La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) de los Estados Unidos ha alertado sobre ciberataques exitosos recientes contra los servicios en la nube de varias organizaciones.
De acuerdo con la CISA, entre otros vectores de ataque, el phishing está siendo utilizado para explotar las malas prácticas de higiene cibernética dentro de la configuración de servicios en la nube de las víctimas.
Se ha detectado que los ataques han ocurrido durante el trabajo remoto de los empleados y el uso de una combinación de computadoras portátiles corporativas y dispositivos personales para acceder a los servicios en la nube de la organización. No obstante el uso de herramientas de seguridad, las organizaciones afectadas generalmente tenían prácticas de higiene cibernética débiles que permitían el éxito del atacante.
Los atacantes utilizaron diversas tácticas y técnicas, como correos electrónicos de phishing con enlaces maliciosos para recopilar credenciales para las cuentas de servicios en la nube de los usuarios; lanzando intentos de inicio de sesión de fuerza bruta; aprovechando las reglas de reenvío de correo electrónico de trabajo a cuentas de correo electrónico personales de los usuarios o a una cuenta controlada por el atacante; modificando las reglas de búsqueda de correos con palabras clave de finanzas y reenviar el correo al atacante.
Los atacantes también se registraron exitosamente en la cuenta del usuario con la autenticación multifactor (MFA) adecuada, al parecer para usar cookies del navegador para eludir MFA con un ataque de “pasar la cookie”.
Rcomendaciones
CISA recomienda los siguientes pasos para que las organizaciones fortalezcan sus prácticas de seguridad en la nube.
- Implementar políticas de acceso condicional (CA), basadas en las necesidades de la organización.
- Establecer una línea de base para la actividad normal de la red en el entorno.
- Revisar periódicamente los registros de inicio de sesión de Active Directory y los registros de auditoría unificados para detectar actividad anómala.
- Hacer cumplir la MFA.
- Revisar periódicamente las reglas y alertas de reenvío de correo electrónico creadas por el usuario o restringir el reenvío.
- Disponer de un plan o procedimientos de mitigación; comprender cuándo, cómo y por qué restablecer las contraseñas y revocar los tokens de sesión.
- Seguir la guía recomendada para asegurar el acceso privilegiadoo (PDF) (en inglés).
- Considerar una política que no permita a los empleados usar dispositivos personales para trabajar. Como mínimo, utilizar una solución de administración de dispositivos móviles confiable.
- Resolver las solicitudes del sitio del cliente internas a la red.
- Considerar restringir a los usuarios para que no reenvíen correos electrónicos a cuentas fuera del dominio.
- Permitir que los usuarios sólo den su consentimiento para las integraciones de aplicaciones que hayan sido aprobadas previamente por el administrador.
- Auditar las reglas de correo electrónico con alertas para advertir a los administradores sobre actividades anormales.
- Implementar MFA para todos los usuarios, sin excepción.
- El acceso condicional debe entenderse e implementarse con una mentalidad de confianza cero .
- Asegurarse de que el registro de acceso de usuarios esté habilitado. Reenviar los registros a un dispositivo de gestión de eventos e información de seguridad para su agregación y supervisión a fin de no perder visibilidad en los registros fuera de los períodos de registro.
- Utilizar una política de CA para bloquear los protocolos de autenticación heredados.
- Verificar que todas las instancias de máquinas virtuales basadas en la nube con una IP pública no tengan puertos abiertos de Protocolo de Escritorio Remoto (RDP). Colocar cualquier sistema con un puerto RDP abierto detrás de un firewall y solicitar a los usuarios que usen una VPN para acceder a él a través del firewall.
- Centrarse en la sensibilización y la formación. Informar a los empleados sobre las amenazas, como las estafas de phishing, y cómo se entregan. Además, proporcionar capacitación a los usuarios sobre los principios y técnicas de seguridad de la información, así como sobre los riesgos y vulnerabilidades de seguridad cibernética emergentes generales.
- Establecer informes de empleados libres de culpa y asegurarse de que los empleados sepan a quién contactar cuando vean una actividad sospechosa o cuando crean que han sido víctimas de un ciberataque. Esto garantizará que la estrategia de mitigación establecida adecuada se pueda emplear de manera rápida y eficiente.
- Asegurerse de que eistan productos de detección y filtrado integrados (por ejemplo, los de spam, phishing, malware y archivos adjuntos y enlaces seguros estén habilitados).
- Las organizaciones que utilizan M365 también deben considerar los siguientes pasos:
- Asignar algunos (uno a tres) usuarios de confianza como administradores de descubrimiento electrónico (o eDiscovery) para realizar búsquedas de contenido forense en todo el entorno de M365 (buzones de correo, equipos, SharePoint y OneDrive) en busca de evidencia de actividad maliciosa.
- Deshabilitar la comunicación remota de PowerShell a Exchange Online para los usuarios habituales de M365. La desactivación para usuarios no administrativos reducirá la probabilidad de que una cuenta de usuario comprometida se utilice para acceder mediante programación a configuraciones de inquilinos para el reconocimiento.
- No permitir una cantidad ilimitada de intentos fallidos de inicio de sesión. Para configurar estos ajustes, consulte la configuración de bloqueo inteligente de contraseña y los informes de actividad de inicio de sesión .
- Considerar el utilizar una herramienta como Sparrow o Hawk, herramientas de código abierto basadas en PowerShell que se utilizan para recopilar información relacionada con M365, para investigar y auditar intrusiones y posibles infracciones.