miércoles, 12 de junio de 2024

Prowler: Auditoría para tu entorno Cloud. Analizamos un entorno Azure !!!

 Estimados amigos de Inseguros !!!

El propósito de este post es doble, triple, nose, tiene muchos matices. Voy a ir por partes que me lío.

El primero es hablaros de Prowler. Ahora seguiremos con lo técnico. Prowler es una empresa de España, de Granada, que regenta Toni de la Fuente, vamos, que la ha montado él. 

Es una de esas empresas que hacen patria, que hacen que nos sintamos orgullosos en España del talento que hay. Porque están HASTA EN LA SOPA. Son número uno en lo que hacen, auditoría contínua de entornos cloud. Amazón los recomienda directamente en cientos de guías.



Pero es que yo que suelo leer muchos libros, en papel si puedo, me he visto el nombre de la empresa en por lo menos 4 o 5 publicaciones. Aluciné tanto que tuve que felicitar a Toni, que no lo conocía, por el inmenso trabajo que estaban haciendo. 

Otro escenario, clientes míos, a los que hago un pentesting Aws o Azure, y les recomiendo usar la herramienta y me dicen: la conocíamos... la tenemos en el radar... o ya somos clientes. En serio, quizás yo haya descubierto "America" algo más tarde xD

Pero bueno, esto son "cosas de kino". Ahora vamos al kit de la cuestión. La herrramienta tiene una vertiente comercial, más orientada a la auditoría contínua, a la detección de cambios, y luego tiene otra parte de lo que yo llamo One Shot, poder lanzar unos análisis y conocer el estado de cientos de indicadores.

Aparte, como casi siempre en Inseguros, os ofrecemos soluciones económicas. Pues eso, tienen una parte de servicio de pago, y otra parte de comunidad. Recuerda que he empezado diciendo que es una de esas empresas de las que estoy orgulloso sin llevarme un euro xD xD xD ( guiño guiño). 

Vamos con ella.

El proceso de instalación es complejo, pero en su proyecto comunidad lo explican muy bien:

pip install prowler

Tienes más opciones, ya sabes mis bromas.

Pero si, es muy sencillo. Yo en mi caso voy a autenticar mi shell en linux con Device auth code. Ya sabes, lanzas Az Login en linux ( tienes que tener azure client) te muestra un browser con un código y recibes tu token de sesión. La aplicación usa ese token para autenticarse y nos hace un escaneo.



Ya está... alucina. Ahora cargo el dashboard. Por defecto escucha en localhost, pero si quieres acceder desde otra ubicación, busco en la doc. y me dicen que : HOST:laip prowler dashboard y con esto tengo acceso al portal.


Cómo nos gustan estos cuadros de mando !!! Cómo ves, puedes unificar tu visión si le proporcionas credenciales válidas para estos 4 entornos. 

Si te apetece llevarte este informe a un json, html o similar, la herramienta te lo deja en una ruta indicada en la ejecución y así podemos trabajarlo un poco más.

Una de las cosas que me parecen súper interesantes y es que podemos elegir tanto en ejecución como en reporte, el compliance de referencia que queremos usar para tomar la referencia. Es decir, por qué algo está en "rojo" ? porque lo dice el CIS, el NIST, el baseline de AWS, el de GCP? la PCI... BRUTAL.

En mi caso, tengo muchos clientes a los que mi usuario accede a sus suscripciones, y me ha tomado la primera, pero fácilmente podemos indicarle el ID de subscripción apara aquellos como yo que sufrís de clientes xDDD

Os pongo alguno de los "findings" para que entendáis como estos compliances, y la herrmienta Prowler, nos pueden ayudar a mejorar nuestra postura de ciberseguridad Cloud.




Os paso un video de apoyo para instalarlo todo en Windows, pero lo que quería transmitir es que hay información por todos lados de como hacer casi de todo.

Yo uso esta herramienta como parte de mi arsenal de pentesting Azure. Claro , muchos de estos hallazgos hay que saber cómo corregirlos, el impacto que tendría el cambio, por qué están, cómo deberían estar. Es decir, estas herramientas nos ayudan mucho en el día a día, pero requiere de conocimiento humano para explotarlas al 100%. 

Un post que me ha gustado mucho por el cariño que le tengo a la tool, y por lo fácil que me hace el día a día.

Espero que la uses, espero que cuentes conmigo para auditar tu entorno Microsoft AD o Azure, y nos vemos en la próxima !!!

Gracias por leerme !!!

martes, 28 de mayo de 2024

La verdad de la mentira de la formación. Cursos, Masters, Creadores de contenido y flipad@s variadas.

 Estimados amigos de Inseguros...

Soy Joaquín Molina, me llaman kinomakino, y vengo a contar una verdad dolorosa...

Como en todas las ocasiones, no siempre que se generaliza se acierta. La excepción que confirma la norma... pero créeme, esto que te cuento ocurre en un alto porcentaje de ocasiones...

Allá vamos...

En el mundo de la ciberseguridad en el que trabajo han aparecido una sinfín de recursos formativos de todo tipo. Desde los gratuitos: podcast, blog, youtube, etc, hasta servicios de pago, como cursos de "bajo coste" suscripciones, certificaciones, masters, etc.

TRABAJO

Lo he puesto en mayúsculas. Es IMPRESCINDIBLE que tu formador sea un profesional en activo. Recuerdo mi primer trabajo dando formación, en el año 2000. Fué sobre Windows 2000 Server como es normal. Di el curso, y me ofrecieron dar un curso de Sql Server 7... porque como "todo es Microsoft". Lo di. El curso gustó. Me dedicaba a estudiarme el libro por las tardes, y por las mañanas mostrar lo aprendido. Si un alumno me hubiera preguntado algo, mi opinión? no hubiera podido responder. El curso gustó. Me ofrecieron trabajar para uno de las empresas cliente !!! pero NO FUE UN BUEN CURSO. 

Si tu profesor es sólo profesor, y no ha hecho una auditoría en su vida, o un Incident Response. O pelear con clientes, usuarios, jefes, etc. NO ES UN BUEN CURSO. Créeme.

MASTER UNIVERSITARIO

Cuando tu estás en la universidad, y no conoces el mundo laboral, tu universidad es tu referencia formativa. En casi todas las universidades ofrecen un Master en Ciberseguridad. En muchas ocasiones lo imparten profesores y en otras colaboradores, o un mix.

Tu crees que va a ser la HOSTIA !!! porque en tu universidad aprendiste a un nivel BRUTAL. Desde las matemáticas más enrevesadas, hasta electrónica, código máquina o cualquier asignatura de las complicadas.

Volvemos al planteamiento inicial. Tus profesores universitarios posiblemente no hayan trabajado en su vida en la empresa privada. Quizás alguno sí, pero hace bastante...

Te enseñarán muchas cosas útiles, o no, pero no te contarán la realidad.

Ahora seguiré con los otros profesores que no son de la uni...

Tu Master Universitario en Ciberseguridad se da en tu universidad, en sus instalaciones, tienes unos créditos homologados. Y ? para que sirve que sea un master universitario real, o un curso de academia de barrio? No se si me explico. Quizás para ser funcionario te pidan que el master puntúe de alguna manera, y necesite ser " de estos". Pero para trabajar en la calle, en la empresa privada, que sea "homologado" por una universidad o no, NO TE DA GARANTÍAS de nada. Crees que una buena universidad da un buen master. Puede que si, puede que no. El factor diferencial NO ESTA EN QUE SEA UN MASTER OFICIAL. Está en otras cosas, que ahora opiniaré, y que serán así o no.

Ahora vamos a la calidad así un poco. Imagina la carrera de Cocina. No se si hay título universitario. Imagina que si. La cocina es MUY amplia. Un master de cocina, por ejemplo, podría ser "Cocina italiana" o "Cocina japonesa" o "Gestión del stock en restaurantes" o "Como innovar en la cocina". No se, se me ocurren un montón de especializaciones.

Ahora vamos con la Ciberseguridad. Existe la informática. Y quizás hace 20 años podría tener sentido una especialización en Ciberseguridad... Pero hoy no tiene sentido. Hoy la ciberseguridad es MUY AMPLIA, y alberga desde montar un SGSI 270001 ( que puede hacer un abogado sin saber qué es TCP/ip) o puede ser analista OSINT ( que puede ser un criminólogo sin saber instalar linux) o hacking ético, reversing de malware o una certificación de fabricante de Waf.

NO TIENE SENTIDO hacer un master, una especialización, y que te enseñen "tres cositas" de una cosa, "tres cositas de otra" una introducción a "noseque" y unos módulos de nosecuantos.

LEE el temario. Si es así, CREEME, por muy bueno que sea el profesor, universidad, publicidad, etc. NO SERÁ una especialización, será una INICIACIÓN. Estás pagando por una introducción... Si es lo que quieres, perfecto. Yo asocio MASTER a especialización. Si buscas las temáticas de los masters de NO-Ciber, verás de que hablo....

EL PROFESOR PROFESIONAL

Hablabamos de que si, debe ser profesional. Bien, seguimos por ahí. Un PROFESIONAL de la ciberseguridad es una persona que cobra perricas. COBRA PASTA. Mucha o poco, según cada uno, pero no es un junior. COBRA PASTA y suele trabajar mucho. 

Cuando llega un empresario y monta un master, contacta con los profesionales que cree conveniente. Grandes amigos miós. A mi me han ofrecido muchos. Y he descartado MUCHOS. Léeme, ese master donde estás mirando, que hay amigos de profes, quizás, hay MUCHAS posibilidades de que me hayan ofrecido ese trabajo. Lo digo porque he dicho que no a más de 20.

Esto no es una crítica hacia mis amigos que dan estas clases, los hay de todo tipo. Yo te voy a contar MI PELÍCULA y la que pasa en muchos masters. No en todos, SEGURO, habrá MASTERS buenos. Te digo que LA MAYORÍA son MALOS. No te lo crees? pefecto. Te sientes dolido? perfecto :-)

Sigo... Cuando a ese profesional que trabaja 40 horas, que cobra pasta, que seguramente vaya a congresos de ponente, o escriba en más sitios. Seguramente sea una persona que sigue estudiando, formándose. Por eso son buenos profesionales. No es gratis. No por guapo o popular. Los buenos profesionales reunen esto que te digo. No todo. Pero que siguen estudiando, investigando, etc, SEGURO. Si no, no es un buen profesional. AUNQUE SALGA MUCHO EN LA TV. Ojo, puedes salir en la TV y ser buen profesional... no seamos Haters de más...

Sigo que me lío...Cuando el empresario busca a este profesional, no va con un saco de billetes con el símbolo del dolar. Esto es un negocio. Y el empresario quiere PAGARTE POCO para ganar lo más que pueda. Además no sabe si va a ser un éxito absoluto de ventas, o no. La realidad de lo que me han ofrecido a mi, y no ACEPTE, fué: 

Kino prepara la documentación. Prepara los PPT´s y material. Hazlo gratis. Yo te pago 100 euros la hora, y quizás el primer año no ganes mucho. Pero si seguimos más ediciones, empezarás a rentabilizar el contenido que hiciste.

 Te lo crees? tiene sentido? pués es así. NUNCA me dijeron: Toma 3000€ por crear el contenido, y luego 100 € por cada hora ( debería ser 100 euros por cada hora por cada alumno... no es lo mismo un alumno que 10...) y aparte, tienes que dar unas cuantas tutorías, corregir trabajos, etc. Muchas veces el profesional acepta por ayudar, por formar a la gente, más que por la ganancia económica.

NO HAGO ESA FORMACiÓN. Por mi situación económica, porque prefiero invertir ese tiempo en intentar ganar MÁS DINERO. Pero es respetable que mis amigos profes. lo acepten. Cada uno con su pincho moruno. Pero hay una cosa que TE PERJUDICA. Tu profesor hizo el material hace 1 año... 2 años... 5 años... Y cuando ves que tu master es la XV Edición, significa que el material es VIEJO... El comercial te lo vende como que es un éxito de MASTER. Pregunta a los alumnos, y pregúntales sobre todo esto: 

Era material actualizado?

Era material real, de la vida real?

Tenía acceso directo con el profesor en el tiempo y forma que espero?

El profesor es un experto en la materia o hace 4 años salía por ahí y ahora es manager y ha perdido la "cresta de la ola tecnológica"?

Aparte, esto es más dificil de constrastar, pero si a tu profesor le pagan poco, no creas que tienes a tu "famoso de turno" disponible para ti como un tutor de colegio. En esto dependes del profesor, de lo que se lo curre. Yo intento ser buen profesor, y en el pasado hice cosas así con organismos muy famosos, y sólo pensar que el alumno venía de allí, me ponía de mala hostia y no daba el mejor trato al alumno.

Volvemos al profesor. Hay unos masters que patrocina Chema Alonso, el señor del Gorro. Famoso mundial. Hasta mi padre lo conoce. Reconocida figura del hacking de los 2000, de los 2010. Pero no creas que "este tipo" va a ser tu profesor. Digo a este persona como podría decir otras. Ex-ténic@s del mundillo que fueron grantes profesionales.Y lo siguen siendo, pero ahora son managers, gestores, líderes, ventas, etc. Es decir, que hace años que no tocan un comando. 

En esta vida todo vale, SOLO piensa en estas cosas cuando compres una formación. DEBE SER UN PROFESIONAL EN ACTIVO EN LA MATERIA QUE CONFIAS.

CURSO DE INTRODUCCIÓN

Cuando tu haces un curso de, pongamos, hacking ético, debes tener unas bases. NO PUEDES EMPEZAR UN CURSO DE HACKING ÉTICO SI NO ERES INFORMÁTICO.  Te vendan lo que te vendan.

Cuando tu empiezas una formación, imagino que no sabrás sobre la materia. Podrá sonarte un poco, pero lo lógico es que compres una formación de algo que necesitas formación...

Sigo... Si tu haces un curso de hacking ético. NO DEBERÍA haber una lección de "Como instalar Kali linux sobre Virtual Box" ESA LECCiÓN debería ser para alguien que no viene de la informática... y no puedes ser hacker si no saber de informática. NO DEBERíAS.

He dado cursos subvencionados en los que, en un curso de EXPERTO EN CIBERSEGURIDAD, había : dos militares de tropa, una profesora de yoga, dos personas que si curraron de algo parecido a la informática y un camarero. REAL. Un curso mío contando "movidas" expertas a gente que no sabía lo que era "255.255.255.0"

Estos alumnos necesitan un curso de informática, introducción a las redes, algo más "digerible" que un curso mío de honeypots empresariales...

En otro MASTER famoso, que vende mucho, hablaron conmigo. No querían un curso experto en ciberseguridad. Querían un curso experto en ciberseguridad para todos los "publicos". Les dije que era imposible. Que yo no sabía. Les puse el ejemplo del la medicina. Tu haces Medicina, luego te especializas en una disciplina, como cirugía plástica. Y luego haces un master experto en el manejo del "laser noseque para técnicas nosecuantos" Pero debes ser médico y cirujano plástico...

Por cierto, este master sigue, se vende ( no mucho) y un gran profesional aceptó el reto. Para mí, quedando como el culo xD xD xD porque por "cuatro perras" estás haciendo algo MALO para el alumno.

No puedes entender un hackeo Kerberos a nivel wireshark si el curso empezó en "como instalar virtualbox" con la red NAT o Bridge...

Rebobino. Cuando compres una formación, debe empezar desde cero y llegar a 100. NO debería empezar en cero, y quedarse en 40, porque eso es una MALA FORMACiÓN.

MIS CURSOS

Cómo sabes, yo doy formación, y déjame porque creo que no caigo en estas cosas.

Llevo 23 años dando formación. SE dar clases.

Llevo 23 años trabajando en TIC y en Ciberseguridad. El 80% de mis ingresos son de servicios, NO de formación.

Mis cursos NO los promociona nadie, ni famoso, ni universidad, ni plataforma. 

La credibilidad de mis cursos está en varios ámbitos:
    Confíes en los 4600 alumnos a fecha de hoy (2024)
    Confíes en los más de 100 comentarios positivos de mis alumnos reales. REALES. No es un 5 con unas estrellas programado... son REALES.
    No te creas nada, PRUEBA algunas lecciones gratuitas. Disponibles en todos mis cursos, como en el de Seguridad Azure o Seguridad Microsoft.

El profesor soy yo. Quieres hablar conmigo? Vamos a ello. NO HABLARÁS CON EL COMERCIAL.

Hay mil maneras de hacerlos. Desde GRATIS con Fundae, a descuentos importantes a nivel personal. Cursos gratuitos cortos. Tienes muchos recursos, porque soy profesor. Por un lado quiero enseñar y contribuir, y por otro lado quiero ganar dinero. PERO trabajo las dos facetas. NO SOLO LA DE HACERME RICO o intentarlo como muchos creadores de contenido que siguen la "radio-fórmula": 
Me hago "famosillo" en el mundillo hacker, con un Twtich, Podcast, Canal, etc. O organizando una CON. Cuando tenga miles de seguidores, intentar monetizar esto con cursos. No sabes que la gente hace eso?

Te pongo un ejemplo. Conoces a Frank de la Jungla? Creo que de animales sabe. De serpientes. De mucho. Es un gran divulgador. Ha ayudado a los animales con sus programas, te guste o no. Pero yo ahora te pregunto: confiarías la salud de tu iguana para que la opere Frank de la Jungla? sospecho que no, si no es veterinario !!!!

Creo que está clara la diferencia entre "famoso" o "famosillo" y experto.

Yo no te puedo decir si mis cursos son mejores o peores. YO los quiero mucho. Mucha gente los quiere. Yo opino que son necesarios, porque mi visión es algo distinta a la que está acostumbrada la gente. Mi visión no es ataque, o defensa. Como soy "windosero la gente se cree que soy "blue". Mi trabajo, con lo que me gano la vida, es con el "red".

Pero en mis trabajos de Red hay mucho Blue, y viceversa. Puedes hacer un curso de preparación de OSCP con un tonto desde Andorra, y aprender comandos, teclas, parámetros. Pero eso no te convierte en un buen profesional. Es SÓLO el principio. SÓLO cuando comprendas las bases, los fundamentos, lo que hay "debajo" de la teoría, podrás dominar la ciberseguridad.

Te pongo un ejemplo. Puedes hacer click en WIndows. O puedes hacer script en linux contra Windows, pero SÓLO si te has estudiado WINDOWS INTERNALS a bajo nivel, a nivel APi Win32, si has programado en un lenguaje tipo C, y eres capaz de "hablar tcp/ip con wireshark" no serás un profesional experto. Puedes empezar con los comandos de "impacket" o "metasploit" o "nuclei" pero debes hacer ZOOM en la teoría.

En la INMENSA mayoría de cursos que veo no hacen eso.

Te pongo un ejemplo. En una de mis formaciones hablamos de SMB. Teoría, práctica, ejemplos de ataque, defensa, monitorización, etc. 

En el curso les cuento a los alumnos, que quitar smb1 de un server son 10 segundos. Quitar SMB1 de una empresa es un año de trabajo. Y les cuento un montón de escenarios REALES, que he tenido, que justifican esto.

En este post te cuento lo que pienso. En muchas cosas no opinarás como yo, y tendrás razón. Y en otras, creeme, opines una cosa, pero no tengas la información, y puede que estés equivocado. En otras cosas, el equivocado soy yo. Pero espero que hayas reflexionado en esto. Que tú mismo adoptes estos parámetros, reflexiones, ideas, o como quieras llamarlo, y busques la formación que mejor se adapte a ti.

Yo al final vendo cursos, y puede que resulte "sospechoso" estas críticas. Allá tu si me crees o no, yo vivo del hacking. NO tengo la necesidad de poner mi... parte trasera... para ganar. NO digo tonterias para tener clickbait. SIEMPRE he sido así. Cuando tenía 1 seguidor, y ahora con 10 :-)

Gracias por leerme !!!!




jueves, 18 de abril de 2024

Antes-durante-después de un Fraude al correo: Acciones concretas

 Estimados amigos de Inseguros !!!

A día de hoy hablar del BEC ( Business Email Compromise) o timo del CEO, o el timo del cambio de factura no es nada nuevo. Tampoco es nuevo que a pesar de que lo sabemos, NUESTROS usuarios caen. Hay medidas técnicas, medidas organizativas, hay todo tipo de medidas a implementar para minimizar la posibilidad, o a las malas, el impacto.

Guarda este recomendación, para que cuando te pase, o cuando te llame el "amigo" que te cuenta que en la empresa del hijo han robado nosecuantosmiles de euros... puedas ayudar.


Durante 

 • Restablecer la contraseña del usuario o usuarios implicados 
• Desactivar reglas del buzón de entrada que han sufrido el compromiso 
• Eliminar direcciones de reenvío de correo electrónico 
• Cerrar todas las sesiones de Office 365 para las cuentas de la empresa 
• Restablecimiento de contraseña empresarial, en caso de no tener focalizado el vector. 

Detectar 

• Regla de bandeja de entrada creada para reenviar correos electrónicos a carpetas de RSS, suscripciones, correo no deseado o notas 
• Regla de bandeja de entrada creada para eliminar automáticamente correos electrónicos 
• Regla de bandeja de entrada para redirigir mensajes a una dirección de correo electrónico externa 
• Reglas de bandeja de entrada con palabras clave sospechosas (por ejemplo: virus, wetransfer, factura, banco,etc) 
• Nuevo reenvío de buzón de correo a una dirección externa 
• Nuevos delegados de buzón de correo 
• Inicios de sesión exitosos desde códigos de país atípicos utilizando datos geo-IP 
• Inicios de sesión exitosos desde servicios proxy de anomimato 
• Inicios de sesión exitosos precedidos por inicios de sesión fallidos debido a políticas de acceso condicional 

Responder
 
• ¿Qué dirección IP se registró durante el inicio de sesión? 
• ¿La dirección IP inició sesión en otras cuentas? 
• ¿El atacante creó alguna regla de bandeja de entrada? 
• ¿El atacante habilitó el reenvío de correo electrónico externo? 
• ¿Cuándo obtuvo acceso el atacante a las cuentas? 
• ¿El atacante agregó algún delegado? 
• ¿El atacante accedió a algún archivo? 

Después 

• Habilitar auditoría de buzones de correo en Office 365 
• Integrar Office 365 con SIEM 
• Implementar políticas de acceso condicional 
• Desactivar el reenvío automático en Office 365 
• Habilitar MFA 
• Formación al usuario

Si tienes más ideas, no dudes en escribirme y mejoras el documento.

Y aquí la publicidad.

Has hecho ya el mejor curso de Hacking Azure del mercado? xDDD

Recuerda, hacemos los mejores cursos de ciberseguridad y ofrecemos servicios de auditoría experta en entornos Microsoft.

miércoles, 17 de abril de 2024

10 medidas que si o si debes implementar para proteger la identidad

 Estimados amigos de Inseguros !!!

Cuando hablo con las organizaciones, de distinto nivel de madurez, debo ofrecer distintas recomendaciones, está claro que no es lo mismo una pyme que un Ibex35. Pero si hay algo común en todas, es que el objetivo de todo el camino de la ciberseguridad es proteger la identidad. Ya sabes, no me vale que tu clave sea mega fuerte, si corres el riesgo de que si comprometo esa clave, estés bendido. Debemos ahondar en esto, te guste o no.

Sabes cuantas empresas me encuentro, de TODO TIPO, con TODO TIPO de soluciones de toda gama, y que aún tienen MUCHOS usuarios que no cambian clave. No me refiero a "servicios" me refiero a que no han conseguido una política robusta de autenticación. O las que no consiguen poner el MFA porque el usuario/directivo manda... Si en tu empresa no puedes virar hacia todo esto vas mal. Pon las excusas que quieras, o pon un firewall más alto...

A donde voy, aquí te dejo unas cuantas ideas para proteger tu IAM ( Identidad y Acceso). Te recomiendo avanzar en las que puedas, y lo primero, exprimir al máximo lo que te da tu infra. y luego buscar un partner/producto/servicio para cubrir nuevas necesidases. NO te guíes por un producto como marco de referencia.


10 Medidas para mejorar tu IAM


1. Implementar un Enfoque Zero Trust 

El enfoque Zero Trust en seguridad es un modelo que rechaza la idea de confianza implícita dentro de las redes y requiere verificación continua de usuarios y dispositivos. ¿Esto qué quiere decir? Que no pienses que “dentro” es distinto que “fuera”. Este enfoque es crucial porque minimiza el riesgo de acceso no autorizado, especialmente en un panorama de amenazas tan cambiante. 

Hoy tenemos un tipo de ataque, pero mañana tenemos otro. Para implementar el enfoque de Zero Trust, comienza por segmentar tu red, requerir autenticación multifactor para todo acceso y aplicar controles estrictos de acceso basados en los roles de usuario y procesos de empresa. También podrías implementar políticas contextuales, como permitir solo ciertos tipos de acceso desde determinadas ubicaciones o dispositivos, para una capa de seguridad adicional. 

Conocer la empresa, los procesos, las necesidades, y meterlo en la coctelera para proporcionar este enfoque. El otro día poníamos un video de cómo proteger el acceso a MsGraph en Azure: Bloqueando TODO y habilitando sólo lo que necesito. Esto es Zero Trust 



2. Utilizar Autenticación Multifactor (MFA) 

El concepto de autenticación multifactor (MFA) requiere que los usuarios proporcionen varias formas de identificación antes de acceder a sistemas. Algo que tienes, algo que sabes, algo que eres. Es un paso vital, ya que las contraseñas por sí solas siguen siendo susceptibles a ataques. 

La implementación de MFA se logra integrándola en tu proceso de autenticación, utilizando opciones como tokens de hardware o datos biométricos como factores de autenticación secundarios. Es MUY importante contar con una estrategia global. No implementes una solución MFA para O365, otra para Windows, otra para la VPN y otra para la APP. 

Las contraseñas de un solo uso basadas en el tiempo (TOTP por sus siglas en inglés) pueden ser una alternativa. Lo que es importante es una vez más conocer el negocio, y establecer este control de manera correcta, para no generar fatiga en el usuario. Créeme, encontrará maneras de bypasear esto. Imaginas pedirle un MFA a un usuario en Outlook cada vez que actualiza? 

3. Adoptar el Principio de Privilegio Mínimo 

El principio de privilegio mínimo es fundamental para un enfoque Zero Trust, ya que restringe el acceso de los usuarios a los permisos mínimos necesarios para sus roles. Para aplicar este principio, se deben revisar regularmente los permisos de usuario y ajustarlos en función de los requisitos del trabajo (también conocido como control de acceso basado en roles RBAC), asegurando que los usuarios solo tengan acceso a lo necesario para sus tareas. 

Esto se combina con soluciones de monitorización automáticas que examinan continuamente los derechos de acceso y señalan anomalías, así como permisos detallados que permiten personalizar el acceso hasta tareas o proyectos específicos. 

Un ejemplo muy sencillo, imagina un técnico HelpDesk con permiso para resetear passwords… Por defecto Azure no deja que un HelpDesk resetee un Global admin… pero si al CEO que es un usuario básico. HelpDesk debería ser un usuario TIER 0 porque es un Shadow Admin…

4. Realizar entrenamiento obligatorio de concienciación 

La idea es sencilla, ENTRENAR. Numerosos estudios sugieren que hasta el 88% de las brechas de datos podrían ser causadas por errores humanos. Este tipo de entrenamiento, que puede ser tanto presencial como virtual, tiene como objetivo educar al personal en los principios de la gestión segura de contraseñas, ayudándoles a reconocer intentos de phishing y comprender las implicaciones de las políticas de control de acceso. 

La famosa capa 8, el humano, sigue siendo un pilar fundamental. Realizar campañas de phishing no es lo mismo que un programa completo de concienciación. Hay que medir la evolución, el impacto de la acción. 

5. Cumplimiento normativo 

Puedes usar esta guía, o reinventar la tuya propia. Pero lo recomendable es seguir marcos de referencia. Hay infinidad de ellos, grupos de trabajo que han creado unos procedimientos concretos, y te olvides de “pensar”. Simplemente tienes que adaptar los procesos de cambio a tu organización. 

En España tenemos guías ENS, tenemos controles NIST, CIS, Cloud Alliance. Hemos hablado mucho de todo esto, incluso en este blog tenemos varios posts con medidas concretas, que adivina… YO he sacado de algún compliance ¡!!!! Yo no invento nada. 

6. Adoptar acceso Passwordless 

"Passwordless" se refiere a adoptar un enfoque de autenticación que elimina la necesidad de usar contraseñas tradicionales. En lugar de depender de contraseñas que los usuarios deben recordar y administrar, la autenticación sin contraseña utiliza métodos alternativos más seguros y convenientes, como la autenticación biométrica o el inicio de sesión basado en correo electrónico con códigos únicos. Este enfoque se adopta debido a que muchas personas encuentran difícil administrar sus contraseñas, lo que aumenta el riesgo de brechas de seguridad relacionadas con credenciales. Al eliminar las contraseñas, se reduce este riesgo. 

Sin embargo, la decisión de implementar completamente un sistema sin contraseña depende de cada organización. Hay organizaciones que no pueden obligar a usar un móvil. Hay otras en las que la biometría ha cargado mucho el N1. Yo he visto como el poder de los usuarios ha conseguido tumbar iniciativas de este tipo, porque “no va la huella”, pero en el gimnasio si… El usuario va a luchar contra el cambio, pero esto es otro tema… 

7. Realizar Test de penetración y simulación de adversarios 

Tengas muy elaborada la solución, o estés empezando, debes MEDIR. Realizar una prueba real del estado del sistema es un MUST para tomarlo como referencia de mejora. SEA cual SEA tu nivel actual, una auditoría, pentest, simulación o lo que sea es imprescindible. 

Me gusta separar estos dos conceptos, ya que un Pentest o auditoría está más orientada a la consecución de objetivos, generalmente un kill chain clásico de ataque, mientras que la simulación de adversarios está más encaminada a mejorar las capacidades de detección y contención. 

8. Estrategia de logs 

La estrategia de logs regula la manera en que una organización maneja y almacena los registros de actividad (logs) de sus sistemas. La recolección centralizada de logs simplifica la supervisión y auditoría para una respuesta rápida a incidentes y para cumplir con regulaciones. Se pueden utilizar soluciones de almacenamiento de logs basadas en la nube o en las instalaciones que agreguen logs de diversas fuentes de datos en tiempo real. 

Se debe crear una estrategia completa de Data Ware House de logs, teniendo en cuenta normalización, estrategia de almacenamiento frio/caliente, identificar Data Source de valor. En Inseguros hemos hablado MUCHO de los logs. NO se trata de tener los logs de UN sistema, sino de todo un proceso de mejora constante. 

9. Plataforma de IAM correcta 

Seleccionar la plataforma IAM adecuada es crucial para una gestión de seguridad efectiva. Necesitarás elegir una que ofrezca cobertura y visibilidad de extremo a extremo a lo largo de todo el viaje de acceso a los activos de tu negocio. De lo contrario, solo obtendrás una fracción de la historia. La implementación también es un factor importante: cuando se trata de control de acceso, no puedes permitirte tiempos de inactividad o errores, por lo que elegir una solución con opciones de implementación e integración rápidas y flexibles es una buena idea. 

 Mi aproximación siempre es contar con todos los servicios o funcionalidades que tenemos en nuestra plataforma base, y crecer con una solución complementaria SOLO cuando tenemos claro lo que necesitamos y el esfuerzo, tanto económico como de cambio de procesos. Los esfuerzos técnicos no me preocupan… 

10. Implementar controles basados en el tiempo

Dependiendo del servicio que queramos proteger, tenemos unas medidas u otras, por ejemplo, si queremos proteger los accesos temporales a máquinas de cómputo podemos recurrir a servicios nativos de Azure como Just In Time. Si hablamos de sesión, podemos usar varias funcionalidades relacionadas con la protección del token. Si usas un entorno híbrido, con ad connect en la modalidad Pass Trough ( autentica el entorno on premise) no el Pass The Hash por defecto( autentica el entorno cloud) puedes usar la restricción de tiempo nativa de Windows para aplicar este control al mundo cloud, por ejemplo al O365… 

Que una sesión en Office se re-autentique, o que el browser no guarde la sesión, hay varias opciones disponibles. La cuestión es abordar todas las medidas que nos de la plataforma. Si usas gestores IAM externos, contar con estos controles, porque son realmente efectivos.

Seguro que coincides conmigo, más o menos, pero la cuestión es ponerlo en marcha :-)

Si necesitas ayuda con este proceso a nivel consultoría, o quieres crecer en la ciberseguridad Azure con nuestros cursos, tu mismo.

Cuenta con un humilde murciano para lo que necesites.

Recuerda, hacemos los mejores cursos de ciberseguridad y ofrecemos servicios de auditoría experta en entornos Microsoft.

lunes, 8 de abril de 2024

Día 19: Revisa la configuración de tu Azure !!!

  Estimados amigos de Inseguros !!!

Seguimos con la serie configuraciones y aspectos a revisar en la configuración de Azure. Viste el Día 1Día 2Día 3Día 4 Día 5Día 6Día 7Día 8Día 9Día 10, Día 11 , Día 12 , Día 13Día 14Día 15Día 16, día 17, día 18 

Muchos de vosotros que me seguís y venís a los cursos, os gusta la teoría, os gusta el planteamiento de conocer en profundidad cómo funcionan las cosas, pero muchos se que queréis ir al grano, queréis el click rápido... Aunque no es mi visión, con esta serie voy a intentar daros algunos consejos, o pautas, o simplemente sitios donde pinchar a loco :-) para mejorar la seguridad de vuestros tenant Azure.

Quieres acceder a algunas lecciones gratuitas del curso para verlo?
Aquí las tienes:
 https://buff.ly/3vEEQQz


Espero que os gusten los recursos que os voy dando, pero valorar la posibilidad de ir más allá y adentraros en conocer este mundo del cloud de Microsoft que sin duda es el presente de muchas organizaciones. 

Consejo 19

En esta ocasión vamos a dar un pequeño consejo para Azure, pero para el caso de que uses Azure Virtual Network, por ejemplo, si tienes publicado un sqlserver, una máquina con SSH o Rdp.

Lo más básico es que NO uses el puerto RDP/SSH desde Internet. Estos servicios son muy atractivos para los atacantes y debemos reducid la superficie de exposición. 
Para acceder a estas máquinas debemos pensar "cloud"  y debemos usar tecnologías como Azure bastion.
Con este servicio podemos conectarnos a estos entornos por la web, y así evitamos la exposición del puerto.  El proceso es muy sencillo, podemos hacer "siguiente" "siguiente" y el solo configura el host bastion y la subred. 

Como todo en Azure es fácil, pero hay que conocer el coste.  Básicamente cobra unos pocos céntimos por el tráfico generado de la conexión y el tiempo, pero no creo que estés 2 horas con el RDP cada día...





Ya está, eres un poco más seguro xD.


Lo has revisado? qué configuración tenías? Ánimate y sigue la serie. Este consejo es muy sencillo, pero iremos avanzando con otros quickwins más interesantes.


El curso "no va de esto", algunas cosas sí. Estos consejos de momento son BÁSICOS, y el curso es de nivel ALTO, tenlo en cuenta.


Como siempre, gracias por leerme !!!

Recuerda, hacemos los mejores cursos de ciberseguridad y ofrecemos servicios de auditoría experta en entornos Microsoft.