Por: Alan Johnstone, consultor senior en CRSP; y Patrick Strijkers, arquitecto de ciberseguridad en CRSP.
Aquí, en la Práctica de Seguridad de Recuperación ante Compromisos de Microsoft (CRSP, por sus siglas en inglés) global, trabajamos con clientes que han experimentado incidentes de seguridad disruptivos para restaurar la confianza en los sistemas de identidad y eliminar el control del adversario. Durante 2020, el equipo respondió a muchos incidentes relacionados con ransomware y el despliegue de herramientas de minería criptográfica. El ransomware es una amenaza creciente para las organizaciones y los usuarios domésticos, ya que es un modelo comercial de bajo costo y alto rendimiento. Estos ataques no son complejos, se basan en herramientas y exploits de software que han existido durante muchos años y aún no se han solucionado. Todavía se buscan por una sencilla razón: todavía funcionan.
En esta publicación, esperamos compartir con ustedes las formas más prácticas y rentables de nunca necesitar nuestros servicios.
Actualicen y mantengan su seguridad básica
Hay una vieja historia sobre dos excursionistas en el desierto que ven un oso acercándose a ellos. Uno alcanza sus zapatillas para correr y su amigo le dice: «Nunca dejarás atrás a un oso». El primer excursionista responde: «No tengo que hacerlo, solo necesito dejarte atrás».
El tema detrás de esta historia se hace eco en el panorama actual de amenazas de ciberseguridad. Las noticias están llenas de historias de ciberataques, la mayoría de los cuales se describen como «extremadamente sofisticados». Sin embargo, la verdad es que la mayor parte de los incidentes cibernéticos no son particularmente sofisticados. La mayoría de los atacantes no son estados-nación bien financiados; son solo delincuentes que intentan ganar dinero. La ganancia financiera directa es un motivador clave detrás de los ciberataques en 2020. Esto es en particular cierto cuando las víctimas son pequeñas y medianas empresas y sectores sin fines de lucro, como escuelas y organizaciones benéficas. Una forma sencilla de mejorar su postura de seguridad es mediante parches rápidos y eficaces.
A principios de 2020, una organización del sector público en Australia contrató al Equipo de Detección y Respuesta de Microsoft (DART, por sus siglas en inglés) para investigar un ciberataque. La investigación de DART determinó que un atacante provenía de una dirección IP extranjera. La investigación de Respuesta a Incidentes (IR, por sus siglas en inglés) descubrió que el adversario inició su ataque al escanear la infraestructura orientada a Internet en busca de puertos expuestos a atacar. En este caso, se abrió una conexión de escritorio remoto directa a Internet para permitir que un proveedor de software brinde soporte. De manera rápida se forzó una contraseña administrativa débil. Con acceso administrativo al servidor expuesto, realizaron un reconocimiento de red razonablemente ruidoso, a través de herramientas de piratería que están disponibles de manera común. Los atacantes se movieron de manera lateral con rapidez a través de la red, para escalar a controladores de dominio.
Tras la investigación de DART, el equipo de CRSP trabajó para recuperar el entorno al restablecer la confianza en los sistemas de identidad, reforzar las defensas y eliminar el control del adversario. Aunque de alto perfil y con buenos recursos, la organización del sector público era una organización pequeña de alrededor de 500 empleados y, por desgracia, se había quedado atrás en las medidas de seguridad en los últimos años.
Desde el ataque inicial de fuerza bruta, el atacante logró tener control del dominio en cuestión de horas. En este ataque, el adversario mostró su motivación financiera al implementar herramientas de minería criptográfica en todos los servidores y estaciones de trabajo. Como sucedió el fin de semana, el ataque no se descubrió durante un período.
No hubo indicios de que el ataque estuviera dirigido a la organización en específico, las motivaciones del atacante parecían ser solo financieras. La criptominería es una carga útil de bajo riesgo y bajo rendimiento, no requiere una elección explícita por parte de la víctima para pagarles. Las recompensas son menores pero instantáneas, perfectas para ataques de gran volumen y bajo valor.
Las lecciones de este incidente son: Si pueden hacerlo más complicado que el promedio, los atacantes de baja habilidad a menudo se rinden con rapidez y pasan al siguiente objetivo. En pocas palabras, dejar atrás a su amigo, no al oso. Centrarse en arreglar lo básico contribuirá en gran medida a proteger a la mayoría de las pequeñas y medianas empresas. A continuación se presentan siete áreas (no exhaustivas) que pueden convertirlos con rapidez en un objetivo más difícil de alcanzar, y son todas las cosas que implementamos cuando interactuamos con los clientes en proyectos reactivos.
-
Parchar todo, más rápido
Apuntar a una cobertura completa de parches dentro de las 48 horas mejorará de manera notable su postura de seguridad. Parchen sus servidores lo antes posible, con especial atención a los sistemas de nivel 0, como los controladores de dominio y Microsoft Azure Active Directory Connect.
Los parches para aplicaciones son de igual importancia, en particular las aplicaciones de productividad empresarial, como los clientes de correo electrónico, los clientes de VPN y los navegadores web. Habiliten la actualización automática de sus navegadores web, ya sea Edge, Chrome, Firefox u otros. Los navegadores obsoletos exponen los datos del usuario y el dispositivo a comprometer. El uso de la nube y Windows Update for Business pueden ayudar a automatizar la aplicación de parches y eliminar algunas de las cargas de mantenimiento cuando la fuerza laboral de su organización está distribuida, en especial con una fuerza laboral distribuida al estilo de una pandemia.
Como parte de un Compromiso de Recuperación, trabajamos para asegurarnos de que nuestros clientes puedan parchar sus activos más importantes en cuestión de horas, esto por lo general incluye la implementación de procesos rápidos de aprobación de parches y ciclos de prueba para cargas de trabajo críticas. Vemos un gran beneficio en mantener sus sistemas de parcheo separados para sus cargas de trabajo clave, como implementar una herramienta de administración de actualizaciones dedicada solo para controladores de dominio.
-
Proteger sus activos de manera activa
Un dispositivo Windows actualizado y bien configurado que ejecute Microsoft Defender para Endpoint u otra solución de detección y respuesta extendidas (XDR, por sus siglas en inglés) debería ser su primera línea de defensa. Junto con un sistema de administración de eventos de incidentes de seguridad (SIEM, por sus siglas en inglés) para sus sistemas comerciales críticos y clave, esto les ayudará a brindar visibilidad sobre sus activos importantes. Asegúrense de que las personas estén atentas a las alertas y las actividades de seguimiento.
Después de haber pasado tiempo con nuestros clientes, nos gusta asegurarnos de que todo lo que sucede dentro de sus importantes sistemas comerciales esté bien supervisado y gestionado. Ser capaz de reaccionar ante cualquier cosa que pueda ocurrir en este entorno es vital para mantener la seguridad continua en un entorno.
-
Reducir su exposición
Abrir cualquier servicio a Internet conlleva riesgos inherentes. Un riesgo es que todo lo que esté conectado a Internet se escanee de forma rutinaria y regular. Como vimos con el reciente exploit HAFNIUM, todo lo que se encuentre vulnerable será explotado, de manera potencial, a los pocos minutos de estar en línea.
Además, hay recursos de servicios disponibles a nivel público en línea. Estos resultados no solo son de interés para los piratas informáticos que buscan explotar recursos, sino que también pueden ser útiles para aquellos que buscan mejorar su postura de seguridad.
Un firewall que restringe el acceso a direcciones de origen definidas mitigará un poco el riesgo, al igual que colocarlas detrás de una conexión VPN, en especial una que requiera autenticación de dos factores.
Si sus servidores están en Azure u otra nube, usen un grupo de seguridad de red para restringir el acceso a direcciones IP específicas, o incluso mejor, usen el acceso justo a tiempo y Microsoft Azure Bastion.
En el ejemplo de nuestro cliente, el Protocolo de Escritorio Remoto se expuso de manera directa a Internet, sin controles de mitigación.
Trabajamos con nuestros clientes para justificar y reducir la exposición de cualquier servicio orientado a Internet dentro de un entorno. Trabajamos junto con las prácticas administrativas para asegurarnos de que los administradores aún puedan mantener por completo un sistema, pero haciéndolo de una manera más segura.
-
Reducir sus privilegios
La mayoría de los ataques dependen de que el atacante obtenga acceso administrativo. Si podemos limitar la exposición, avanzaremos en gran medida para bloquear muchos ataques. Tener una contraseña de administrador local común hace que el movimiento lateral y la elevación de privilegios sean una tarea trivial para los atacantes.
La Solución de Contraseña de Administrador Local (LAPS, por sus siglas en inglés), que administra las cuentas de administración local en los sistemas, ha estado disponible durante casi seis años y es gratuita. No obstante, en muchos compromisos, vemos que no se ha implementado. Impleméntenla en su red hoy.
En nuestro ejemplo del sector público, el atacante pudo extraer credenciales con muchos privilegios de un servidor de aplicaciones. La implementación de la administración de privilegios y las soluciones de administración justo a tiempo agregan un gran valor, pero puede ser compleja y llevar tiempo. Se pueden obtener ganancias rápidas al observar la membresía de sus grupos de seguridad críticos, como Administradores de Dominio y de Empresa, y reducir a solo aquellos que en verdad lo necesitan. En todos los entornos, excepto en el más grande, deberían poder contar el número de administradores de dominio con los dedos de una mano.
El uso de una estación de trabajo de administrador dedicada para tareas de alto valor reduce el riesgo de que se roben las credenciales de administrador. Incluso las personas más cuidadosas a veces hacen clic en el enlace incorrecto. No es una buena idea usar su cuenta de administrador en la misma PC en la que leen los correos electrónicos o navegan por la web, debido a los riesgos que esto presenta para su privilegio.
Usen Cuentas de Servicio Administradas con contraseñas que rotan de manera automática, si un proveedor de aplicaciones les dice que su cuenta de servicio debe ser un administrador, es hora de retroceder.
Conozcan más sobre nuestra guía sobre cómo asegurar el acceso privilegiado.
Tener dispositivos reforzados dedicados solo para administradores es una forma excelente y rentable de aumentar su seguridad de manera táctica. Tener una máquina independiente sin correo electrónico o navegación web aumenta en gran medida las dificultades que enfrentan los atacantes.
Para nuestro cliente del sector público, los límites al uso de privilegios habrían hecho mucho más difícil para el atacante moverse, desde el principio, del servidor expuesto al resto del entorno.
-
Utilizar el poder de la nube
Consideren qué servicios necesitan para ejecutar a nivel local. Si no tiene una necesidad muy explícita de hacerlo usted mismo, deje que alguien más. El modelo de responsabilidad compartida en la nube les brinda la oportunidad de reducir su exposición y delegar la seguridad de la plataforma a un proveedor de la nube. La nube puede escalar en automático donde la TI tradicional no puede, y lo mismo debería decirse de los servicios de seguridad en la nube.
Miren lo que está en ejecución y reemplácenlo con aplicaciones de Plataforma como Servicio (PaaS) o Software como Servicio (SaaS) cuando puedan.
Por ejemplo, los servidores de Exchange locales son un gran producto, pero requieren mantenimiento, parches y configuración. La migración de buzones de correo a Exchange Online elimina mucho trabajo y reduce la superficie de ataque al bloquear la mayoría de los enlaces maliciosos y de suplantación de identidad antes de que lleguen a los buzones de correo.
La ejecución de un servidor web seguro en su entorno puede resultar difícil si, a largo plazo, pueden pasar a una solución basada en la nube en Azure u otra nube. Esto no habría sido relevante en este caso, pero es un vector de ataque común.
Utilicen herramientas de seguridad modernas basadas en la nube como Azure Security Center y Azure Defender. Incluso si sus servidores residen en las instalaciones o en otra nube, aún pueden configurarse para informar al Centro de Seguridad y brindarles una imagen de su postura de seguridad. El uso de un sistema SIEM como Microsoft Azure Sentinel puede brindar una mayor visibilidad de posibles ataques.
Si nuestro cliente atacado hubiera utilizado soluciones de seguridad en la nube, habría visto cómo se producía el ataque.
-
Pagar su deuda técnica
La ejecución de sistemas operativos heredados aumenta su vulnerabilidad a los ataques que explotan vulnerabilidades de largo tiempo. Siempre que sea posible, busquen retirar o actualizar los sistemas operativos heredados de Windows. Los protocolos heredados pueden aumentar el riesgo. Las tecnologías de uso compartido de archivos más antiguas son un vector de ataque bien conocido para el ransomware, pero todavía se utilizan en muchos entornos.
En este incidente, había muchos sistemas, incluidos los controladores de dominio, que no habían sido parchados de manera reciente. Esto ayudó mucho al atacante en su movimiento por el entorno. Como parte de ayudar a los clientes, analizamos los sistemas más importantes y nos aseguramos de ejecutar los protocolos más actualizados que podamos para mejorar aún más un entorno.
-
Miren sus registros y actúen en función de las alertas.
Como dice el refrán, «la recolección no es detección». En muchas interacciones, las acciones del atacante son claras y obvias en los registros de eventos. El problema común es que nadie los mira en el día a día ni comprende cómo se ve la normalidad. Los cambios inexplicables en los registros de eventos, como los cambios de eliminación o retención, deben considerarse sospechosos e investigados.
En este incidente, las acciones del atacante podrían rastrearse con facilidad a través de registros posteriores al hecho. Un sistema SIEM, que recopila registros de muchas fuentes, era, por tradición, una inversión importante y estaba fuera del alcance de todas las empresas, excepto las grandes. Con Azure Sentinel, ahora está al alcance de todos, sin requisitos de infraestructura local y sin necesidad de una inversión inicial. Sólo implementen agentes en sus sistemas (no importa si son locales, Azure u otra nube).
Conozcan más
No existe una solución mágica de tecnología que los convierta en un objetivo más difícil de alcanzar. Los equipos de Microsoft DART y CSRP son una gran multitud de personas, amables y serviciales, pero en realidad no es necesario que nos conozca.
Un actor de amenazas determinado y con buenos recursos, con el tiempo, romperá las mejores defensas cibernéticas. En resumen, no es posible dejar atrás al oso, pero dar los primeros pasos para convertirse en un objetivo más difícil hará que sea mucho más probable que los atacantes pasen a objetivos más fáciles.
Para obtener más información sobre las soluciones de seguridad de Microsoft, visiten nuestro sitio web. Agreguen a Favoritos el blog de Seguridad para mantenerse al día con nuestra cobertura de expertos en asuntos de seguridad. Además, síganos en @MSFTSecurity para conocer las últimas noticias y actualizaciones sobre ciberseguridad.
