3 formas de hacer que su red sea más difícil de atacar

0
19

Al comenzar el nuevo año, es un buen momento para pensar en lo que puede hacer para evitar que su red y su organización estén a la mano de los atacantes. Seguir estos pasos no lo hará inmune a los ataques, pero podría alentar a los atacantes a perseguir a otra persona.

  1. De la manera en que usted entra, ellos entran: Proteja el acceso remoto y el acceso administrativo

El marco MITER ATT & CK enumera las formas y los puertos que se usan típicamente para el acceso administrativo a servidores y estaciones de trabajo. Los atacantes también conocen estos métodos de acceso, y apuntan a las formas en que ingresa a su red. Por ejemplo, si usa cualquiera de los siguientes puertos y los expone a Internet, agregue el cierre, el bloqueo o la habilitación de autenticación de dos factores (2FA) en su lista de tareas para el 2020.

  • SSH (22 / TCP)
  • Telnet (23 / TCP)
  • FTP (21 / TCP)
  • NetBIOS / SMB / Samba (139 / TCP y 445 / TCP)
  • LDAP (389 / TCP)
  • Kerberos (88 / TCP)
  • RDP / Servicios de terminal (3389 / TCP)
  • Servicios de administración HTTP / HTTP (80 / TCP y 443 / TCP)
  • MSSQL (1433 / TCP)
  • Oráculo (1521 / TCP)
  • MySQL (3306 / TCP)
  • VNC (5900 / TCP)

Los ataques de password spraying contra el Remote Desktop Protocol (RDP), por ejemplo, es una forma en que los atacantes intentan obtener acceso. Las plataformas de terceros como Duo.com pueden agregar 2FA para ayudar a frustrar estos intentos.

Incluso revise las transmisiones únicamente internas como LDAP para asegurarse de que las esté configurando de forma segura. Microsoft anunció recientemente que hará cumplir la firma LDAP en marzo del 2020, así que revise su configuración ahora para determinar si está listo para los próximos cambios.

Revise si necesita restablecer las contraseñas de Kerberos, especialmente si sospecha de reutilización de credenciales en su organización y tiene sistemas operativos más antiguos que controlan su dominio con la función de controlador de dominio. Si recientemente retiró sistemas operativos más antiguos, como Server 2008 o Server 2008 R2, es posible que deba restablecer las contraseñas de todos los controladores de dominio de lectura/escritura (RWDC) y controladores de dominio de solo lectura (RODC).

  1. Protección de credenciales: Elija mejores contraseñas y protéjalas

El escenario típico que usan los atacantes para obtener acceso es enviar un correo electrónico de phishing a un usuario y obtener acceso a una estación de trabajo. Si la red tiene la contraseña de administrador local establecida en el mismo valor en la red, el atacante puede obtener el valor hash de una máquina y usarlo en toda la red. Puede hacer que esta técnica de «pasar el hash» sea más difícil de varias maneras. Comience deshabilitando LM hash y NTLMv1 en su red.

Revise las reglas de su política de contraseñas y asegúrese de que los usuarios estén capacitados para elegir mejores frases de contraseña largas. Tenga en cuenta que, si los usuarios deben cambiar sus contraseñas con frecuencia, elegirán contraseñas más inseguras, no mejores.

Tenga en cuenta la frecuencia con la que reutiliza las contraseñas. Use un programa administrador de contraseñas y elija contraseñas complejas. Revise la longitud máxima de las contraseñas permitidas. Si encuentra que un proveedor le ofrece solo una contraseña corta, pregúntele qué bloqueo técnico le impide usar una contraseña más larga.

Use el kit de herramientas LAPS para establecer contraseñas únicas en cuentas de administrador local. Esto garantiza que los atacantes no puedan moverse lateralmente en una red.

Asegúrese de habilitar la autenticación multifactor (MFA) en las cuentas de administrador y en todas las cuentas de usuario que pueda. Con demasiada frecuencia es una contraseña lo que separa al atacante de usted. Haga que sea mucho más difícil para ellos. Finalmente, busque en su red cuentas que no estén configuradas de manera segura. verificando si valores hash se han quedado en la red, se han compartido contraseñas u otras configuraciones inseguras. Tendrá que usar el script de Scan and Check All Accounts In AD Forest – Account And Password Hygiene e instalar el módulo PowerShell para Lithnet y DSInternals para usar el módulo para verificar su Active Directory.

  1. Los navegadores y el correo electrónico son los nuevos puntos de entrada

Los atacantes saben que los usuarios son los eslabones débiles de la armadura. También saben que los usuarios pueden ser engañados para hacer clic. Los navegadores y correos electrónicos son los principales puntos de entrada a nuestras redes. Para el correo electrónico, busque el uso de herramientas de ataque como «ruler« que abusa de las funciones de Outlook del lado del cliente y obtiene un shell de forma remota. Para contrarrestar tales ataques, use herramientas como «notruler» para implementaciones locales para investigar y revisar si su entorno de Exchange se ha visto comprometido. Para Office 365, use PowerShell para auditar y revisar si se han establecido reglas e inyecciones.

Para los navegadores, revise sus políticas o configure límites para lo que los usuarios pueden descargar e instalar en sus navegadores. Use la Política de grupo o Intune para establecer limitaciones sobre lo que los usuarios pueden instalar en sus navegadores. Con el despliegue de Edge basado en Chromium en enero de 2020, prepárese con anticipación para también controlar las políticas Edge en la configuración de la Política de grupo.

Susan Bradley, CSOolone.com