Santiago Rangel
Escrito por Santiago Rangel el 18 diciembre, 2020

¿Cómo protegerse de un ciberataque?

Para lograr protegerte de un ciberataque, desde NETDATA te recomendamos enfocarte en las dos primeras fases del Plan de Respuesta a Incidentes de Ciberseguridad,  del estándar internacional propuesto por el NIST.

Figura1. Incident response life cycle – Fuente: NIST

En la fase de Preparación, debes crear las políticas de seguridad muy bien definidas según el objetivo de tu organización. Para ello debes estandarizar los procedimientos para mantener segura cada uno del sistema que pertenecen a la empresa.

Dentro de las políticas que se deben tener en las empresas, está por ejemplo, que por cada router de borde (salida hacia internet) se debe de tener un Firewall que controle la salida y la entrada hacia internet de la red (Tráfico norte a sur y de sur a norte).

Así mismo, se debe de tener una buena segmentación de la red usando VLANs y tener un elemento de control de puertos y de aplicaciones entre cada una de las redes para protegerse de cualquier atacante que pueda estar viviendo dentro de nuestra red. Por lo que también es recomendable tener un Firewall en donde se controle todo el tráfico de este a oeste y de oeste a este. 

Todas las capacidades de protección a nivel de capa 7 las puede brindar un Next Generation Firewall (NGFW). Este tipo de soluciones nos permite aplicar políticas de seguridad basadas en firmas de aplicaciones con su puerto por defecto o el que esté permitido en tu empresa. Además, maneja  filtrado de navegación, bloquea vulnerabilidades, ejecución de comando y control o exfiltración con licencias como las de apps and threat, DNS security y  URL filtering.

Para esto lo mejor es que el tráfico de salida pueda ser desencriptado siempre cumpliendo con las regulaciones y normas para el mismo, con la finalidad de poder tener una visibilidad de lo que sale de tu red y poder bloquear lo que no debe de estar permitido y está egresando de manera encriptada.

Debido a que los atacantes cada día están más motivados a desarrollar herramientas con las que puedan generar ciberataques, te recomendamos tener un equipo capaz de poder examinar muestras no conocidas y aplicar sandbox a dicha muestra para poder detectar cualquier actividad maliciosa en los archivos de word, pdf , ejecutables, entre otros y bloquearlos cuando se intenten ejecutar nuevamente.

Este tipo de protección se llama zero-day-prevention, que ante nuevos desarrollos de herramientas para ataques se pueda detectar y posteriormente bloquear de la manera más rápida.

Como mencioné anteriormente, los atacantes se motivan cada día más para realizar ciberataques y desarrollan vulnerabilidades Zero-Day, las cuales muchas herramientas no tienen conocimiento en su base de datos. Por lo que las empresas deben encargarse de tener un equipo que facilite la aplicación de inteligencia de amenaza, para entender los motivos de los atacantes, sus objetivos y los comportamiento que tienen los mismos.

De esta manera, se pueden ejecutar medidas preventivas proactivamente antes de que un atacante nos centre como su objetivo, por lo general siempre hay indicadores de compromisos (IOCs) que nos pueden indicar que debemos bloquear en nuestras herramientas.

Cada fabricante tiene diferentes maneras de hacerlo. En el caso de Palo Alto Networks, con una herramienta llamada AutoFocus, que consta de varias fuentes de información recolectadas alrededor de todo el mundo, nos puede indicar que tipos de IOCs existen actualmente y alimentar nuestro Firewall, con IPs, dominios y URLs que sean maliciosas y deban ser bloqueadas. Además, ayuda al equipo de inteligencia de amenaza a saber cuales son los IOCs que se encuentran en su red interna y bloquearlos automáticamente.

 


Figura 2. Dashboard Autofocus de Palo Alto Networks

Tener una protección de red robusta es importante, pero también se debe tener controles en los equipos finales de los usuarios, como:

-   Manejar la política de least privilege para eliminar usuarios de administrador innecesarios, desactivar los features de máquina que no sean necesarios para que el usuario cumpla su función en la empresa, que no se permita ni instalar ni desinstalar cualquier aplicación, entre otras.

-   Activar una solucion de Endpoint Detection and Response (EDR).

-   Habilitar que a los servidores únicamente puedan ingresar un grupo de usuarios de red por herramientas remotas.

-   Manejar políticas de contraseñas, tanto de complejidad como de rotación.

Es importante tener un EDR en cada una de las máquinas de los usuarios como mínimo, ya que estas herramientas nos ayudan a detectar y bloquear automáticamente (según sea configurado) cualquier ejecución dentro del equipo que sea detectado como un comportamiento malicioso y hashes que ya sean detectados como malware. Por lo que se tendría otra capa de seguridad en caso de que la protección de red haya sido evadida. En el mercado también se pueden conseguir soluciones que  no sólo brindan protección ante comportamientos anómalos de los equipos, sino también de la red.

Se evidencia que los desarrollos de páginas web han crecido exponencialmente así como también han crecido los ataques asociados a los mismos. Por lo que se han diseñado controles para poder proteger la información que se aloja en los datos de una página Web.

Uno de los primeros controles que se debe implementar es la arquitectura de la página Web, en donde, se debe implementar un diseño multicapa de Servidores. De manera que un servidor se encargue únicamente de mostrar el contenido de la página web, otro servidor procese la data y un tercer servidor almacene los datos.

Figura 3. Modelo Multi-Layer para los servidores Web

Una vez aplicado el  diseño multicapa de Servidores, una de sus vulnerabilidades es que el servidor no valida las entradas de los clientes, por lo que, si el código implementado permite que se desarrolle la acción, este será ejecutado aún cuando la intención sea mala. 

Para mitigar este tipo de ataque, se recomienda aplicar un balanceador de cargas antes de lo servidores, y antes del balanceador de carga colocar un Web Application Firewall, que nos ayude a validar las entradas de los clientes y nos ayuda a protegernos de ataques como cross-site scripting, SQL injection, entre otros ataques tipo web.


Figura 4. ¿Cómo funciona un WAF?

Debido a que uno de los grandes vectores de brecha de seguridad son los correos corporativos, nuestra recomendación es implementar herramientas de controles como lo es Proofpoint, que permite automatizar la identificación de correos Spam o información clasificada mientras que las personas estén dentro de la empresa.

Para tener una postura de seguridad preventiva completa, además de implementar los controles automáticos anteriormente mencionados, se debe trabajar de forma continua el “user Awareness”. La cual, consta de que el usuario conozca y entienda cuáles son las políticas de seguridad aprobadas y diseñadas  por el senior management que debe cumplir, debe tener conocimiento a las amenazas que está expuesto y debe saber cómo actuar cuando se detecte alguna amenaza y alarmar al equipo de seguridad.

Además, todas las personas que administran las herramientas de seguridad deben capacitarse para aplicar las mejores prácticas y estar alerta para que no se permita que se abran brechas de seguridad por algún error de configuración. Ante esto, algunos de los métodos que se pueden implementar es “rotation of jobs”, ya que, a medida que se vayan rotando las tareas otras personas podrán auditar lo que se ha hecho por el resto del equipo. Recuerda, el eslabón más débil de la seguridad en una empresa es el humano.

 

Escrito por Santiago Rangel 18 diciembre, 2020
Santiago Rangel