Attack Surface Reduction

Texto introductorio: Los líderes en ciberseguridad se enfrentan a una presión cada vez mayor para detener los ataques antes de que comiencen, y la mejor defensa puede depender de la configuración que elijas desde el primer día. En este artículo, Yuriy Tsibere explora cómo las políticas predeterminadas, como la denegación por defecto, la aplicación de la MFA y la aplicación Ringfencing™, pueden eliminar categorías enteras de riesgo. Desde deshabilitar las macros de Office hasta bloquear el tráfico saliente de los servidores, estas medidas simples pero estratégicas crean un entorno reforzado en el que los atacantes no pueden penetrar fácilmente. Ya sea que proteja los terminales o supervise la implementación de políticas, adoptar una mentalidad de seguridad por defecto puede reducir la complejidad, reducir la superficie de ataque y ayudarlo a anticiparse a las amenazas en constante evolución.

La ciberseguridad ha cambiado drásticamente desde los días del virus «Love Bug» en 2001. Lo que antes era una molestia ahora es una empresa criminal con fines de lucro que vale miles de millones. Este cambio exige estrategias de defensa proactivas que no solo respondan a las amenazas, sino que eviten que lleguen a su red. Los CISO, los administradores de TI y los MSP necesitan soluciones que bloqueen los ataques de forma predeterminada , no solo detectarlos después de los hechos. Los marcos industriales como el NIST, la ISO, el CIS y la HIPAA proporcionan orientación, pero a menudo carecen de las medidas claras y prácticas necesarias para implementar una seguridad eficaz.

Para cualquiera que comience un nuevo rol de liderazgo en seguridad, la misión es clara: detener tantos ataques como sea posible, frustrar a los actores de amenazas y hacerlo sin alienar al equipo de TI. Ahí es donde entra en juego la mentalidad de seguridad por defecto: configurar los sistemas para bloquear los riesgos desde el principio. Como he dicho con frecuencia, los atacantes solo tienen que acertar una vez. Tenemos que tener razón el 100% del tiempo.

Así es como establecer los valores predeterminados correctos puede eliminar categorías enteras de riesgo.

Exigir autenticación multifactor (MFA) en todas las cuentas remotas

La habilitación de MFA en todos los servicios remotos, incluidas las plataformas SaaS como Office 365 y G Suite, así como los registradores de dominios y las herramientas de acceso remoto, es un valor predeterminado de seguridad fundamental. Incluso si una contraseña se ve comprometida, la MFA puede impedir el acceso no autorizado. Intente evitar el uso de mensajes de texto para la autenticación multifunción, ya que pueden interceptarse.

Si bien puede generar cierta fricción, los beneficios de seguridad superan con creces el riesgo de robo de datos o pérdida financiera.

Denegación por defecto

Una de las medidas de seguridad más eficaces en la actualidad es la creación de listas blancas o permitidas de aplicaciones. Este enfoque bloquea todo de forma predeterminada y solo permite la ejecución de software conocido y aprobado. El resultado: el ransomware y otras aplicaciones maliciosas se detienen antes de que puedan ejecutarse. También bloquea herramientas remotas legítimas pero no autorizadas, como AnyDesk o similares, que los atacantes suelen intentar introducir a hurtadillas mediante ingeniería social.

Los usuarios pueden seguir accediendo a lo que necesitan a través de un almacén de aplicaciones seguras previamente aprobado, y las herramientas de visibilidad facilitan el seguimiento de todo lo que se ejecuta, incluidas las aplicaciones portátiles.

Ganancias rápidas gracias a una configuración segura

Los pequeños cambios en la configuración predeterminada pueden cerrar las principales brechas de seguridad en Windows y otras plataformas:

  • Desactivar las macros de Office: tarda cinco minutos y bloquea uno de los vectores de ataque más comunes del ransomware.
  • Usa protectores de pantalla protegidos con contraseña: bloquea automáticamente la pantalla después de un breve descanso para evitar que alguien husmee.
  • Desactivar SMBv1: este protocolo de la vieja escuela está desactualizado y se ha utilizado en grandes ataques como WannaCry. La mayoría de los sistemas ya no lo necesitan.
  • Apague el keylogger de Windows: rara vez es útil y podría representar un riesgo de seguridad si se deja encendido.

Controle el comportamiento de las redes y las aplicaciones para las organizaciones

  • Elimine los derechos de administrador local: la mayoría del malware no necesita acceso de administrador para ejecutarse, pero quitárselo evita que los usuarios alteren la configuración de seguridad o incluso instalen software malintencionado.
  • Bloquee los puertos no utilizados y limite el tráfico saliente:
    • Cierre los puertos SMB y RDP a menos que sea absolutamente necesario y solo permita fuentes confiables.
    • Impida que los servidores accedan a Internet a menos que sea necesario. Esto ayuda a evitar ataques como SolarWinds.
  • Controle el comportamiento de las aplicaciones: herramientas como ThreatLocker Ringfencing™ pueden impedir que las aplicaciones hagan cosas incompletas —como Word al lanzar PowerShell (sí, ese es un verdadero método de ataque).
  • Proteja su VPN: si no la necesita, apáguela. Si lo hace, limite el acceso a direcciones IP específicas y restrinja el acceso de los usuarios.

Reforzar los controles web y de datos

  • Bloquee las unidades USB de forma predeterminada: son una forma habitual de propagación del malware. Solo permita dispositivos cifrados y gestionados de forma segura si es necesario.
  • Limitar el acceso a los archivos: las aplicaciones no deberían poder hurgar en los archivos de los usuarios a menos que realmente lo necesiten.
  • Filtre las herramientas no aprobadas: bloquee aplicaciones SaaS o en la nube aleatorias que no hayan sido examinadas. Permita que los usuarios soliciten acceso si necesitan algo.
  • Realice un seguimiento de la actividad de los archivos: controle quién hace qué con los archivos, tanto en los dispositivos como en la nube. Es clave para detectar conductas sospechosas.

Vaya más allá de los valores predeterminados con la supervisión y la aplicación de parches

Los incumplimientos sólidos son solo el principio. La vigilancia continua es fundamental:

  • Parches regulares: la mayoría de los ataques utilizan errores conocidos. Mantén todo actualizado, incluidas las aplicaciones portátiles.
  • Detección automática de amenazas: las herramientas de EDR son excelentes, pero si nadie vigila las alertas las 24 horas del día, los 7 días de la semana, las amenazas pueden pasar desapercibidas. Los servicios de MDR pueden funcionar rápidamente, incluso fuera del horario de atención.

La seguridad por defecto no solo es inteligente, sino que no es negociable. El bloqueo de aplicaciones desconocidas, el uso de una autenticación sólida y el bloqueo de las redes y el comportamiento de las aplicaciones pueden eliminar un montón de riesgos. Los atacantes solo necesitan un disparo, pero la sólida configuración predeterminada mantiene tus defensas preparadas en todo momento. ¿La recompensa? Menos infracciones, menos problemas y una configuración más sólida y resiliente.

Nota: Este artículo está escrito y contribuido de manera experta por Yuriy Tsibere, gerente de producto y analista empresarial de ThreatLocker.

¿Te ha parecido interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.