Coronavirus: Recomendaciones de seguridad ante amenazas de acceso remoto

Para controlar la propagación del coronavirus (COVID-19), muchas organizaciones han solicitado a los empleados que trabajen de forma remota. Hacerlo significa aprovechar las redes privadas virtuales (VPN) de la empresa y las soluciones de escritorio remoto para conectarse a los servicios.

Este cambio abre la puerta a una serie de amenazas de ciberseguridad que se dirigen específicamente a estas redes y soluciones. La protección de estas herramientas requiere la implementación de pasos específicos para garantizar la continuidad del negocio durante esta pandemia global.

Interrupción del servicio

Como las organizaciones ahora dependen principalmente del acceso remoto para sus negocios diarios, deben tomar medidas proactivas para protegerse contra las amenazas y mantener la continuidad. Exponer servicios críticos en Internet los hace vulnerables a la interrupción del servicio por ataques distribuidos de denegación de servicio (DDoS).

Los ataques DDoS pueden aprovechar muchas fuentes diferentes para generar y enviar tráfico malicioso a la víctima objetivo. Los ataques volumétricos intentarán consumir todo el ancho de banda disponible. Las soluciones de tubería limpia pueden proporcionar alivio en términos de restricciones de ancho de banda mediante el uso de filtrado por umbral, pero generalmente no distinguirán el tráfico bueno del tráfico malicioso y dejarán a la mayoría de los usuarios remotos afectados de manera intermitente o indefinida por el ataque cibernético.

Recomendaciones para protegerse contra la interrupción del servicio

Las organizaciones deben tomar medidas preventivas para garantizar la continuidad del servicio, ya que dependen cada vez más del acceso remoto para las operaciones diarias. Exponer servicios críticos en Internet los hace vulnerables a la interrupción del servicio por ataques DoS / DDoS.

Telconet como proveedor de servicios de telecomunicaciones, consciente de la importancia de resguardar integridad y disponibilidad de su red, recomienda:

• Implementar una solución DDoS híbrida, que combina DDoS basado en la nube con protección DDoS en las instalaciones, para proporcionar la mejor cobertura de ataque y minimizar la latencia.
• Asegurar que su solución de mitigación DDoS pueda proteger el tráfico legítimo y manejar cualquier crecimiento esperado a medida que más empleados trabajen de forma remota.
• Seleccionar soluciones que brinden protección basada en el comportamiento de todo tipo de ataques, incluidos ataques de ráfaga, ataques basados ​​en DNS y ataques basados ​​en cifrado.

Vulnerabilidades

En los últimos doce meses, las soluciones de acceso remoto se han vuelto cada vez más controvertidas porque las VPN empresariales se han convertido en el vector de ataque elegido para los ataques continuos de actores de amenazas avanzadas persistentes (APT). La solución de escritorio remoto de Microsoft, basada en el Protocolo de escritorio remoto (RDP), fue objeto de una advertencia de la Agencia de Seguridad Nacional (basada en una investigación) que revelaba que poco menos de un millón de máquinas con conexión a Internet eran vulnerables a la vulnerabilidad BlueKeep. RDP también ha sido el vector de ataque preferido para ransomware durante años. Según una investigación realizada por Coveware, RDP fue el vector de ataque utilizado por cada dos de cada tres rescates.

Recomendaciones para protegerse contra vulnerabilidades de VPN

Telconet como proveedor de servicios de telecomunicaciones, consciente de la importancia de resguardar integridad y disponibilidad de su red, recomienda:

• Actualización de VPN, dispositivos de infraestructura de red y dispositivos utilizados para entornos remotos de trabajo con los últimos parches de software.
• Implementar autenticación multifactor (MFA) en todas las conexiones VPN para aumentar la seguridad. Si no se implementa MFA, solicitar a los teletrabajadores que usen contraseñas seguras y no reutilicen contraseñas para otros fines o sitios.
• Restablecer credenciales asociadas con VPN potencialmente afectadas.
• Implementar controles de acceso granular en soluciones VPN para limitar el acceso según los perfiles de usuario.
• Asegurar y aplicar la postura de seguridad de los dispositivos cliente antes de permitir el acceso a los recursos internos.

Recomendaciones para protegerse contra la vulnerabilidad de BlueKeep RDP

Telconet como proveedor de servicios de telecomunicaciones, consciente de la importancia de resguardar integridad y disponibilidad de su red, recomienda:

• Aplicar las actualizaciones proporcionadas por Microsoft en mayo de 2019. Microsoft ofrece una lista de actualizaciones de seguridad y artículos de la base de conocimiento para sistemas Windows afectados.

Actividad de escaneo malicioso de RDP

Aproximadamente el 0.08% de los ataques Fuerza Bruta RDP son exitosos. Los ataques de fuerza bruta suelen durar de dos a tres días, según un informe reciente de Microsoft.

Para protegerse contra los ataques de adquisición de cuentas:

Telconet como proveedor de servicios de telecomunicaciones, consciente de la importancia de resguardar integridad y disponibilidad de su red, recomienda:

• Microsoft recomienda que los administradores del sistema combinen y monitoreen múltiples señales para detectar el tráfico de fuerza bruta RDP entrante en sus servidores.

Phishing

El miedo y la necesidad de información brinda una oportunidad para estafas y abusos cibernéticos. Se han descubierto numerosas campañas de phishing desde la pandemia de coronavirus.

Recomendaciones para protegerse contra los ataques de phishing

Telconet como proveedor de servicios de telecomunicaciones, consciente de la importancia de resguardar integridad y disponibilidad de su red, recomienda:

• Mantenerse actualizado con los productos antimalware y phishing e informar a los empleados sobre los peligros de abrir archivos adjuntos o hacer clic en enlaces en correos electrónicos de fuentes no confiables.
• Informar a los empleados sobre un aumento esperado en los intentos de phishing que prometen información sobre COVID-19.

Referencias:

https://security.radware.com/ddos-threats-attacks/threat-advisories-attack-reports/coronavirus-remote-access-threats/