¿Recuerdan los incidentes de Abril? Durante este incidente se sucedieron algunos ataques de DDOS, exfiltración de datos, desfiguración de sitios web del país. Podría repetirse un evento de similares características si no tomamos medidas adecuadas.
Estos eventos aprovecharán, en su mayoría, fallas conocidas y no parcheadas en sistemas del país como: XSS, CSRF, SQLi, claves débiles, bypass de autenticación. En muchos casos se aprovecharán sistemas olvidados o abandonados. Sistemas que ya no se usan por las instituciones y que están todavía publicados. En fin, sistemas desactualizados.
Sugerencias para prepararse ante un posible ataque
Estas sugerencias son básicas y continuamente deben revisarse que estén aplicadas en su organización. No pueden considerarse como la única forma de protegerse ante un ataque mas bien busca que los interesados logren realizar ciertas tareas de protección ante ataques que típicamente se ejecutan contra nuestras organizaciones.
La prevención es fundamental en estos momentos, por lo que sugerimos tener en cuenta y ejecutar cada una de las siguientes medidas:
- Monitorear la actividad, comportamiento, reacción de los sistemas y equipamiento en busca de anomalías.
- Escaneo de su red para detectar equipos y servicios habilitados en ella.
- Deshabilitar, apagar, despublicar cualquier sistema o servicio expuesto que ya no se esté utilizando en su institución. Tener en cuenta que, por ejemplo, en servidores web pueden haber sitios activos y sitios de prueba o abandonados que ya no se usen. Deben deshabilitarse los no usados.
- Cerrar servicios innecesarios. En la actualidad tenemos varias redes con los siguientes servicios abiertos que pueden ser mal utilizados. Sugerimos no exponer a internet estos:
— RDP
— NTP desconfigurado
— DNS de caché abierto
— telnet
— SNMP con clave por defecto - Respaldar la información de su organización
- Actualizar todos los sistemas operativos y sistemas informáticos de su organización: Routers, firewalls, endpoints y servidores. Así como aplicaciones como manejadores de contenidos, CRM, LMS, aplicaciones de importancia para su organización donde se publiquen datos de sus usuarios, etc.
- Revisar contra malware instalado en equipos y sistemas de su organización. La preparación para los ataques pueden estar sucediendo en estos momentos a través de la implantación de troyanos que puedan ser activados cuando los atacantes consideren necesario.
- Endurecer sistemas operativos de su organización
- Limitar accesos a herramientas administrativas de su organización a IPs o redes de su confianza
- Cambiar las claves de sus sistemas, utilizando claves fuertes. De ser posible autenticación en dos etapas.
- Revisar políticas de su firewall para impedir se expongan servicios innecesarios
- De ser posible, ubicar sus sitios web detrás de un WAF
- Solicitar a los trabajadores de su institución estén atentos ante intentos de aplicación de ingeniería social para extraer información (pueden utilizar phishing u otra técnica para convencer a las personas que ejecuten aplicaciones maliciosas)
- Permanecer atento ante cualquier información sobre el inicio de los ataques.
Sugerimos además:
- Constituir un grupo de reacción a incidentes o designar a una persona responsable de la seguridad en su organización e integrarse al canal de slack que tenemos formado: https://csirtec.slack.com
- suscribirse a la lista pública: https://listas.cedia.org.ec/sympa/info/seguridad
- Solicitar suscripción a la lista de CSIRTs en caso de ser un CSIRT enviando un mail a csirt@cedia.org.ec
- Solicitar ingreso a grupo de seguridad de WhatsApp «Seguridad INF – Ecuador» enviando un mail a jcedeno@securityandbusiness.com
Este aviso ha sido preparado por CSIRT CEDIA con la colaboración de BlueHat CSIRT
