Llegamos a ustedes gracias a:



Reportajes y análisis

Cómo configurar Microsoft Defender para los ataques basados en la nube

[12/01/2022] Los atacantes utilizan ahora plataformas y métodos más "interesantes" para acceder a nuestras redes, especialmente con las plataformas en la nube. OneDrive, OneNote, SharePoint y Sharefile pueden /alojar archivos maliciosos, y Google y Amazon Web Services (AWS) también. Repositorios como GitHub han sido utilizados recientemente para lanzar ataques de ransomware.

Sitios como estos atraen a los atacantes porque confiamos en ellos y tendemos a ser menos paranoicos sobre los enlaces que ofrecen. Hasta hace poco, se tardaba mucho en eliminar los archivos maliciosos de estas ubicaciones. En las últimas semanas, Microsoft ha eliminado las ubicaciones de Office 365 de los 15 principales sitios de malware, como se indica en URLHaus.

¿Puede bloquear estos lugares sin causarle problemas a las necesidades de la empresa? Algunos empleados no deberían tener necesidad de ir a ciertos sitios, pero otros sí. Dependiendo de su organización, es posible que quiera configurar sus protecciones de navegación de tal manera que solo se permita la navegación de sitios web específicos necesarios para el negocio. Otros pueden necesitar configurar un enfoque matizado a través del cual solo algunos usuarios tengan acceso completo a las ubicaciones de Internet y otros estén más restringidos.

Los administradores de red no pueden bloquear ciegamente las ubicaciones de Microsoft 365, Google o AWS, ya que las empresas dependen de ellas, pero deben asegurarse de que no haya exclusiones o excepciones en sus plataformas antivirus, o en sus soluciones de firewall/gestión unificada de amenazas que disminuyan la capacidad de proteger su red.

Configurar alertas para el antivirus desactivado

Los atacantes suelen intentar desactivar el antivirus para evitar su detección. Si una cuenta de administrador local está comprometida o el atacante ha utilizado vulnerabilidades para obtener acceso a su red, entonces pueden desactivar Defender silenciosamente. Debería revisar sus configuraciones para determinar si recibiría una alerta, si es que la protección antivirus estuviera desactivada.

Una de las mejores formas de hacerlo es desactivar la fusión del administrador local y activar la Protección contra Manipulaciones en Windows Security. La configuración de la política de fusión en Microsoft Defender está disponible en Defender for Endpoint versión 100.67.60 o superior. Puede establecer una combinación de exclusiones definidas por el administrador y por el usuario (fusión) o solo exclusiones definidas por el administrador (admin_only) para evitar que los usuarios locales definan sus propias exclusiones.

En la Directiva de Grupo, siga los pasos de la ruta de la directiva de:

  1. Configuración del equipo
  2. Plantillas administrativas
  3. Componentes de Windows
  4. Antivirus Windows Defender (en plataformas o servidores antiguos) o antivirus Microsoft Defender
Configuración de la Directiva de Grupo para evitar la desactivación de Defender.
Microsoft Defender, configuracion, ataques, web, seguridad

Como señala Microsoft en la pantalla:

"Esta configuración de directiva controla si las configuraciones de listas complejas definidas por un administrador local se fusionan o no con las configuraciones de la Directiva de Grupo. Esta configuración se aplica a listas como las de amenazas y exclusiones. Si no habilita esta configuración, los elementos únicos definidos en la Directiva de Grupo y en la configuración de preferencias definida por el administrador local se fusionarán en la política efectiva resultante. En caso de conflicto, la configuración de la Directiva de Grupo anulará la configuración de preferencias. Si desactiva esta configuración, solo se utilizarán los elementos definidos por la Directiva de Grupo en la política efectiva resultante. La configuración de la Directiva de Grupo anulará la configuración de las preferencias configuradas por el administrador local".

Si utiliza Intune o la configuración del Registro, introduzca

HKLM\Software\Policies\Microsoft\Windows Defender!DisableLocalAdminMerge

En el caso de las estaciones de trabajo y los servidores que utilizan Microsoft Defender como antivirus, proteja la configuración de seguridad asegurándose de que ha activado la Protección contra Manipulaciones. Lo protegerá de programas maliciosos desactivando la protección contra virus y amenazas, la protección en tiempo real, la supervisión del comportamiento, el antivirus (como IOfficeAntivirus (IOAV)), la protección suministrada por la nube y eliminando las actualizaciones de inteligencia de seguridad. La Protección contra Manipulaciones bloquea el antivirus Defender en sus valores seguros y predeterminados, e impide que se cambie la configuración de seguridad. La Protección contra Manipulaciones, que antes era solo una oferta de E5, ahora viene por defecto en Windows 10.

Exclusiones de la Directiva de Grupo para los análisis de antivirus

Otro elemento que hay que revisar son las exclusiones de la Directiva de Grupo para los análisis de antivirus. Si ha configurado estos valores hace años y nunca los ha revisado, puede estar excluyendo del análisis carpetas que no deberían estar excluidas. Los atacantes pueden revisar las claves del registro y la configuración de la Directiva de Grupo durante el reconocimiento para saber de antemano qué ubicaciones están excluidas de los análisis y, por lo tanto, preparar sus scripts y secuencias de ataque en estas ubicaciones "seguras". Realice siempre revisiones periódicas de estas ubicaciones de carpetas para asegurarse de que no se han añadido nuevos archivos. A menudo se trata de ubicaciones de instalación de bases de datos que pueden tener archivos de datos nuevos o en aumento, pero en las que no se deberían introducir nuevos archivos.

Conclusión: Es importante que sepa que los atacantes están utilizando ubicaciones en la nube para lanzar ataques. Empiece a investigar para poder proteger mejor su red.

Basado en el artículo de Susan Bradley (CSO) y editado por CIO Perú

Puede ver también: