Youtube Facebook-f Linkedin-in Instagram
CONTACTAME
Ciberseguridad
_ _ imagenti_ 0 Comments

Controles de seguridad débiles y Practicas rutinarias explotables para el acceso inicial

Controles de seguridad débiles y prácticas rutinarias explotables para el acceso inicial

Fecha de lanzamiento original: 17 de mayo de 2022

Descargar PDF

Resumen

Mejores prácticas para proteger sus sistemas:
• Controle el acceso.
• Reforzar las credenciales.
• Establecer una gestión de registros centralizada.
• Utilice soluciones antivirus.
• Emplear herramientas de detección.
• Operar servicios expuestos en hosts accesibles por Internet con configuraciones seguras.
• Mantenga el software actualizado.

Los ciber-atacantes explotan de manera rutinaria configuraciones de seguridad deficientes (ya sea que estén mal configuradas o no estén protegidas), controles débiles y otras prácticas de higiene cibernética deficientes para obtener acceso inicial o como parte de otras tácticas para comprometer el sistema de una víctima. Este aviso de seguridad cibernética conjunto identifica los controles y prácticas comúnmente explotados e incluye las mejores prácticas para mitigar los problemas. Este aviso fue redactado conjuntamente por las autoridades de ciberseguridad de los Estados Unidos, Canadá, Nueva Zelanda, los Países Bajos y el Reino Unido.

Descargue la versión PDF de este informe (pdf, 430kb).

Detalles técnicos

Los actores malintencionados suelen utilizar las siguientes técnicas para obtener acceso inicial a las redes de las víctimas. [TA0001]

Los actores cibernéticos maliciosos a menudo explotan los siguientes controles de seguridad débiles, configuraciones deficientes y prácticas de seguridad deficientes para emplear las técnicas de acceso inicial.

  • No se aplica la autenticación multifactor (MFA). MFA, particularmente para el acceso a escritorio remoto, puede ayudar a prevenir la apropiación de cuentas. Con el Protocolo de escritorio remoto (RDP) como uno de los vectores de infección más comunes para el ransomware, MFA es una herramienta fundamental para mitigar la actividad cibernética maliciosa. No excluya a ningún usuario, en particular a los administradores, de un requisito de MFA. 
  • Privilegios o permisos aplicados incorrectamente y errores en las listas de control de acceso. Estos errores pueden impedir la aplicación de las reglas de control de acceso y permitir que los usuarios no autorizados o los procesos del sistema obtengan acceso a los objetos. 
  • El software no está actualizado. El software sin parches puede permitir que un atacante explote vulnerabilidades conocidas públicamente para obtener acceso a información confidencial, lanzar un ataque de denegación de servicio o tomar el control de un sistema. Esta es una de las malas prácticas de seguridad más comunes.
  • Uso de configuraciones predeterminadas proporcionadas por el proveedor o nombres de usuario y contraseñas de inicio de sesión predeterminados.Muchos productos de software y hardware vienen “listos para usar” con configuraciones predeterminadas de fábrica demasiado permisivas destinadas a hacer que los productos sean fáciles de usar y reducir el tiempo de resolución de problemas para el servicio al cliente. Sin embargo, dejar estas configuraciones predeterminadas de fábrica habilitadas después de la instalación puede proporcionar vías para que un atacante las explote. Los dispositivos de red también suelen estar preconfigurados con nombres de usuario y contraseñas de administrador predeterminados para simplificar la configuración. Estas credenciales predeterminadas no son seguras; pueden estar etiquetadas físicamente en el dispositivo o incluso disponibles en Internet. Dejar estas credenciales sin cambios crea oportunidades para actividades maliciosas, incluido el acceso no autorizado a la información y la instalación de software malicioso. Los defensores de la red también deben ser conscientes de que las mismas consideraciones se aplican a las opciones de software adicionales,
  • Los servicios remotos, como una red privada virtual (VPN), carecen de controles suficientes para evitar el acceso no autorizado. Durante los últimos años, se han observado actores de amenazas maliciosos apuntando a servicios remotos. Los defensores de la red pueden reducir el riesgo de compromiso del servicio remoto agregando mecanismos de control de acceso, como hacer cumplir MFA, implementar un firewall de límite frente a una VPN y aprovechar los sensores del sistema de detección de intrusiones/sistema de prevención de intrusiones para detectar actividad de red anómala.  
  • No se implementan políticas de contraseñas seguras. Los ciberdelincuentes malintencionados pueden utilizar una gran variedad de métodos para explotar contraseñas débiles, filtradas o comprometidas y obtener acceso no autorizado al sistema de una víctima. Los actores cibernéticos maliciosos han usado esta técnica en varios actos nefastos y de manera prominente en ataques dirigidos a RDP. 
  • Los servicios en la nube están desprotegidos. Los servicios en la nube mal configurados son objetivos comunes para los ciberactores. Las configuraciones deficientes pueden permitir el robo de datos confidenciales e incluso el cryptojacking.
  • Los puertos abiertos y los servicios mal configurados están expuestos a Internet. Este es uno de los hallazgos de vulnerabilidad más comunes. Los actores cibernéticos usan herramientas de escaneo para detectar puertos abiertos y, a menudo, los usan como un vector de ataque inicial. El compromiso exitoso de un servicio en un host podría permitir que los actores cibernéticos maliciosos obtengan acceso inicial y usen otras tácticas y procedimientos para comprometer las entidades expuestas y vulnerables. RDP, Server Message Block (SMB), Telnet y NetBIOS son servicios de alto riesgo. 
  • No detectar o bloquear los intentos de phishing. Los ciberdelincuentes envían correos electrónicos con macros maliciosas, principalmente en documentos de Microsoft Word o archivos de Excel, para infectar los sistemas informáticos. La infección inicial puede ocurrir de varias maneras, como cuando un usuario abre o hace clic en un enlace de descarga malicioso, PDF o documento de Microsoft Word habilitado para macros incluido en correos electrónicos de phishing. 
  • Detección y respuesta de punto final deficientes. Los actores cibernéticos usan scripts maliciosos ofuscados y ataques de PowerShell para eludir los controles de seguridad de puntos finales y lanzar ataques en los dispositivos de destino. Estas técnicas pueden ser difíciles de detectar y proteger. 

Mitigaciones

La aplicación de las siguientes prácticas puede ayudar a las organizaciones a fortalecer las defensas de su red contra prácticas y controles de seguridad débiles explotados comúnmente.

Controlar el acceso

  • Adopte un modelo de seguridad de confianza cero que elimine la confianza implícita en cualquier elemento, nodo o servicio y, en su lugar, requiera una verificación continua de la imagen operativa a través de información en tiempo real de múltiples fuentes para determinar el acceso y otras respuestas del sistema.[ 9 ], [ 10 ] La arquitectura de confianza cero permite la administración de acceso de privilegios granular y puede permitir que a los usuarios se les asignen solo los derechos necesarios para realizar las tareas asignadas.
  • Limite la capacidad de una cuenta de administrador local para iniciar sesión desde una sesión remota (p. ej., deniegue el acceso a esta computadora desde la red) y evite el acceso a través de una sesión RDP. Además, use estaciones de trabajo administrativas dedicadas para sesiones de usuarios privilegiados para ayudar a limitar la exposición a todas las amenazas asociadas con el dispositivo o el compromiso del usuario. 
  • Controla quién tiene acceso a tus datos y servicios. Otorgue acceso al personal solo a los datos, derechos y sistemas que necesitan para realizar su trabajo. Este control de acceso basado en roles, también conocido como el principio de privilegio mínimo, debe aplicarse tanto a las cuentas como al acceso físico. Si un actor cibernético malicioso obtiene acceso, el control de acceso puede limitar las acciones que pueden realizar los actores maliciosos y puede reducir el impacto de las configuraciones incorrectas y los errores del usuario. Los defensores de la red también deben usar este control de acceso basado en roles para limitar el acceso de cuentas funcionales, de máquinas y de servicios, así como el uso de privilegios de administración, a lo que sea necesario. Considere lo siguiente cuando implemente modelos de control de acceso:
    • Asegúrese de que el acceso a los datos y servicios se adapte específicamente a cada usuario, y que cada empleado tenga su propia cuenta de usuario. 
    • Otorgue a los empleados acceso solo a los recursos necesarios para realizar sus tareas.
    • Cambie las contraseñas predeterminadas de los equipos y sistemas al momento de la instalación o puesta en marcha. 
    • Asegurar que existan procesos para la entrada, salida y movimiento interno de los empleados. Elimine las cuentas no utilizadas y elimine inmediatamente el acceso a los datos y sistemas de las cuentas de los empleados que ya no necesitan acceso. Desactive las cuentas de servicio y actívelas solo cuando se realice el mantenimiento.[ 11 ]
  • Refuerce las políticas de acceso condicional. Revise y optimice las reglas de VPN y control de acceso para administrar cómo los usuarios se conectan a la red y los servicios en la nube.
  • Verifique que todas las máquinas, incluidas las instancias de máquinas virtuales basadas en la nube, no tengan puertos RDP abiertos. Coloque cualquier sistema con un puerto RDP abierto detrás de un firewall y solicite a los usuarios que usen una VPN para acceder a él a través del firewall.[ 12 ]

Implementar el endurecimiento de credenciales

  • Implementar MFA. En particular, aplique MFA en todas las conexiones VPN, servicios externos y cuentas privilegiadas. Requerir MFA resistente al phishing (como llaves de seguridad o tarjetas PIV) para servicios críticos. Cuando no se implemente MFA, aplique una política de contraseña segura junto con otra información basada en atributos, como información del dispositivo, hora de acceso, historial de usuario y datos de geolocalización. Consulte la Información de seguridad cibernética de la NSA sobre la selección de soluciones seguras de autenticación de múltiples factores , la Publicación especial 800-63B del Instituto Nacional de Estándares y Tecnología (NIST) : Directrices de identidad digital: Autenticación y gestión del ciclo de vida , y la Guía de seguridad de la tecnología de la información de CCCS : Guía de autenticación de usuarios para la información. Sistemas Tecnológicospara conocer los pasos adicionales a seguir para habilitar la seguridad de autenticación en profundidad.
  • Cambie o deshabilite los nombres de usuario y contraseñas predeterminados proporcionados por el proveedor. Hacer cumplir el uso de contraseñas seguras. (Consulte la guía del NIST).
  • Configure el monitoreo para detectar el uso de credenciales comprometidas en sus sistemas. Implemente controles para evitar el uso de contraseñas comprometidas o débiles en su red. 

Establezca una gestión de registros centralizada

  • Asegúrese de que cada aplicación y sistema genere suficiente información de registro. Los archivos de registro juegan un papel clave en la detección de ataques y el tratamiento de incidentes. Al implementar una sólida recopilación y retención de registros, las organizaciones pueden tener suficiente información para investigar incidentes y detectar el comportamiento de los actores de amenazas. Tenga en cuenta lo siguiente al implementar la recopilación y retención de registros: 
    • Determine qué archivos de registro son necesarios. Estos archivos pueden pertenecer al registro del sistema, registro de red, registro de aplicaciones y registro en la nube. 
    • Configure alertas cuando sea necesario. Estos deben incluir notificaciones de intentos de inicio de sesión sospechosos basados ​​en un análisis de los archivos de registro. 
    • Asegúrese de que sus sistemas almacenen los archivos de registro en un formato de archivo utilizable y que las marcas de tiempo registradas sean precisas y estén configuradas en la zona horaria correcta. 
    • Reenvíe los registros de los sistemas locales a un repositorio centralizado o herramientas de administración de eventos e información de seguridad (SIEM). Proteja de manera sólida las herramientas SIEM con protecciones arquitectónicas y de cuentas sólidas.
    • Tomar una decisión sobre el período de retención de los archivos de registro. Si guarda archivos de registro durante mucho tiempo, puede consultarlos para determinar los hechos mucho después de que ocurran los incidentes. Por otro lado, los archivos de registro pueden contener información sensible a la privacidad y ocupar espacio de almacenamiento. Limite el acceso a los archivos de registro y guárdelos en un segmento de red separado. La investigación de un incidente será casi imposible si los atacantes han podido modificar o eliminar los archivos de registro.[ 13 ]

Emplear programas antivirus

  • Implemente una solución antimalware en las estaciones de trabajo para evitar spyware, adware y malware como parte de la línea base de seguridad del sistema operativo.
  • Supervise los resultados del análisis antivirus de forma rutinaria.

Emplear Herramientas de Detección y Búsqueda de Vulnerabilidades

  • Implementar herramientas de respuesta de punto final y detección. Estas herramientas permiten un alto grado de visibilidad del estado de seguridad de los puntos finales y pueden ayudar a proteger de manera efectiva contra los ciberagresores malintencionados.
  • Emplee un sistema de detección de intrusiones o un sistema de prevención de intrusiones para proteger la red y los dispositivos locales de la actividad maliciosa. Use firmas para ayudar a detectar actividad de red maliciosa asociada con actividad de amenaza conocida.
  • Realice pruebas de penetración para identificar errores de configuración. Consulte la sección Recursos adicionales a continuación para obtener más información sobre los servicios gratuitos de higiene cibernética de CISA, incluidas las pruebas de penetración remotas.
  • Realice un escaneo de vulnerabilidades para detectar y abordar las vulnerabilidades de las aplicaciones. 
  • Utilice las herramientas del proveedor de servicios en la nube para detectar el almacenamiento en la nube sobrecompartido y monitorear los accesos anormales.

Mantener programas rigurosos de gestión de la configuración

  • Opere siempre los servicios expuestos en hosts accesibles por Internet con configuraciones seguras. Nunca habilite el acceso externo sin controles de compensación, como firewalls de límite y segmentación de otros hosts internos más seguros, como controladores de dominio. Evalúe continuamente la necesidad comercial y de misión de los servicios orientados a Internet. Siga las mejores prácticas para las configuraciones de seguridad, especialmente el bloqueo de macros en documentos de Internet.[ 14 ]

Iniciar un programa de administración de software y parches 

  • Implemente procesos de gestión de activos y parches para mantener el software actualizado. Identifique y mitigue software y firmware no compatibles, al final de su vida útil y sin parches mediante la realización de actividades de análisis de vulnerabilidades y parches. Priorizar la aplicación de parches a las vulnerabilidades explotadas conocidas .

Recursos adicionales 

Referencias 

[1] Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos 
[2] Oficina Federal de Investigaciones de los
Estados Unidos [3] Agencia de Seguridad Nacional de los Estados Unidos
[4] Centro Canadiense de Seguridad Cibernética 
[5] Centro Nacional de Seguridad Cibernética de Nueva Zelanda 
[6] CERT de Nueva Zelanda NZ
[7] Centro Nacional de Seguridad Cibernética de los Países Bajos
[8] Centro Nacional de Seguridad Cibernética del Reino Unido 
[9] Orden ejecutiva de la Casa Blanca sobre la mejora de la seguridad cibernética de la nación
[10] Hoja informativa del NCSC-NL: Prepárese para la confianza cero
[11] Guía del NCSC-NL para Medidas de seguridad cibernética
[12] Blog de N-able: Sistema de detección de intrusos (IDS): firma frente a basado en anomalías
[13] Guía de medidas de seguridad cibernética del NCSC-NL
[14] Instituto Nacional de Estándares y Tecnología SP 800-123: Mantenimiento de servidores seguros

Advertencias

La información a la que ha accedido o recibido se proporciona “tal cual” solo con fines informativos. CISA, el FBI, la NSA, CCCS, NCSC-NZ, CERT-NZ, NCSC-NL y NCSC-UK no respaldan ningún producto o servicio comercial, incluidos los sujetos de análisis. Cualquier referencia a productos, procesos o servicios comerciales específicos por marca de servicio, marca comercial, fabricante o de otro modo, no constituye ni implica su respaldo, recomendación o favoritismo.

Objetivo

Este documento fue desarrollado por CISA, el FBI, NSA, CCCS, NCSC-NZ, CERT-NZ, NCSC-NL y NCSC-UK en cumplimiento de sus respectivas misiones de ciberseguridad, incluidas sus responsabilidades para desarrollar y emitir especificaciones y mitigaciones de ciberseguridad. Esta información puede compartirse ampliamente para llegar a todas las partes interesadas apropiadas.

5

Author

imagenti

Tu socio de confianza en ciberseguridad
Conócenos
Contacto

info@imagenti.mx

Siguenos en:
Linkedin Facebook Instagram Youtube Twitter
Conoce más sobre WithSecure