Cloud Email (DMDS)
CDN

Parte 2: Combatir el Ransomware y Spear-phishing

 
Backups en la estación de trabajo
A los usuarios también se les debe concientizar de hacer backup de su estación de trabajo personal, dado que por lo general los Administradores de Red sólo hacen backup de los discos de red compartidos.

Esos backups hechos por el usuario de sus datos propios, una vez realizados, deben ser puestos fuera de línea, por ejemplo en pen-drives o discos externos, y dichos medios deben ser desconectados luego de la red.

No se debe fiar de la generación automática de  shadow volumes a través del vssadmin.exe en Windows, ya que ransomwares como CryptoLocker se aseguran de utilizar ese comando precisamente para borrar todas los “Shadow Volume Copies” antes de encriptar archivos.

 
Licencias y parches
Los administradores de red corporativa deben encargarse que los usuarios finales tengan licencias de antivirus en sus estaciones de trabajo, así como los últimos updates de seguridad del sistema operativo y las aplicaciones. Esto último debe constituir una política que se denomina “aggresive patching”, y consiste en no demorar la aplicación de parches aunque afecte el ritmo normal de trabajo de los usuarios, y en “ir a buscar” si aparecen llamadas vulnerabilidades “zero-day”.

Una buena política consiste en estar suscripto a listas e-mail sobre seguridad, y hacer búsquedas regulares en Google de textos como “zero-day code-execution vulnerability in Microsoft Office” para enterarse lo más pronto posible.

Los malware que infectan PCs (p.ej. keyloggers) y roban credenciales de acceso a programas como Microsoft Outlook, son una fuente peligrosa de generación de spear-phishing al tomar control de la agenda y los mails.

 
Backups de red
Otra de las tareas comunes de los Administradores de red  es la de realizar backups periódicos y automáticos para que, en caso de encriptación de archivos o mails, exista una copia de seguridad reciente que haga el ataque menos efectivo. Es importante que haya copias de los backups que queden fuera de línea, es decir desconectados completamente de la red.

 
Permisos y privilegios
Otra de las tareas más complejas de prevención, que incumbe a los Administradores de Red, es no otorgar permisos de lecto-escritura a todos los usuarios por igual en todos los discos compartidos, sino diferenciar archivos y directorios de sólo lectura o de acceso restringido que permitan dejar dicho contenido fuera del alcance de los malwares en general.

El uso de Group Policy Objects para impedir la ejecución de programas en los directorios  %APPDATA% o %TEMP% , debe ser tomado con precaución para no bloquear instalaciones de programas legítimos. Si bien estas restricciones bloquearían la ejecución de CryptoLocker y otros ransomware, la solución es aplicable únicamente en entornos donde el usuario no puede hacer modificaciones en su estación de trabajo y tiene ya todo preinstalado.

 
Sitios de ayuda
En caso de ser blanco de un ataque de ransomware y se le pida rescate, se recomienda visitar el sitio del proyecto No more ransom  e intentar identificar una solución en la que no se tenga que pagar rescate.

Actualmente, y dado que los ransomware pueden ser comprados en la Darknet por parte de atacantes inexperimentados en forma de servicio (Malware as a Service) , existe una cierta probabilidad que se trate de ataques cuyos antídotos estén publicados en este sitio.

 
Estrategia integral para el e-mail
Planisys Avascloud como Secure E-mail Gateway, ofrece una amplia protección contra malwares y ransomwares en general, no sólo bloqueando adjuntos ejecutables, identificando contenido malicioso en adjuntos y URLs, sino identificando IPs atacantes en tiempo real sobre la propia infraestructura de red y nube de Planisys.

Para protegerse del spear-phishing, que es la forma de engaño más temida por las áreas financieras y de RRHH de las corporaciones, y teniendo en cuenta que son mensajes dirigidos especialmente a determinadas personas, es necesaria una solución integral de E-mail Security Monitoring como la ofrecida por Planisys Avascloud.

Esta solución está diseñada entre otras cosas para impedir que lleguen a la empresa mails del mismo dominio pero originados en IPs externas maliciosas, para lo cual se aplica Avascloud al tráfico entrante y saliente, se hace integración con Microsoft ActiveDirectory o Zimbra, y se controlan las configuraciones de DNS de manera estricta.

La estrategia de Avascloud permite identificar redes peligrosas en tiempo real, así como detectar el abuso en Internet de dominio y marca empresariales a través del envío indebido de e-mails con el dominio del cliente por terceros.

 
Protección de las cuentas de e-mail
Para aquellos casos en donde se permite el acceso via IMAP o POP3 a las cuentas de mail desde el Internet en general para laptops y celulares sin una VPN, se debe contar con protección que impida el hackeo de las claves y la utilización de las cuentas para generar spearphishings precisos o propagar malware.

Planisys Avascloud provee protección perimetral, que detecta intentos de probar claves posibles para crackear cuentas, identifica las IPs maliciosas desde donde se hace el intento y las bloquea. También permite forzar IMAP y POP3 encriptados con SSL/TLS para evitar que las claves y los textos de los mails sean leídos por terceros p.ej. en redes Wifi.

Los administradores del e-mail corporativo deben además asegurarse , con las herramientas adecuadas , que no se estén utilizando passwords fáciles de adivinar. Para ésto pueden tener que recurrir a herramientas de Pentesting, como https://github.com/ins1gn1a/pwdlyser, o una búsqueda en Google de “password analyzer” o directamente contratar Pentesting externo.

Usuario Dev

This entry has 0 replies

Comments are closed.