🦸‍♂️✨ ¡Ha nacido un nuevo superhéroe digital: Pildoritas!

👉Ciberconsejos para tod@s
💊Ciberataques BEC ( Business Email Compromise)
🚨 Estafas BEC: Así funcionan… y así puedes evitarlas

 

 

🕵️‍♂️ ¿Cómo funciona una estafa BEC?

✅El atacante estudia a la empresa Revisa la web, redes sociales, organigramas…
✅Suplanta una identidad. Compromete una cuenta real o usa una dirección de correo casi idéntica a la legítima.
✅Espera el momento perfecto( Fechas de pago, cierre de mes, emisión de facturas…)
✅Envía un email muy muy creíble ( Mismo estilo, diseño, firma… incluso puede haber llamada telefónica.)
✅Pide una acción urgente (Transferencias, cambio de número de cuenta, tarjetas, información confidencial…)

🛡️ ¿Cómo protegerse?
✅ Desconfía de lo urgente especialmente si implica dinero o datos sensibles.
✅ Verifica siempre por otro canal. Una llamada al canal oficial puede evitar el desastre.
✅ Informa si detectas algo sospechoso
No dudes en alertar a tus compañeros o equipo de seguridad.

Optimizar la carga de trabajo de los departamentos.

Las semana pasada recibimos una charla por parte de la empresa en la que se nos mostraban una serie de herramientas que nos ayudan a optimizar la carga de trabajo de los departamentos.

Me quede con una de ellas, pero mas que por el concepto, por el comentario que se lanzo sobre la misma que me hizo reflexionar.

Hablo de la Matriz Eisenhower que ayuda a priorizar las tareas en función de su importancia y su urgencia.

Si nos fijamos en Cuadrante 1: Nos habla de tareas criticas que requieren una acción inmediata.

Y aquí viene el interesante comentario realizado: Si siempre nos movemos en este cuadrante, es decir todo es considerado critico y urgente parece lógico pensar que lo estamos haciendo bien, pero la realidad es que hay algo que no estamos gestionando correctamente.

La forma correcta debiera ser planificar lo importante dedicándole el tiempo que se merece para que no se convierta siempre en urgente.

Bendito concepto el del tiempo y maldito a la vez por ser tan limitado. La idea parece clara una vez presentada pero complicada a su vez de gestionar cuando somos tan accesibles por medios tan dispares como el correo, teléfono, mensajería instantánea, de forma presencial…a lo que altas cargas de trabajo poco ayudan.

Que decir cuando nos puede el ansia de intentar ayudar y nos cuesta decir NO, porque la responsabilidad nos arrastra a intentar atender el mayor numero de peticiones.

Pero como comento el tiempo es finito, y por mucha voluntad que tengamos siempre nos dejaremos tareas por el camino que volverán como dardos envenenados si las hemos dejado de atender, porque siempre parece tener mas fuerza aquello que se nos ha escapado VS los cientos de tareas realizadas.

Que frágiles, selectivas y caprichosas suelen sen las memorias muchas veces.

Supongo que el ser detallista en las soluciones tampoco ayudara. O quizás sea una mezcla de todo ello.

Pero lo cierto es que una vez detectados los puntos de mejora se entiende este como un buen comienzo del proceso de mejora.

Seguiremos intentando mejorar que aun tenemos tiempo:)

El CCN-CERT Centro Criptológico Nacional publico a finales de Febrero nuevas infografías en español e inglés sobre el Catálogo de Productos y Servicios STIC: https://lnkd.in/dzZYHADQ

Con los nuevos marcos normativos de obligado cumplimiento a los que están sujetas las empresas (si alguien tiene fechas de cuando aterriza la NIST2 que levante por favor la mano:)), es interesante el conocer las diferentes areas de aplicación, y los productos que nos pueden ayudar a cumplir con los objetivos que se exigen.

Catalogo online: https://lnkd.in/d68AMVpU

PDF: https://lnkd.in/d9FQBFwh

Recordar que aquí ya no se libran ni las Pymes porque se va a exigir a las mismas que se centren de forma seria en temas de seguridad para poder seguir prestando servicios.

Algunas referencias generales que se indican y pueden ser interesantes sobre las que trabajar sino lo estamos haciendo ya.

Protección de las Equipos y Servicios: (Dispositivos móviles, protección de correo, sistemas operativos, copias de seguridad, Plataformas, Virtualización…

Monitorización de la seguridad (IDS, IPS y AntiDDoS, Captura monitorización y análisis de tráfico, HoneyPot/HoneyNet, SandBox..)

Control de Acceso (NAC, Biometría, MFA, Gestión Identidades(IM), Single Sign-on, Servidores autenticación y PAM)

Seguridad en la Explotación (Antivirus (EPP), Filtrado de navegación, EDR, Gestión eventos seguridad, herramientas gestión de red, Dispositivos para gestión claves criptográficas, actualización de sistemas, herramientas de gestión de dispositivos…)

Protección de las comunicaciones (Enrutadores, cortafuegos, pasarelas de intercambio de datos, VoIP, Dispositivos inalámbricos, Switches, Proxies, WAF, Redes privadas virtuales IPSEC + SSL, SDN, Videoconferencia, Mensajería instantánea (IM)…)

Protección de la información y los Soportes de la Información (Cifrado y compartición segura de la información, herramientas de firma electrónica, Sistemas de prevención de fugas de datos, Almacenamiento cifrado de datos, Herramientas de Borrado Seguro…

Como podemos ver, el mundo de la seguridad cada vez se parece a algo infinito de gestionar tanto en tiempo como en recursos.

😶Europa Reconoce su debilidad tecnológica😶

Esta vez no lo digo bajo la narrativa metafórica de mi última publicación, sino que es Ursula Von der Leyen en formato comisión Europea quien lo afirma.

Literalmente comenta:

1️⃣Europa se ve frenada por debilidades
2️⃣En los últimos 20-25 años el modelo de negocio se ha basado en mano de obra barata china, energía barata de rusia y externalizando la seguridad y la inversión en la misma.
3️⃣Europa permanece detrás de EEUU y China, y debemos de corregir nuestras de debilidades para ser competitivos

Soluciones que aporta:

1️⃣Cerrar el GAP en innovación
2️⃣Hoja de ruta para descarbonización y competitividad
3️⃣Reducir las dependencias, aumentar la resiliencia y seguridad económica con empleos de calidad

Sus Reflexiones/aportaciones 💡Hay pocas startups tecnologías con ideas disruptivas💡

Una vez llegados a esa profunda reflexión 🙌, parece que Europa tiene un papel regulador muy estricto y quizás sea necesario el buscar un equilibrio para no terminar de ahogar el espíritu innovador y emprendedor de las empresas.

No es sencillo desarrollar nuevas tecnologías o que estas lleguen a nuestros mercados, pareciendo un continente sin impulso tecnológico que se mueve rezagado frente a sus competidores.

Esa idea acuñada de globalización (dependencia) tecnológica parece hacerse dado mayormente en una dirección y ahora toca vivir las consecuencias derivadas.

Eso, ¿O quizás simplemente sea una estrategia muy orquestada y nos sorprenda con un deepseek Europeo?.

Podemos iniciar un proyecto de brainstorming para definir el nombre de esa nueva IA que nos espera…o mejor no, que se nos puede ir de las manos con los procedimientos derivando en meses simplemente decidiendo su identidad.

Yo voto por EUlexIA («EU» + «Lex» – Ley en latín, reflejando regulación ética + IA que no puede faltar) que además suena a nombre castizo de antaño.

 

¿Un mal sueño o simplemente una realidad?

Me levanto por la mañana con el sonido de la alarma de mi móvil (IOS, Android) y miro la pantalla de mi altavoz inteligente (Amazon, Google, Apple, Samsung..) a fin de confirmar la hora.

Aprovecho para preguntarle por el tiempo y le mando encender las luces (Alexa, Google Home, Apple Home..).

Mientras desayuno enciendo mi SmartTV para ver las noticias (Tizen OS, WebOS, Android TV, Fire TV..), y que el mundo me recuerde como es el planeta en el que vivimos.

Es hora de ir a la oficina. Arranco el coche, conecto mi móvil (Apple CarPlay, Android auto), y a escuchar música (Spotify, Apple Music, Amazon..) para disfrutar de camino al trabajo. En la pantalla se presenta Google Maps (GPS) y reviso si hay algún tipo de retención que me haga llegar tarde a esa primera reunión.

Cuando finalmente llego, enciendo mi portátil (Mac, Dell, HP, Lenovo..) adquirido recientemente (Intel, AMD), arrancamos el SO (Windows) y reviso el correo (Gmail,Office365..).

Me toca realizar algunas configuraciones en mis sistemas perimetrales (Palo Alto, Fortinet, Cisco, CheckPoint..) y comprobar alertas que se hayan podido generar en el SIEM (Splunk, QRadar, ArcSight, Sentinel, LogRhythm..).

Parece que la electrónica de red esta funcionando correctamente (Cisco, Juniper, Aruba..) y los sistemas Antivirus cumpliendo su cometido (Defender, SentinelOne, Crowdstrike, Sophos…). Simplemente algún bloqueo web (Zscaler, Cloudflare, Netskope…) sin importancia.

Me preocupa el rendimiento del ERP (SAP, Oracle, Dynamics, Sage..) porque los usuarios lo notan rápido.

Como siempre toca revisar la salud de los servicios desplegados en la nube (AWS, Azure, Google, IBM, Oracle..) pero parece que todo OK.

Tengo una oficina con poca cobertura, pero con la solución de Tesla Smarlink ahora estoy contento. Me viene a la cabeza el Tesla conducción autónoma que recientemente se ha comprado mi primo con su autopilot completamente conectado o esos viajes al espacio (SpaceX, Blue Origin Virgin..).

Como tengo la mañana algo tranquila reviso brevemente mis redes sociales (X, Facebook, Instagram, Whatsapp …) y navego un poco (google, bing…) justo antes de la comida.

Ya por la tarde tengo liada con unas reuniones virtuales (Teams, Zoom, Meet, Webex, skype…) que me tienen entretenido gran parte de la misma, y el resto del tiempo lo dedico a revisar el MDM y los endpoint (Intune, MobileIron, Airwatch..) y montar alguna pruebita de concepto para mejorar la seguridad.

Es hora de volver a casa, relajarme y tontear un poco con la IA (OpenIA, Microsoft Google DeepMind, IBM Watson, Amazon..)

Salgo un momento a correr (Suunto, Garmin), cenar viendo una serie ( NetFlix, Prime, Disney, HBO, Apple..) y para la cama que es tarde y toca madrugar.

Pero justo en ese momento previo a vencerme el sueño, es cuando reflexiono y pienso: virgencita, virgencita que los americanos no se enfaden mucho con Europa porque me da que íbamos a salir torcidos en la la foto

 

www.rocksolidario.org

Otro año más y con éste ya son 5, me complace anunciar que vamos a celebrar el concierto Rock&Roll solidario, el mejor regalo de Reyes.

• Un concierto en beneficio, una vez más, de asociaciones relacionadas con las enfermedades infantiles
• Viernes 3 de enero a las 7 de la tarde en la sala Stage Live de Bilbao
• Con las actuaciones de Reverendo G´s Band. The Associados y Rufus
• Entradas por 10 € en www.entradium.com y Golfo Norte (también disponible fila 0). La recaudación íntegra se destinará a beneficio de Asociación Desafía Dravet, Aspanovas y Voluntechies.

El próximo 3 de enero de 2025 se celebrara por cuarto año consecutivo lo que ya viene convirtiéndose en una tradición: el concierto solidario en el que unos grupos de rock, aficionados o semiprofesionales y un público entregado donan su tiempo y la pequeña contribución de la entrada a la solidaridad con los más pequeños.

Con dedicación, pocos medios y de forma desinteresada, un puñado de personas convirtieron esta pequeña ilusión en un evento que se consolida año tras año y al que poco a poco, medios y entidades de todo tipo contribuyen para que crezca y renueve su primer éxito.

 

En beneficio de:

 

ADD. Asociación desafía Dravet, asociación cuyo objetivo es mejorar la calidad de vida de los niños afectados por el Síndrome de DRAVET y enfermedades asociadas así como promover proyectos de investigación para lograr una cura.

El síndrome de Dravet es una de las llamadas enfermedades “raras”, una canalopatía infantil con crueles consecuencias en el día a día de las familias en las que está presente y con un progresivo y acusado deterioro cognitivo y motriz de los niños que hoy día no tiene cura y en muchos casos fatales consecuencias.

www.desafiadravet.com

Aspanovas Bizkaia. Asociación de padres de niños con cáncer de Bizkaia. El colectivo objeto de intervención de ASPANOVAS Bizkaia es el menor y su familia en su dimensión psicosocial, poniendo énfasis en la mejora de la calidad de vida de todos los niños afectados de cáncer, dirigiendo sus esfuerzos a la normalización en todas las facetas de su vida diaria.

Así, trabaja para que la atención sanitaria, social y educativa llegue en igualdad de condiciones a todos los niños y conseguir crear y potenciar foros de encuentro y actividades que ayuden al entendimiento y sensibilización de la problemática con la que una familia se encuentra cuando un hijo es diagnosticado de cáncer.

aspanovas.org

Voluntechies. Talleres de realidad virtual para ayudar a las personas

En Voluntechies se utilizan las nuevas tecnologías para mejorar la vida de las personas, y en particular de aquellos que más lo necesitan como los niños hospitalizados y también personas mayores.

A través de talleres con Realidad Virtual ofrece una innovadora experiencia inmersiva  para que estas personas puedan olvidarse por un momento del dolor, la enfermedad o la soledad, para disfrutar y evadirse de su realidad cotidiana.

www.voluntechies.org/

Estas asociaciones sin ánimo de lucro percibirán de forma equitativa todo lo recaudado en el evento.

 

Grupos Participantes :

 

Los 3 grupos colaboradores son

Reverendo G´s Band grupo aficionado country-folk quienes colaborán con el evento Rock&Roll Solidario.

The Associados. Grupo de rock; sexteto de versiones de grandes clásicos del Rock desde los años 70 en adelante. También presente en las anteriores ediciones.

Entre el repertorio caben destacar temas de ZZ Top, Rolling Stones, Pink Floyd, Stereophonics, Dire Straits, Police, Bruce Sprinsteen, Tom Petty, The Doors…… o alguna versión de la Creedence y de Neil Young

Rufus. Se forma a principios de 1.980 como derivación del grupo «Rufus T. Farfly», enmarcado dentro de un estilo de finales de 1.970 denominado Rock Sinfónico. A partir de ese momento con el quinteto definido y con el nombre reducido a RUFUS, el grupo comienza a evolucionar musicalmente pasando del rock sinfónico hacia formatos cada vez mas pop-rock, hasta llegar en su evolución a la practica de una música que podíamos denominar como «POP-DURO».

 

Fecha, Hora y Lugar:

 

El 3 de enero de 2025 a las 19 horas en la Sala Stage Live, en Uribitarte 8, BILBAO.

En los cambios de grupo se sortearán los regalos donados incluyendo alguna sorpresa. Entradas : https://entradium.com/events/5-edicion-rock-roll-solidario-eurengatik-por-ellos-bilbao

 

Tenia pendiente el escribir una pequeña crónica de lo que ha sido mi paso por el ISMS Forum Euskadi de este año.

Agradecer la invitación a Kerman Arcelay, a los organizadores por la excelente gestión del evento y a los ponentes por dedicar su tiempo en compartir tan preciado conocimiento.

Creo importantes este tipo de eventos que permiten interactuar y discutir ideas con compañeros que se enfrentan a los mismos retos de seguridad. La vorágine del día muchas veces nos hace permanecer atrincherados en nuestros zulos llegando a perder el contacto con esa realidad física que tanto siempre nos aporta.

Remarcar que toda la información viene derivada de mis notas por lo que disculparme todos los ponentes por los errores que pueda contener  el relato.

Abría el evento con una presentación y bienvenida Alberto Bernáldez , CISO, Liberty Seguros; Board Member, ISMS Forum Euskadi quien daba paso al primero de los ponentes:

---

CIBERSEGURIDAD INDUSTRIAL: ESTRATEGIA, RIESGO E INVERSIÓN,
Eduardo D., Managing Partner, EDAN Ventures

---

• Estrategia del miedo
• Gasto de X€ en auditorias que luego no se les da continuidad
• Proyectos de seguridad a 3 años. ¿tienen sentido?
• Zero trust / Desconocimiento / La gente lo confunde con un producto
• Empresas se alían con un fabricante que les promete el pack completo. ¿Es interesante esta postura?

NUEVA ESTRATEGIA

• • Tenemos mucha información que no podemos procesar.
  • Enviar solo lo necesario al SIEM y filtrar antes de enviar.
  • Tener un único punto de control (Dashboard)
  • Recursos limitados/negocio/vulnerabilidades. Priorizar y centrarse en lo importante
  • Los presupuestos para seguridad no son ilimitados
  • Disponer de KPI a alto nivel mas allá de eventos del SIEM y vulnerabilidades
  • Contar con el apoyo de la dirección
  • Con el 80% de esfuerzo conseguir el 20% necesario
  • CISO: Buscar balance entre empresas grandes y Startups
  • Las grandes empresas tienen productos que cubren necesidades actuales pero les cuesta innovar
  • Las Startups mas alineadas con el mercado

CONCLUSION

• • • La estrategia del miedo se acabo
    • Desafíos en la gestión del dato
    • Visión integral y global para CISO con KPI más allá de los técnicos
    • StartUps ayudan en el proceso de innovación

Leer más…

Parte 1

Mejores prácticas de preparación, prevención y mitigación

del Ransomware y la extorsión de datos

 

Me hago ECO de la actualización (Mayo 2023) de un documento muy interesante que publicó CISA (https://www.cisa.gov) en el 2020, en el que nos marcan una serie de pautas de como debiéramos prepáranos a fin de mitigar y responder ante un ataque de Ransomware.

Os dejo un resumen con los titulares y los puntos que me parecen más interesantes. Al final de la publicación esta el link al documento original y otro para descargar el documento traducido.

 Preparación para incidentes de Ransomware y extorsión de datos 

 

• Mantener copias de seguridad fuera de línea y cifradas de los datos críticos
  • Probar los procedimientos de forma regular
  • Mantener plantillas que permitan reconstruir el sistema.
  • Utilizar una solución multi-nube
  • Almacenamiento inmutable

• Crear, mantener y ejercitar regularmente un plan básico de respuesta a incidentes cibernéticos (IRP) y un plan de comunicaciones asociado que incluya procedimientos de respuesta y notificación para incidentes de ransomware y extorsión/violación de datos
  • Disponer una copia offline e impresa
  • Notificar en caso de robo de información personal
  • Tener desarrollado un plan de respuesta ante incidentes

• Implantar una arquitectura de confianza cero para impedir el acceso no autorizado a datos y servicios. Hacer que la aplicación del control de acceso sea lo más granular posible.

Prevención y mitigación de incidentes de Ransomware y extorsión de datos

 

• Llevar a cabo un escaneo regular de vulnerabilidades para identificar y abordar las vulnerabilidades, especialmente las de los dispositivos orientados a Internet, para limitar la superficie de ataque

• Parchee y actualice periódicamente el software y los sistemas operativos a las últimas versiones disponibles.

• • Priorizar dispositivos con conexiones a Internet

• Asegúrese de que todos los dispositivos locales, de servicios en la nube, móviles y personales (es decir, traiga su propio dispositivo [BYOD]) estén configurados correctamente y que las funciones de seguridad estén activadas.

• Limite el uso de RDP y otros servicios de escritorio remoto.

• • Aplicar bloqueos de cuentas, auditar eventos e implementar 2FA
  • Hacer uso de VPN

• Deshabilite las versiones 1 y 2 del protocolo Server Message Block (SMB)
  • Implementar firma SMB
  • Bloquear cuando se pueda puerto tcp 445 / 137 / 138
  • Registrar y supervisar en busca de comportamiento anómalo 

Vector de acceso inicial: Credenciales comprometidas

 

•  Implantar una MFA resistente al phishing para todos los servicios, en particular para el correo electrónico, las VPN y las cuentas que acceden a sistemas críticos
  • Implementar sistema por 2 o mas factores de verificación (Pin, reconocimiento facial…)

• Considere la posibilidad de suscribirse a servicios de supervisión de credenciales que vigilan la Dark Web en busca de credenciales comprometidas.

• Implantar sistemas de gestión de identidades y accesos (IAM)

• Implantar un control de acceso de confianza cero creando políticas de acceso sólidas para restringir el acceso de usuario a recurso y de recurso a recurso.

• Cambiar los nombres de usuario y contraseñas de administrador por defecto.

• No utilices cuentas de acceso root para las operaciones cotidianas.

• Implemente políticas de contraseñas que requieran contraseñas únicas de al menos 15 caracteres.

• Implementar gestores de contraseñas.

• Aplicar políticas de bloqueo de cuentas después de un cierto número de intentos fallidos de inicio de sesión.

• Almacene las contraseñas en una base de datos segura y utilice algoritmos hash potentes.

• Desactivar el almacenamiento de contraseñas en el navegador en la consola de administración de directivas de grupo.

• Implemente la solución de contraseña de administrador local (LAPS)

• Protección contra el dumping del Servicio de Subsistema de Autoridad de Seguridad Local (LSASS):

• • Implementar la regla de Reducción de Superficie de Ataque (ASR) para LSASS.
  • Implemente Credential Guard para Windows 10 y Server 2016.

• Eduque a todos los empleados sobre la seguridad adecuada de las contraseñas en su formación anual sobre seguridad, haciendo hincapié en no reutilizar las contraseñas y no guardarlas en archivos locales.

• Utilice Windows PowerShell Remoting, Remote Credential Guard o RDP con modo de administración restringido cuando establezca una conexión remota para evitar la exposición directa de las credenciales.

• Separar las cuentas de administrador de las cuentas de usuario
  • Solo utilizar cuantas de administrador con propósitos administrativos que las requeran.

 

Vector de acceso inicial: Phishing 

 

• Implantar un programa de concienciación y formación sobre ciberseguridad para los usuarios

• Marcar los correos electrónicos externos en los clientes de correo electrónico

• Implementar filtros en el gateway de correo electrónico para filtrar correos electrónicos con indicadores maliciosos conocidos

• Habilite los filtros de archivos adjuntos comunes para restringir los tipos de archivos que suelen contener malware y que no deben enviarse por correo electrónico

• Implantación de la política de autenticación, notificación y conformidad de mensajes basada en dominios (DMARC) y verificación para reducir los costes.

• Asegúrese de que las secuencias de comandos de macros están desactivadas para los archivos de Microsoft Office transmitidos por correo electrónico.

• Desactivar el alojamiento de scripts de Windows (WSH).

 

Vector de acceso inicial: Infección de malware precursor 

 

• Utilice actualizaciones automáticas para su software antivirus y antimalware y sus firmas.
  • Utilizar solución antivirus gestionada de forma centralizada

• Utilice listas de aplicaciones permitidas y/o soluciones de detección y respuesta de puntos finales (EDR) en todos los activos
  • WDAC o AppLocker
  • Utilizar listas de aplicaciones permitidas

• Considere la posibilidad de implantar un sistema de detección de intrusiones (IDS)

• Supervise los indicadores de actividad y bloquee la creación de archivos maliciosos con la utilidad Sysmon de Windows.

 

Vector de acceso inicial: Formas avanzadas de ingeniería social

 

• Crear políticas que incluyan formación sobre ciberseguridad
  • Repetir periódicamente la formación

• Implantar un Sistema de Nombres de Dominio (DNS) protector.
  • Bloquear consultas DNS maliciosas

• Considere la posibilidad de implantar navegadores aislados

 

Vector de acceso inicial: Terceros y proveedores de servicios gestionados 

 

• Considerar las prácticas de gestión de riesgos e higiene cibernética de terceros o servicios gestionados.

• Garantice el uso del mínimo privilegio y la separación de funciones a la hora de configurar el acceso de terceros.

• Considere la posibilidad de crear políticas de control de servicios (SCP) para los recursos basados en la nube con el fin de impedir que los usuarios o las funciones, en toda la organización, puedan acceder a servicios específicos o tomar acciones específicas dentro de los servicios.

 

Buenas prácticas generales y orientaciones sobre refuerzo 

 

• Asegúrese de que su organización cuenta con un enfoque integral de gestión de activos
  • Inventariado de activos
  • Conocer cuales son los sistemas más críticos y sus dependencias

• Aplicar el principio de mínimo privilegio a todos los sistemas y servicios
  • Restringir permisos para instalar/ejecutar software
  • Auditar los Controladores de Dominio
  • Auditar de forma periódica en busca de cuentas inactivas o no autorizadas

• Asegúrese de que todas las máquinas virtuales e hipervisores están actualizados.

• Aproveche las mejores prácticas y active la configuración de seguridad en asociación con entornos en la nube, como Microsoft Office 365.

• Mitigar el uso malintencionado del software de acceso remoto y de supervisión y gestión remotas (RMM)

• Auditar herramientas de Acceso Remoto que se estén utilizando

• Emplear medios lógicos o físicos de segmentación de red implementando ZTA y separando varias unidades de negocio o recursos departamentales de TI dentro de su organización y mantener la separación entre TI y tecnología operativa

• Elabore y actualice periódicamente diagramas de red exhaustivos que describan los sistemas y flujos de datos dentro de la red o redes de su organización

• Restrinja el uso de PowerShell a usuarios específicos caso por caso mediante la directiva de grupo.

• • Permitir PS solo a usuarios administradores
  • Permitir solo últimas versiones
  • Activar auditorias sobre su uso (Ps Windows Event” “PS Operational”)
  • Monitorizar estos registros en busca de acciones maliciosas

• Asegurar los controladores de dominio (DC).
  • Realizar auditorias para comprobar la robusted de los mismos
  • Controlar grupos administradores y restringir acceso a los mismos
  • Impedir acceso a Internet.
  • Limitar autenticación NTLM y WDigest
  • Activar EPA (Extended Protection Authentication)
  • Rechazar respuesta LM y NTLM
  • Activar protecciones adicionales para Autenticación LSA para prevenir inyección de código

• Conserve y proteja adecuadamente los registros de dispositivos de red, hosts locales y servicios en la nube.
  • Gestión centralizada de eventos.

• Establezca una línea de base de seguridad del tráfico de red normal y ajuste los dispositivos de red para detectar comportamientos anómalos.

• Realizar evaluaciones periódicas para garantizar que los procesos y procedimientos están actualizados y pueden ser seguidos por el personal de seguridad y los usuarios finales.

 Parte 2

 

Lista de comprobación de la respuesta al Ransomware

 

y la extorsión de datos

Detección y análisis

 

1. Determinar qué sistemas se han visto afectados y aislarlos inmediatamente.
   1. Tener definido un plan para aislar sistemas críticos
   2. Los malos pueden estar monitorizando nuestras acciones para ver si han sido detectados(utilizar otros canales de comunicación)

2. Apague los dispositivos si no puede desconectarlos de la red para evitar una mayor propagación de la infección del ransomware
   1. Solo si no podemos desconectar los equipos de la red para evitar perder evidencias

3. Clasificación de los sistemas afectados para su restauración y recuperación
   1. Priorizar los sistemas críticos a restaurar en base a una lista definida.

4. Examinar los sistemas de detección o prevención existentes en la organización (por ejemplo, antivirus, EDR, IDS, sistema de prevención de intrusiones) y los registros.
   1. Buscar el vector de entrada y bloquearlo
   2. Estar seguridad de erradicar el malware antes de restaurar sistemas.

5. Reúnase con su equipo para desarrollar y documentar una comprensión inicial de lo ocurrido basada en el análisis inicial.

6. Iniciar actividades de caza de amenazas.

1. 1. Cuentas AD recién creadas privilegiadas
   2. Inicios sesión VPN sospechosos
   3. Uso indebido de herramientas de sistema
   4. Evidencias de herramientas C&C
   5. Uso de Powershell
   6. Enumeración de Credenciales
   7. Comunicaciones inesperadas
   8. Indicios de filtración de datos
   9. Servicios Recién creados, tareas programadas, software instalado…
   10. En la nube
       1. Detectar modificaciones en los recursos

 Informes y notificaciones

 

7. Siga los requisitos de notificación descritos en su plan de comunicación y respuesta a incidentes cibernéticos para involucrar a los equipos internos y externos y a las partes interesadas con una comprensión de lo que pueden proporcionar para ayudarle a mitigar, responder y recuperarse del incidente.
   1. Compartir información y mantener informadas a todas las partes de forma periódica
   2. Notificar el incidente a los organismos que competan.
   3. Recuperar todas la evidencias (archivos maliciosos, RAM,registros, IOC…)

8. Si el incidente ha dado lugar a una violación de datos, siga los requisitos de notificación establecidos en sus planes de comunicación y respuesta a incidentes cibernéticos.

 

Contención y erradicación

 

9. Tomar una imagen del sistema y una captura de memoria de una muestra de dispositivos afectados. (por ejemplo, estaciones de trabajo, servidores, servidores virtuales y servidores en la nube).

10. Consulte a las fuerzas de seguridad federales, incluso si es posible adoptar medidas paliativas, sobre los posibles descifradores disponibles,

 

Seguir tomando medidas para contener y mitigar el incidente

 

11. Busque orientaciones fiables para la variante concreta de ransomware y siga los pasos adicionales recomendados para identificar y contener los sistemas o redes que se haya confirmado que están afectados.

12. Identifique los sistemas y cuentas implicados en la violación inicial.

13. Sobre la base de los detalles de la violación o compromiso determinados anteriormente, contener los sistemas asociados que puedan utilizarse para un acceso no autorizado posterior o continuado.

1. 1. Desactivar redes virtuales, accesos remotos…

14. Si una estación de trabajo infectada está cifrando datos del lado del servidor, siga los pasos de identificación rápida del cifrado de datos del lado del servidor.
    1. Revisar las sesiones de quien esta accediendo
    2. Revisar los eventos

15. Realizar un análisis ampliado para identificar los mecanismos de persistencia «outside-in» y «inside-out»

16. Reconstruir los sistemas basándose en la priorización de los servicios críticos

17. Emitir restablecimientos de contraseñas para todos los sistemas afectados y abordar cualquier vulnerabilidad asociada y brecha en la seguridad o visibilidad una vez que el entorno haya sido completamente limpiado y reconstruido,

18. La autoridad de TI o de seguridad de TI designada declara el incidente de ransomware finalizado en función de los criterios establecidos, que pueden incluir la adopción de las medidas anteriores o la búsqueda de ayuda externa. 

 

Recuperación y actividad posterior al incidente

 

19. Reconectar los sistemas y restaurar los datos a partir de copias de seguridad encriptadas fuera de línea, basándose en una priorización de los servicios críticos.

20. Documentar las lecciones aprendidas del incidente y de las actividades de respuesta asociadas

21. Considere la posibilidad de compartir las lecciones aprendidas y los indicadores de compromiso relevantes

Fuente Original: https://www.cisa.gov/sites/default/files/2023-05/StopRansomware_Guide_508c%20%281%29.pdf

Documento traducido: StopRansomware_Guide_508c-ES