Ciberseguridad ante situaciones de incertidumbre

Debido al entorno interconectado en el que se encuentran tanto la ciudadanía como las empresas, los incidentes y amenazas que suceden en una localización determinada pueden tener un efecto domino, afectando también a nivel global y por lo tanto a Euskadi.

Ante la situación actual remitimos una serie de recomendaciones técnicas generales que contribuyen a elevar el nivel de protección y resiliencia de las empresas vascas frente a posibles ciberataques.

1. Configuración segura de dispositivos: Establecer una política de configuración segura de dispositivos y aplicaciones, asumiendo que las configuraciones por defecto no son siempre las más idóneas desde una perspectiva de ciberseguridad.
2. Control y configuración segura de aplicaciones: Limitar el número de aplicaciones, instalando y utilizando únicamente aquellas destinadas a la operativa habitual de trabajo. Así mismo, se recomienda limitar los permisos de los usuarios aplicando la ley del mínimo privilegio, de modo que únicamente puedan realizar aquellas tareas necesarias para su desempeño profesional diario. Se recomienda que los usuarios finales no tengan rol de administrador.
3. Protección frente a programas maliciosos: Utilizar y mantener actualizada una solución antivirus con protección ransomware, siendo muy recomendable el añadir solución EDR, y realizar escaneos periódicos. Así mismo, se recomienda apagar aquellos dispositivos que no estén en uso para que en el caso del compromiso del sistema no se vean afectados.
4. Protección de las conexiones: En caso de requerir acceso remoto, habilitarlo mediante VPN llevando un control y teniendo un inventario detallado de todos los accesos autorizados.
   Así mismo, limitar el perímetro, bloqueando por defecto accesos provenientes de localizaciones no habituales como por ejemplo países desde los que no deberían realizar conexiones a nuestra infraestructura. De igual modo, limitar las conexiones salientes a sitios incluidos en listas de reputación catalogados como maliciosos.
5. Copias de seguridad: Establecer y mantener una política de copias de seguridad siguiendo la directriz 3, 2, 1: 3 copias de seguridad en 2 soportes distintos y almacenar 1 de ellas aislada completamente fuera de la red. Realizar dichas copias con una periodicidad que permita recuperar la actividad en un plazo óptimo en caso de ser necesaria su utilización. Así mismo, se recomienda validar el funcionamiento de dichas copias y del proceso de restauración.
6. Actualizaciones de seguridad: Establecer una política de actualizaciones para poder aplicarlas en el menor tiempo posible, evitando de esta forma la potencial explotación de vulnerabilidades conocidas. Hacer hincapié en priorizar la aplicación de parches sobre entornos expuestos y especialmente en el caso de vulnerabilidades altas y críticas.
7. Control de accesos: Activar la autenticación mediante múltiples factores siempre que sea posible., especialmente en aquellos casos en los que impliquen accesos externos, accesos a cuentas con privilegios, etc. Así mismo, establecer una política de cambio de contraseñas que recoja su modificación periódica, forzando el reseteo en el caso de que no se hayan modificado en un plazo de 6 meses. Esto es especialmente importante en el caso de usuarios con rol de administración.
8. Concienciación: Recordar a los empleados la necesidad de extremar las precauciones durante el manejo de correos electrónicos y adjuntos.
9. Alerta temprana: En caso de identificar actividad maliciosa, reportar inmediatamente a la persona responsable de seguridad / sistemas para que pueda tomar las medidas oportunas para mitigar el impacto, aislarse del resto de entidades y notificar a través de los canales establecidos.

Adicionalmente, indicamos una serie de medidas técnicas más concretas para aquellas empresas que estén en disposición de implementarlas:

Navegación

• Recalcar al personal empleado la importancia de navegar de forma segura, accediendo únicamente a aquellos sitios a los que sea necesario por el ámbito laboral.
• Extremar las precauciones a la hora de acceder a sitios desconocidos o enlaces que lleguen desde programas de mensajería o correo electrónico.
• Si se utiliza, revisar que el proxy está correctamente configurado para bloquear el acceso a sitios maliciosos.
• Configurar los firewalls para que bloqueen páginas web que hayan sido catalogadas como maliciosas en listas de reputación.

Correo

• Implementar y revisar la correcta configuración de los registros SPF, DKIM, DMARC y DNSSEC.
• Revisar la configuración del correo electrónico, comprobando que los filtros de protección (detección de malware, phishing, etc.) estén configurados de forma eficaz.
• Valorar bloquear ciertas tipologías de ficheros potencialmente dañinas, como por ejemplo aquellos que permiten incrustar macros o al menos bloquear la ejecución de macros si es posible. Así mismo, limitar la ejecución de herramientas de línea de comandos como powershell o wmic.

Configuración segura de dispositivos

• Tener en cuenta buenas prácticas de ciberseguridad a la hora de desplegar distintos sistemas.
• Establecer y seguir un proceso de gestión de vulnerabilidades.

Actualizaciones de seguridad

• Mantener los sistemas actualizados para evitar la explotación de vulnerabilidades conocidas.
• Verificar la integridad de las actualizaciones, comprobando que se obtienen de fuentes confiables
• Al actualizar software o lanzar parches en una organización, hacerlo de forma escalonada para tratar de minimizar el impacto de errores o actualizaciones maliciosas.

Monitorización

• Activar la recogida de eventos / logs de seguridad (sistema, (incluyendo herramientas de línea de comandos), endpoint, firewalls, proxy, etc.) y revisarlos en busca de actividad anómala.
• Monitorizar los eventos del sistema para identificar actividad sospechosa asociada a cuentas privilegiadas, como pueden ser intentos fallidos de autenticación, acceso a unidades de almacenamiento compartido, o inicios de sesión en sistemas inusuales o creación de cuentas nuevas.
• Revisar los flujos de red en busca de signos de actividad anómala como conexiones que usen puertos que no se correlacionan con el flujo de comunicaciones estándar asociado con una aplicación, actividad relacionada con el escaneo o la enumeración de puertos, y conexiones repetidas usando puertos que se pueden usar para fines de comando y control.
• Asegurarse e de que los dispositivos de red registren y auditen todos los cambios de configuración. Revisar continuamente las configuraciones de los dispositivos de red y los conjuntos de reglas para asegurarse de que los flujos de comunicaciones estén restringidos al subconjunto autorizado de reglas.

Protección de las conexiones:

• Utilizar una adecuada segmentación de la red.
• Asegurarse de que las conexiones entre sistemas están permitidas teniendo en cuenta el principio de mínimo privilegio.
• Verificar que las conexiones definidas están documentadas y autorizadas.
• Utilizar redes o VLAN específicas para el acceso a las interfaces de gestión de los sistemas más críticos, como los de red y almacenamiento.
• Monitorizar la comunicación de los sistemas que puedan emplearse para "moverse lateralmente" entre los sistemas de la infraestructura, y verificar que se encuentran correctamente fortificados.
• Valorar bloquear el tráfico de TOR.

Control de acceso

• Utilizar un segundo factor de autenticación (o múltiples) siempre que sea posible.
• Asegúrese de que los usuarios de dominio estén asignados a un subconjunto específico del personal de la empresa. Si es posible, los grupos "Todos", "Usuarios del dominio" o "Usuarios autenticados" no deben tener la capacidad de acceder o autenticarse directamente en sistemas críticos.
• Los permisos asignados a los usuarios deben estar documentado y configurado según el concepto de mínimo privilegio.
• Disponer de capacidad de monitorización de las acciones que realizan los usuarios.
• Revisar de forma periódica la asignación de permisos., restringiendo aquellos que no sean necesarios.

Continuidad de negocio

• Establecer un comité de crisis identificando personas, roles e información de contacto para que sean notificadas en caso de incidente.
• Elaborar planes de respuesta a incidentes.
• Elaborar planes de continuidad de negocio.
• Elaborar planes de recuperación frente a desastres.
• Realizar ejercicios de simulación para validar dichos planes.
• Identificar a los proveedores críticos y fijar cláusulas en las que se establezca su obligatoriedad de notificar en plazos mínimos si sufren un incidente de ciberseguridad.

Alerta temprana

• Seguir publicaciones como avisos y alertas de proveedores de ciberseguridad u organismos públicos de ciberseguridad sobre campañas de malware o vulnerabilidades.

Desde el BCSC, tenemos como objetivo promover y desarrollar una cultura de ciberseguridad entre la sociedad vasca y para alcanzar nuestros objetivos participamos en una serie de iniciativas que contribuyan a elevar el nivel de madurez en ciberseguridad.

En caso de requerir servicios especializados de ciberseguridad consulta el catálogo de proveedores. Así mismo, en el caso de identificar una campaña activa de malware o phishing, se recomienda reportarlas al Basque CyberSecurity Centre enviando un correo a  incidencias@bcsc.eus para que desde nuestro CERT, Computer Emergency Response Team, se proceda a realizar el análisis técnico correspondiente y la posterior aplicación de las medidas técnicas necesarias para su mitigación y desmantelamiento de modo que se limite el potencial impacto en Euskadi.