have any questions? write us a message

Contact info

Ne ws & Eve nts

News

get
in touch

Mantenerse seguro mientras trabaja de forma remota

May 29, 2020

La demanda de trabajo remoto como resultado de la pandemia de COVID-19 invariablemente ejercerá presiones sobre las organizaciones para garantizar la disponibilidad de recursos corporativos en ubicaciones geográficas fuera del control corporativo. Dichas demandas van más allá de la provisión de capacidad adicional, con políticas de trabajo potencialmente remotas y activos de conciencia de seguridad que necesitan urgentemente actualizaciones y comunicación.

Estas demandas se requieren en el contexto reportado de cibercriminales y potenciales estados nacionales que continúan e incluso aprovechan la crisis global para su propio beneficio personal. Sin respiro, muchos grupos ciberdelincuentes parecen continuar los ataques contra muchos sectores, incluida la atención médica. Además, incluso hay actores de amenazas que utilizan activamente la preocupación relacionada con COVID-19 como un reclamo para invocar el comportamiento del usuario. Esta publicación no pretende ser exhaustiva y se actualizará a medida que tengamos más recursos disponibles para permitir que las organizaciones y los usuarios se mantengan seguros y conectados.

Paisaje de amenazas

Hemos identificado y revisado múltiples informes relacionados con el uso criminal de COVID-19 como cebo potencial, ya sean correos electrónicos de phishing, dominios, malware, etc. Si bien su uso no es inesperado, los delincuentes siempre intentan aprovechar los grandes eventos para su ventaja , es decepcionante ver en un momento en que el mundo necesita unirse que hay quienes tienen poco respeto por el sentido de comunidad. Nuestro enfoque posterior en este momento es intentar determinar si alguna geografía está siendo específicamente objetivo. El siguiente cuadro muestra nuestra visibilidad de los objetivos para todas las amenazas conocidas (en el momento de la redacción) que aprovechan COVID-19.

Figura 1. Amenazas relacionadas con COVID-19 dirigidas por país

Como vemos, la dispersión geográfica de los “objetivos” es relativamente amplia e incluye muchos países que normalmente vemos en la lista de objetivos de phishing más amplios. Sin embargo, hay algunas anomalías, en particular Panamá, Taiwán y Japón. Esto requiere que realicemos más análisis, pero sugiere que ciertas campañas pueden estar dirigidas a países específicos.

Es igualmente importante agregar que este panorama está cambiando diariamente, con más amenazas identificadas e incluidas como parte de nuestra detección en toda la cartera de productos (cuando corresponda). Además, el equipo de McAfee Advanced Threat Research (ATR) está realizando un análisis más profundo de los resultados para comprender por qué ciertos países están recibiendo más amenazas relacionadas con COVID-19 que otros, así como una inmersión más profunda en el análisis del sector. Informaremos periódicamente cualquier detalle relevante y, por supuesto, compartiremos todos los IoC con la comunidad en general para asegurarnos de que todos permanezcamos a salvo. A medida que continuamos buscando más artefactos de amenazas, haremos que nuestros hallazgos estén disponibles a través de este foro.

Trabajar desde amenazas domésticas contextualizadas

En todo el mundo, un gran número de personas se apresura a trabajar desde casa sin preparación, a veces incluso desde sus dispositivos personales. A menudo, estos dispositivos no se mantienen con las medidas de seguridad adecuadas y posiblemente dejan a las organizaciones abiertas a varios ataques.

Durante el último año, hemos publicado varios artículos sobre cómo los ataques de ransomware dirigidos están alimentando la mayor demanda en el subsuelo de redes corporativas comprometidas. Un método de acceso criminal de uso frecuente es a través del “malware básico”, como el malware bancario y los ladrones de información. Los delincuentes están analizando activamente miles de registros con la esperanza de encontrar credenciales de administración remota o de red corporativa.

El malware de productos básicos a menudo se centra directamente en los consumidores, por lo que el acceso a las redes corporativas desde posibles máquinas personales preinfectadas sin las medidas de seguridad adecuadas crea una superficie de ataque mucho mayor para los cibercriminales. Esto aumenta el riesgo de que una organización sea víctima de una posible violación y bloqueo de ransomware.

Figura 2. Una captura de pantalla del popular ladrón de información KPOT, parte de un anuncio clandestino para vender credenciales robadas. (observe que el malware recopila credenciales de VPN, RDP y correo)

Al igual que todos luchamos para aplanar la curva COVID-19 mediante el aislamiento social y lavándonos las manos, debemos apuntar a aplanar la superficie de ataque cibernético de nuestras organizaciones al tener una higiene de seguridad cibernética adecuada mediante el uso de autenticación de múltiples factores, VPN y robusto software de seguridad de punto final.

Trabajo remoto

Los empleados que trabajan desde casa necesitarán una guía clara sobre prácticas de seguridad aceptables desde una perspectiva organizacional:

  • Orientación sobre políticas de trabajo remoto: Si bien muchas organizaciones pueden emplear una orientación más amplia sobre seguridad cibernética / privacidad dentro de sus organizaciones, es probable que los empleados no estén al tanto de las expectativas para el trabajo remoto. Igualmente, esto también puede aplicarse a las expectativas de seguridad, por lo tanto, cualquier política de este tipo debe revisarse, pero también debe comunicarse efectivamente a un grupo más amplio de empleados que ahora trabajan desde fuera de las oficinas de la organización.
  • Clasificación de activos: con un conjunto más amplio de la fuerza laboral que ahora trabaja desde casa, los activos de información previamente inaccesibles deberán estar disponibles para uso remoto. Posteriormente, se necesitarán medidas de seguridad mejoradas para garantizar que la información solo esté disponible para aquellos con una clara necesidad de saber.
  • Autenticación sólida: con las contraseñas ubicuas y la autenticación de dos factores ahora común, garantizar el nivel apropiado de autorización para los activos clave será fundamental.
  • Conciencia: todos los procesos y la tecnología implementada dentro de una organización se pueden deshacer simplemente por falta de conciencia. Es fundamental asegurarse de que todos los empleados estén al tanto de los riesgos potenciales de conectarse de forma remota. Es especialmente importante estar al tanto de los servicios en la nube autorizados para fines de trabajo y estar muy atentos a los correos electrónicos de phishing específicos.
  • Acceso VPN: el término red no confiable rara vez se considera cuando se trabaja en la oficina, sin embargo, con tantos empleados que se conectan desde entornos ubicados externamente, existe la posibilidad de que ciertas redes no sean confiables. Si bien muchos no se aventurarán en los espacios públicos para limitar el contacto social, no hay garantía de que la conexión desde la que se conecta cada empleado sea segura. Por lo tanto, será imprescindible aprovechar una VPN, y de hecho las organizaciones pueden querer hacer cumplir ciertos activos solo accesibles a través de la VPN.

Trabajo móvil seguro

Estas son algunas consideraciones clave para los responsables de habilitar la capacidad de trabajo remoto seguro:

  • Protección contra la pérdida accidental de datos. El cifrado de datos es fundamental para una buena higiene de la seguridad del dispositivo y esencial para permitir un trabajo móvil seguro. Asegúrese de tener conocimiento de la situación de los controles de seguridad del usuario final y pueda informar rápidamente sobre el estado cuando la pregunta inevitable surja del CISO.
  • Proporcionar un nivel equivalente de prevención de amenazas. Mientras está en la red de la oficina o VPN, los dispositivos de los usuarios finales disfrutan de una capacidad de defensa en profundidad. Sin embargo, ¿tienen esa misma protección cuando no están en la VPN? El uso de soluciones antimalware que emplean análisis de comportamiento basados ​​en la nube e inteligencia de amenazas combinados con seguridad web basada en la nube puede ayudar a garantizar un nivel equivalente de seguridad dentro y fuera de la red.
  • Colaboración segura en la nube. Muchos empleados necesitarán aprovechar servicios basados ​​en la nube como Microsoft Teams y WebEx para colaborar tanto interna como externamente. Asegúrese de poder aplicar sus políticas corporativas de DLP a esas aplicaciones nativas de la nube y de que sus usuarios conozcan las herramientas de colaboración autorizadas a su disposición.
  • Acceso seguro a la nube. Los atacantes aprovecharán los correos electrónicos de phishing con temas de Virus Corona y los ataques de abrevaderos de sitios web comprometidos para atacar a los trabajadores y aprovecharse de la situación. Reduzca la superficie de ataque ajustando las políticas de seguridad web y bloqueando el acceso a servicios en la nube riesgosos.
  • Respuesta a incidentes de phishing. No podrá evitar todo, por lo que es importante tener una capacidad de seguridad equilibrada con detección y respuesta. Las operaciones de seguridad deben revisar los procedimientos de respuesta a incidentes para phishing, implementar EDR basado en la nube para la identificación rápida de dispositivos de usuarios finales remotos comprometidos y garantizar que los usuarios sepan cómo enviar correos electrónicos sospechosos al SOC.

Conclusión

Una gran cantidad de buenos consejos e información está disponible de forma gratuita, incluido el Kit de implementación de seguridad desde el trabajo desde el hogar[1] del Instituto SANS que proporciona “múltiples activos que abordan todo, desde asegurar una red doméstica hasta las mejores prácticas cuando se trabaja de forma remota para identificar ataques de ingeniería social”. Si bien la necesidad de habilitar el acceso lo más rápido posible es comprensible, hay quienes esperan explotar esta urgencia para su propio beneficio personal.