Medidas de ciberseguridad desde una perspectiva global
Desde INCIBE-CERT, con el objetivo de ofrecer una mejora en la protección de ciberseguridad y las mejores prácticas, aglutinamos una serie de medidas y acciones que recomendamos adoptar y revisar para proteger la información de las organizaciones, y su aplicación en los dispositivos que utilizan, así como en su presencia digital en el ciberespacio. Estas medidas están orientadas a mejorar su nivel de protección ante incidentes de ciberseguridad y, por lo tanto, minimizar su riesgo ante ciberataques que puedan afectar a la prestación de servicios de su negocio.
Estas medidas pueden ser aplicadas, o revisadas en caso de estar ya establecidas, por cualquier organización o usuario en cualquier circunstancia que pueda considerarse necesaria en función de su contexto y necesidades propias. Su principal utilidad radica en que pueden adaptarse a las distintas características y capacidades (tanto técnicas como humanas) de las que disponga la entidad que desee ponerlas en práctica.
Medidas concretas
Estas pautas de seguridad se pueden complementar con otras más específicas y concretas que pueden estar más orientadas al alcance y la actividad realizada en cada organización, pero consideramos que suponen un conjunto mínimo de medidas que recomendamos aplicar, priorizándose en cada organización en función de sus capacidades específicas:
Autenticación:
- Asegurar mecanismos de autenticación de usuarios a través de la revisión y cambio de todas las contraseñas en la organización, también aquellas que son por defecto en productos y servicios. Estableciendo, de la mano de una política de concienciación general, un modelo de uso de contraseñas seguras, y para revisar su correcta aplicación, se recomiendan dos acciones: suficiente complejidad de las credenciales y cambio periódico de contraseñas. Es importante que estas medidas sean implementadas en todas las aplicaciones y servicios en uso, y no únicamente en las cuentas de equipos de trabajo.
- Establecer medidas de concienciación a los usuarios, específicas y referidas a no reutilizar nunca las credenciales, ya que a menudo los actores de las amenazas comprometen a las organizaciones realizando ataques de relleno de credenciales (credential stuffing), para los utilizan credenciales obtenidas de filtraciones de datos anteriores contra otro servicio no relacionado.
- Resulta de especial relevancia el establecimiento de mecanismos de autenticación multifactor, a través de medidas que incluyan la utilización de elementos OTP (One Time Password) o similar en los accesos a sistemas de la organización, no solo accesos VPN (Virtual Private Network) o accesos remotos, sino también a todos los servicios y aplicaciones en la medida de lo posible.
- Aplicar, siempre que sea operativo, el principio de mínimos privilegios y evitar utilizar los equipos con cuentas con privilegios de administrador, asignando a los usuarios cuentas con los permisos mínimos necesarios para operar los programas y llevar a cabo su actividad.
Elementos de ciberseguridad:
- Mantener actualizado todo el software, priorizando las actualizaciones en aquel con vulnerabilidades conocidas y explotadas en los ciclos y mecanismos de gestión de parches establecidos en la organización para evitar la exposición a los fallos de gravedad crítica y alta lo más rápidamente posible. Esta política de actualizaciones también debe incluir los dispositivos de uso individual en la organización, como son los teléfonos corporativos.
- Monitorizar e identificar sistemas vulnerables a nuevas amenazas, mediante el uso de herramientas de análisis de vulnerabilidades, que complementen los ciclos de parcheado establecidos en la organización. Se recomienda establecer un seguimiento de las posibles amenazas y los avisos de los productos y fabricantes utilizados en la organización, así como de las notificaciones, feeds de información y avisos de CSIRTs (Computer Security Incident Response Team) mediante boletines informativos o similares.
- Desplegar siempre que sea posible sistemas de detección y bloqueo de intrusiones (IDS/IPS, Intrusion Detection System/Intrusion Prevention System), y completar la implementación del mismo con otros elementos de seguridad, como un SIEM (Security Information and Event Management), facilitando el identificar y detectar anomalías en el tráfico para aplicar una respuesta de forma temprana, consiguiendo limitar los posibles impactos. Además, suelen tener la posibilidad de elegir 'modos de funcionamiento' en función del nivel de riesgo que se quiera asumir.
- Es muy recomendable implementar un sistema EDR (Endpoint Detection Response) para proteger los equipos e infraestructuras de la empresa a través de una gestión unificada de las alertas, al combinar el antivirus tradicional con herramientas de monitorización e inteligencia artificial para ofrecer una respuesta rápida y eficiente. Asimismo, siempre que se pueda, se aconseja adoptar soluciones DLP (Data Loss Prevention) para prevenir las fugas de información cuyo origen está dentro de la propia organización.
- Promover un catálogo de activos de la organización, en particular resulta muy útil disponer de un listado de dispositivos utilizados por el personal que trabaja en la organización, la conectividad de red, las tecnologías empleadas en la infraestructura de la empresa, el equipamiento auxiliar, las direcciones o rangos de IP (Internet Protocol) expuestas a Internet. En general, todo el equipamiento hardware y software con el fin de saber lo que tiene instalado cada equipo para valorar la parte de la organización que se podría ver afectada por la nueva amenaza y las instalaciones donde se alojan los equipos más relevantes para la organización.
- Sería deseable disponer de un programa de auditorías internas y externas realizadas por entidades independientes, que les permitan validar su SGSI y análisis de riesgos y, en último término, certificarlo mediante la correspondiente auditoría de certificación.
Redes y sistemas:
- Es altamente recomendable el desarrollo e implementación de un PCN (Plan de Continuidad de Negocio) para analizar el posible impacto en el negocio, elaborar planes operativos de recuperación y ejecutar periódicamente pruebas de validación del propio PCN. Asimismo, también lo es mantener, revisar y probar planes de contingencia.
- La cadena de suministro podría ser atacada y afectar a nuestra organización (supply chain attack) mediante el compromiso de los proveedores de nuestros servicios externalizados. Por eso, es recomendable revisar los accesos establecidos para los proveedores y dependencias con sus sistemas y sus redes, como medida de seguridad para prevenir este tipo de incidentes, en caso de que un tercero con el que se colabora pueda ser utilizado como vector de entrada en la organización. Los proveedores externos deberán contar con estándares mínimos de seguridad, acordes con la política de seguridad de la organización.
- Implementar y desarrollar un nivel de segmentación óptimo de las diferentes redes utilizadas, que debería incorporar redes aisladas con reglas de firewall adecuadas, diodos de datos (sólo permiten el tráfico en una dirección), dispositivos IDS y una red DMZ (DeMilitarized Zone) para separar la red corporativa de la red de datos. Adicionalmente, revisar las políticas de filtrado y tráfico entre las mismas para limitar el acceso y utilizar atributos adicionales en las comunicaciones entre las aplicaciones y servicios.
- Es recomendable la fortificación y bastionado de sistemas expuestos, en entornos críticos, DMZ o en entornos en la nube (cloud), incrementando las medidas de seguridad en los mismos (hardening) y aplicando los controles de seguridad, segmentación, políticas de mínimo privilegio de acceso, y bloqueos disponibles en los entornos de menor confianza, para evitar que un ciberataque pueda propagarse en los distintos entornos de su organización.
- Se aconseja revisar y comprobar la estrategia de copias de seguridad de la organización, prestando especial atención a los diferentes medios utilizados, tanto para las copias locales como para la copia remota fuera de sus instalaciones, revisando las estrategias de continuidad de negocio, y de recuperación ante desastres, que permitan recuperar la actividad en caso de pérdida o indisponibilidad de la información. Es importante que estas medidas se prueben periódicamente. Una buena práctica a la hora de realizar copias de seguridad es adoptar la estrategia 3-2-1, que se basa en diversificar las copias de seguridad para garantizar que siempre haya alguna recuperable. Sus claves de actuación son las siguientes:
- 3: Mantener 3 copias de cualquier fichero importante (el archivo original y 2 backups).
- 2: Almacenar las copias en 2 soportes distintos de almacenamiento para protegerlas ante distintos riesgos.
- 1: Almacenar 1 copia de seguridad fuera de nuestra empresa (backup offsite), por ejemplo en la nube.
- Para minimizar los posibles incidentes de DoS/DDoS (Denial of Service/Destributed Denial of Service), es recomendable para los elementos que requieran una alta disponibilidad, el disponer de un servicio de CDN (Content Delivery Network), o al menos tener activas las medidas específicas de balanceo de carga y configurar los umbrales de conexiones en ellos. Algunas recomendaciones de seguridad a aplicar en el uso de CDN son:
- Configurar SSL/TLS (Secure Sockets Layer/Transport Layer Security) en la conexión entre el usuario y el CDN.
- Activar la utilización de HSTS (HTTP Strict Transport Security) para proteger servidores HTTPS (HyperText Transfer Protocol Secure) contra ataques de degradación.
- Cambiar la dirección IP original asociada al servidor.
- Establecer límites de conexiones para proteger el sitio web ante ataques DoS e intentos de inicio de sesión por fuerza bruta.
- Alojar el correo en un servidor diferente para evitar que un atacante pudiese encontrar la dirección IP en un correo electrónico saliente.
- Evitar los motores de búsqueda de servicios.
- A la hora de configurar un servidor web, además de firewall, es aconsejable instalar un WAF (Web Application Firewall), especializado en controlar las conexiones, filtrarlas, monitorizarlas y bloquearlas en el caso de que consideren maliciosas. Además de bloquear ataques de denegación de servicio (DoS), los WAFs también son capaces de detectar y bloquear ataques como XSS (Cross-Site Scripting) o inyección SQL.
Correo electrónico y concienciación:
- Debido al uso extendido de correo electrónico en las organizaciones, se recomienda aplicar políticas de protección y medidas como protocolos SPF/DMARC/DKIM, medidas antispam y en especial reglas para los intentos de phishing y suplantaciones de identidad, como por ejemplo el fraude del CEO, spear phishing o BEC (Bussines Email Compromise), que consiste en una técnica llevada a cabo por los ciberdelincuentes para robar fondos de las empresas suplantando la identidad de un alto directivo.
- Iniciar, mantener o potenciar las políticas de concienciación y formación a sus empleados, que les ayuden a identificar y protegerse de amenazas dirigidas, y a aplicar las mejores prácticas de seguridad en el uso de la tecnología. También se pueden poner a prueba las lecciones aprendidas con la organización de ciberejercicios.
La aplicación de este conjunto de medidas, ampliables y adaptables según el ámbito de actuación y las capacidades de cada organización que las quiera poner en práctica, debe realizarse de forma gradual. Muchas veces requieren de soluciones tecnológicas complejas, con implicaciones en procedimientos que alargan inevitablemente el proceso. Por ello, lo ideal es tener muy en cuenta los tiempos de implementación y ejecución de las mismas, siendo conscientes de la inversión de esfuerzos que deberá realizarse.