Texto teaser de la historia: los líderes de ciberseguridad enfrentan una presión creciente para detener los ataques antiguamente de que comiencen, y la mejor defensa puede presentarse a la configuración que elija el primer día. En esta cuchitril, Yuriy Tsibere explora cómo las políticas predeterminadas como Deny-by-Default, MFA Conforcement y Application RingFencing ™ pueden eliminar las categorías completas de aventura. Desde deshabilitar las macros de Office hasta rodear el tráfico de servidor fuera de distancia, estos movimientos simples pero estratégicos crean un entorno endurecido que los atacantes no pueden penetrar fácilmente. Ya sea que esté asegurando puntos finales o supervisar los lanzamientos de políticas, adoptar una mentalidad de seguridad por defecto puede sujetar la complejidad, sujetar su superficie de ataque y ayudarlo a mantenerse a la vanguardia de las amenazas evolucionadas.
La ciberseguridad ha cambiado drásticamente desde los días del virus “Love Bug” en 2001. Lo que una vez fue una molestia es ahora una empresa criminal impulsada por las ganancias que vale miles de millones. Este cambio exige estrategias de defensa proactivas que no solo respondan a las amenazas, sino que les impiden presentarse a su red. CISOS, los administradores de TI y los MSP necesitan soluciones que bloqueen los ataques por defecto, no solo los detectan luego del hecho. Los marcos de la industria como NIST, ISO, CIS y HIPAA brindan orientación, pero a menudo carecen de los pasos claros y procesables necesarios para implementar una seguridad efectiva.
Para cualquiera que comience un nuevo papel de liderazgo de seguridad, la delegación es clara: detener tantos ataques como sea posible, frustrar a los actores de amenaza y hacerlo sin donar al equipo de TI. Ahí es donde entra una mentalidad de seguridad por defecto: configurar sistemas para rodear los riesgos fuera de la puerta. Como he dicho a menudo, los atacantes solo tienen que estar perfectamente una vez. Tenemos que tener razón el 100% del tiempo.
Así es como la configuración de los títulos predeterminados correctos puede eliminar las categorías completas de aventura.
Requerir autenticación multifactor (MFA) en todas las cuentas remotas
Habilitar MFA en todos los servicios remotos, incluidas plataformas SaaS como Office 365 y G Suite, así como registradores de dominio y herramientas de entrada remoto, es un valía predeterminado de seguridad fundamental. Incluso si se compromete una contraseña, MFA puede evitar el entrada no acreditado. Intente evitar usar mensajes de texto para MFA, ya que puede interceptarse.
Si perfectamente puede introducir cierta fricción, los beneficios de seguridad superan con creces el aventura de robo de datos o pérdida financiera.
Desmentir por defecto
Una de las medidas de seguridad más efectivas hoy en día es la aplicación blanca de la aplicación o la tira permitida. Este enfoque bloquea todo por defecto y solo permite que se ejecute un software conocido y aceptado. El resultado: el ransomware y otras aplicaciones maliciosas se detienen antiguamente de poder ejecutar. Incluso bloquea herramientas remotas legítimas pero inseguradas como Anydesk o similar, que los atacantes a menudo intentan colarse a través de la ingeniería social.
Los usuarios aún pueden penetrar a lo que necesitan a través de una tienda preaprobada de aplicaciones seguras, y las herramientas de visibilidad hacen que sea tratable rastrear todo lo que se ejecuta, incluidas las aplicaciones portátiles.
Deseo rápida a través de la configuración segura
Pequeños cambios en la configuración predeterminada pueden cerrar los grandes brechas de seguridad en Windows y otras plataformas:
- Salga de las macros de la oficina: lleva cinco minutos y bloquea uno de los vectores de ataque más comunes para el ransomware.
- Use capturas de pantalla protegidas con contraseña: bloquee automáticamente su pantalla luego de un breve refrigerio para evitar que cualquiera husmee.
- Desactivar SMBV1: este protocolo de la vieja escuela está desactualizado y se ha utilizado en grandes ataques como WannaCry. La mayoría de los sistemas ya no lo necesitan.
- Apague el keylogger de Windows: rara vez es útil y podría ser un aventura de seguridad si se deja encendido.
Control de la red y el comportamiento de la aplicación para las organizaciones
- Eliminar los derechos de establecimiento locales: la mayoría de los malware no necesitan entrada de administrador para ejecutar, pero eliminarlo impide que los usuarios se metan con la configuración de seguridad o incluso la instalación del software receloso.
- Aislar puertos no utilizados y recortar el tráfico de salida:
- Apague los puertos SMB y RDP a menos que sea absolutamente necesario, y solo permita fuentes confiables.
- Deje de que los servidores lleguen a Internet a menos que lo necesiten. Esto ayuda a evitar ataques como Solarwinds.
- Comportamientos de aplicación de control: herramientas como amenazlocker ringfencing ™ puede evitar que las aplicaciones hagan cosas incompletas, como el impulso de palabras PowerShell (sí, ese es un método de ataque auténtico).
- Asegure su VPN: si no lo necesita, apáguelo. Si lo hace, limite el entrada a IPS específicas y restrinja a qué pueden penetrar los usuarios.
Reforzar los datos y los controles web
- Bloquee las unidades USB de forma predeterminada: son una forma popular para que el malware se propaga. Solo permita los seguros administrados y encriptados si es necesario.
- Limite el entrada al archivo: las aplicaciones no deberían poder hundir en archivos de afortunado a menos que positivamente lo necesiten.
- Filtre las herramientas no aprobadas: bloquee las aplicaciones aleatorias o nubes que no han sido examinadas. Deje que los usuarios soliciten entrada si necesitan poco.
- Track La actividad del archivo: vigile quién está haciendo lo que está con archivos, tanto en dispositivos como en la montón. Es esencia para detectar el comportamiento sombreado.
Ir más allá de los títulos predeterminados con monitoreo y parcheo
Los títulos predeterminados fuertes son solo el manifestación. La vigilancia continua es crítica:
- Parche regular: la mayoría de los ataques usan errores conocidos. Mantenga todo actualizado, incluidas las aplicaciones portátiles.
- Detección automatizada de amenazas: las herramientas EDR son excelentes, pero si nadie está mirando alertas las 24 horas, los 7 días de la semana, las amenazas pueden advenir. Los servicios de MDR pueden saltar rápido, incluso luego de horas.
La seguridad por defecto no es solo inteligente, no es negociable. Aislar aplicaciones desconocidas, utilizando una autenticación robusto, rodear las redes y el comportamiento de la aplicación puede eliminar un montón de aventura. Los atacantes solo necesitan un tiro, pero la configuración sólida por defecto mantiene sus defensas listas todo el tiempo. La retribución? Menos violaciones, menos problemas y una configuración más robusto y más resistente.
Nota: Este artículo es escrito por expertos y aportado por Yuriy Tsibere, director de productos y analista de negocios de Denacollocker.
