa, queremos que los usuarios trabajen de manera segura, ¿sin formación? Imagina entrar a cualquier empleo y que no te expliquen como funciona la "maquina".
  • Mínimos privilegios. Esta línea de trabajo es otro clásico, pero no lo usamos. ¿Para que tienes que ser administrador del dominio en tu laptop cuando ves páginas de viajes? Es más, ¿para qué tienes que ser administrador del dominio para administrar un SQL Server en un servidor Miembro? Otra, ¿para qué tienes que usar tu usuario administrador del dominio para conectarte por VPN? Es una situación clásica: debes usar un "usuario" y "usuario_admin". Para conectarte desde el hotel con Wifi o con 4G usa el usuario plano por VPN, y luego ya veremos como elevar, pero no expongas usuarios privilegiados a redes no confiables.
  • Crea redes confiables. Hace 10 años Internet no era confiable y la LAN sí. Ahora tienes que trabajar como si tuvieras malos en tu red. Montar un Host Bastion en el que en el caso anterior, conectarte con un usuario básico y elevar de manera segura, bajo unas condiciones, debería ser un paso a tener en cuenta. ¿Un MFA distinto para conectarte a ese Bastion? SI. Usa todo tipo de tecnologías orientadas a la gestión de identidades y accesos, lo que se denomina ZERO TRUST.
  • Relaciones con terceros. ¿Cuántos usuarios tienes para tus partners? ¿Los necesitas 24/7? ¿Deben ser administradores del dominio? Todos te lo van a pedir, pero tu es postura hacerles firmar que en caso de verse comprometida la red por su culpa, tendrán una penalización fuerte... Ya verás como no la firman y relajan sus necesidades. Tú eres el garante de tu seguridad y ningún externo/colaborador tiene que definir esta estrategia. Si puede, pero que se haga responsable.
  • Documentación. No me refiero a tener la ISO 27001 pasada. Me refiero a tener un DFD, un diagrama de flujo de datos de los principales procesos de la organización. Mantenerlo medianamente actualizado, cada 6 meses. Hacer este ejercicio nos permite detectar fallos en el diseño, y sobre todo, en caso de incidente, nos ayudará mucho a tener claro el entorno, tanto tu equipo, como un equipo DFIR que deba ayudarte. Empieza por hacerlo a lápiz (no inviertas tu vida en softwares complejos) y poco a poco mejora el diagrama, pero empieza YA.
  • Inventario. Lo primero que tenemos que hacer es saber qué tenemos que proteger. Cuando preguntamos a las empresas MUY POCAS tienen un sistema efectivo de inventario. Imagina un momento de crisis buscando direcciones MAC, IPs, nombres de equipo raros, logs de DHCP...
  • Ten un pequeño plan de respuesta. Esto es muy complejo, pero como con otros elementos de la lista, comienza por algo. Por ejemplo:
    • En caso de infección, tienes que ser capaz de "aislar" los elementos. Apagar switches, cortar comunicaciones, apagar Wifi, etc.
    • Si no eres capaz o por cualquier motivo no se puede, poder desconectar los equipos.
    • Por último, si no se puede, apagar todo.
    • ¿Cómo vas a restaurar los elementos críticos en la misma red donde tienes la infección? ¿Cómo vas a probar los backups, conectándolos a la red? ¿Y si están en un cloud?
    • ¿Tienes capacidad para almacenar logs? ¿Muestras de memoria? ¿Trazas de red?
    • ¿Puedes bloquear accesos a terceros para evitar contagiar a clientes/usuarios/partners?
    • ¿Sabes como actuar legamente? Tu DPO está en orden?
  • Monitorización. La respuesta a incidentes se va a realizar mirando las evidencias, los eventos, los logs. Seguro que tienes un sistema centralizado de logs? o cada Windows, Cacharro, aplicación los escribe en cada sitio?

Muchas cosas las sabrás, otras no. Algunas las tendrás perfectas, algunas las tendrás por iniciar, pero hazte un plan. Estamos en Enero, es el mes de las buenas propuestas. Al final el post creo que ha virado a la protección del Ransomware, a un entorno más o menos seguro. Por supuesto que hay muchas más acciones a fortificar, pero creo que con estas 15 medidas podemos alcanzar cotas bastante aceptables.

Siento si esperabas un producto concreto. Un Script Powershell que lo haga todo, pero no, esto es NUESTRO trabajo, no hay balas de plata.

Fuente: Kinomakino

Suscríbete a nuestro Boletín

2 comentarios:

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!