La realidad tiene una forma de afirmarse, independientemente de las elecciones personales o comerciales que hagamos, buenas o malas. Por ejemplo, recientemente, los servicios de la ciudad de Amberes en Bélgica fueron víctimas de un ciberataque altamente perturbador.
Como de costumbre, todos gritaron «juego sucio» y sugirieron que deberían haberse implementado las medidas adecuadas de ciberseguridad. Y de nuevo, como siempre, todo sucede un poco tarde. No hubo nada especial o único en el ataque, y tampoco fue el último de su tipo.
Entonces, ¿por qué nosotros, en TI, seguimos silbando alegremente al viento y avanzando como si nada hubiera pasado? ¿Es realmente tan bueno el plan de recuperación ante desastres de todos? ¿Todas las medidas de seguridad están implementadas y probadas?
Hagamos un resumen rápido (de lo que debería estar haciendo)
Primero, cubra los conceptos básicos. Realice una capacitación de usuario adecuada que incluya todo lo habitual: higiene de contraseñas, restricciones para compartir cuentas e instrucciones claras para no abrir correos electrónicos no confiables o acceder a sitios web sin escrúpulos. Es un hecho inconveniente que las acciones humanas sigan siendo el eslabón más débil de la ciberdefensa, pero es un hecho.
Pensando en el lado de la infraestructura, considere la auditoría de activos adecuada, porque no puede proteger lo que no sabe que existe. Como siguiente paso, implemente la segmentación de la red para separar todo el tráfico en las divisiones más pequeñas posibles.
En pocas palabras, si un servidor no necesita ver o hablar con otro servidor, entonces ese servidor no debe estar conectado a la misma VLAN, sin excepciones. El acceso remoto debe pasar del acceso VPN tradicional a alternativas de redes de confianza cero.
Todo debe estar encriptado, incluso si la comunicación es solo interna. Nunca se sabe lo que ya se ha violado, por lo que alguien puede espiar donde menos se lo espera.
Finalmente, no permita que los usuarios conecten dispositivos aleatoriamente a su red. Bloquee puertos y restrinja el acceso Wi-Fi a dispositivos conocidos. Los usuarios se quejarán, pero eso es solo parte de la compensación. De cualquier manera, las excepciones deben mantenerse al mínimo.
Parchear sus servidores realmente importa
Pasando a los servidores, el consejo clave es mantener todo actualizado mediante parches. Eso es cierto para los servidores públicos expuestos, como los servidores web, pero es igualmente cierto para el servidor de impresión escondido en el armario.
Un servidor sin parches es un servidor vulnerable y solo se necesita un servidor vulnerable para derribar la fortaleza. Si la aplicación de parches es demasiado disruptiva para realizarla a diario, busque métodos alternativos, como la aplicación de parches en vivo, y utilícelos en todos los lugares que pueda.
Los piratas informáticos son personas astutas y no necesitan que les facilites las cosas, así que tapa tantos agujeros como puedas, lo más rápido posible. Gracias a los parches en vivo, no tiene que preocuparse por priorizar las vulnerabilidades para parchear, porque puede parchearlas todas. No hay inconveniente.
Adopte un enfoque proactivo
Si un servidor ya no tiene una razón para existir, desactívelo o destruya la instancia. Ya sea un contenedor, una VM, una instancia o un nodo, debe actuar lo antes posible. Si no lo hace, terminará olvidándose de él hasta que se rompa. En ese momento, es demasiado tarde.
Por lo tanto, debe mantener un enfoque proactivo. Manténgase al día con las últimas amenazas y noticias de seguridad. Si bien algunas vulnerabilidades tienen una parte desproporcionada de atención debido a que son vulnerabilidades «nombradas», a veces es una de las innumerables vulnerabilidades «regulares» la que golpea más fuerte. Puede utilizar una herramienta de gestión de vulnerabilidades para ayudar con esto.
Ponga en marcha un plan de recuperación de desastres. Comience con la premisa simple de «¿qué pasa si nos despertamos mañana y ninguna de nuestras TI funcionó?»
Responda estas preguntas: ¿Qué tan rápido puedo poner en funcionamiento los servicios de barebone? ¿Cuánto tiempo se tarda en restaurar toda la copia de seguridad de datos? ¿Estamos probando las copias de seguridad con regularidad? ¿Está debidamente documentado el proceso de implementación de los servicios… incluso si se trata de una copia impresa de los scripts de ansible? ¿Cuáles son las implicaciones legales de perder nuestros sistemas, datos o infraestructura durante varias semanas?
Lo más importante: actúe ahora, no se demore
Si tiene dificultades con alguna de las respuestas a las preguntas anteriores, significa que tiene trabajo que hacer, y eso no es algo que deba retrasar.
Como organización, desea evitar llegar a una posición en la que sus sistemas no funcionen, sus clientes vayan al sitio web de su competidor y su jefe exija respuestas, mientras que todo lo que tiene para ofrecer es una mirada en blanco y una mirada asustada en su rostro.
Dicho esto, no es una batalla perdida. Todas las preguntas que planteamos se pueden responder, y las prácticas descritas anteriormente, aunque solo rascan la superficie de todo lo que se debe hacer, son un buen punto de partida.
Si aún no lo ha investigado… bueno, el mejor punto de partida es ahora mismo, antes de que ocurra un incidente.
Este artículo está escrito y patrocinado por TuxCareel líder de la industria en grado empresarial automatización de linux. TuxCare ofrece niveles inigualables de eficiencia para desarrolladores, administradores de seguridad de TI y Administradores de servidores Linux buscando mejorar y simplificar de manera asequible sus operaciones de ciberseguridad. Parches de seguridad en vivo del kernel de Linux de TuxCare, y estándares y servicios de apoyo mejorados ayudar a asegurar y respaldar más de un millón de cargas de trabajo de producción.