Texto teaser de la historia: los líderes de ciberseguridad se presionan para detener los ataques antes de que puedan lanzarlos, y la mejor defensa podría llegar al entorno que eligieron el primer día. En este artículo, Yuriy Tsibere explora cómo las políticas predeterminadas, como Deny-byfault, MFA, la aplicación de la ley y el algodón de anillo de la aplicación pueden eliminar toda la categoría de riesgo. Desde deshabilitar las macros de Office hasta bloquear el tráfico de servidor fuera de la parte, estos movimientos simples pero estratégicos crean entornos de endurecimiento que los atacantes no pueden infiltrarse fácilmente. Ya sea que obtenga puntos finales o supervisa el despliegue de políticas, adoptar una mentalidad de seguridad por defluencia puede ayudar a reducir la complejidad, reducir la superficie del ataque y mantenerse por delante de las amenazas en evolución.
La ciberseguridad ha cambiado drásticamente desde la era del virus «Love Bug» de 2001. Lo que una vez fue una molestia ahora es una empresa criminal de múltiples mil millones de ganancias. Este cambio requiere una estrategia defensiva proactiva, no solo para responder a las amenazas. Los administradores de TI, los CISO y los MSP necesitan soluciones que no solo detecten los hechos después, sino que también bloqueen los ataques por defecto. Los marcos de la industria como NIST, ISO, CIS y HIPAA brindan orientación, pero a menudo carecen de los pasos claros y prácticos necesarios para implementar una seguridad efectiva.
Para aquellos que lanzan un nuevo papel de liderazgo de seguridad, la misión es clara. Detente tantos ataques como sea posible, hágalo sin irritar a los actores de amenaza y alienar a los equipos. Ahí es donde surge el pensamiento específico de la seguridad. Esto significa configurar el sistema para bloquear el riesgo desde la puerta. Como dije a menudo, los atacantes deben hacerlo bien solo una vez. Tenemos que obtener el 100% de tiempo adecuado.
Aquí le mostramos cómo eliminar toda la categoría de riesgo estableciendo el valor predeterminado correcto:
Todas las cuentas remotas requieren autenticación multifactor (MFA)
Habilitar MFA en todos los servicios remotos, incluidas las plataformas SaaS como Office 365 y G Suite, así como los registradores de dominio y las herramientas de acceso remoto, es el valor predeterminado para la seguridad básica. Incluso si su contraseña se ve comprometida, MFA puede evitar el acceso no autorizado. No use mensajes de texto a MFA.
Si bien puede haber cierto grado de fricción, los beneficios de seguridad superan con creces el riesgo de robo de datos y pérdida financiera.
Rechazo por rechazo
Una de las medidas de seguridad más efectivas en estos días es la lista blanca o la tolerancia de su aplicación. Este enfoque bloquea todo por defecto y solo puede ejecutar software conocido y aprobado. Resultado: el ransomware y otras aplicaciones maliciosas se detendrán antes de ejecutarse. También bloquea herramientas remotas legales pero deshonestas como Anydesk, que los atacantes a menudo intentan colarse en la ingeniería social.
Los usuarios pueden acceder a lo que necesitan a través de una tienda de aplicaciones preautorizadas y seguras. Las herramientas de visibilidad facilitan el seguimiento de todo lo que haces.
Gana rápida a través de una configuración segura
Pequeños cambios en la configuración predeterminada pueden cerrar los grandes brechas de seguridad en Windows y otras plataformas.
Salga de las macros de la oficina: tome 5 minutos y bloquee uno de los vectores de ataque más comunes de ransomware. Use un protector de pantalla protegido con contraseña: Autolock la pantalla después de un breve descanso para evitar que cualquiera husmee. Deshabilitar SMBV1: este protocolo de la vieja escuela está desactualizado y se usa en grandes ataques como WannaCry. La mayoría de los sistemas ya no son necesarios. Apague el keylogger de Windows: rara vez es útil y puede ser un riesgo de seguridad si todavía está allí.
Red de control organizacional y comportamiento de la aplicación
Elimine los derechos del administrador local: la mayoría de los malware no requieren acceso al administrador para la ejecución, pero los usuarios se meterán con su configuración de seguridad y evitarán la instalación de software malicioso. Bloquee los puertos no utilizados y limite el tráfico de salida: cierre los puertos SMB y RDP y permita solo fuentes confiables, a menos que sea absolutamente necesario. Mantenga su servidor fuera del alcance de Internet a menos que sea necesario. Esto ayuda a evitar ataques como Solarwinds. Comportamiento de la aplicación de control: Herramientas como AmenicLocker Ringfening ™ puede evitar que las aplicaciones hagan cosas difíciles, como las palabras que lanzan PowerShell (sí, ese es el método de ataque real). Asegure una VPN: apáguelo si no lo necesita. Si lo hace, restringirá el acceso a un IPS particular y a qué los usuarios pueden acceder.
Mejore sus datos y controles web
Bloquear unidades USB de forma predeterminada: una forma común de difundir malware. Solo se permiten elementos seguros, controlados y cifrados cuando sea necesario. Restringir el acceso al archivo: su aplicación no debe poder picotear archivos de usuario a menos que realmente lo necesite. Excluya herramientas no aprobadas: bloquee SaaS o aplicaciones de nube aleatorias que no se revisen. Si se necesita algo, deje que el usuario solicite acceder. Actividad del archivo de seguimiento: vigile lo que está haciendo en su dispositivo o en la nube usando archivos. Es la clave para encontrar comportamiento de sombra.
Exceder los valores predeterminados con monitoreo y parcheo
Un poderoso predeterminado es solo el comienzo. La vigilancia continua es importante:
Parche regular: la mayoría de los ataques usan errores conocidos. Continuar actualizando todo, incluidas las aplicaciones portátiles. Detección automática de amenazas: la herramienta EDR es excelente, pero si no observa alertas las 24 horas, los 7 días de la semana, la amenaza puede pasar. El servicio MDR le permite saltar rápidamente incluso después del horario comercial.
La seguridad predeterminada no es inteligente y no es negociable. El uso de una autenticación sólida, bloqueo de red, comportamiento de aplicaciones, bloqueo de aplicaciones desconocidas puede eliminar mucho riesgo. Los atacantes solo necesitan un tiro, pero la configuración sólida predeterminada siempre lo mantiene listo para la defensa. ¿Saldar? Existe un compromiso menor, una configuración menos difícil, más fuerte y más resistente.
Nota: Este artículo es hábilmente escrito y contribuido por Yuriy Tsibere, gerente de productos y analista de negocios de amenazlocker.
Source link
