Cuando uno trabaja en un equipo de respuestas ante incidentes (DFIR o CIR) se da cuenta de la cantidad de problemas que existen en las organizaciones cuando estas tienen un incidente grave. Por desgracia ‘los malos’ rompen el perímetro y se quedan a vivir en los servidores hasta que ocurre algo o el propio sysadmin se da cuenta de que la cosa no va bien.
Normalmente se soluciona revertiendo la situación aplicando remedios como los formateos, actualizaciones de seguridad y como no, bastionando el sistema que suele ser un puesto de trabajo, servidores o dispositivos de red.
El bastionado o ‘hardening’ es el proceso de reforzar la seguridad de estos sistemas con objeto de eliminar el mayor número de riesgos de seguridad. Esto permite, que con el paso de los tiempos las configuraciones de seguridad de muchos productos (realmente caros) han mejorado en los últimos años, pero alguna de estas opciones que el propio fabricante aconseja por defecto, dejan al descubierto vulnerabilidades que son aprovechadas por los atacantes de forma indiscriminada.
Cambiando de tercio, un ejemplo muy vistoso y lamentablemente muy activo son los ataques que utilizando ‘el arte del Phishing’ hacen que los usuarios ejecuten programas que dicen ser certificados o ficheros "pdf" para mostrarnos la cara real de los Ransomware, los cuales están haciendo un daño increíble a la industria y especialmente a la Pymes cuyo nivel de conciencia y protección (por desgracia) es muy poco o casi nulo. Aprovechan la debilidad de los usuarios y la mal granularidad de privilegios en Windows, el cual se convierte en la victima perfecta.
También los anti-malware, antivirus y anti-todo se han demostrado innocuos ante semejante problema hasta que han dispuesto de las muestras para ofrecer una ajustada y tardía solución.
Por otro lado y como decía anteriormente las soluciones que defienden el perímetro no son efectivas con las configuraciones impuestas de fábrica, las cuales hay que ‘tunear’ para adaptarla a la empresa, así mismo tan importante es el perímetro como el punto final el cual hay que asegurar como último bastión de defensa.
Lo que quiero decir es que no hay que confiarse y dejar la responsabilidad a la tecnología (recordad, la tecnología es una herramienta) y por lo tanto hay que diseñar un plan empezando por concienciar (esa palabra tan desgastada), la formación y fortificación de los sistemas. Un sistema bastionado es complicado de atacar.
Pensando en estas cosas y comentando con Lorenzo de Securizame ha propuesto un entrenamiento basado en un curso para todos los sysadmin, administradores de Windows y técnicos especialistas para que tengan la habilidad necesaria para afrontar con éxito un ataque y poder bastionar sus sistemas.
Únase al curso de Hardening de Sistemas Windows y Linux e Infraestructuras y experimente una inmersión totalmente práctica. Aprenda las técnicas y habilidades de forma rápida y automática desde el primer día.
No hay comentarios:
Publicar un comentario