jueves, julio 02, 2015

10 trucos para mantener en alerta al personal de tu empresa contra ataques

El factor humano, los errores de nivel 7 o el PBCK son algunos de los apelativos que se suelen dar a esa pieza de los sistemas informáticos que siempre es susceptible de ser un punto de fallo en la seguridad de una empresa. Mantenerlos alerta es algo fundamental para que sean capaces de reconocer un ataque informático o para que tomen constantemente las medidas de seguridad que los responsables dictan para el buen funcionamiento de la empresa. El tener un plan que ayude a que las personas de una organización estén siempre alerta y con las defensas activadas es una buena opción.

Figura 1: 10 Trucos para mantener alerta al personal de tu empresa contra ataques

Sobre este tema hablé el otro día con un compañero, y aquí van algunas de las cosas que se pueden hacer para conseguir tener a la gente siempre dispuesta. Algunos son más fáciles que implantar que otros, pero tal vez alguna idea te venga bien para ello.

1.- La comunicación constante

Es importante que las personas conozcan los ataques que están sufriendo otras compañías y los de la compañía propiamente. Es importante que sepan lo que sucede día a día en el mundo de la ciberseguridad. Tal vez los que estamos trabajando día a día con este mundo nos los sabemos todos, pero es importante que ellos sepan qué ha pasado y cómo ha sucedido para que tomen conciencia del mundo en el que nos encontramos. En las empresas no solo vemos casos de APT, sino también de Ransomware, Defacements o robo de información que acaba publicada en la red. Un boletín de noticias semanal fácil de leer y muy dirigido a personal no técnico puede ser de gran utilidad.

2.- El ataque vía Spear Phshing constante

En los últimos ataques dirigidos hemos visto como los primeros pasos de una intrusión se han basado en técnicas tan sencillas como enviar un Spear Phishing a empleados de la compañía para robarles alguna credencial interna de aplicaciones de gestión de la empresa sin segundo factor de autenticación y poder controlar parte de los sistemas de la organización con ella.

Figura 2: Estadísticas de acciones en una campaña de Spear Phising en una empresa

Hacer una ataque constante de Spear Phishing a empleados para comprobar su nivel de concienciación ante estos ataques permite tomar métricas de cuánto tiempo tardarías en detectar uno de los ataques de APT con el personal de la compañía que cuentas.

3.- Política de mesas limpias

El aplicar un política de mesas limpias, es decir, sin papeles en ningún sitio, puede ayudar a evitar fugas de información por pérdida o robo de documentos. Esto es fácil de aplicar si cuentas con la inestimable ayuda del equipo de limpieza de la compañía y les premias por tirar todo a la basura. Los primeros días seguro que algún compañero se queja, pero después todo el mundo lo asume y habrás cerrado un riesgo del tirón. Esto debe realizarse también con dispositivos electrónicos y de almacenamiento, pero en este caso con reporte al equipo de seguridad.

4.- Monitorización aleatoria de cumplimiento de medidas

Igual que en los controles de los aeropuertos hay un registro aleatorio de pasajeros, esta misma política se puede aplicar a los equipos del personal. No es necesario hacer un proyecto de análisis forense completo del equipo y los dispositivos del empleado, pero sí a dedicar unos minutos a repasar la configuración del equipo, del dispositivo móvil, ver si está siguiendo las políticas de la compañía en el uso de pendrives, conexiones a redes WiFi en tránsito, cifrado de dispositivos, etcétera. Esto debe aprovecharse también como un momento de formación con la persona para que entienda mucho mejor cómo protegerse. 

5.- El ataque "David Hasselhoff" al equipo de escritorio y al móvil

Dese los años en Informática 64 se ha transmitido a los nuevos empleados la necesidad de cerrar las sesiones cuando alguien se aleja de su puesto de trabajo. En nuestro caso seguimos tirando del viejo Ataque "David Hasselhoff" que consiste en poner a David desnudo con sus perritos de fondo de pantalla, pero también hemos recibido los típicos emails de invitaciones a boda o similares. Este juego entre nosotros hace que la gente tenga mucho cuidado del cierre de sus sesiones en todo momento. Unos segundos de descuido pueden servir para que te roben las cuentas cacheadas o las cookies de las sesiones, así que hay que tomar conciencia del riesgo. En Eleven Paths tus propios compañeros de sitio pueden ser tus peores enemigos en un ataque David Hasselfhoff.

Figura 3: Ingenieros, diseñadores, QA, Product Managers o gente de IT en Eleven Paths que han pasado con éxito por el curso 101 de David Hasselhoff

El teléfono móvil hoy en día es un arma poderosa en la privacidad de las personas, tenerlo fortificado es fundamental y un empresa con una política de BYOD sin un plan de EMM (Enterprise Mobile Management) con políticas de seguridad tiene un montón de equipos conectados en sus redes que pueden acarrear serios riesgos de seguridad. Además de gestionar el dispositivo, hay que hacer a la gente que controle el acceso físico a los mismo. Retirar terminales "descuidados" temporalmente, configurar alertas a las 3 de la mañana a aquellos que no han quitado Siri, o robar cuentas usando los mensajes de previsualización, son algunas de las maldades - equivalentes al ataque David Hasselhoff - que algunos compañeros se hacen unos a otros.

6.- La prueba de los pendrives

De igual forma, conocer cómo se comportan los usuarios ante la aparición de pendrives nuevos en sus zonas de acción es más que interesante. Lo que deberían hacer los usuarios con cualquier aparición de un nuevo pendrive, disco duro o dispositivo sería reportarlo al equipo de seguridad, pero cabe la posibilidad de que se lo lleve a su casa o que lo intente conectar directamente a los equipos de la empresa. Monitorizar estos comportamiento te ayudará a saber el grado de concienciación que tienen los empleados. Saber en qué equipo ha acabado pinchado un pendrive se puede hacer remotamente si es un equipo corporativo, o poniendo un señuelo en forma de fichero en el mismo que llame a casa - como si fuera un ataque de doxing -.

7.- La actividad extraña en las cercanías

Muchas veces los ataques se pueden hacer desde las redes WiFi cercanas, o mediante el establecimiento de estaciones falsas GSM, pinchando una línea de teléfono, o manipulando los cuadros de control de las estaciones energéticas, de comunicaciones, etcétera. Probar cuanto tiempo tarda en llegar una alerta al equipo de seguridad después de poner a gente haciendo cosas "extrañas" en las cercanías - o directamente dentro - de tus instalaciones, puede ser una métrica que se ayude a saber en qué cosas debes formar a tus equipos para detectar lo antes posible este tipo de ataques.

8.- El pentesting persistente

Nuestra visión, como ya sabéis, es que los procesos de pentesting de una compañía deben ser constantes. 365 días al año. Esto nos permite que, nada más poner en producción algo, los nuevos despliegues y configuraciones estén sometidos al pentesting. Con la aplicación de estas medidas logramos que los desarrolladores y administradores tengan más cuidado en el tipo de acciones que toman, ya que si por pereza o descuido se dejan algo mal saben que van a ser detectados al poco por el sistema de pentesting persistente.

Figura 4: Consola de monitorización de Faast

Esto a nosotros nos ha ayudado a que cada vez los técnicos sean más cuidadosos a la hora de publicar cosas al exterior.

9.-  Resistencia frente a ataques de ingeniería social

La ingeniería social es un arte para hacer que las personas, con el afán de ayudar, se salten las políticas de seguridad. Compañeros como Claudio Caracciolo son un autentico maestro en conseguir que la gente siempre confíe en su magnifica y confiable sonrisa bonachona para lograr que los empleados de las empresas se salten las políticas de seguridad.  Un test periódico con diferentes tipos de perfiles te permitirá saber cuánta gente se salta esa política y, con el afán de ayudar, es capaz de pinchar cualquier cosa en su sistema informático para solucionar un problema a un extraño.

10.- Formación continua

No hay nada como formar constantemente al personal de la empresa en seguridad informática. Que conozcan cómo defenderse, como manejar las herramientas que el equipo de seguridad pone a su disposición, que conozcan los procedimientos que deben seguir ante cualquier situación anómala, que se sepan de memoria las principales directrices de la política de seguridad. Hay que invertir tiempo en formar, informar y hacer campañas de incentivo en su aplicación.

Son solo algunas ideas, pero si las aplicas constantemente te permitirá tener una compañía con personas más preparadas para detectar los ataques y ser menos vulnerables. Realizar este tipo de pruebas - u otras similares - de manera constante te ayudará a tener métricas que podrás unir a las de la seguridad de tus sistemas y a elegir más eficientemente qué medidas debes aplicar en tus sistemas. Te van a atacar - si no lo han hecho ya - así que es mejor que mejor que cuentes con los mejores soldados en tus filas.

Saludos Malignos!

6 comentarios:

  1. Muy buen post !!

    Por otro lado, ya han empezado las rebajas...este año no hay algun cupon descuento para la serie 0xword? Queremos leer este verano !! xddd

    Un saludo, crack !!

    ResponderEliminar
  2. Lo de las mesas limpias. ¿No hay otro método que sea un poco más intrusivo? Eso es un imposible, además que va en contra la productividad. Ya no sólo de administrativos, también de técnicos y la verdad, es que el papel, planos etc es algo de lo que no se puede prescindir hoy en día.

    ResponderEliminar
  3. Para Anónimo:
    A mi que no me quiten mi libreta para trabajar pero la dejo en la cajonera cerrada con llave.
    Mesas limpias no significa in papel ;)

    ResponderEliminar
  4. Os paso un enlace de un kit de concienciación gratuito para implantar en empresas que "toca" prácticamente todos estos puntos y ayuda justamente a concienciar a los empleados en ciberseguridad:

    https://www.incibe.es/empresas/Kit_de_concienciacion/

    ResponderEliminar
  5. Y gracias Anónimo por el enlace de incibe. Está muy bien

    ResponderEliminar