Mejores prácticas contra el malware

Publicado el 08/04/2015, por Miguel Herrero (INCIBE)
Mejores prácticas contra el malware

El Departamento de Seguridad Nacional de los EE.UU. publicó en enero de este año un breve documento con las mejores prácticas contra el malware destructivo. Dejando de lado la importancia de la concienciación y la formación de los empleados, el documento se centra en aquellas prácticas que deberían implementarse tanto para prevenir detectar y contener la infección como para la respuesta a incidentes y la mejora de la recuperación una vez esta se ha producido.

¿Cuáles son estas mejores prácticas? A continuación te mostramos algunas de ellas que el departamento de informática de tu empresa (o la empresa que tengas subcontratada) debería de considerar dentro de tu red:

  1. Segrega la red de forma que un atacante que acceda, tenga restringido el acceso a otros segmentos de red.
  2. Protege los privilegios administrativos, especialmente para cuentas por defecto (como admin o root), previniendo su uso no autorizado.
  3. Lista de aplicaciones permitidas, para prevenir la ejecuciónn del código malicioso.
  4. Limita comunicación entre estaciones de trabajo para reducir los objetivos donde el malware puede propagarse y ocultarse.
  5. Seguridad perimetral robusta con cortafuegos perimetrales y de aplicación, proxies, sandboxes y filtrado dinámico.
  6. Monitoriza los equipos de la red de forma centralizada, habilita los logs en todos los equipos.
  7. Evita el Pass-the-hash para evitar el robo y reuso de credenciales.
  8. Herramientas antiexploit adecuada para el sistema operativo de tus equipos.
  9. Servicios de reputación de antivirus para tener conocimiento del malware tan antes de que las firmas de tu antivirus se actualicen.
  10. Despliega HIPS en todos tus equipos.
  11. Actualiza y parchea a tiempo tu software. Mejores prácticas para la respuesta a incidentes y la recuperación.
  12. Respaldo para los sistemas críticos mantenlo aparte para que el atacante no le afecte.
  13. Ten un plan de respuesta a incidentes con roles, responsabilidades y procedimientos.
  14. Escribe las lecciones aprendidas y realiza los cambios necesarios para que no se repita.

De estas, ¿cuántas cumple tu empresa? ¿Echas en falta alguna medida?

 

1 Segrega la red un atacante que acceda tenga restringido el acceso a otros segmentos de red. 2 Protege los privilegios administrativos, especialmente para cuentas por defecto (como admin o root), previniendo su uso no autorizado. 3 Lista de aplicaciones permitidas, para prevenir la ejecución del código malicioso. 4 Limita comunicación entre estaciones de trabajo para reducir los objetivos donde el malware puede propagarse y ocultarse. 5 Seguridad perimetral robusta con cortafuegos perimetrales y de aplicación, proxies, sandboxes y filtrado dinámico. 6 Monitoriza los equipos de la red de forma centralizada, habilita los logs en todos los equipos. 7 Evita el Pass-the-hash para evitar el robo y reuso de credenciales.8 Herramientas antiexploit adecuada para el SO de tus equipos. 9 Servicios de reputación de antivirus para tener conocimiento del malware tan antes de que las firmas de tu antivirus se actualicen. 10 Despliega HIPS en todos tus equipos. 11 Actualiza y parchea a tiempo tu software. 	Mejores prácticas para la respuesta a incidentes y la recuperación. 12 Respaldo para los sistemas críticos mantenlo aparte para que el atacante no le afecte.13 Ten un plan de respuesta a incidentes con roles, responsabilidades y procedimientos. 14 Escribe las lecciones aprendidas y realiza los cambios necesarios para que no se repita.