Referencia: Fortinet - Ukraine-crisis-cyber-readiness-checklist
Por Gergely Revay | Febrero 24, 2022
Con las operaciones militares rusas actualmente en curso en Ucrania, la pregunta de si también se empleará la guerra cibernética sigue sin respuesta. Si bien hemos visto casos de acciones cibernéticas destructivas centradas en Ucrania, en este momento no es posible atribuirlas.
Como resultado de estas acciones, muchas organizaciones sienten una mayor preocupación. Nuestro enfoque aquí es proteger a las organizaciones ayudándolas a prepararse para posibles ataques cibernéticos. Para eso, hemos elaborado esta lista de verificación de preparación cibernética. Si bien muchas de estas sugerencias son protocolos estándar de ciberhigiene y mejores prácticas, recordar lo básico nunca está de más, especialmente cuando hay tantas otras preocupaciones. De la misma manera que lavarse las manos ayuda en nuestra lucha contra el COVID-19, las acciones simples también pueden contribuir en gran medida a luchar contra las ciberamenazas.
asegúrese de que todos los sistemas estén completamente parcheados y actualizados
asegúrese de que sus herramientas de seguridad tengan las bases de datos más recientes
cree o actualice copias de seguridad fuera de línea para todos los sistemas críticos
realizar simulacros y capacitación de concientización sobre suplantación de identidad
busque de manera proactiva a los atacantes en su red utilizando los TTP conocidos de los actores de amenazas rusos
pruebe sus defensas para asegurarse de que puedan detectar los TTP conocidos de los actores de amenazas rusos
pruebe su respuesta a incidentes en escenarios ficticios del mundo real
suscríbase a las fuentes de inteligencia de amenazas como Fortinet Threat Signals
Para buscar adversarios en sus redes, CISA recomienda los siguientes TTP:
Táctica | Técnica | Procedimiento |
Reconocimiento [ TA0043 ] | Escaneo activo: Escaneo de vulnerabilidades [ T1595.002 ] | |
Los actores APT (Advanced Persistent Threat) patrocinados por el estado ruso han realizado escaneos a gran escala para encontrar servidores vulnerables. | ||
Suplantación de identidad para obtener información [ T1598 ] | Los actores APT patrocinados por el estado ruso han llevado a cabo campañas de phishing para obtener las credenciales de las redes objetivo. | |
Desarrollo de recursos [ TA0042] | Desarrollar Capacidades: Malware [ T1587.001 ] | Los actores APT patrocinados por el estado ruso han desarrollado e implementado malware, incluido el malware destructivo centrado en ICS. |
Acceso Inicial [ TA0001 ] | Explotar aplicaciones orientadas al público [ T1190 ] | Los actores de APT patrocinados por el estado ruso se enfocan en las vulnerabilidades conocidas públicamente, así como en los días cero, en los sistemas orientados a Internet para obtener acceso a las redes. |
Compromiso de la cadena de suministro: Compromiso de la cadena de suministro de software [ T1195.002 ] | Los actores de APT patrocinados por el estado ruso han obtenido acceso inicial a las organizaciones de víctimas al comprometer el software confiable de terceros. Los incidentes notables incluyen el software de contabilidad MEDoc y SolarWinds Orion. | |
Ejecución [ TA0002 ] | Intérprete de comandos y secuencias de comandos: PowerShell [ T1059.003 ] y Windows Command Shell [ T1059.003 ] | Los actores APT patrocinados por el estado ruso han utilizado cmd.exe para ejecutar comandos en máquinas remotas. También han usado PowerShell para crear nuevas tareas en máquinas remotas, identificar ajustes de configuración, filtrar datos y ejecutar otros comandos. |
Persistencia [ TA0003 ] | Cuentas válidas [ T1078 ] | Los actores APT patrocinados por el estado ruso han utilizado las credenciales de las cuentas existentes para mantener un acceso persistente a largo plazo a las redes comprometidas. |
Credencial de Acceso [ TA0006 ] | Fuerza bruta: Adivinación de contraseñas [ T1110.001 ] y Rociado de contraseñas [ T1110.003 ] | Los actores de APT patrocinados por el estado ruso han llevado a cabo campañas de adivinación de contraseñas y rociado de contraseñas por fuerza bruta. |
Volcado de credenciales del sistema operativo: NTDS [ T1003.003 ] | Los actores APT patrocinados por el estado ruso han extraído credenciales y exportado copias de la base de datos de Active Directory ntds.dit. | |
Robar o falsificar tickets de Kerberos: Kerberoasting [ T1558.003 ] | Los actores de APT patrocinados por el estado ruso han realizado "Kerberoasting", mediante el cual obtuvieron los boletos del Servicio de concesión de boletos (TGS) para los nombres principales del servicio de directorio activo (SPN) para el descifrado fuera de línea. | |
Credenciales de almacenes de contraseñas [ T1555 ] | Los actores de APT patrocinados por el estado ruso han utilizado credenciales de cuenta previamente comprometidas para intentar acceder a las contraseñas de la cuenta de servicio administrado de grupo (gMSA). | |
Explotación para acceso de credenciales [ T1212 ] | Los actores de APT patrocinados por el estado ruso han explotado la vulnerabilidad de Windows Netlogon CVE-2020-1472 para obtener acceso a los servidores de Windows Active Directory. | |
Credenciales no seguras: claves privadas [ T1552.004 ] | Los actores APT patrocinados por el estado ruso han obtenido claves de cifrado privadas del contenedor de Servicios de federación de Active Directory (ADFS) para descifrar los certificados de firma SAML (Security Assertion Markup Language) correspondientes. | |
Comando y Control [ TA0011 ] | Proxy: Proxy multisalto [ T1090.003 ] | Los actores APT patrocinados por el estado ruso han utilizado servidores privados virtuales (VPS) para enrutar el tráfico a los objetivos. Los actores a menudo usan VPS con direcciones IP en el país de origen de la víctima para ocultar la actividad entre el tráfico de usuarios legítimos. |
Fortinet brinda múltiples oportunidades para que las organizaciones mitiguen ataques cibernéticos graves e investiguen posibles infracciones. A continuación, se incluyen algunos ejemplos populares de las tecnologías y soluciones que ofrece Fortinet.
Evaluación de amenazas cibernéticas de Fortinet : las arquitecturas de red seguras deben evolucionar constantemente para mantenerse al día con las amenazas persistentes avanzadas más recientes. Hay dos formas de averiguar si su solución no se mantiene al día: esperar a que ocurra una infracción o ejecutar pruebas de validación.
Detección y respuesta administradas : Fortinet ayuda a los clientes a comprender mejor los riesgos de ciberseguridad que enfrentan y mejorar la forma en que identifican y reaccionan ante las amenazas.
Soluciones de parcheo virtual de Fortinet : FortiGuard Labs protege contra vulnerabilidades específicas.
Servicio de respuesta a incidentes de FortiGuard: el servicio de respuesta a incidentes de FortiGuard proporciona a las organizaciones en medio de un incidente de seguridad cibernética (incluidos los ataques de ransomware dirigidos), personal experimentado, habilidades expertas y herramientas poderosas.
Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut
Read MoreCopyright @ Telecomunications Network Solutions. All Rights Reserved.
Cookie | Duración | Descripción |
---|---|---|
cookielawinfo-checbox-analytics | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics". |
cookielawinfo-checbox-functional | 11 months | The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional". |
cookielawinfo-checbox-others | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other. |
cookielawinfo-checkbox-necessary | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary". |
cookielawinfo-checkbox-performance | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance". |
viewed_cookie_policy | 11 months | The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data. |