Por: Damon Becknel, vicepresidente y subdirector de servicios de industrias reguladas.
La serie de blogs Deputy CISO es donde los Subdirectores de Seguridad de la Información (CISOs, por sus siglas en inglés) de Microsoft comparten sus opiniones sobre lo que es más importante en sus respectivos ámbitos. En esta serie recibirán consejos prácticos, tácticas para empezar (y dejar) desplegar, comentarios prospectivos sobre hacia dónde se dirige la industria y mucho más. En este artículo, Damon Becknel, vicepresidente y subdirector de CISO para industrias reguladas en Microsoft, expone cuatro cosas que priorizar hacer ahora.
Cuando un ciberataque online en especial dañino se lleva a cabo con éxito de una manera novedosa, sale en las noticias. En cierto modo, eso es bueno: todo el mundo sabe que hay una nueva ciberamenaza ahí fuera. El problema es que la mayoría de los ciberataques online exitosos son mucho más mundanos y prevenibles, pero no se detienen. Tampoco son cubiertos por los medios, así que es fácil imaginar que tan solo han desaparecido. No lo han hecho. Existen múltiples buenas prácticas establecidas y soluciones de bajo coste que abordan la mayoría de estos ciberataques, pero mucha gente no las ha implementado. En cambio, con demasiada frecuencia vemos a personas que toman las mismas malas decisiones de seguridad que les exponen a ciberataques. Aunque no hay una receta para el éxito garantizado, sí existen recetas para el fracaso garantizado. Nuestro objetivo debe ser dejar de facilitarle las cosas al ciberatacante y, en cambio, hacer que el éxito sea lo más caro posible.
A un nivel básico, hay cuatro cosas que todos deben priorizar ahora mismo. Nada de esto les sorprenderá, pero es importante entender que vemos estos patrones con demasiada frecuencia en organizaciones en dificultades. Esto es lo que tienen que hacer:
- Priorizar los fundamentos esenciales de la higiene cibernética.
- Priorizar los estándares de seguridad modernos, productos y protocolos.
- Priorizar la toma de huellas para identificar a los malintencionados.
- Priorizar la colaboración y el aprendizaje.
Priorizar los conceptos básicos esenciales de la higiene cibernética
No olviden lo básico. Que un producto no sea nuevo no significa que no sea necesario. Que una tecnología no acapare titulares no significa que no sea crítica para la misión. Aquí tienen algunos conceptos básicos que la gente debería empezar a hacer ahora:
- Mantener un inventario de red preciso. Un inventario sólido de todos los activos (incluidos software, aplicaciones en la nube y hardware) ayuda a garantizar una gestión integral de la seguridad. Este es el requisito más fundamental, ya que no pueden proteger lo que no conocen. Trabajen con sus equipos financieros y de contratación para asegurarse de que tienen un conocimiento sólido de todas las capacidades de TI de su entorno, ya que los departamentos pueden adquirir de manera inadvertida capacidades que caigan en los puntos ciegos de su monitorización.
- Utilizar la segmentación de red en sus redes internas y aplicar patrones de tráfico para evitar tráfico inesperado o no deseado. Se necesita permitir muy poco tráfico de un puesto de trabajo a otro. El acceso directo a sistemas de producción y bases de datos clave debería ser inviable. Fuercen ese tráfico a través de una caja de salto en su lugar.
- Bloquear el acceso a sus sistemas públicos de direcciones IP innecesarias. Bloquear nodos Tor, implementar bloques de países y bloquear otros espacios conocidos de ciberatacantes para restringir el espacio problemático.
- Mantener un registro y un seguimiento efectivos. Cuanto mejores sean sus registros y monitorización, mejor podrán detectar problemas a tiempo. Intenten conservar un año de datos para facilitar un mejor desarrollo de detección y respuesta a incidentes. Asegúrense de que todos los elementos de datos necesarios estén presentes de forma legible por máquina e incluyan eventos de actividades exitosas, permitidas, fallidas o bloqueadas. Además, encuentren y apliquen elementos de datos correlacionados para permitir vincular múltiples fuentes de datos para los mismos eventos.
- Utilizar una red privada virtual (VPN). Las VPN (por sus siglas en inglés) ayudan a eliminar el acceso directo a Internet y simplifican la infraestructura de bloqueo de red al forzar a los usuarios a una ubicación conocida y adecuada. Esto facilita la conexión y seguridad de tu red. Tengan en cuenta que el contenido en streaming en tiempo real como la voz y el vídeo puede necesitar un camino más directo.
Aprendan a configurar una pasarela VPN P2S para la autenticación de Microsoft Entra ID
- Implementar un endurecimiento básico de identidad en todas partes. Usen cuentas elevadas con moderación. Su cuenta diaria de productividad no debería ser una cuenta administrativa en su máquina; en su lugar, aprovechen una credencial separada para cuando se necesiten tareas administrativas. Además, asegúrense de que cada cuenta humana tenga autenticación multifactor (MFA, por sus siglas en inglés) aplicada. La autenticación multifactor resistente al phishing, como YubiKeys o Passkeys, reduce de manera significativa el riesgo de acceso no autorizado y protege contra la gran mayoría de los ataques basados en identidad. Eviten utilizar factores MFA que usan contraseñas de un solo uso (OTP, por sus siglas en inglés) por SMS y correo electrónico, así como aplicaciones simples de contraseñas de un solo uso basadas en el tiempo, ya que estos pueden ser subvertidos muy fácil por ciberatacantes.
- Actualizar todo a tiempo. El parche de seguridad mantiene los sistemas actualizados, protege contra vulnerabilidades y ayuda a garantizar la resiliencia frente a nuevas amenazas cibernéticas. Los entornos de cualquier escala necesitarán ayuda a través de una solución de gestión de parches. No olviden que los dispositivos de red y auxiliares también necesitan parcheo. Aproveches el inventario de arriba para asegurarte de que todo se atiende.
- Tener herramientas básicas de seguridad para endpoints. Como mínimo, debería estar habilitada algún tipo de solución de detección y respuesta de endpoint (EDR, por sus siglas en inglés). También necesitan utilizar cifrado completo del disco para proteger los datos locales y evitar manipulaciones no autorizadas fuera de línea de archivos del sistema. Y asegúrense de tener alguna herramienta que permita inventariar y aplicar parches de software. Por último, configuren un cortafuegos (firewall) basado en el host para evitar el movimiento lateral entre estaciones de trabajo y bloquear la mayoría, si no todas, las conexiones entrantes.
Ayudar a proteger endpoints con detección y respuesta multiplataforma líder en el sector
- Proxy para todo el tráfico web y utilizar una pasarela de seguridad de correo electrónico. La gran mayoría de los ciberataques comienzan con mensajes de correo electrónico o páginas web. Inversiones modestas en estas capacidades tendrán un gran beneficio para reducir la probabilidad de ciberataques exitosos. Hacer cumplir el uso del proxy web al permitir solo el tráfico web a través del proxy y bloquear todo lo demás. Esto también ayuda a simplificar las listas de control de acceso (ACLs, por sus siglas en inglés).
Infórmense más sobre las mejores prácticas de Azure para la seguridad de redes
Si buscan el siguiente paso más allá de lo básico, deberían informarse sobre la prevención de pérdida de datos (DLP, por sus siglas en inglés), los proxies web y los proxies de correo. Las soluciones DLP permiten la creación de acciones de aplicación basada en políticas y automatizadas. Pueden usarlos para bloquear de manera automática el acceso a datos sensibles o cifrar correos electrónicos que contengan información confidencial. Los proxies web y de correo analizan el tráfico HTTP/S y SMTP para detectar malware, phishing y patrones de datos sensibles. Pueden usarse para bloquear o poner en cuarentena contenido sospechoso antes de que llegue a sus usuarios o salga de la red.
Proteger los endpoints con Microsoft Intune
Priorizar los estándares, productos y protocolos de seguridad modernos
Dejen de aferrarse a software y protocolos antiguos. Hay momentos en los que esto puede ser perjudicial para el negocio. Cuando los clientes o socios de su organización utilizan tecnología antigua, puede ser tentador concederles una excepción en sus prácticas de seguridad modernas. Es importante desalojar tecnologías obsoletas, instalaciones anticuadas y software mal mantenido. Existen algunas tecnologías específicas que presentan este tipo de riesgo elevado:
En ningún sitio esto es más crucial que en la autenticación. El nombre de usuario y la contraseña hace tiempo que están muertos. Si este es el método que usan para la autenticación, temo por su seguridad. La MFA ha sido desde hace tiempo el mejor método de autenticación, y ha evolucionado con el tiempo. Aunque las contraseñas de un solo uso se consideraban mucho las más escalables y fáciles para los usuarios, la actividad reciente de ciberamenazas ha demostrado los peligros teóricos que durante mucho tiempo se han hipotetizado; el correo electrónico y los mensajes de texto no deben considerarse seguros. La clave del panorama actual de amenazas es garantizar el uso de MFA resistente al phishing. De las opciones de esta clase, la llave de acceso es la más sencilla en cuanto a experiencia de usuario y ofrece la posibilidad de eliminar la contraseña por completo. La tecnología de llave de acceso lleva varios años disponible. Los dispositivos móviles ahora ofrecen integración nativa para usar autenticación por claves de acceso, aunque muy pocos servicios de autenticación la ofrecen como opción.
El DNS no seguro los expone a un mundo de problemas. Por ejemplo, los ciberatacantes pueden insertar datos DNS corruptos en la caché de un DNS resolver mediante suplantación de DNS, lo que hace que devuelva direcciones IP incorrectas que redirigen a los usuarios a sitios maliciosos sin que ellos lo sepan. El DNS no seguro también deja a las organizaciones más vulnerables a ataques de denegación de servicio distribuida (DDoS, por sus siglas en inglés) y puede facilitar la exfiltración de datos. Implementar extensiones de seguridad DNS, filtrado y bloqueo DNS, monitorizar y registrar el tráfico DNS, y configurar servidores DNS de forma segura para ayudar a minimizar estos riesgos.
Vulnerabilidades del Protocolo de Transferencia de Correo Simple (SMTP): Los relés abiertos SMTP (por sus siglas en inglés) permiten a los usuarios enviar correos electrónicos sin autenticación, lo que aumenta la vulnerabilidad del servidor. Los servidores mal configurados permiten el acceso y el intercambio no autorizados de datos sensibles. Los servidores SMTP también pueden usarse para enviar correos electrónicos de phishing o para suplantar dominios confiables. Y dado que SMTP no ofrece cifrado nativo, los correos electrónicos enviados a través de servidores SMTP son más vulnerables a la intercepción.
Exchange Web Services (EWS): Microsoft deshecha de manera activa las dependencias de EWS en todos sus productos. Esto incluye Microsoft Office, Outlook, Microsoft Teams, Dynamics 365 y más. También se trabaja para cerrar las brechas de paridad restantes entre EWS y Microsoft Graph que afectan a escenarios específicos para aplicaciones de terceros. Si aún no han identificado sus aplicaciones EWS activas ni han comenzado su migración, es hora de hacerlo. Muchos escenarios de aplicación ya están soportados por mapeos directos entre operaciones EWS y APIs de grafos.
Descubran si sus aplicaciones de terceros usan EWS
Las mejores prácticas del Protocolo de Puerta de Enlace (BGP) deben actualizarse. BGP (por sus siglas en inglés) está diseñado para intercambiar información de enrutamiento entre sistemas autónomos. Cabe destacar que BGP también proporciona poca seguridad de forma nativa, y cuando no se gestiona de forma segura deja a las organizaciones expuestas al secuestro de rutas, lo que permite que los datos se exfiltren al dirigirlos a través de la red del ciberatacante a mitad de camino. Las versiones obsoletas de BGP también carecen de autenticación moderna y pueden ser vulnerables a ataques de denegación de servicio. Un buen punto de partida sería leer las mejores prácticas de BGP del NIST y la NSA.
Utilizar la Autenticación, Reporte y Conformidad de Mensajes Basada en Dominio (DMARC) y activa el bloqueo. Este es un protocolo de autenticación de correo electrónico diseñado para proteger sus dominios de ser usados en phishing, suplantación y otros usos no autorizados. Configurar el bloqueo dentro de DMARC (por sus siglas en inglés) es un proceso bastante sencillo que permite un modo de aplicación capaz de impedir de manera activa que los correos electrónicos no autenticados o falsificados lleguen a los destinatarios. El reto es asegurarse de que han encontrado, validado e inscrito a todos los remitentes autorizados.
Infórmense sobre DMARC en Microsoft 365
Priorizar la toma de huellas para identificar a los actores malintencionados
Casi todo el mundo sabe que hay que evitar una dirección sospechosa cuando se le ve. Es una práctica más o menos común bloquear bloques de red IP o números de sistemas autónomos completos que son usados de manera regular por actores de amenazas. Sin embargo, los ciberatacantes se han adaptado a utilizar espacios de direcciones IP que tienen mucho más probabilidades de contener tráfico legítimo de usuarios, lo que hace que bloquear solo con la dirección IP sea menos útil. También es importante entender que estos ciberatacantes pueden moverse por los endpoints de manera que parecen usuarios legítimos que interactúan con sistemas desde ubicaciones geográficas esperadas. Account Take Over (ATO) da a los ciberatacantes la apariencia de una persona legítima con una actividad histórica en apariencia válida. Los compromisos de infraestructura y los proxies y VPNs disponibles de manera libre, permiten que los ciberatacantes aparezcan desde casi cualquier región geográfica. Las botnets y otros compromisos de máquinas incluso permiten a los ciberatacantes tomar tiempo prestado en los equipos reales de los usuarios. Las dos primeras tácticas son cada vez más comunes, mientras que la segunda dificulta que el ciberatacante alcance la escala.
Las organizaciones deberían centrarse en crear y rastrear identificadores únicos para redes, navegadores, dispositivos y usuarios. Esto es la huella dactilar, y funciona de forma muy similar a como lo hace su nombre en el mundo real. La huella digital les ayuda a identificar con rapidez a los buenos y malos actores conocidos mediante identificadores específicos de máquina que son difíciles de falsificar. Cada usuario debe coincidir con su perfil específico en su navegador y su máquina específicas. Utilizar la huella digital como clave principal para correlacionar el tráfico de usuarios permite identificar con facilidad actividades cuestionables. O bien el usuario trabaja desde una máquina pública muy popular, como un ordenador de biblioteca o centro comunitario, o alguien usa una máquina para realizar transacciones entre varias personas de usuario. Los primeros pueden identificarse y rastrearse, mientras que los segundos deben ser bloqueados. Sin una solución así, será más difícil verificar la identidad de los usuarios.
Como la huella dactilar implica múltiples factores, puede usarse para generar huellas dactilares conocidas como buenas, dactilares conocidas y dactilares que se sitúan en algún punto intermedio. Esto ayuda a las empresas a crear métodos de detección flexibles que se adapten a sus necesidades específicas. Las huellas dactilares que se sitúan entre lo bueno y lo malo conocido pueden ser indicadores de cambios en el comportamiento del usuario que deben ser investigados, como intentos de inicio de sesión en varios dispositivos o en ubicaciones geográficas inusuales. La mejor práctica en estos escenarios es considerar la información de huellas dactilares junto con datos sobre el proveedor de internet de origen, los medios de conexión y los patrones de acceso del usuario para resolver una acción de seguridad.
Existen muchos tipos de huellas dactilares, y puede que ya sean funciones disponibles en sus soluciones existentes. Azure Front Door ha integrado algo de huellas dactilares en su oferta. Tengan en cuenta que diferentes soluciones tienen fortalezas y debilidades, y los equipos pueden encontrar valor en desplegar múltiples soluciones de huellas dactilares.
Infórmense más sobre las directrices de identidad digital
Priorizar la colaboración y el aprendizaje
En lugar de guardar silencio sobre las ciberamenazas a las que se enfrenta su organización, es mejor encontrar formas de colaborar. Hablen con más transparencia sobre los incidentes y fallos que han enfrentado, compartan inteligencia de amenazas de forma más amplia y verán que ustedes y las organizaciones con las que trabajan todos saldrán beneficiados.
Por eso Microsoft participa en varias conferencias importantes de seguridad, así como en el Centro de Análisis y Resiliencia para el Riesgo Sistémico (ARC, por sus siglas en inglés), el Centro de Compartición y Análisis de Información de Servicios Financieros (FSISAC, por sus siglas en inglés), el Centro de Compartición y Análisis de Información Sanitaria (HISAC, por sus siglas en inglés) y el Intercambio de Evaluación de Seguridad de la Información de Confianza (TISAC, por sus siglas en inglés). Microsoft también se unió de manera reciente a la Global Anti-Scam Alliance (GASA, por sus siglas en inglés) como miembro fundador. Al ceder su conocimiento y experiencia a una organización dedicada a proteger a los consumidores de todo tipo de estafas, Microsoft espera tanto compartir como obtener nuevas perspectivas sobre las actividades de los actores amenazantes en todo el mundo. Compartir inteligencia de amenazas permite a las organizaciones proporcionar actualizaciones en tiempo real sobre nuevas amenazas cibernéticas, indicadores de compromiso y actividades maliciosas. A cambio, también obtienen conocimientos similares, lo que mejora sus capacidades de detección. Esto permite a las organizaciones obtener una comprensión más completa del panorama de las ciberamenazas y, en consecuencia, detectar y responder a una gama más amplia de ciberamenazas dentro de sus propios entornos con mayor rapidez.
Descubran más sobre la colaboración entre Microsoft y GASA
Establecer una base sólida de seguridad debería ser una prioridad máxima para cualquier organización que quiera proteger sus activos digitales. Al centrarse en prácticas fundamentales, compartir señales y aprendizajes de seguridad, y evitar deudas tecnológicas innecesarias, pueden responder a la mayoría de las amenazas mundanas a las que se enfrenta su organización. Así, cuando algo noticioso aparezca en su puerta, su cadena, su equipo y su tiempo estarán disponibles para afrontarlo.
Descubran más con Microsoft Security
Para saber más sobre las soluciones de seguridad de Microsoft, visiten nuestra página web. Agreguen a Favoritos el blog de Seguridad para estar al día con nuestra cobertura experta sobre temas de seguridad. Además, síganos en LinkedIn (Microsoft Security) y X (@MSFTSecurity) para las últimas noticias y actualizaciones sobre ciberseguridad.