Texto teaser de la historia: los líderes de ciberseguridad enfrentan una presión creciente para detener los ataques antes de que comiencen, y la mejor defensa puede llegar a la configuración que elija el primer día. En esta pieza, Yuriy Tsibere explora cómo las políticas predeterminadas como Deny-by-Default, MFA Conforcement y Application RingFencing ™ pueden eliminar las categorías completas de riesgo. Desde deshabilitar las macros de Office hasta bloquear el tráfico de servidor fuera de distancia, estos movimientos simples pero estratégicos crean un entorno endurecido que los atacantes no pueden penetrar fácilmente. Ya sea que esté asegurando puntos finales o supervisar los lanzamientos de políticas, adoptar una mentalidad de seguridad por defecto puede reducir la complejidad, reducir su superficie de ataque y ayudarlo a mantenerse a la vanguardia de las amenazas evolucionadas.
La ciberseguridad ha cambiado drásticamente desde los días del virus «Love Bug» en 2001. Lo que una vez fue una molestia es ahora una empresa criminal impulsada por las ganancias que vale miles de millones. Este cambio exige estrategias de defensa proactivas que no solo respondan a las amenazas, sino que les impiden llegar a su red. CISOS, los administradores de TI y los MSP necesitan soluciones que bloqueen los ataques por defectono solo detectarlos después del hecho. Los marcos de la industria como NIST, ISO, CIS y HIPAA brindan orientación, pero a menudo carecen de los pasos claros y procesables necesarios para implementar una seguridad efectiva.
Para cualquiera que comience un nuevo papel de liderazgo de seguridad, la misión es clara: detener tantos ataques como sea posible, frustrar a los actores de amenaza y hacerlo sin alienar al equipo de TI. Ahí es donde entra una mentalidad de seguridad por defecto: configurar sistemas para bloquear los riesgos fuera de la puerta. Como he dicho a menudo, los atacantes solo tienen que estar bien una vez. Tenemos que tener razón el 100% del tiempo.
Así es como la configuración de los valores predeterminados correctos puede eliminar las categorías completas de riesgo.
Requerir autenticación multifactor (MFA) en todas las cuentas remotas
Habilitar MFA en todos los servicios remotos, incluidas plataformas SaaS como Office 365 y G Suite, así como registradores de dominio y herramientas de acceso remoto, es un valor predeterminado de seguridad fundamental. Incluso si se compromete una contraseña, MFA puede evitar el acceso no autorizado. Intente evitar usar mensajes de texto para MFA, ya que puede interceptarse.
Si bien puede introducir cierta fricción, los beneficios de seguridad superan con creces el riesgo de robo de datos o pérdida financiera.
Negar por defecto
Una de las medidas de seguridad más efectivas hoy en día es la aplicación blanca de la aplicación o la lista permitida. Este enfoque bloquea todo por defecto y solo permite que se ejecute un software conocido y aprobado. El resultado: el ransomware y otras aplicaciones maliciosas se detienen antes de poder ejecutar. También bloquea herramientas remotas legítimas pero inseguradas como Anydesk o similar, que los atacantes a menudo intentan colarse a través de la ingeniería social.
Los usuarios aún pueden acceder a lo que necesitan a través de una tienda preaprobada de aplicaciones seguras, y las herramientas de visibilidad hacen que sea fácil rastrear todo lo que se ejecuta, incluidas las aplicaciones portátiles.
Gana rápida a través de la configuración segura
Pequeños cambios en la configuración predeterminada pueden cerrar los grandes brechas de seguridad en Windows y otras plataformas:
- Salga de las macros de la oficina: lleva cinco minutos y bloquea uno de los vectores de ataque más comunes para el ransomware.
- Use capturas de pantalla protegidas con contraseña: bloquee automáticamente su pantalla después de un breve descanso para evitar que cualquiera husmee.
- Desactivar SMBV1: este protocolo de la vieja escuela está desactualizado y se ha utilizado en grandes ataques como WannaCry. La mayoría de los sistemas ya no lo necesitan.
- Apague el keylogger de Windows: rara vez es útil y podría ser un riesgo de seguridad si se deja encendido.
Control de la red y el comportamiento de la aplicación para las organizaciones
- Eliminar los derechos de administración locales: la mayoría de los malware no necesitan acceso de administrador para ejecutar, pero eliminarlo impide que los usuarios se metan con la configuración de seguridad o incluso la instalación del software malicioso.
- Bloquear puertos no utilizados y limitar el tráfico de salida:
- Apague los puertos SMB y RDP a menos que sea absolutamente necesario, y solo permita fuentes confiables.
- Deje de que los servidores lleguen a Internet a menos que lo necesiten. Esto ayuda a evitar ataques como Solarwinds.
- Comportamientos de aplicación de control: herramientas como amenazlocker ringfencing ™ puede evitar que las aplicaciones hagan cosas incompletas— Al igual que el lanzamiento de Word PowerShell (sí, ese es un método de ataque real).
- Asegure su VPN: si no lo necesita, apáguelo. Si lo hace, limite el acceso a IPS específicas y restrinja a qué pueden acceder los usuarios.
Fortalecer los datos y los controles web
- Bloquee las unidades USB de forma predeterminada: son una forma común para que el malware se propaga. Solo permita los seguros administrados y encriptados si es necesario.
- Limite el acceso al archivo: las aplicaciones no deberían poder hundir en archivos de usuario a menos que realmente lo necesiten.
- Filtre las herramientas no aprobadas: bloquee las aplicaciones aleatorias o nubes que no han sido examinadas. Deje que los usuarios soliciten acceso si necesitan algo.
- Track La actividad del archivo: vigile quién está haciendo lo que está con archivos, tanto en dispositivos como en la nube. Es clave para detectar el comportamiento sombreado.
Ir más allá de los valores predeterminados con monitoreo y parcheo
Los valores predeterminados fuertes son solo el comienzo. La vigilancia continua es crítica:
- Parche regular: la mayoría de los ataques usan errores conocidos. Mantenga todo actualizado, incluidas las aplicaciones portátiles.
- Detección automatizada de amenazas: las herramientas EDR son excelentes, pero si nadie está mirando alertas las 24 horas, los 7 días de la semana, las amenazas pueden pasar. Los servicios de MDR pueden saltar rápido, incluso después de horas.
La seguridad por defecto no es solo inteligente, no es negociable. Bloquear aplicaciones desconocidas, utilizando una autenticación fuerte, bloquear las redes y el comportamiento de la aplicación puede eliminar un montón de riesgo. Los atacantes solo necesitan un tiro, pero la configuración sólida por defecto mantiene sus defensas listas todo el tiempo. La recompensa? Menos violaciones, menos problemas y una configuración más fuerte y más resistente.
Nota: Este artículo es escrito por expertos y aportado por Yuriy Tsibere, gerente de productos y analista de negocios de Denacollocker.