Hola a todos,
Se que no voy a ser el más apropiado para identificar, explicar y sugerir las mejores prácticas a nivel técnico IT, más que nada por que no soy especialista en seguridad y hay profesionales muchísimo más capacitados que yo para realizar esa tarea de evaluación e identificación.
Este texto, quiero expresar mi experiencia al haber sido atacado/afectado por 3 veces por ataques tipos ransomware o «Usuario no cliques ahí!!» 😉
Cuando estaba como responsable del personal del departamento de sistemas en un proyecto de gran envergadura, con unos 5000 Usuarios, 8000 puestos de trabajo, te das cuenta de varias acciones que he ido leyendo durante el día de ayer por diferentes medios, y me venía a la cabeza lo equivocados que estaban, desde mi punto de vista.
- Actualizar los puestos clientes: Aunque para un administrador de IT que lleva 15 equipos, podría haber actualizado los equipos el mismo día 05/05 en donde Microsoft publicada un boletín de seguridad MS70-010. Por mucho ZERO-DAY, los departamentos IT tienen o debería de tener ciertos procedimientos de actualización de equipos. En nuestro caso, teníamos grupos de equipos de los diferentes equipos de trabajo, para minimizar el impacto en caso de una actualización invalidase el puesto de trabajo.
Nuestros procedimiento de actualización era:- Equipos seleccionados del departamento IT: Para que rápidamente se pueda identificar algún mal-funcionamiento y poder solucionarlo de manera rápida de forma reactiva.
- 150 Equipos heterogéneos: Seleccionamos un grupo reducido de cada unidad de trabajo, y se actualizan, ya que cada equipo tenían Hardware periférico distinto y software distinto y podríamos dejar inutilizado una unidad completa y no se puede permitir.
- Equipos pares: Con 8000 equipos, se decidió realizar las actualizaciones según el nombre de máquina. Para esto, el departamento IT tiene que estar bien «sincronizado», y el personal de soporte onsite o técnicos de campo, tienen que informar al departamento de sistemas /gestión workspace, del nombre del equipo que instalan para realizar las tareas necesarias y proceder a que se finalice la instalación del equipo. (imagen base para todos y por SCCM según OU y grupos de trabajo, se acaba de finalizar la instalación del equipo).
- Equipos impares y VIPs: Los equipos imapares ya sabéis de donde vienen, y después, los VIP que aunque podrían pasar sin utilizar el equipo, ya que es personal que con acceso al correo ya tenían bastante por el rol que desempeñan, se les daba un trato aparte.
- Equipos perimetrales en soporte: Es importantísimo tener los equipos de seguridad actualizados y en soporte por parte del fabricante. En nuestro caso, nos dimos cuenta de un ataque de ransomware, por que comunicaba con un IP de China y fue bloqueada e informada al momento.
Pero lo más importante, y que me dejaron hacerlo en la última infección de ransomware, fue enviar un comunicado a todo el personal con una guía de identificación de correo malicioso.
Ya podemos tener la última tecnología de cualquier producto de seguridad, pero, tenemos que tener muy en cuenta, que la comunidad de hackers, siempre intenta estar un paso por delante de todos estos sistemas y por ellos, nos meten los goles que nos meten ;).
Espero y deseo que las organizaciones inviertan más capital en formación de prevención IT, que al fin y al cabo, si los usuarios son capaces de identificar un correo malicioso y tienen herramientas para reportarlo a departamento de seguridad, se podrá minimizar el impacto de este tipo de ataques, que al fin y al cabo, se basa en una acción de un usuario la que desencadena la infección.