WannaCry, el tema de la semana, la preocupación del año

El pasado 12 de mayo, en el Extreme Cloud Security Services Lab comenzamos a coordinar un plan de acción para hacer frente WannaCry, la amenaza global que se estaba desplegando.

Las informaciones brindadas por medios que no estaban especializados en el manejo de estas crisis, generaron cierta confusión, muchos no entendían que era un ataque netamente corporativo, y salieron a brindar consejos, sin entender o estudiar el vector.

El plan que elaboramos trató de ser simple, claro y de implementación rápida para que cualquier equipo que requiera repasar sus medidas de seguridad pudiese hacer frente a la amenaza.

Con el correr de la semana, identificamos una nueva amenaza, conocida como Adylkuzz, que utilizaba los mismos exploits que WannaCry (EternalBlue / Double Pulsar), por lo cual consideramos responsable comunicar de forma masiva, las medidas más adecuadas para hacer frente a estas amenazas.

Recomendaciones a tener en cuenta;

  • Coloque un firewall de tráfico SMB tanto dentro, como fuera de la red de su organización.
  • Filtre de forma contundente dispositivos BYOD o activos con parches (seguridad) que faltan al acceder a recursos de la red.
  • Restrinja la comunicación de la estación de trabajo a la estación de trabajo, sólo habilite a lo que es necesario.
  • Segmente las redes de modo que el compromiso de un punto final no dé automáticamente acceso a toda la red
  • Deshabilite las funciones heredadas innecesarias que son susceptibles de ser explotadas.
  • Aplique los parches de los proveedores de manera oportuna para reducir el número de vulnerabilidades explotables en el software instalado como parte de un programa de evaluación de la vulnerabilidad.
  • Limite el acceso a los datos importantes sólo a aquellos que están obligados a tenerlo. El acceso de lectura / escritura sólo debe concederse cuando exista un requisito de negocio explícito.
  • Deshabilite el puerto 445

Por Gabriel Zurdo – CEO de BTR Consulting