Cómo defender mejor a su organización contra las amenazas de acceso remoto


Con personas que trabajan de forma remota debido al coronavirus, los ciberdelincuentes están tratando de aprovechar herramientas como VPN y servicios de escritorio remoto, dice la firma de seguridad Radware.

Phishing: objetivos principales, ruptura de mitos y educación de los usuarios
Adrien Gendre de Vade Secure explica por qué el usuario final es un eslabón importante en la cadena de seguridad.

La expansión dramática y rápida del coronavirus ha obligado a las compañías a tomar medidas urgentes para proteger sus oficinas y sus empleados de la exposición. Como tal, muchas organizaciones piden o exigen que sus empleados trabajen en casa para evitar el contacto con otros. Pero esta rápida transición está provocando que los ciberdelincuentes apunten a las personas y las herramientas necesarias para trabajar de forma remota. Publicado el miércoles, el informe de Radware Coronavirus: recomendaciones de seguridad para amenazas de acceso remoto explica cómo proteger a su organización contra las amenazas de acceso remoto.

VER: El coronavirus tiene un efecto importante en la industria tecnológica más allá de los retrasos en la cadena de suministro (PDF gratuito) (TechRepublic)

Ataques DDoS

Un vector de ataque discutido por Radware es una denegación de servicio distribuida (DDoS). Estos tipos de ataques envían tráfico malicioso a las máquinas objetivo en un intento de sobrecargarlos. Al hacerlo, los servidores a los que necesitan acceder sus trabajadores se ralentizan o dejan de estar disponibles.

Un tipo más específico de ataque DDoS puede afectar a los trabajadores remotos que utilizan herramientas de red privada virtual (VPN). La mayoría de las herramientas de VPN usan Secure Socket Layer (SSL) o Transport Layer Security (TLS) para cifrar y proteger cualquier información enviada de un lado a otro. Los piratas informáticos pueden enviar datos maliciosos al servidor SSL o explotar de otro modo el proceso SSL, eliminando así el servicio.

Para protegerse contra los ataques DDoS, Radware recomienda utilizar una solución DDoS híbrida que combine servicios DDoS basados ​​en la nube y protección local. La detección en las instalaciones puede evitar cualquier tipo de interrupción por ataques específicos de aplicaciones y protocolos. Los servicios basados ​​en la nube pueden proporcionar un desvío automático a la nube si los ataques continúan creciendo.

VPN

Los trabajadores remotos confían en las VPN para obtener acceso seguro a la red de un empleador. Pero las VPN se han convertido cada vez más en un objetivo tentador para los ciberdelincuentes que utilizan amenazas persistentes avanzadas (APT). El año pasado, se descubrieron fallas en Herramientas de VPN de Palo Alto Networks, Fortinet y Pulse Secure eso permitiría a los atacantes remotos tomar el control de un sistema afectado y obtener acceso a la red de una organización.

En respuesta, la Agencia de Seguridad de la Ciberseguridad e Infraestructura (CISA) y el Centro Nacional de Seguridad Cibernética (NCSC) aconsejó a las organizaciones que revisen y actualicen sus soluciones VPN:

Para protegerse contra las vulnerabilidades de VPN, Radware sugiere los siguientes pasos:

  • Actualice las VPN, los dispositivos de infraestructura de red y los dispositivos que se utilizan para trabajar de forma remota con los últimos parches de software.
  • Implemente la autenticación multifactor (MFA) en todas las conexiones VPN para aumentar la seguridad. Si no se implementa MFA, solicite a los trabajadores a distancia que utilicen contraseñas seguras y no reutilicen contraseñas para otros fines o sitios.
  • Restablezca las credenciales asociadas con las VPN potencialmente afectadas.
  • Implemente controles de acceso granular en soluciones VPN para limitar el acceso según los perfiles de usuario.
  • Asegure y aplique la postura de seguridad de los dispositivos del cliente antes de permitir el acceso a los recursos internos.

Hazañas Bluekeep

Las herramientas de escritorio remoto también pueden desempeñar un papel para los trabajadores externos, ya que les permiten acceder y controlar de forma remota una estación de trabajo o servidor. Descubierto el año pasado, Bluekeep es un vulnerabilidad en los servicios de escritorio remoto de Microsoft eso podría permitir a los atacantes ejecutar código de forma remota. La falla afecta a Windows Server 2003, 2008 y 2008 R2, así como a Windows 7, XP y Vista, pero no a Windows 8 o Windows 10. Microsoft emitió un parche para el error, que incluyó como parte de su última actualización automática de Windows Mayo. Pero es probable que algunas organizaciones aún no lo hayan instalado.

Para protegerse contra Bluekeep, asegúrese de que todas las versiones afectadas de Windows hayan descargado las últimas actualizaciones. También puede descargar e instalar manualmente el parche Bluekeep desde Catálogo de actualizaciones de Microsoft.

Ataques de protocolo de escritorio remoto

El acceso remoto a las computadoras y servidores críticos de una organización es muy apreciado por los ciberdelincuentes y los piratas informáticos. Una forma de obtener ese acceso es a través de una cuenta de usuario que tiene privilegios de escritorio remoto. Para hacer eso, los delincuentes a menudo solicitan ataques de fuerza bruta para tratar de obtener las credenciales de una cuenta privilegiada. Aunque menos del 1% de tales ataques son exitosos, pueden durar de dos a tres días, según Radware.

Para protegerse contra las adquisiciones de cuentas RDP, Microsoft aconseja a los administradores del sistema que combinen y monitoreen las siguientes señales múltiples para detectar el tráfico entrante de fuerza bruta RDP en sus servidores:

  • Hora del día y día de la semana de inicio de sesión fallido y conexiones RDP
  • Momento del inicio de sesión exitoso luego de intentos fallidos
  • ID de evento 4625 tipo de inicio de sesión (filtrado a la red y remoto interactivo)
  • Id. De evento 4625 motivo de falla (filtrado a %% 2308, %% 2312, %% 2313)
  • Recuento acumulado de nombres de usuario distintos que no pudieron iniciar sesión sin éxito
  • Recuento (y recuento acumulativo) de inicios de sesión fallidos
  • Recuento (y recuento acumulativo) de IP externa entrante RDP
  • Recuento de otras máquinas que tienen conexiones entrantes RDP desde una o más de la misma IP

Suplantación de identidad

Con más personas trabajando desde casa, los delincuentes cibernéticos están intensificando las campañas de phishing diseñadas para engañarlos y compartir contraseñas, información financiera y otros datos confidenciales. Muchos de los últimos correos electrónicos de phishing prometen detalles importantes sobre el coronavirus para que la gente haga clic en enlaces maliciosos o abra archivos adjuntos maliciosos.

Para defender a su organización y empleados contra ataques de phishing, Radware ofrece los siguientes consejos:

Manténgase actualizado con los productos antimalware y phishing e informe a los empleados sobre los peligros de abrir archivos adjuntos o hacer clic en enlaces en correos electrónicos de fuentes no confiables. Si bien la mayoría de las organizaciones ya implementan un programa de concientización general sobre phishing, no está de más informar a los empleados sobre un aumento esperado en los intentos de phishing que prometen información sobre COVID-19.

Ver también

cybersecurityistock-1132228216valerybrozhinsky.jpg "src =" https://tr2.cbsistatic.com/hub/i/r/2019/02/27/2ac4df7d-f9a9-4592-93b0-f3c0cecacd29/resize/770x/6ad45e34770de3ce38aa9c92f4213754/cybersecurityistock-1132228216valerybrozhinsky .jpg

Imagen: iStockphoto / ValeryBrozhinsky



Enlace a la noticia original