jueves, 18 de abril de 2024

Antes-durante-después de un Fraude al correo: Acciones concretas

 Estimados amigos de Inseguros !!!

A día de hoy hablar del BEC ( Business Email Compromise) o timo del CEO, o el timo del cambio de factura no es nada nuevo. Tampoco es nuevo que a pesar de que lo sabemos, NUESTROS usuarios caen. Hay medidas técnicas, medidas organizativas, hay todo tipo de medidas a implementar para minimizar la posibilidad, o a las malas, el impacto.

Guarda este recomendación, para que cuando te pase, o cuando te llame el "amigo" que te cuenta que en la empresa del hijo han robado nosecuantosmiles de euros... puedas ayudar.


Durante 

 • Restablecer la contraseña del usuario o usuarios implicados 
• Desactivar reglas del buzón de entrada que han sufrido el compromiso 
• Eliminar direcciones de reenvío de correo electrónico 
• Cerrar todas las sesiones de Office 365 para las cuentas de la empresa 
• Restablecimiento de contraseña empresarial, en caso de no tener focalizado el vector. 

Detectar 

• Regla de bandeja de entrada creada para reenviar correos electrónicos a carpetas de RSS, suscripciones, correo no deseado o notas 
• Regla de bandeja de entrada creada para eliminar automáticamente correos electrónicos 
• Regla de bandeja de entrada para redirigir mensajes a una dirección de correo electrónico externa 
• Reglas de bandeja de entrada con palabras clave sospechosas (por ejemplo: virus, wetransfer, factura, banco,etc) 
• Nuevo reenvío de buzón de correo a una dirección externa 
• Nuevos delegados de buzón de correo 
• Inicios de sesión exitosos desde códigos de país atípicos utilizando datos geo-IP 
• Inicios de sesión exitosos desde servicios proxy de anomimato 
• Inicios de sesión exitosos precedidos por inicios de sesión fallidos debido a políticas de acceso condicional 

Responder
 
• ¿Qué dirección IP se registró durante el inicio de sesión? 
• ¿La dirección IP inició sesión en otras cuentas? 
• ¿El atacante creó alguna regla de bandeja de entrada? 
• ¿El atacante habilitó el reenvío de correo electrónico externo? 
• ¿Cuándo obtuvo acceso el atacante a las cuentas? 
• ¿El atacante agregó algún delegado? 
• ¿El atacante accedió a algún archivo? 

Después 

• Habilitar auditoría de buzones de correo en Office 365 
• Integrar Office 365 con SIEM 
• Implementar políticas de acceso condicional 
• Desactivar el reenvío automático en Office 365 
• Habilitar MFA 
• Formación al usuario

Si tienes más ideas, no dudes en escribirme y mejoras el documento.

Y aquí la publicidad.

Has hecho ya el mejor curso de Hacking Azure del mercado? xDDD

Recuerda, hacemos los mejores cursos de ciberseguridad y ofrecemos servicios de auditoría experta en entornos Microsoft.

miércoles, 17 de abril de 2024

10 medidas que si o si debes implementar para proteger la identidad

 Estimados amigos de Inseguros !!!

Cuando hablo con las organizaciones, de distinto nivel de madurez, debo ofrecer distintas recomendaciones, está claro que no es lo mismo una pyme que un Ibex35. Pero si hay algo común en todas, es que el objetivo de todo el camino de la ciberseguridad es proteger la identidad. Ya sabes, no me vale que tu clave sea mega fuerte, si corres el riesgo de que si comprometo esa clave, estés bendido. Debemos ahondar en esto, te guste o no.

Sabes cuantas empresas me encuentro, de TODO TIPO, con TODO TIPO de soluciones de toda gama, y que aún tienen MUCHOS usuarios que no cambian clave. No me refiero a "servicios" me refiero a que no han conseguido una política robusta de autenticación. O las que no consiguen poner el MFA porque el usuario/directivo manda... Si en tu empresa no puedes virar hacia todo esto vas mal. Pon las excusas que quieras, o pon un firewall más alto...

A donde voy, aquí te dejo unas cuantas ideas para proteger tu IAM ( Identidad y Acceso). Te recomiendo avanzar en las que puedas, y lo primero, exprimir al máximo lo que te da tu infra. y luego buscar un partner/producto/servicio para cubrir nuevas necesidases. NO te guíes por un producto como marco de referencia.


10 Medidas para mejorar tu IAM


1. Implementar un Enfoque Zero Trust 

El enfoque Zero Trust en seguridad es un modelo que rechaza la idea de confianza implícita dentro de las redes y requiere verificación continua de usuarios y dispositivos. ¿Esto qué quiere decir? Que no pienses que “dentro” es distinto que “fuera”. Este enfoque es crucial porque minimiza el riesgo de acceso no autorizado, especialmente en un panorama de amenazas tan cambiante. 

Hoy tenemos un tipo de ataque, pero mañana tenemos otro. Para implementar el enfoque de Zero Trust, comienza por segmentar tu red, requerir autenticación multifactor para todo acceso y aplicar controles estrictos de acceso basados en los roles de usuario y procesos de empresa. También podrías implementar políticas contextuales, como permitir solo ciertos tipos de acceso desde determinadas ubicaciones o dispositivos, para una capa de seguridad adicional. 

Conocer la empresa, los procesos, las necesidades, y meterlo en la coctelera para proporcionar este enfoque. El otro día poníamos un video de cómo proteger el acceso a MsGraph en Azure: Bloqueando TODO y habilitando sólo lo que necesito. Esto es Zero Trust 



2. Utilizar Autenticación Multifactor (MFA) 

El concepto de autenticación multifactor (MFA) requiere que los usuarios proporcionen varias formas de identificación antes de acceder a sistemas. Algo que tienes, algo que sabes, algo que eres. Es un paso vital, ya que las contraseñas por sí solas siguen siendo susceptibles a ataques. 

La implementación de MFA se logra integrándola en tu proceso de autenticación, utilizando opciones como tokens de hardware o datos biométricos como factores de autenticación secundarios. Es MUY importante contar con una estrategia global. No implementes una solución MFA para O365, otra para Windows, otra para la VPN y otra para la APP. 

Las contraseñas de un solo uso basadas en el tiempo (TOTP por sus siglas en inglés) pueden ser una alternativa. Lo que es importante es una vez más conocer el negocio, y establecer este control de manera correcta, para no generar fatiga en el usuario. Créeme, encontrará maneras de bypasear esto. Imaginas pedirle un MFA a un usuario en Outlook cada vez que actualiza? 

3. Adoptar el Principio de Privilegio Mínimo 

El principio de privilegio mínimo es fundamental para un enfoque Zero Trust, ya que restringe el acceso de los usuarios a los permisos mínimos necesarios para sus roles. Para aplicar este principio, se deben revisar regularmente los permisos de usuario y ajustarlos en función de los requisitos del trabajo (también conocido como control de acceso basado en roles RBAC), asegurando que los usuarios solo tengan acceso a lo necesario para sus tareas. 

Esto se combina con soluciones de monitorización automáticas que examinan continuamente los derechos de acceso y señalan anomalías, así como permisos detallados que permiten personalizar el acceso hasta tareas o proyectos específicos. 

Un ejemplo muy sencillo, imagina un técnico HelpDesk con permiso para resetear passwords… Por defecto Azure no deja que un HelpDesk resetee un Global admin… pero si al CEO que es un usuario básico. HelpDesk debería ser un usuario TIER 0 porque es un Shadow Admin…

4. Realizar entrenamiento obligatorio de concienciación 

La idea es sencilla, ENTRENAR. Numerosos estudios sugieren que hasta el 88% de las brechas de datos podrían ser causadas por errores humanos. Este tipo de entrenamiento, que puede ser tanto presencial como virtual, tiene como objetivo educar al personal en los principios de la gestión segura de contraseñas, ayudándoles a reconocer intentos de phishing y comprender las implicaciones de las políticas de control de acceso. 

La famosa capa 8, el humano, sigue siendo un pilar fundamental. Realizar campañas de phishing no es lo mismo que un programa completo de concienciación. Hay que medir la evolución, el impacto de la acción. 

5. Cumplimiento normativo 

Puedes usar esta guía, o reinventar la tuya propia. Pero lo recomendable es seguir marcos de referencia. Hay infinidad de ellos, grupos de trabajo que han creado unos procedimientos concretos, y te olvides de “pensar”. Simplemente tienes que adaptar los procesos de cambio a tu organización. 

En España tenemos guías ENS, tenemos controles NIST, CIS, Cloud Alliance. Hemos hablado mucho de todo esto, incluso en este blog tenemos varios posts con medidas concretas, que adivina… YO he sacado de algún compliance ¡!!!! Yo no invento nada. 

6. Adoptar acceso Passwordless 

"Passwordless" se refiere a adoptar un enfoque de autenticación que elimina la necesidad de usar contraseñas tradicionales. En lugar de depender de contraseñas que los usuarios deben recordar y administrar, la autenticación sin contraseña utiliza métodos alternativos más seguros y convenientes, como la autenticación biométrica o el inicio de sesión basado en correo electrónico con códigos únicos. Este enfoque se adopta debido a que muchas personas encuentran difícil administrar sus contraseñas, lo que aumenta el riesgo de brechas de seguridad relacionadas con credenciales. Al eliminar las contraseñas, se reduce este riesgo. 

Sin embargo, la decisión de implementar completamente un sistema sin contraseña depende de cada organización. Hay organizaciones que no pueden obligar a usar un móvil. Hay otras en las que la biometría ha cargado mucho el N1. Yo he visto como el poder de los usuarios ha conseguido tumbar iniciativas de este tipo, porque “no va la huella”, pero en el gimnasio si… El usuario va a luchar contra el cambio, pero esto es otro tema… 

7. Realizar Test de penetración y simulación de adversarios 

Tengas muy elaborada la solución, o estés empezando, debes MEDIR. Realizar una prueba real del estado del sistema es un MUST para tomarlo como referencia de mejora. SEA cual SEA tu nivel actual, una auditoría, pentest, simulación o lo que sea es imprescindible. 

Me gusta separar estos dos conceptos, ya que un Pentest o auditoría está más orientada a la consecución de objetivos, generalmente un kill chain clásico de ataque, mientras que la simulación de adversarios está más encaminada a mejorar las capacidades de detección y contención. 

8. Estrategia de logs 

La estrategia de logs regula la manera en que una organización maneja y almacena los registros de actividad (logs) de sus sistemas. La recolección centralizada de logs simplifica la supervisión y auditoría para una respuesta rápida a incidentes y para cumplir con regulaciones. Se pueden utilizar soluciones de almacenamiento de logs basadas en la nube o en las instalaciones que agreguen logs de diversas fuentes de datos en tiempo real. 

Se debe crear una estrategia completa de Data Ware House de logs, teniendo en cuenta normalización, estrategia de almacenamiento frio/caliente, identificar Data Source de valor. En Inseguros hemos hablado MUCHO de los logs. NO se trata de tener los logs de UN sistema, sino de todo un proceso de mejora constante. 

9. Plataforma de IAM correcta 

Seleccionar la plataforma IAM adecuada es crucial para una gestión de seguridad efectiva. Necesitarás elegir una que ofrezca cobertura y visibilidad de extremo a extremo a lo largo de todo el viaje de acceso a los activos de tu negocio. De lo contrario, solo obtendrás una fracción de la historia. La implementación también es un factor importante: cuando se trata de control de acceso, no puedes permitirte tiempos de inactividad o errores, por lo que elegir una solución con opciones de implementación e integración rápidas y flexibles es una buena idea. 

 Mi aproximación siempre es contar con todos los servicios o funcionalidades que tenemos en nuestra plataforma base, y crecer con una solución complementaria SOLO cuando tenemos claro lo que necesitamos y el esfuerzo, tanto económico como de cambio de procesos. Los esfuerzos técnicos no me preocupan… 

10. Implementar controles basados en el tiempo

Dependiendo del servicio que queramos proteger, tenemos unas medidas u otras, por ejemplo, si queremos proteger los accesos temporales a máquinas de cómputo podemos recurrir a servicios nativos de Azure como Just In Time. Si hablamos de sesión, podemos usar varias funcionalidades relacionadas con la protección del token. Si usas un entorno híbrido, con ad connect en la modalidad Pass Trough ( autentica el entorno on premise) no el Pass The Hash por defecto( autentica el entorno cloud) puedes usar la restricción de tiempo nativa de Windows para aplicar este control al mundo cloud, por ejemplo al O365… 

Que una sesión en Office se re-autentique, o que el browser no guarde la sesión, hay varias opciones disponibles. La cuestión es abordar todas las medidas que nos de la plataforma. Si usas gestores IAM externos, contar con estos controles, porque son realmente efectivos.

Seguro que coincides conmigo, más o menos, pero la cuestión es ponerlo en marcha :-)

Si necesitas ayuda con este proceso a nivel consultoría, o quieres crecer en la ciberseguridad Azure con nuestros cursos, tu mismo.

Cuenta con un humilde murciano para lo que necesites.

Recuerda, hacemos los mejores cursos de ciberseguridad y ofrecemos servicios de auditoría experta en entornos Microsoft.

lunes, 8 de abril de 2024

Día 19: Revisa la configuración de tu Azure !!!

  Estimados amigos de Inseguros !!!

Seguimos con la serie configuraciones y aspectos a revisar en la configuración de Azure. Viste el Día 1Día 2Día 3Día 4 Día 5Día 6Día 7Día 8Día 9Día 10, Día 11 , Día 12 , Día 13Día 14Día 15Día 16, día 17, día 18 

Muchos de vosotros que me seguís y venís a los cursos, os gusta la teoría, os gusta el planteamiento de conocer en profundidad cómo funcionan las cosas, pero muchos se que queréis ir al grano, queréis el click rápido... Aunque no es mi visión, con esta serie voy a intentar daros algunos consejos, o pautas, o simplemente sitios donde pinchar a loco :-) para mejorar la seguridad de vuestros tenant Azure.

Quieres acceder a algunas lecciones gratuitas del curso para verlo?
Aquí las tienes:
 https://buff.ly/3vEEQQz


Espero que os gusten los recursos que os voy dando, pero valorar la posibilidad de ir más allá y adentraros en conocer este mundo del cloud de Microsoft que sin duda es el presente de muchas organizaciones. 

Consejo 19

En esta ocasión vamos a dar un pequeño consejo para Azure, pero para el caso de que uses Azure Virtual Network, por ejemplo, si tienes publicado un sqlserver, una máquina con SSH o Rdp.

Lo más básico es que NO uses el puerto RDP/SSH desde Internet. Estos servicios son muy atractivos para los atacantes y debemos reducid la superficie de exposición. 
Para acceder a estas máquinas debemos pensar "cloud"  y debemos usar tecnologías como Azure bastion.
Con este servicio podemos conectarnos a estos entornos por la web, y así evitamos la exposición del puerto.  El proceso es muy sencillo, podemos hacer "siguiente" "siguiente" y el solo configura el host bastion y la subred. 

Como todo en Azure es fácil, pero hay que conocer el coste.  Básicamente cobra unos pocos céntimos por el tráfico generado de la conexión y el tiempo, pero no creo que estés 2 horas con el RDP cada día...





Ya está, eres un poco más seguro xD.


Lo has revisado? qué configuración tenías? Ánimate y sigue la serie. Este consejo es muy sencillo, pero iremos avanzando con otros quickwins más interesantes.


El curso "no va de esto", algunas cosas sí. Estos consejos de momento son BÁSICOS, y el curso es de nivel ALTO, tenlo en cuenta.


Como siempre, gracias por leerme !!!

Recuerda, hacemos los mejores cursos de ciberseguridad y ofrecemos servicios de auditoría experta en entornos Microsoft.

jueves, 4 de abril de 2024

Dia 18: Revisa la configuración de tu Azure !!!

 Estimados amigos de Inseguros !!!

Seguimos con la serie configuraciones y aspectos a revisar en la configuración de Azure. Viste el Día 1Día 2Día 3Día 4 Día 5Día 6Día 7Día 8Día 9Día 10, Día 11 , Día 12 , Día 13Día 14Día 15Día 16, día 17

Muchos de vosotros que me seguís y venís a los cursos, os gusta la teoría, os gusta el planteamiento de conocer en profundidad cómo funcionan las cosas, pero muchos se que queréis ir al grano, queréis el click rápido... Aunque no es mi visión, con esta serie voy a intentar daros algunos consejos, o pautas, o simplemente sitios donde pinchar a loco :-) para mejorar la seguridad de vuestros tenant Azure.

Quieres acceder a algunas lecciones gratuitas del curso para verlo?
Aquí las tienes:
 https://buff.ly/3vEEQQz


Espero que os gusten los recursos que os voy dando, pero valorar la posibilidad de ir más allá y adentraros en conocer este mundo del cloud de Microsoft que sin duda es el presente de muchas organizaciones. 

Consejo 18

Vamos a ponernos en un escenario muy habitual, por desgracia, y es el de el robo de una suscripción completa. Existe la posibilidad, con los permisos necesarios, de que un owner o admin externo pueda mover de tenant una suscripción.


Imagine el escenario. Tienes un colaborador externo global admin. Le roban la clave, entran a todas sus suscripciones, pillan la tuya, y la mueven de directorio. Te darías cuenta? Si no es así, el malo, bajo esa suscripción, se dedica a meter máquinas de cómputo para minado, y te enteras al mes con la factura de 200k... Está pasando...

Para ello, debemos habilitar la opción de la suscripción para evitar este comportamiento.




Ya está, eres un poco más seguro xD.


Lo has revisado? qué configuración tenías? Ánimate y sigue la serie. Este consejo es muy sencillo, pero iremos avanzando con otros quickwins más interesantes.

Y en paralelo, ya sabes que tenemos cursos relacionados con Azure en la academia. Uno grabado, donde tu puedes hacerlo a tu aire, y varias opciones para hacerlo en 4 meses y 8 meses

El curso "no va de esto", algunas cosas sí. Estos consejos de momento son BÁSICOS, y el curso es de nivel ALTO, tenlo en cuenta.


Como siempre, gracias por leerme !!!

Recuerda, hacemos los mejores cursos de ciberseguridad y ofrecemos servicios de auditoría experta en entornos Microsoft.