[26/11/2020] ¿Puede controlar las estaciones de trabajo de su red para que solo ejecuten las aplicaciones que usted quiere que ejecuten? ¿Sabe si sus aplicaciones están siendo accedidas apropiadamente? ¿Está haciendo todo lo posible para limitar las intrusiones por medio de consentimiento ilícito? ¿Está usted vigilando qué información sensible está en su oficina y debe ser protegida?
Si respondió que "no" a alguna de estas preguntas, tómese el tiempo de revisar sus políticas y aplicaciones para ver si puede controlar mejor su red.
Windows 10 S sienta las bases para restringir aplicaciones
Hace unos años Microsoft desarrolló una nueva plataforma llamada Windows 10 S que tenía el potencial de simplificar el application whitelisting. Creada como una alternativa a los Chromebooks, el concepto de la plataforma era permitir que solo se instalaran aplicaciones revisadas. Puede que haya visto consejos en línea en contra de usar el modo Windows 10 S y de salir de él, pero estos no reflejan la visión del modo Windows 10 S: es una plataforma para empezar a hacer que las restricciones de las aplicaciones sean la norma y no la excepción.
Cuando Windows 7 fue lanzado por primera vez, la configuración del Control de Cuentas de Usuario (UAC) fue ridiculizada por ser demasiado agresiva. Muchos administradores de TI lo desactivaron para que sus aplicaciones funcionaran. La configuración no era para molestar a los administradores de TI, más bien era un paso para que los proveedores de aplicaciones dejaran de exigir derechos de administrador.
El modo Windows 10 S es similar, pero será un viaje mucho más largo que puede tomar algunos giros y vueltas en el proceso. La plataforma es más limitada. Como la plataforma iOS, todas las aplicaciones solo pueden ser instaladas a través de la tienda de Microsoft después de pasar por un proceso de investigación. Solo se permiten cuentas de Microsoft o de dominio en la plataforma.
El viaje ya ha sido accidentado. Microsoft ha anunciado que el modo Windows 10 S será eliminado y los proveedores ya no enviarán unidades usando esta plataforma. En el futuro, los proveedores pueden enviar Windows 10 en "modo S". Pueden sacar las máquinas del modo S, pero no pueden trasladarlas nuevamente a esta versión restringida.
La mayoría de los usuarios consideran que Windows 10 S es demasiado restrictivo, pero el concepto del sistema operativo es sólido: instalar solo las aplicaciones necesarias. Incluso puede usar Intune para establecer las políticas de AppLocker, y luego especificar qué aplicaciones se ejecutarán en su red.
El software no utilizado es un punto de entrada para los atacantes
El blogger de seguridad John Opdenakker recientemente advirtió que hay que tener en cuenta que cuando se deja atrás el software en una computadora, se expone al sistema a un riesgo de ataque. En cualquier red y en cualquier configuración de computadora, él recomienda tomar estas medidas:
Revise su computadora y su red para ver si hay cuentas de usuario que ya no usa. Compruebe la última hora de inicio de sesión de todas las cuentas, y asegúrese de que estén activas y en uso. Puede utilizar cuantos métodos quiera para obtener esta información, pero uno de los más exitosos es PowerShell. Si alguna cuenta no ha sido ingresada recientemente, es hora de deshabilitarla y eliminarla de su red.
Revise su computadora y su red para ver si hay software que ya no usa, especialmente si la empresa está en una industria que está en el punto de mira. El software no monitoreado puede ser un punto de entrada, ya que a menudo deja atrás software sin parches. Puede investigar cual está instalado con el software de parcheo o con los scripts de PowerShell para inventariar el software instalado.
Revise las aplicaciones instaladas en sus dispositivos móviles y qué dispositivos compatibles desea seguir admitiendo en su red, especialmente después de la instalación de las principales versiones nuevas de software. A menudo se encuentra que los usuarios están contentos con los teléfonos antiguos, y no se dan cuenta de que esto les impide soportar nuevas tecnologías seguras. Por ejemplo, en mi oficina, cuando implementamos la autenticación de dos factores, tuvimos que actualizar varios iPhones, ya que no eran compatibles con la aplicación de autenticación de Microsoft. He tenido software desactualizado en mi iPhone que no me di cuenta que estaba instalado. Android tiene los mismos riesgos. Estos dispositivos móviles también son las herramientas que se utilizan para la autenticación de terceros, así que revíselos para ver si hay aplicaciones que ya no deberían estar instaladas en ellos.
Revise su aplicación instalada y los servicios en la nube que tienen acceso a otras aplicaciones. En el caso de Office/Microsoft 365, asegúrese de que ha habilitado la aprobación del administrador y el consentimiento del usuario para las aplicaciones de terceros. Estos ataques de phishing con consentimiento han aumentado durante la pandemia y permiten al atacante acceder a su correo, reglas de reenvío, archivos, contactos, notas, perfil y otros datos y recursos sensibles. Se debe realizar una auditoría de las concesiones de consentimiento ilícito siguiendo los siguientes pasos:
- Abrir el Centro de Seguridad y Cumplimiento.
- Navegue hasta "Buscar" y seleccione "Búsqueda de registro de auditoría".
- Busque (todas las actividades y todos los usuarios) e introduzca la fecha de inicio y de fin si es necesario, y luego seleccione "Buscar".
- Haga clic en "Filtrar resultados" e introduzca "consentimiento para la aplicación" en el campo "Actividad".
- Haga clic en el resultado para ver los detalles de la actividad. Haga clic en "Más información" para obtener los detalles de la actividad. Compruebe si IsAdminContent está configurado como "True".
Revise si hay archivos o documentos que contengan información confidencial y asegúrese de que no se envíen fuera de su organización o donde usted no quiera que estén. Con Microsoft 365 necesitará una licencia de Office 365 Enterprise E3 o Office 365 Enterprise E5 para aplicar etiquetas de sensibilidad.
Basado en el artículo de Susan Bradley (CSO) y editado por CIO Perú