[18/08/2020] ¿Cuántas contraseñas tiene el administrador de red promedio? ¿Y el usuario final promedio? La respuesta es muchas. ¿Qué puede hacer para proteger esas contraseñas? ¿Cómo educar a los usuarios para proteger sus credenciales?
Un artículo reciente en Mashable reveló que un atacante encontró las credenciales de varios sistemas internos de Twitter en una cuenta de Slack de la empresa. Si esto es cierto (hay informes contradictorios sobre la fuente del hack), los administradores de la red no están protegiendo bien las credenciales. Si los administradores de la red no lo hacen, probablemente sea seguro asumir que sus usuarios tampoco lo hacen.
¿Qué puede hacer para ayudar a los administradores y usuarios de su red a proteger mejor sus credenciales? Se trata de educación y concienciación.
Construya resistencia a la ingeniería social
Educar tanto a los administradores de la red como a los usuarios finales sobre el impacto del phishing y cómo los atacantes diseñan los ataques para ir tras nuestras debilidades. Usarán las redes sociales para aprender quién tiene qué rol en la organización y a quién perseguir. El famoso hacker Kevin Mitnick usó un libro del Estado de Washington que enumeraba a los directores generales de las empresas y a sus asistentes ejecutivos para acceder a las empresas, y advierte a los usuarios que limiten sus publicaciones en lugares públicos para evitar exponer la información a los atacantes.
Proteja la información utilizada en la verificación de credenciales
Advierta a sus usuarios que no contesten a las preguntas de la encuesta sobre las ubicaciones de los medios sociales. A menudo estas "preguntas aleatorias" se construyen a partir de las típicas preguntas de restablecimiento de contraseña o procesos de verificación de contraseña. Si alguna vez has respondido a una publicación de Facebook sobre su primer trabajo o su coche favorito, los atacantes pueden acumular una base de datos de respuestas de restablecimiento de contraseña.
Entrene a los usuarios para que reconozcan una landing page de marca
Si utiliza Office 365 o Microsoft 365, le recomiendo que utilice el branding para ayudar a educar a los usuarios en la landing page de la contraseña adecuada. Los atacantes están cosechando imágenes de negocios y las usan para engañar a los usuarios y hacerles creer que están proporcionando credenciales en el lugar correcto. Para tener una mejor landing page, necesitará una licencia Azure P1 o Microsoft 365 Business Plus (que incluye P1) para hacerlo. Para configurar la marca de la compañía, seleccione Azure Active Directory, luego Branding de la empresa y luego Configurar. Ahora puede seleccionar la configuración de los íconos (incluyendo los logotipos de los banners), las imágenes de fondo y las pistas de los nombres de usuario.
Fomente el uso de frases de contraseña
Eduque en la elección de frases en lugar de simples palabras. Somos muy malos eligiendo contraseñas. En el 2019, la más usada fue 12345. Dejemos que las aplicaciones generen contraseñas fuertes. Anime a los usuarios a tener programas de gestión de contraseñas para su uso personal y eduque sobre sus usos. Para los negocios, probablemente necesite evaluar programas para determinar cuál cumple con los mandatos de seguridad de su empresa. Ha habido problemas históricos con los programas de gestión de contraseñas basados en la web, ya que introducen riesgos. Evalúe cuidadosamente y revise anualmente los programas de gestión de contraseñas recomendados.
Capacite a los usuarios sobre la autenticación multifactor
Eduque sobre el uso de la autenticación multifactor (MFA) para aplicaciones, el acceso remoto, el correo electrónico o cualquier otra credencial de acceso. Microsoft 365 con una licencia Azure P1 le permite añadir listas blancas para liberar ubicaciones de la autenticación de doble factor. Puede limitar la MFA a los usuarios con acceso remoto más riesgoso. La función se llama "ubicaciones con nombre". En el portal de Azure, seleccione "Azure Active Directory" y luego "Acceso condicional" en la sección "Seguridad". En la página de "Acceso condicional", seleccione "Ubicaciones con nombre" y luego "Nueva ubicación". En la casilla "Nombre", escriba un nombre para la ubicación con nombre. En la casilla "Rango de IP", escriba el rango en formato CIDR y seleccione "Crear".
Enséñele al personal a reconocer los sitios web seguros
Eduque sobre cómo funcionan y cómo se ven las páginas web seguras. Cuando los usuarios navegan a un sitio web e introducen credenciales, se enfrentan a un proceso de decisión desalentador. ¿Este sitio es seguro? ¿Están introduciendo sus credenciales en el lugar correcto? Eduque a los usuarios sobre cómo deberían ser los procesos y las indicaciones normales.
Si tiene un filtro proxy o un servicio en la nube que puede interceptar el tráfico de navegación y proporcionar procesos de bloqueo, configúrelo para proporcionar información procesable a los usuarios finales de modo que sepan si la acción que están tratando de realizar en el sitio web es adecuada. Por ejemplo, si su software de filtrado web bloquea ciertos sitios sensibles, asegúrese de que la comunicación de bloqueo indique claramente que las acciones de su empresa están detrás del proceso de bloqueo.
Eduque a los usuarios sobre qué procesos son los que deben buscar al introducir información sensible. Esto solía ser más fácil, pero con la llegada de los motores de búsqueda que exigen SSL como medio de navegación privada, es más difícil determinar qué sitios son seguros. Tenga un proceso de investigación que pueda incluir el envío del URL a través de un proceso de aprobación. Probablemente quiera limitar la navegación únicamente a los sitios web aprobados.
Capacite en el uso adecuado del equipo de computación
Los usuarios y los administradores de la red no deben utilizar nunca equipos informáticos de lugares desconocidos para entrar al acceso corporativo. El kiosko intercativo del centro de negocios del hotel donde acaba de imprimir su tarjeta de embarque de la aerolínea nunca debe utilizarse para acceder a los activos corporativos. Todavía recuerdo una historia de seguridad muy conocida en la que alguien colocó keyloggers tokens en las computadoras de Kinkos en Nueva York y recolectó 450 credenciales bancarias como resultado de este ataque por sniffing.
Los administradores y usuarios deben ser conscientes de su entorno al introducir las contraseñas. Alguien podría, por ejemplo, mirar por encima del hombro de un usuario en un avión, ver en qué está trabajando e incluso robar su contraseña.
Despliegue procesos de credenciales adicionales si es necesario
Windows Hello para Empresas se basa en un nuevo tipo de credencial de usuario que está vinculada a un dispositivo y utiliza la autenticación biométrica o un PIN. Este sistema permite a los usuarios autenticarse en Microsoft, Active Directory, Microsoft Azure Active Directory (Azure AD) o en cuentas de servicios de proveedor de identidad o de relying party (RP) que admitan la autenticación Fast ID Online (FIDO) v2.0 (en curso).
Windows Hello para Empresas es más seguro que el PIN de conveniencia de Windows Hello. Se puede configurar mediante una directiva de grupo o una de administración de dispositivos móviles (MDM) y siempre usa la autenticación basada en claves o certificados. Para configurar Windows Hello para Empresas, revise su hardware para asegurarse de que tenga los chips TPM necesarios y que cumpla con los demás requisitos antes de la implementación. Puede desplegar estas soluciones con una implementación única de software, pero el proceso suele ser más sencillo con laptops y computadoras de escritorio diseñadas para la implementación.
Susan Bradley, CSO (EE.UU.)