Medidas de ataque al diccionario

Los atacantes suelen atacar los sistemas más antiguos porque su presencia implica un alto nivel de confianza o interacción con aplicaciones internas, lo que puede ser el motivo para conservarlos. Por esta razón teórica, si se detecta una vulnerabilidad, los sistemas más antiguos llamarán la atención de los atacantes y, naturalmente, se convertirán en objetivos para una mayor exploración. Al proteger sistemas heredados, debe considerar dónde encajan en el entorno general. Al prestar atención al diseño y la configuración de toda la red, puede crear puntos lógicos dentro de ella para minimizar la cantidad de tráfico malicioso que llega a los primeros sistemas. Estas medidas se suman a las mejoras específicas del sistema que se describirán en capítulos posteriores. Normalmente, una red perimetral se refiere a un segmento de red separado donde se encuentran la red corporativa e Internet. Los servicios y servidores que deben interactuar con Internet desprotegida están ubicados en redes perimetrales, también conocidas como DMZ, zonas desmilitarizadas de red y subredes protegidas. Por lo tanto, si un atacante puede aprovechar una vulnerabilidad en un servicio público, podrá obtener acceso a una red interna confiable en un solo paso. Una forma de proteger de forma más sólida toda la red es tratar los sistemas más antiguos de forma similar a las redes perimetrales, es decir, colocando los sistemas más antiguos en su propio segmento de red y aislándolos de otros hosts de la red. Este enfoque tiene dos ventajas: reduce el riesgo de que un sistema temprano comprometido afecte al resto de la red y permite un filtrado y bloqueo más estricto del tráfico de red hacia y desde las computadoras tempranas. Nota: Microsoft recomienda no poner Microsoft? 0?3 Windows NT? 0?3 4.0 o Microsoft Windows? Los sistemas 0 a 3 98 están expuestos directamente a Internet, o incluso colocándolos en una red perimetral. El uso de estos sistemas debe restringirse a su red interna. Precauciones de ciberseguridad Debe proteger los sistemas heredados de su entorno del mismo modo que protege su perímetro. Reforzar y proteger su red requiere sopesar las necesidades comerciales, las restricciones presupuestarias y las siguientes consideraciones de seguridad, que se detallan en secciones posteriores: defensa en profundidad, controles perimetrales, amenazas bidireccionales, servicios dispares, aislamiento, planificación y respuesta a incidentes, respaldo. Sincronización Auditoría y seguimiento sincronizados y visibilidad oportuna de la defensa en profundidad. Para proteger los sistemas informáticos de las amenazas actuales, los administradores de TI deberían considerar adoptar una estrategia de defensa en profundidad. Una estrategia de defensa en profundidad se centra en eliminar factores que aumentan el riesgo y agregar controles para reducirlo. No importa qué tan buenos sean su software, hardware, procesos y personas, un atacante decidido probablemente encontrará una manera de atravesar una única capa de protección. Un modelo de seguridad de defensa en profundidad protege los activos críticos mediante el uso de múltiples capas de protecciones de seguridad en todo su entorno para defenderse contra intrusiones y amenazas a la seguridad. Un enfoque de múltiples capas para garantizar la seguridad del sistema aumenta el esfuerzo requerido por un atacante para penetrar un sistema de información, reduciendo así el nivel general de riesgo y la probabilidad de daño. Un enfoque de defensa en profundidad se basa no sólo en fuertes defensas perimetrales o servidores reforzados, sino en una combinación de varios métodos de defensa diferentes para contrarrestar posibles amenazas. La defensa en profundidad no reduce los requisitos de otras medidas de seguridad, sino que crea una capacidad de defensa integral en todos los componentes. Crear capas de seguridad superpuestas tiene dos ventajas principales: hace que sea más difícil para los atacantes tener éxito. Cuantas más capas tenga, más difícil será para un atacante penetrar con éxito y más probabilidades tendrá de detectar un ataque en curso. Puede ayudarle a mitigar el impacto de nuevas vulnerabilidades en sus dispositivos. Cada capa protege contra diferentes tipos de ataques o proporciona el mismo rango de defensa sin las mismas debilidades que otras capas. Como resultado, muchos ataques nuevos pueden bloquear transacciones relacionadas a través de defensas que aún no están en uso, lo que le da tiempo para abordar fallas importantes. Sus procesos de negocio deben adaptarse a los cambios en la defensa multicapa (si no permiten una defensa multicapa). Segmentación de la red El propósito de una red perimetral es crear una línea límite que permita separar la comunicación entre la red interna y la red externa. Con este límite establecido, puede clasificar, aislar y controlar el tráfico de la red. En condiciones ideales, una red perimetral teórica no transporta tráfico al sistema central, sino que sólo permite el tráfico mínimo absoluto necesario para la interacción deseada. Cada transacción que cruza el perímetro agrega una vulnerabilidad potencial a las defensas y brinda a los atacantes un método disponible para lograr el control. Cada nuevo servicio habilitado aumenta la superficie de amenazas y aumenta el conjunto de códigos que pueden crear vulnerabilidades y portales.

Las políticas de seguridad tradicionales requieren definir los límites entre los hosts de la red que se comunican directamente con Internet y los hosts que no lo hacen. Sin embargo, puede mejorar la seguridad tratando el sistema heredado como parte del perímetro y controlando estrictamente las comunicaciones internas entre la red "normal" y el segmento que contiene el sistema heredado. Colocar el sistema heredado en su propio segmento de red tiene dos beneficios importantes: le permite tratar el sistema heredado del mismo modo que las computadoras en la red perimetral. Debido a que las versiones anteriores de Windows no contienen todas las características y capacidades de seguridad de las versiones posteriores, son más amenazantes que las versiones posteriores del sistema y requieren las medidas de protección correspondientes. Los sistemas más antiguos se pueden controlar mejor. Al colocar estos sistemas dentro de su propio perímetro, se pueden desacoplar de los controles del perímetro de la red (como los firewalls), lo que permite monitorear y controlar cuidadosamente las comunicaciones que viajan entre diferentes redes. Amenazas bidireccionales Muchos ataques tienen éxito porque inducen a los sistemas objetivo a establecer contacto fuera del perímetro. Esto hace posible establecer contacto con un sistema malicioso para que pueda regresar al sistema de destino. Otros escenarios comunes incluyen gusanos y virus; el malware que se infiltra con éxito en un sistema comienza a propagarse de un sistema a otro, explotando las relaciones de confianza para interferir con los sistemas externos en un intento de propagarse más. Del mismo modo, estos sistemas también pueden conectarse a sistemas maliciosos, proporcionando una vía para futuras actividades. El límite no sólo debe restringir el tráfico que entra al sistema protegido, sino también el tráfico que sale del sistema protegido. Este diseño dificulta el uso del servidor cuando el entorno está comprometido. Pero también dificulta el trabajo del atacante porque no puede permitir que su sistema viole sus propias capas de protección. Aislamiento de servicios diferentes Para mejorar el rendimiento, a menudo intentamos instalar varios servicios en una sola computadora para garantizar la utilización completa del costoso hardware. Sin embargo, hacerlo de forma indiscriminada hará que sea más difícil proteger adecuadamente su sistema. Analice cuidadosamente los servicios y las comunicaciones alojados y generados por sus sistemas y asegúrese de que sus medidas de límites sean suficientes para limitar las comunicaciones a la combinación requerida de servicios y sistemas remotos. Lo contrario también es cierto: agrupar sistemas y servicios similares y segmentar cuidadosamente la red puede facilitar la adopción de medidas de protección. Planificación y respuesta a incidentes Para una planificación e implementación de seguridad efectiva, debe preguntarse: "¿Qué pasará si esta medida falla?". Es importante comprender las consecuencias de errores, accidentes y otros acontecimientos imprevistos. Comprender esto le permitirá diseñar defensas para mitigar esos resultados, garantizando que un incidente no provoque una reacción en cadena de eventos que conducirían a una utilización temprana del sistema. Por ejemplo, cada organización debería tener un plan predeterminado para introducir contramedidas durante un brote de virus o gusanos, así como un plan para introducir contramedidas cuando se sospeche de un compromiso. En la mayoría de las organizaciones, el equipo de respuesta a incidentes debe incluir personal de TI, departamentos legales y gestión empresarial; todas estas partes interesadas participan en una respuesta coherente a una violación de seguridad; El kit de herramientas de orientación de seguridad de Microsoft (disponible en /security/guidance) contiene información sobre cómo configurar y ejecutar su propio plan de respuesta a incidentes. Nota: Microsoft describe sus procesos y métodos internos de respuesta a incidentes en el documento técnico "Respuesta a incidentes: Gestión de la seguridad en Microsoft" (disponible en /technet/itsolutions

/msit/security/msirsec.mspx). Copia de seguridad Si un atacante logra entrar en su sistema, su éxito sólo será temporal si puede evitar que comprometa sus recursos y datos críticos. Un proceso de copia de seguridad y recuperación exitoso ayuda a garantizar que, incluso en el peor de los casos, todavía tenga los datos que necesita para reconstruir o recuperar. Sin embargo, asegurarse de que sus datos tengan una copia de seguridad es solo el primer paso. Debe poder reconstruir rápidamente cualquier sistema comprometido o afectado, y si necesita realizar un análisis forense en el hardware original (generalmente para registrar un reclamo de seguro o identificar métodos de ataque), es posible que desee tener hardware y software de repuesto a mano. así como un proceso de configuración probado. Las diversas pistas utilizadas por la sincronización horaria para determinar con precisión un ataque pueden estar dispersas en múltiples redes, especialmente redes periféricas. Sin alguna forma de comparar dichos datos, no es posible identificarlos y combinarlos con precisión.

Todos sus sistemas deben tener la misma hora para ayudar con este proceso. El comando net time permite que las estaciones de trabajo y los servidores sincronicen la hora con sus controladores de dominio. Las implementaciones de protocolo de tiempo de red (NTP) de terceros permiten que su servidor mantenga la hora sincronizada con otros sistemas operativos y hardware de red y proporcione una referencia de hora unificada dentro de la red. Auditoría y seguimiento No importa cuán fuertes sean las defensas de su sistema, debe auditarlas y monitorearlas periódicamente. Es importante comprender los estilos de comunicación comunes y las formas de ataques y respuestas. Si comprende esto, conocerá algunos de los síntomas cuando ocurre un evento negativo, porque el ritmo de comunicación de la red cambiará. El aspecto principal de la auditoría y el seguimiento es la autenticación. Una serie repentina de intentos fallidos de autenticación suele ser la única advertencia de que su sistema es vulnerable a un poderoso ataque de diccionario. Los poderosos ataques de diccionario utilizan palabras conocidas o cadenas alfanuméricas para descifrar contraseñas simples. Del mismo modo, los éxitos de autenticación inusuales pueden indicar que su sistema se ha visto comprometido al menos hasta cierto punto, y que el atacante intenta progresar desde la explotación inicial hasta acceder a todo el sistema. En muchos casos, la recopilación y el archivado periódicos de registros de eventos, combinados con análisis automatizados y manuales, pueden distinguir diferencias significativas entre intentos de penetración fallidos y exitosos. Herramientas automatizadas como Microsoft Operations Manager (MOM) facilitan el seguimiento y análisis de la información de registro. No podrá mantenerse al tanto de todo, pero podrá permanecer alerta a los tipos de amenazas que otros administradores estén detectando. Existen varios buenos recursos de seguridad que brindan las últimas noticias sobre amenazas y problemas de seguridad actuales. Estos recursos se enumeran en la sección "Más información" al final de este capítulo.