ANATOMÍA DE UN ATAQUE DE CIBERSEGURIDAD Y COMO PREVENIRLO
Resumen
Zero Trust:
- La línea perimetral en la red corporativa ya no existe, ningún usuario es de confianza, esté dentro o fuera de la LAN
- No hay red interna, considera que los dispositivos en tu organización se conectan de un lugar público
- Trust nothing, verify everything, Asume que los atacantes provienen de cualquier dispositivo dentro o fuera de tu red. Ningún usuario o dispositivo deberá ser confiable.
- La seguridad debe adaptarse en tiempo real, tus políticas de seguridad deberán ser diseñadas para adaptarse a los cambios de forma automática.
Cadena de ataque:
Reconocimiento:
- Recolección de correo electrónico
- Información de la página web
- Llamadas telefónicas
- Conferencias
Armado:
- Acoplar exploit en al cárga útil de un mensaje
- Preparar phishing
Envío, Entregar un paquete armado a la víctima vía correo electrónico, página web, etc.
- Configure su firewall con filtros web que bloqueen el acceso a sitios sospechosos (categorías)
- Consultas en tiempo real para verificar cualquer amenaza y prevenir infecciones a la red o dispositivo
- Prevee a los usuarios de ser redirigidos a páginas falsas o sitios compromentidos
- Valide los certificados de sitios web para garantizar legitimidad
- Forzar búsquedas seguras
- Controlar las aplicaciones
- Explotación, explotar una vulnerabilidad o funcionalidad para ejecutar código malicioso en la máquina de la víctima
- Bloquear y reportear actividades sospechosas o maliciosas (IPS)
Control e Intenciones finales, se crea un canal de comandos para manipulación remota del equipo de la víctima.
- Herramientas de Advanced threat
- Aislamiento automático o manual del equipo infectado
Recomendaciones generales:
- Aplicar parches de seguridad, actualizar periódicamente.
- Mantener y proteger respaldos
- Habilitar MFA
- Validar si hay conecciones hacia direcciones IP de C&C o grupos de atacantes
- Verificar en la red actividad de Powershell
- Aplicaciones de políticas, perfiles y roles de usuarios
- Segmentar la red, Zero Trust
- No exponer hacia el exterior el RDP
- Cambiar periódicamente las credenciales de los controladores de dominio y servidores críticos
- Habilitar la visibilidad SSL
- Educar, capacitar, sensibilizar a los usuarios
- Defensa en capas (aislar automáticamente los endpoints)
- Auditoría periódica.