Siete precauciones para la protección contra los perpetradores

  Adrienne Hall – Gerente General, Computación Confiable

Los ataques cibernéticos y las violaciones de datos siguen dominando las noticias a nivel mundial. La realidad es que la mayoría de las organizaciones se enfrentan a las mismas amenazas a menudo reportadas y continúan su trabajo para contrarrestar esos riesgos.

Algunas organizaciones víctimas de los criminales cibernéticos han compartido información públicamente. Otras han optado por llevar a cabo investigaciones y compartir información sobre el ataque de una manera más limitada, o nada en absoluto. Como resultado, los temas en los medios relacionados con ataques cibernéticos a veces carecen de información detallada, con fuerte dependencia de fuentes no identificadas.
Comprender el paisaje actual y formular las estrategias correspondientes sigue siendo importante para ayudar a las organizaciones a protegerse contra las tácticas que se han convertido en algo común.

Phishing como punto de apoyo

En algunos recientes compromisos de alto perfil, los ataques de phishing han sido el método principal utilizado por los atacantes para obtener acceso a la red de su víctima objetivo. Un ataque de phishing es una actividad que "diseña" respuestas sociales o de comportamiento para comprometer la seguridad – no se necesita ninguna vulnerabilidad de software para tratar de engañar a una persona que utiliza su PC o dispositivo, y así revele su nombre de usuario y contraseña. Los delincuentes cibernéticos continúan engañando con éxito a los individuos para que les proporcionen sus credenciales. Entonces, los atacantes utilizan las credenciales robadas para acceder ilegalmente al PC de la víctima o, en el caso de las organizaciones, a su red. Una vez obtenidas, el atacante puede intentar robar más credenciales y obtener acceso a otros recursos de la red. Para mayores informes: El último Informe sobre inteligencia de seguridad de Microsoft, volumen 17, tiene más información sobre el robo de credenciales y cómo Microsoft está haciendo que sea aún más difícil para los atacantes utilizar las credenciales robadas.

La falta de higiene del sistema

Otra forma de engaño tiene que ver con los atacantes que utilizan los archivos adjuntos de correo electrónico malintencionados para tratar de poner en peligro los sistemas de una o varias personas. A menudo, su objetivo es robar contraseñas individuales u otras credenciales de red, como las utilizadas para otras aplicaciones o servicios, implementadas dentro del ambiente de una organización. Estos ataques podrían tomar ventaja de las áreas conocidas de debilidad. Es importante garantizar que los sistemas aprovechen las actualizaciones más recientes para ofrecer una mayor seguridad. En estos tipos de ataques con archivos adjuntos de correo electrónico, los usuarios son engañados para que los abran. Sin saberlo, son maliciosos. Estos archivos adjuntos maliciosos están diseñados para comprometer los sistemas de los usuarios y permitir a los atacantes robar sus credenciales, y los sistemas que no están al día tienen un mayor riesgo de ataque. Este tipo de "explotación con analizador documentos" ha sido común desde hace varios años.

Para mayores informes: El último Informe sobre inteligencia de seguridad de Microsoft, volumen 17, tiene más información sobre estas explotaciones. Las principales áreas incluyen:

    1. Entre más reciente sea la versión, mejor: ejecutar la última versión de los analizadores de documentos, los últimos service packs y actualizaciones de seguridad ayudan a protegerse contra este tipo de ataques. Ejemplos de analizadores de documentos son Microsoft Office, Adobe Acrobat, Adobe Reader, y otros.
    1. Use Microsoft Update para mantener sus sistemas con Windows actualizados. Microsoft Update le ayudará a mantener la totalidad de su software de Microsoft actualizado, incluyendo los sistemas operativos de Windows y Microsoft Office.
    1. No abra archivos adjuntos de correo electrónico o documentos alojados en Internet, si usted no conoce y confía en su fuente.

Principios de privilegio: menor privilegio sin uso

Una vez que los atacantes cibernéticos han robado las credenciales, pueden acceder a la red de su víctima. En las redes donde se han aplicado los principios del menor privilegio, los atacantes están a menudo frustrados en sus intentos de avanzar rápidamente en la red y lograr su objetivo de acceder a los recursos que necesitan para comprometer aún más sistemas. Para mayores informes: El centro de descarga de Microsoft contiene varios documentos técnicos que describen el enfoque de cuenta de usuario con el menor privilegio y proporciona información sobre las herramientas y recursos relacionados.

Proteja los activos de alto valor

Cada organización tiene que determinar lo que consideran que son sus “joyas de la corona” y la forma de proteger de manera óptima sus activos de alto valor. Por una serie de razones, los activos de alto valor se pueden mezclar con otros activos, en lugar de estar más aislados o protegidos, dentro de esa red. Al elegir no aislar los activos, aumenta el número de personas que pueden acceder regularmente a los sistemas. Un atacante cibernético con credenciales de red robadas podría ahora tener acceso a esos bienes de alto valor, simplemente porque los más importantes no fueron manejados de una manera más protegida o aislada. Además, el cifrado de los activos, como datos de banda magnética, tarjeta de datos de entrada PIN, datos de vuelo y los datos en almacenamiento, es un paso tan importante como el aislamiento de la red. Estas prácticas no son universalmente desplegados por las organizaciones y pueden contribuir al éxito de la actividad maliciosa. Para mayores informes: El Informe sobre inteligencia de seguridad de Microsoft volumen 17 tiene información sobre las estrategias que cubren el aislamiento y la codificación de los activos de alto valor.

Cómo proteger las credenciales de administrador

Microsoft ha publicado una serie de documentos sobre ataques dirigidos que incluye orientación sobre cómo reducir el robo de credenciales. Un ataque de este tipo, llamado "transferencia del hash" (o pass-the-hass) ha sido un favorito de los atacantes durante muchos años. Este ataque se suele utilizar una vez que los atacantes tienen un conjunto de credenciales de usuario robado y han puesto en peligro la red de la víctima. El objetivo del ataque es cosechar la mayor cantidad de credenciales robadas como sea posible con el fin de comprometer aún más la red de la víctima y no ser detectados por el mayor tiempo posible. La protección de las credenciales de administrador es un paso fundamental en la contención de este tipo de ataque. Las organizaciones que no han adoptado estas mejores prácticas se encuentran en mayor riesgo frente a estos ataques conocidos de robo y la reutilización de credenciales. Para mayores informes: En estos documentos recientes se analizan ataques Pass-the-Hash (PtH) contra los sistemas operativos Windows y proporciona estrategias de planificación integrales que, cuando se combinan con las funciones de seguridad de Windows, proporcionarán una defensa más eficaz contra estos ataques. Las estrategias son útiles para todos los tipos de software, como el tipo de ataque PtH, que se utiliza regularmente en contra de todos los sistemas.

Motivación permanente del atacante

El principal objetivo de los ataques dirigidos continúa siendo el robo de activos de datos de alto valor; no sólo comprometer los sistemas.
Los atacantes que se dirigen a las organizaciones lo hacen debido a los activos de alto valor que existen allí; que incluye la información de identificación personal, como números de tarjetas de crédito u otra información personal. Muchos criminales venden o intercambian esa información con otros criminales que tratan de robar los fondos de las cuentas bancarias y, en última instancia, robar identidades. Las víctimas de los recientes ataques de alto perfil fueron elegidos porque procesan millones de transacciones financieras y contienen información sobre millones de consumidores. Estos activos son más atractivos para los atacantes que la satisfacción de comprometer un sistema; ya sea con Windows o cualquier otro sistema operativo.

Proteger, detectar y responder

Muchas organizaciones siguen utilizando una estrategia de seguridad centrada en los conceptos de protección y recuperación. Si sólo se centra en estas dos categorías, cuando se ve comprometido el perímetro de la red, pueden faltar controles para detectar atacantes y contener la actividad maliciosa. Una estrategia de seguridad más integral, asumiendo que una violación puede ocurrir, beneficiará a la mayoría de las organizaciones. Esto incluye el establecimiento de una supervisión, detección y gestión permanentes y efectivas, así como controles operacionales.

 

Original: http://blogs.microsoft.com/cybertrust/2014/11/18/precautions-protecting-v-perps/