Dos formas de contrarrestar las amenazas de ciberseguridad de las vulnerabilidades de la red de Windows

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha designado octubre como el Mes de la Concientización sobre Ciberseguridad. Puede ser una gran oportunidad para comprender mejor los activos de su computadora y red y responder a las amenazas de seguridad.
Ⓒ Banco de imágenes de Getty

Catalogación y evaluación de software

Una forma de aumentar la conciencia sobre las amenazas a la seguridad cibernética es evaluar y catalogar el software que utiliza su empresa. Las personas tienden a centrarse en los parches de Microsoft y pasan por alto el uso de herramientas de terceros para hacer que los sistemas sean más seguros. Revise las debilidades del software y la configuración del entorno. Esto generalmente requiere un software de inventario que pueda analizar las redes de los usuarios.

Si una empresa utiliza un entorno tradicional, se pueden utilizar herramientas basadas en Active Directory para analizar la vulnerabilidad del fármaco. Si tiene su infraestructura existente y activos en la nube y tiene una licencia de Office 365 E5, puede usar herramientas como el Centro de seguridad de Microsoft Defender para evaluar qué software necesita actualizar.

Si no tiene el presupuesto para comprar una licencia E5, puede utilizar una herramienta alternativa como SpiceWorks para catalogar y analizar su red. Los sistemas locales pueden aprovechar PowerShell para crear informes de inventario de software conectados a la red. Esta herramienta revisa y enumera las secciones de software instaladas en su computadora.

PowerShell se ha utilizado durante mucho tiempo como un vehículo para desarrollar sistemas de inventario, pero se basa en el acceso a Active Directory. Especialmente a medida que hacemos la transición a redes desconectadas durante la pandemia, es más necesaria una forma de enumerar los sistemas que no están registrados en un dominio. Las computadoras no conectadas y no administradas a menudo no reciben mantenimiento ni actualizaciones de software. Una herramienta que proporciona una descripción general de seguridad de todo el software le ayudará a mantener su red segura.

Olvidé instalar un software relativamente nuevo como 7-zip y no actualicé a la última versión. Todo este software sin parches es la causa de la exposición a amenazas de seguridad reales.

Establecer la regla de reducción de la superficie de ataque

El panel de recomendaciones de seguridad en el Defender Security Center de Microsoft parece recomendar encarecidamente la actualización de 7-zip, que tiene las mayores vulnerabilidades de seguridad. Sin embargo, una mirada más cercana indica que en la práctica no pueden ocurrir exploits.

Necesita encontrar una herramienta que recomiende configuraciones de seguridad para implementar. El software de Office ha sido durante mucho tiempo un punto de entrada para el ransomware y, para proteger mejor su sistema, debe habilitar las reglas de reducción de la superficie de ataque (ASR). En lugar de parchear 7-zip, debe implementar, probar y aplicar reglas ASR. Microsoft Defender Console for Endpoints sugiere usar las siguientes cinco reglas de ASR:

  • Bloquear la creación de subprocesos para todas las aplicaciones de oficina
  • Bloquear la acción del contenido ejecutable descargado en JavaScript o VBScript
  • Bloquear el funcionamiento de los archivos ejecutables si no cumplen con los criterios de edad o confianza
  • Bloquear procesos no confiables o sin firmar que se ejecutan en USB
  • Bloquear la persistencia de amenazas a través de suscripciones a eventos de WMI

Todas las empresas deben probar e implementar la primera regla de ASR: “Bloquear todas las aplicaciones de oficina para que no generen subprocesos”. Microsoft a menudo tiene el matiz de tener que suscribirse a una licencia empresarial para utilizar las reglas de ASR. Cualquier usuario con una licencia de Windows 10 Professional puede utilizar las reglas de ASR. Sin Windows 10 Enterprise, algunas funciones de informes simplemente no están disponibles.

Threat Insights del Centro de seguridad de Microsoft Defender revela el riesgo de una vulnerabilidad. Incluso una oficina completamente parcheada representa un riesgo para la red. Los atacantes utilizan mucho Office para distribuir ransomware. Los ataques que utilizan subprocesos en Office incluyen Qakbot, que proporcionó acceso a afiliados de ransomware, y ejecución remota de código CVE-2021-40444 MSHTML, GravityRAT, CHIMBORAZO, Zloader, IcedID, redes de bots Sysrv, inteligencia y minería de monedas. El bismuto es un ejemplo.

El atacante también está utilizando macros de Excel 4.0. La gente pensará que Excel 4.0 ya no es necesario, pero algunas empresas todavía utilizan los procesos macro existentes para realizar funciones comerciales básicas. Las macros de Excel, normalmente contenidas en archivos maliciosos que inducen phishing, etc., se utilizan para ocupar su lugar en las estaciones de trabajo y lanzar ataques más potentes en la red. Un atacante recopila credenciales de una estación de trabajo con un volcado de memoria LSASS para obtener más privilegios de red cuando se conecta a la red.

Para aquellos en el sector de la seguridad, cada mes es el Mes de la Concientización sobre la Ciberseguridad. Eche un vistazo más de cerca a su red de dispositivos locales y desconectados este mes. Le recomendamos que compruebe si la opción tiene visibilidad y control sobre todos sus activos tecnológicos. [email protected]


Source: ITWorld Korea by www.itworld.co.kr.

*The article has been translated based on the content of ITWorld Korea by www.itworld.co.kr. If there is any problem regarding the content, copyright, please leave a report below the article. We will try to process as quickly as possible to protect the rights of the author. Thank you very much!

*We just want readers to access information more quickly and easily with other multilingual content, instead of information only available in a certain language.

*We always respect the copyright of the content of the author and always include the original link of the source article.If the author disagrees, just leave the report below the article, the article will be edited or deleted at the request of the author. Thanks very much! Best regards!