Referencia: Fortinet - Ukraine-crisis-cyber-readiness-checklist

Por Gergely Revay | Febrero 24, 2022

Con las operaciones militares rusas actualmente en curso en Ucrania, la pregunta de si también se empleará la guerra cibernética sigue sin respuesta. Si bien hemos visto casos de acciones cibernéticas destructivas centradas en Ucrania, en este momento no es posible atribuirlas.

Como resultado de estas acciones, muchas organizaciones sienten una mayor preocupación. Nuestro enfoque aquí es proteger a las organizaciones ayudándolas a prepararse para posibles ataques cibernéticos. Para eso, hemos elaborado esta lista de verificación de preparación cibernética. Si bien muchas de estas sugerencias son protocolos estándar de ciberhigiene y mejores prácticas, recordar lo básico nunca está de más, especialmente cuando hay tantas otras preocupaciones. De la misma manera que lavarse las manos ayuda en nuestra lucha contra el COVID-19, las acciones simples también pueden contribuir en gran medida a luchar contra las ciberamenazas.

1. Aplicación de parches

asegúrese de que todos los sistemas estén completamente parcheados y actualizados

2. Bases de datos de protección

asegúrese de que sus herramientas de seguridad tengan las bases de datos más recientes

3.Copia de seguridad

cree o actualice copias de seguridad fuera de línea para todos los sistemas críticos

4. Suplantación de identidad

realizar simulacros y capacitación de concientización sobre suplantación de identidad

5. Hunt

busque de manera proactiva a los atacantes en su red utilizando los TTP conocidos de los actores de amenazas rusos

6. Emule

pruebe sus defensas para asegurarse de que puedan detectar los TTP conocidos de los actores de amenazas rusos

7. Respuesta

pruebe su respuesta a incidentes en escenarios ficticios del mundo real

8. Manténgase actualizado

suscríbase a las fuentes de inteligencia de amenazas como Fortinet Threat Signals

Acciones detalladas

  1. Aplicación de parches : los actores de amenazas a menudo se dirigen a vulnerabilidades sin parchear en la red de una víctima. Como resultado, la primera línea de defensa siempre debe ser la administración de parches y la ejecución de sistemas completamente parcheados. Para las organizaciones interesadas en centrarse en vulnerabilidades específicas, CISA mantiene una lista de CVE específicos utilizados en el pasado por los actores de amenazas rusos. Pero el mejor enfoque es simplemente concentrarse en estar actualizado todo el tiempo. Esto también es cierto para los entornos con brechas de aire, y ahora es un buen momento para asegurarse de que estos sistemas también hayan sido reparados. Y recuerde, la aplicación de parches es importante no solo para estaciones de trabajo y servidores, sino también para productos de seguridad y redes.
  2. Aproveche las bases de datos de protección: FortiGuard Labs crea continuamente nuevas reglas de detección, firmas y modelos de comportamiento para las amenazas que se descubren en nuestro amplio marco de inteligencia de amenazas. Estos se propagan rápidamente a todos los productos de Fortinet. Asegúrese de que todas las bases de datos de protección se actualicen periódicamente.
  3. Sistemas críticos de copia de seguridad: muchos ataques se presentan en forma de ransomware o malware de limpieza. La mejor defensa contra la destrucción de datos por dicho malware es mantener copias de seguridad actualizadas. Es igualmente importante que estas copias de seguridad se mantengan fuera de línea, ya que el malware a menudo intenta encontrar servidores de copia de seguridad para destruir también las copias de seguridad. La crisis actual es una buena oportunidad para comprobar si realmente existen copias de seguridad (no solo en papel) y realizar ejercicios de recuperación con el equipo de TI.
  4. Phishing: los ataques de phishing siguen siendo los puntos de entrada más comunes para los atacantes. Ahora es un buen momento para ejecutar una campaña de concientización sobre phishing para aumentar la conciencia de todos en su organización y asegurarse de que sepan cómo reconocer e informar correos electrónicos maliciosos.
  5. Hunt: La triste verdad es que si su organización juega algún papel en este conflicto, es posible que los adversarios ya estén en su red. Ejecutar compromisos de caza de amenazas puede ser vital para detectar adversarios antes de que instalen software espía o causen una destrucción grave. Para la caza de amenazas, puede usar las Tácticas, Técnicas y Procedimientos (TTP) conocidos a continuación. 
  6. Emular: los TTP enumerados a continuación también se pueden usar para evaluar si su infraestructura de seguridad puede detectarlos. La ejecución de ejercicios de emulación puede descubrir problemas de configuración y puntos ciegos que los atacantes podrían aprovechar para moverse en su red sin ser detectados.
  7. Respuesta: Una respuesta a incidentes rápida y organizada será crucial cuando se descubra un compromiso. Ahora es una buena oportunidad para revisar los procedimientos para responder a un incidente, incluidas las estrategias de recuperación ante desastres y continuidad del negocio. Si tiene su propio equipo de respuesta a incidentes, puede ejecutar ejercicios de simulación o escenarios ficticios para asegurarse de que todo funcione sin problemas en caso de que se produzca un compromiso.
  8. Manténgase actualizado: es crucial que las acciones enumeradas aquí no se realicen solo una vez. Mantenerse actualizado y parcheado, monitorear vulnerabilidades y mantener la conciencia de amenazas son acciones que deben realizarse continuamente. Una forma de conocer las amenazas más recientes a medida que se descubren es seguir las Señales de amenazas de FortiGuard .
     

Tácticas, Técnicas y Procedimientos

 

Para buscar adversarios en sus redes,  CISA recomienda  los siguientes TTP:

Táctica

Técnica

Procedimiento

Reconocimiento [ TA0043 ]

Escaneo activo: Escaneo de vulnerabilidades [ T1595.002 ]

 

Los actores APT (Advanced Persistent Threat) patrocinados por el estado ruso han realizado escaneos a gran escala para encontrar servidores vulnerables.

Suplantación de identidad para obtener información [ T1598 ]

Los actores APT patrocinados por el estado ruso han llevado a cabo campañas de phishing para obtener las credenciales de las redes objetivo.

Desarrollo de recursos [ TA0042]

Desarrollar Capacidades: Malware [ T1587.001 ]

Los actores APT patrocinados por el estado ruso han desarrollado e implementado malware, incluido el malware destructivo centrado en ICS.

Acceso Inicial [ TA0001 ]

Explotar aplicaciones orientadas al público [ T1190 ]

Los actores de APT patrocinados por el estado ruso se enfocan en las vulnerabilidades conocidas públicamente, así como en los días cero, en los sistemas orientados a Internet para obtener acceso a las redes.

Compromiso de la cadena de suministro: Compromiso de la cadena de suministro de software [ T1195.002 ]

Los actores de APT patrocinados por el estado ruso han obtenido acceso inicial a las organizaciones de víctimas al comprometer el software confiable de terceros. Los incidentes notables incluyen el software de contabilidad MEDoc y SolarWinds Orion.

Ejecución [ TA0002 ]

Intérprete de comandos y secuencias de comandos: PowerShell [ T1059.003 ] y Windows Command Shell [ T1059.003 ]

Los actores APT patrocinados por el estado ruso han utilizado cmd.exe para ejecutar comandos en máquinas remotas. También han usado PowerShell para crear nuevas tareas en máquinas remotas, identificar ajustes de configuración, filtrar datos y ejecutar otros comandos.

Persistencia [ TA0003 ]

Cuentas válidas [ T1078 ]

Los actores APT patrocinados por el estado ruso han utilizado las credenciales de las cuentas existentes para mantener un acceso persistente a largo plazo a las redes comprometidas.

Credencial de Acceso [ TA0006 ]

Fuerza bruta: Adivinación de contraseñas [ T1110.001 ] y Rociado de contraseñas [ T1110.003 ]

Los actores de APT patrocinados por el estado ruso han llevado a cabo campañas de adivinación de contraseñas y rociado de contraseñas por fuerza bruta.

Volcado de credenciales del sistema operativo: NTDS [ T1003.003 ]

Los actores APT patrocinados por el estado ruso han extraído credenciales y exportado copias de la base de datos de Active Directory ntds.dit.

Robar o falsificar tickets de Kerberos: Kerberoasting [ T1558.003 ]

Los actores de APT patrocinados por el estado ruso han realizado "Kerberoasting", mediante el cual obtuvieron los boletos del Servicio de concesión de boletos (TGS) para los nombres principales del servicio de directorio activo (SPN) para el descifrado fuera de línea.

Credenciales de almacenes de contraseñas [ T1555 ]

Los actores de APT patrocinados por el estado ruso han utilizado credenciales de cuenta previamente comprometidas para intentar acceder a las contraseñas de la cuenta de servicio administrado de grupo (gMSA).

Explotación para acceso de credenciales [ T1212 ]

Los actores de APT patrocinados por el estado ruso han explotado la vulnerabilidad de Windows Netlogon  CVE-2020-1472  para obtener acceso a los servidores de Windows Active Directory.

Credenciales no seguras: claves privadas [ T1552.004 ]

Los actores APT patrocinados por el estado ruso han obtenido claves de cifrado privadas del contenedor de Servicios de federación de Active Directory (ADFS) para descifrar los certificados de firma SAML (Security Assertion Markup Language) correspondientes.

Comando y Control [ TA0011 ]

Proxy: Proxy multisalto [ T1090.003 ]

Los actores APT patrocinados por el estado ruso han utilizado servidores privados virtuales (VPS) para enrutar el tráfico a los objetivos. Los actores a menudo usan VPS con direcciones IP en el país de origen de la víctima para ocultar la actividad entre el tráfico de usuarios legítimos.

Cómo puede ayudar Fortinet

Fortinet brinda múltiples oportunidades para que las organizaciones mitiguen ataques cibernéticos graves e investiguen posibles infracciones. A continuación, se incluyen algunos ejemplos populares de las tecnologías y soluciones que ofrece Fortinet.  

  • Evaluación de amenazas cibernéticas de Fortinet : las arquitecturas de red seguras deben evolucionar constantemente para mantenerse al día con las amenazas persistentes avanzadas más recientes. Hay dos formas de averiguar si su solución no se mantiene al día: esperar a que ocurra una infracción o ejecutar pruebas de validación.

  • Detección y respuesta administradas : Fortinet ayuda a los clientes a comprender mejor los riesgos de ciberseguridad que enfrentan y mejorar la forma en que identifican y reaccionan ante las amenazas. 

  • Soluciones de parcheo virtual de Fortinet : FortiGuard Labs protege contra vulnerabilidades específicas. 

  • Servicio de respuesta a incidentes de FortiGuard: el servicio de respuesta a incidentes de FortiGuard proporciona a las organizaciones en medio de un incidente de seguridad cibernética (incluidos los ataques de ransomware dirigidos), personal experimentado, habilidades expertas y herramientas poderosas. 

  • FortiGuard IPS y antivirus : los servicios y motores utilizan una variedad de técnicas que incluyen múltiples estrategias de aprendizaje automático e inteligencia artificial para proteger a nuestros clientes contra amenazas avanzadas y de día cero.
blog image

Security In A Fragment World Of Workload For Your Business – Ucrania

Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut

Read More