This post is also available in: Português English Español
[vc_row row_type=»row» use_row_as_full_screen_section=»no» type=»full_width» angled_section=»no» text_align=»left» background_image_as_pattern=»without_pattern» css_animation=»» css=».vc_custom_1508957190897{padding-top: 25px !important;padding-bottom: 25px !important;}»][vc_column][vc_row_inner row_type=»row» type=»full_width» text_align=»left» css_animation=»» css=».vc_custom_1508957197401{padding-bottom: 20px !important;}»][vc_column_inner width=»2/3″][vc_column_text]Cuando hablamos en seguridad de perímetro, uno de los principales aspectos que debemos considerar es el cuidado con la exposición de los puertos utilizados en los servicios internos de la empresa para Internet.
Este tipo de vulnerabilidad, fácilmente explorada por criminales con el uso de técnicas relativamente simples (port scan con Nmap, por ejemplo), ha figurado entre las mayores causas de ataques de ransomware en las empresas.
Conociendo la anatomía del ataque
[/vc_column_text][/vc_column_inner][vc_column_inner width=»1/3″][rev_slider_vc alias=»ebook-ransonware-360-280″][/vc_column_inner][/vc_row_inner][vc_column_text]Para que podamos trabajar en la prevención, es importante entender la anatomía de este tipo de ataque. En resumen, el modus operandi ocurre de la siguiente forma:
- El criminal ejecuta el port scan en la dirección de la empresa, buscando puertos expuestos a Internet (es decir, para conexiones provenientes de cualquier origen).
- En posesión de esta información, se buscan patrones para dirigir los ataques, generalmente basados en los puertos estándares utilizados por los servicios (3389, por ejemplo, bastante conocida en conexiones remotas de Windows).
- Los ataques siguen básicamente dos líneas: explotación de vulnerabilidades en los sistemas y/o vulnerabilidades en las credenciales a través de brute-force (Ensayo y error de salto de contraseña).
- Al conseguir acceso al ambiente, el objetivo es encontrar lo que sea de importante en la red de la empresa; bases de datos son blancos comunes.
- Estos datos se cifran con una clave prácticamente irrompible, generalmente basada en AES-256. Otra práctica delictiva comun es amenazar con la filtración de los datos (técnica delictiva denominada doxing, que se centra en el riesgo de la exposición de informaciones de carácter confidencial).
- Para que la empresa tenga acceso de nuevo a sus datos y/o no tenga información confidencial divulgada, se cobra una especie de rescate en bitcoin (moneda virtual cotizada en dólar y sin trazabilidad). Vale la pena señalar que el pago no da absolutamente ninguna garantía de rescate o mantenimiento de la confidencialidad de sus datos, usted está en manos de los criminales.
Después de contextualización sobre el tipo de ataque es posible presentar sugerencias para prevenir la ocurrencia de tal siniestro.
Redirección de puertos para combatir ataques Ransomware
El primer paso es ejecutar un port scan para identificar la visibilidad de los puertos de su empresa en Internet. Exactamente lo mismo que un individuo malintencionado haría para revelar sus puntos débiles.
Al identificar los puertos abiertos, es importante que se haga un estudio sobre cada una de ellas, pudiendo partir del siguiente modelo para clasificación:
- Redirección de puertos obsoletos y/o innecesarios:
Para estos casos, la recomendación es simple y obvia: deben ser inmediatamente cancelados.
- Redirección de puertos utilizados esporádicamente y/o por usuarios específicos:
Estos servicios, por ser utilizados por un público específico y predefinido, permiten con mayor facilidad la aplicación de políticas de control y restricción. Pueden ser utilizados accesos por túneles VPN seguros con credenciales individuales o implementadas restricciones de origen sólo para direcciones IP específicas.
- Redirección de puertos que necesitan estar expuestas a Internet:
Para casos en que no tenemos elección, necesitamos estar atentos a algunos detalles críticos:
Credenciales: Evite utilizar nombres de usuario predeterminados, como «admin», «administrador», etc.
Contraseñas: Utilice contraseñas complejas, incluyendo letras de números, caracteres especiales que tengan al menos 12 caracteres.
Actualizaciones: Mantenga los servicios siempre actualizados. Muchas brechas de seguridad se explotan en sistemas anticuados, siendo que las actualizaciones lanzadas por los fabricantes son justamente, en su mayoría, para solucionar vulnerabilidades descubiertas y mapeadas.
Criptografía web: En servicios que se ejecutan bajo el protocolo HTTP, habilite el HTTPS (seguro). Los datos traficados sobre HTTP no seguros pueden ser fácilmente interceptados.
Durante el proceso es posible que se identifique la existencia de algún puerto, cuya necesidad de existencia no sea clara. Para estos casos se recomienda cancelar las redirecciones de puertos (como se muestra en el apartado 1) y documentar dicha intervención. Después de la intervención, establezca una ventana de monitoreo, para evitar el compromiso de algún servicio crítico para el negocio. Tomando estas precauciones, en caso de necesidad será posible restablecer la redirección rápidamente.
Otra sugerencia valiosa es, siempre que sea posible, modificar los puertos estándares de los servicios, dificultando un poco más la acción de usuarios malintencionados.
Como complemento, es importante considerar la implementación de políticas de monitoreo con alertas y logs de accesos externos a los puertos, a fin de facilitar la identificación de conexiones anormales, que de hecho pueden ser señales de intentos de explotación maliciosos.
Ahora que usted conoce un poco más, aproveche para cerrar los puertos de su empresa, evitando amenazas virtuales. Si todavía tiene dudas sobre el tema, quédese a gusto para conversar con uno de nuestros expertos.[/vc_column_text][vc_custom_heading text=»Continúe mejorando su conocimiento» font_container=»tag:h3|text_align:left» use_theme_fonts=»yes» css=».vc_custom_1519417324308{padding-top: 25px !important;padding-bottom: 25px !important;}»][blog_slider type=»carousel» auto_start=»true» info_position=»info_in_bottom_always» order_by=»date» order=»ASC» blogs_shown=»» category=»reconocimiento-problema» show_categories=»no» show_date=»yes» title_tag=»h4″ show_comments=»no» enable_navigation=»enable_navigation»][/vc_column][/vc_row]
This post is also available in: Português English Español