[SEGURIDAD TI] Estemos preparados. Es lo fundamental.

[Ernesto Perez <ernesto.perez AT cedia.org.ec>]

hola todos
hemos publicado la siguiente información de interés para todos:

https://csirt.cedia.org.ec/2019/06/estemos-preparados-es-fundamental/

¿Recuerdan los incidentes de Abril? Durante este incidente se sucedieron
algunos ataques de DDOS, exfiltración de datos, desfiguración de sitios
web del país. Podría repetirse un evento de similares características si
no tomamos medidas adecuadas.

Estos eventos aprovecharán, en su mayoría, fallas conocidas y no
parcheadas en sistemas del país como: XSS, CSRF, SQLi, claves débiles,
bypass de autenticación. En muchos casos se aprovecharán sistemas
olvidados o abandonados. Sistemas que ya no se usan por las
instituciones y que están todavía publicados. En fin, sistemas
desactualizados.

* Sugerencias para prepararse ante un posible ataque
Estas sugerencias son básicas y continuamente deben revisarse que estén
aplicadas en su organización. No pueden considerarse como la única forma
de protegerse ante un ataque mas bien busca que los interesados logren
realizar ciertas tareas de protección ante ataques que típicamente se
ejecutan contra nuestras organizaciones.

La prevención es fundamental en estos momentos, por lo que sugerimos
tener en cuenta y ejecutar cada una de las siguientes medidas:
- Monitorear la actividad, comportamiento, reacción de los sistemas y
equipamiento en busca de anomalías.
- Escaneo de su red para detectar equipos y servicios habilitados en ella.
- Deshabilitar, apagar, despublicar cualquier sistema o servicio
expuesto que ya no se esté utilizando en su institución. Tener en cuenta
que, por ejemplo, en servidores web pueden haber sitios activos y sitios
de prueba o abandonados que ya no se usen. Deben deshabilitarse los no
usados.
- Cerrar servicios innecesarios. En la actualidad tenemos varias redes
con los siguientes servicios abiertos que pueden ser mal utilizados.
Sugerimos no exponer a internet estos:
-- RDP
-- NTP desconfigurado
-- DNS de caché abierto
-- telnet
-- SNMP con clave por defecto
- Respaldar la información de su organización
- Actualizar todos los sistemas operativos y sistemas informáticos de su
organización: Routers, firewalls, endpoints y servidores. Así como
aplicaciones como manejadores de contenidos, CRM, LMS, aplicaciones de
importancia para su organización donde se publiquen datos de sus
usuarios, etc.
- Revisar contra malware instalado en equipos y sistemas de su
organización. La preparación para los ataques pueden estar sucediendo en
estos momentos a través de la implantación de troyanos que puedan ser
activados cuando los atacantes consideren necesario.
- Endurecer sistemas operativos de su organización
- Limitar accesos a herramientas administrativas de su organización a
IPs o redes de su confianza
- Cambiar las claves de sus sistemas, utilizando claves fuertes. De ser
posible autenticación en dos etapas.
- Revisar políticas de su firewall para impedir se expongan servicios
innecesarios
- De ser posible, ubicar sus sitios web detrás de un WAF
- Solicitar a los trabajadores de su institución estén atentos ante
intentos de aplicación de ingeniería social para extraer información
(pueden utilizar phishing u otra técnica para convencer a las personas
que ejecuten aplicaciones maliciosas)
- Permanecer atento ante cualquier información sobre el inicio de los
ataques.

Sugerimos además:
- Constituir un grupo de reacción a incidentes o designar a una persona
responsable de la seguridad en su organización e integrarse al canal de
slack que tenemos formado: https://csirtec.slack.com
- suscribirse a la lista pública:
https://listas.cedia.org.ec/sympa/info/seguridad
- Solicitar suscripción a la lista de CSIRTs en caso de ser un CSIRT
enviando un mail a csirt AT cedia.org.ec
- Solicitar ingreso a grupo de seguridad de WhatsApp "Seguridad INF -
Ecuador" enviando un mail a jcedeno AT securityandbusiness.com

Este aviso ha sido preparado por CSIRT CEDIA con la colaboración de
BlueHat CSIRT


-- 
CEDIA
La principal herramienta de Investigación en el Ecuador.

Gonzalo Cordero 2-122 y J. Fajardo
Cuenca -  Ecuador
Telf: +593 7 407 9300 Ext. 115
info AT cedia.org.ec
www.cedia.edu.ec