Ciberhigiene previene el 99% de los ciberataques #2

ciberhigiene para la seguridad de tu empresa

En la era digital actual, las empresas dependen cada vez más de la tecnología y los sistemas en línea para realizar sus negocios. 

Como resultado, cumplir con los estándares mínimos de ciberhigiene es esencial para protegerse contra las ciberamenazas, minimizar el riesgo y garantizar la viabilidad continua del negocio. 

La seguridad básica aún nos protege contra el 99% de los ataques. Tal como se menciona en el Informe protección digital de Microsoft.

Los estándares mínimos que todas las organizaciones deberían adoptar son:

  • Habilitar la autenticación multifactor (MFA)
  • Aplicar los principios de Confianza Cero
  • Utilice detección y respuesta extendidas y antimalware
  • Mantener los sistemas actualizados
  • Proteger datos

Habilidades Básicas de Ciberhigiene

 

1. Habilite la autenticación multifactor (MFA)

¿Quiere reducir los ataques a tus cuentas? Configura el MFA. La autenticación multifactor, como su nombre indica, requiere dos o más factores de verificación.

Comprometer más de un factor de autenticación presenta un desafío importante para los atacantes porque conocer (o descifrar) una contraseña no será suficiente para obtener acceso a un sistema.

Con MFA habilitado, puede prevenir el 99,9% de los ataques a tus cuentas.

MFA

Hacerte con el MFA mucho, mucho más fácil

Elija MFA cuando la autenticación adicional pueda ayudar a proteger datos confidenciales y sistemas críticos en lugar de aplicarla a cada interacción.

MFA no tiene por qué ser un desafío para el usuario final. 

Utilice políticas de acceso condicional, que permiten activar la verificación en dos pasos basada en detecciones de riesgos, así como autenticación PassThrough e inicio de sesión único (SSO). 

De esta manera, los usuarios finales no tienen que soportar múltiples secuencias de inicio de sesión para acceder a archivos compartidos o calendarios no críticos en la red corporativa cuando sus dispositivos están actualizados con las últimas actualizaciones de software. 

Los usuarios tampoco tendrán que restablecer su contraseña cada 90 días, lo que mejorará significativamente su experiencia.

Ataques de phishing comunes

En un ataque de phishing, los delincuentes utilizan tácticas de ingeniería social para engañar a los usuarios para que proporcionen credenciales de acceso o revelen información confidencial. Los ataques de phishing comunes incluyen:

Los ataques de phishing comunes incluyen

 2. Aplicar los principios de Confianza Cero

Zero Trust es la piedra angular de cualquier plan de resiliencia que limite el impacto en una organización. 

Un modelo Zero Trust es un enfoque proactivo e integrado de seguridad en todas las capas del patrimonio digital que verifica explícita y continuamente cada transacción; afirma el acceso con privilegios mínimos; y se basa en inteligencia, detección avanzada y respuesta en tiempo real a las amenazas.

Zero Trust es un modelo de seguridad que se basa en el principio de “nunca confiar, siempre verificar”.

0trust

Cuando se adopta un enfoque de Confianza Cero, es posible:

  • Apoyar el trabajo remoto e híbrido
  • Ayude a prevenir o reducir los daños comerciales causados ​​por una infracción
  • Identifique y ayude a proteger identidades y datos comerciales confidenciales
  • Genere confianza en su postura y programas de seguridad en todo su equipo de liderazgo, empleados, socios, partes interesadas y clientes.

Los principios de Confianza Cero son:

    • Suponga una infracción
      Suponga que los atacantes pueden atacar y atacarán con éxito cualquier cosa (identidad, red, dispositivo, aplicación, infraestructura, etc.) y planifique en consecuencia.
      Esto significa monitorear constantemente el entorno para detectar posibles ataques.
    • Verificar explícitamente
      Asegúrese de que los usuarios y dispositivos estén en buen estado antes de permitir el acceso a los recursos.
      Proteja los activos contra el control de atacantes validando explícitamente el hecho de que todas las decisiones de confianza y seguridad utilizan información y telemetría relevantes disponibles.
    • Utilice acceso con privilegios mínimos
      Limite el acceso a un activo potencialmente comprometido con acceso justo a tiempo y suficiente (JIT/JEA) y políticas basadas en riesgos, como el control de acceso adaptativo.
      Sólo debe permitir el privilegio necesario para acceder a un recurso y nada más.

En las capas de seguridad también existe el exceso de seguridad.

Demasiada seguridad (es decir, seguridad que parece excesivamente restrictiva para el usuario cotidiano) puede llevar al mismo resultado que no tener suficiente seguridad en primer lugar: más riesgo.

Los estrictos procesos de seguridad pueden dificultar que las personas hagan su trabajo. 

Peor aún, pueden inspirar a las personas a encontrar soluciones creativas al estilo de la TI en la sombra, motivándolas a eludir la seguridad por completo (a veces utilizando sus propios dispositivos, correo electrónico y almacenamiento) y utilizando sistemas que (irónicamente) son de menor seguridad y presentan un mayor riesgo al negocio.

exceso de seguridad

3. Uso de detección y respuesta extendidas y antimalware

Implemente software para detectar y bloquear ataques automáticamente y proporcionando información sobre las operaciones de seguridad.

Monitorear los conocimientos de los sistemas de detección de amenazas es esencial para poder responder a las amenazas de manera oportuna.

Uso de detección y respuesta extendidas y antimalware

Mejores prácticas de automatización y orquestación de seguridad

  • Traslade la mayor parte del trabajo posible a sus detectores.
    Seleccione e implemente sensores que automaticen, correlacionen e interconecten sus hallazgos antes de enviarlos a un analista.
  • Automatizar la recopilación de alertas
    El analista de operaciones de seguridad debe tener todo lo que necesita para clasificar y responder a una alerta sin realizar ninguna recopilación de información adicional, como consultar sistemas que pueden o no estar fuera de línea o recopilar información de fuentes adicionales, como sistemas de gestión de activos o dispositivos de red.
  • Automatizar la priorización de alertas
    Se deben aprovechar los análisis en tiempo real para priorizar eventos basados ​​en fuentes de inteligencia de amenazas, información de activos e indicadores de ataques. Los analistas y los encargados de responder a incidentes deben centrarse en las alertas de mayor gravedad.
  • Automatizar tareas y procesos.
    Apunte primero a los procesos administrativos comunes, repetitivos y que consumen mucho tiempo y estandarice los procedimientos de respuesta. Una vez que la respuesta esté estandarizada, automatice el flujo de trabajo del analista de operaciones de seguridad para eliminar cualquier intervención humana cuando sea posible para que puedan concentrarse en tareas más críticas.
  • Mejora continua
    Supervise las métricas clave y ajuste sus sensores y flujos de trabajo para impulsar cambios incrementales.

Ayude a prevenir, detectar y responder a amenazas

Defiéndase de las amenazas en todas las cargas de trabajo aprovechando las capacidades integrales de prevención, detección y respuesta con capacidades integradas de detección y respuesta extendidas (XDR) y gestión de eventos e información de seguridad (SIEM).

prevenir, detectar y responder a amenazas

Acceso Remoto

Los ataques dirigidos a soluciones de acceso remoto, como RDP, VDI y VPN, son frecuentes para comprometer entornos y ejecutar operaciones dañinas en los recursos internos.

Medidas Preventivas

  • Mantener actualizaciones de software y dispositivos: Un software y dispositivos actualizados son menos propensos a vulnerabilidades explotables.
  • Aplicar la validación de usuarios y dispositivos de Zero Trust: Establecer una confianza mínima antes de permitir el acceso mejora la seguridad.
  • Configurar la seguridad para soluciones VPN de terceros: Asegurarse de que las soluciones VPN sean configuradas correctamente refuerza la defensa.
  • Publicar aplicaciones web locales: Al limitar la exposición a través de aplicaciones web locales, se reduce el riesgo de acceso no autorizado.

Software de Correo Electrónico y Colaboración

Transferir contenido malicioso a través de correos electrónicos o herramientas de colaboración es una táctica común para ingresar a entornos.

Medidas Preventivas

  • Implementar seguridad de correo electrónico avanzada: Utilizar soluciones avanzadas de seguridad de correo para filtrar amenazas antes de llegar a los usuarios.
  • Habilitar reglas de reducción de la superficie de ataque: Bloquear técnicas comunes de ataque mediante la implementación de reglas específicas.
  • Escanear archivos adjuntos en busca de amenazas: Examinar archivos adjuntos en busca de amenazas basadas en macros o contenido malicioso.

Endpoints

Los endpoints expuestos a Internet son un punto de entrada favorito para los atacantes, ya que les brindan acceso a los activos de la organización.

Medidas Preventivas

  • Bloquear amenazas conocidas con reglas de reducción de la superficie de ataque: Establecer reglas específicas para prevenir comportamientos de software sospechosos.
  • Mantener software actualizado y soportado: La actualización constante del software mejora la seguridad y corrige vulnerabilidades.
  • Aislar, desactivar o retirar sistemas y protocolos inseguros: Eliminar puntos de vulnerabilidad fortalece la defensa.
  • Bloquear el tráfico inesperado con firewalls: Configurar firewalls para bloquear tráfico no autorizado refuerza la seguridad.

Detección y Respuesta

La vigilancia constante y el uso de tecnologías integradas como XDR y SIEM son esenciales para proporcionar alertas de alta calidad y minimizar la fricción en la respuesta a incidentes.

Protección de Sistemas Heredados

Los sistemas más antiguos, sin controles de seguridad adecuados, son propensos a ataques, incluidos ransomware y exfiltración de datos.

  • Configuración de herramientas de seguridad en sistemas heredados: Aislar física o lógicamente los sistemas heredados cuando no es posible implementar herramientas de seguridad.
  • Atención al malware básico: Aunque menos sofisticado, el ransomware automatizado clásico sigue siendo peligroso y debe tomarse en serio.
  • Supervisión ante la desactivación de la seguridad: Vigilar el entorno para detectar desactivaciones de seguridad realizadas por adversarios, como la limpieza de registros y la desactivación de controles de seguridad.

4. Mantenerse actualizado

Los sistemas sin parches y desactualizados son una razón clave por la que muchas organizaciones son víctimas de un ataque. 

Asegúrese de que todos los sistemas se mantengan actualizados, incluido el firmware, el sistema operativo y las aplicaciones.

Mejores prácticas

  • Asegúrese de que los dispositivos sean robustos aplicando parches, cambiando las contraseñas predeterminadas y los puertos SSH predeterminados.
  • Reduzca la superficie de ataque eliminando conexiones a Internet innecesarias y puertos abiertos, restringiendo el acceso remoto bloqueando puertos, denegando el acceso remoto y utilizando servicios VPN.
  • Utilice una solución de detección y respuesta de red (NDR) compatible con Internet de las cosas y tecnología operativa (IoT/OT) y una solución de gestión de eventos e información de seguridad (SIEM)/orquestación y respuesta de seguridad (SOAR) para monitorear dispositivos en busca de anomalías o comportamientos no autorizados, como la comunicación con hosts desconocidos.
  • Segmente las redes para limitar la capacidad de un atacante de moverse lateralmente y comprometer los activos después de la intrusión inicial. Los dispositivos IoT y las redes OT deben aislarse de las redes informáticas corporativas mediante firewalls.
  • Asegúrese de que los protocolos ICS no estén expuestos directamente a Internet.
  • Obtenga una visibilidad más profunda de los dispositivos IoT/OT en su red y priorícelos según el riesgo para la empresa si se ven comprometidos.
  • Utilice herramientas de escaneo de firmware para comprender posibles debilidades de seguridad y trabajar con proveedores para identificar cómo mitigar los riesgos de los dispositivos de alto riesgo.
  • Influya positivamente en la seguridad de los dispositivos IoT/OT exigiendo a sus proveedores la adopción de mejores prácticas de ciclo de vida de desarrollo seguro.
  • Evite transferir archivos que contengan definiciones del sistema a través de canales no seguros o a personal no esencial.
  • Cuando la transferencia de dichos archivos sea inevitable, asegúrese de monitorear la actividad en la red y asegurarse de que los activos estén seguros.
  • Proteja las estaciones de ingeniería mediante el monitoreo con soluciones EDR.
  • Llevar a cabo de forma proactiva una respuesta a incidentes para las redes OT.
  • Implemente monitoreo continuo con soluciones como Microsoft Defender para IoT.

Lea tambien Seguridad en Microsoft 365: Lo que necesitas saber

5. Protección de datos

Conocer sus datos importantes, dónde se encuentran y si se implementan los sistemas correctos es crucial para implementar la protección adecuada.

Los desafíos de seguridad de los datos incluyen:

  • Reducir y gestionar el riesgo de errores del usuario.
  • La clasificación manual de usuarios no es práctica a escala
  • Los datos deben protegerse fuera de la red.
  • El cumplimiento y la seguridad requieren una estrategia completa
  • Cumplir con requisitos de cumplimiento cada vez más estrictos

Cinco pilares de un enfoque de defensa en profundidad para la seguridad de los datos

Los espacios de trabajo híbridos actuales requieren que se pueda acceder a los datos desde múltiples dispositivos, aplicaciones y servicios de todo el mundo. 

Con tantas plataformas y puntos de acceso, es necesario contar con protecciones sólidas contra el robo y la fuga de datos. 

Para el entorno actual, un enfoque de defensa en profundidad ofrece la mejor protección para fortalecer la seguridad de sus datos. 

Esta estrategia tiene cinco componentes, todos los cuales pueden implementarse en cualquier orden que se adapte a las necesidades únicas de su organización y a los posibles requisitos regulatorios.

1. Identifique el panorama de los datos
Antes de poder proteger sus datos confidenciales, necesita descubrir dónde se encuentran y cómo se accede a ellos. Eso requiere una visibilidad completa de todo su patrimonio de datos, ya sea local, híbrido o multinube.

2. Proteja los datos confidenciales
Además de crear un mapa holístico, deberá proteger sus datos, tanto en reposo como en tránsito. Ahí es donde entra en juego etiquetar y clasificar con precisión sus datos, para que pueda obtener información sobre cómo se accede a ellos, se almacenan y se comparten. El seguimiento preciso de los datos ayudará a evitar que sean víctimas de filtraciones e infracciones.

3. Administre los riesgos
Incluso cuando sus datos estén mapeados y etiquetados adecuadamente, deberá tener en cuenta el contexto del usuario en torno a los datos y las actividades que pueden resultar en posibles incidentes de seguridad de los datos, y eso incluye amenazas internas. El mejor enfoque para abordar el riesgo interno reúne a las personas, los procesos, la capacitación y las herramientas adecuadas.

4. Evite la pérdida de datos
No se olvide del uso no autorizado de datos: eso también es pérdida. Una solución eficaz de protección contra pérdida de datos debe equilibrar la protección y la productividad. Es fundamental garantizar que existan los controles de acceso adecuados y que se establezcan políticas para ayudar a prevenir acciones como guardar, almacenar o imprimir datos confidenciales de manera inadecuada.

5. Gobernar el ciclo de vida de los datos
A medida que el gobierno de los datos avanza hacia que los equipos de negocios se conviertan en administradores de sus propios datos, es importante que las organizaciones creen un enfoque unificado en toda la empresa. Este tipo de gestión proactiva del ciclo de vida conduce a una mejor seguridad de los datos y ayuda a garantizar que los datos se democraticen de manera responsable para el usuario, donde pueden generar valor comercial.


 

En la era digital, la seguridad es esencial. En ABD, ofrecemos medidas clave, desde autenticación multifactor hasta Confianza Cero.

No espere a ser vulnerable, actúe ahora para proteger su empresa contra las amenazas cibernéticas.

Su seguridad no puede esperar. Contáctenos y descubra cómo podemos fortalecer su seguridad sin compromisos.