Phishing y Ransomware últimas tendencias de protección [Webinar] [Recursos]

Tal y como te prometimos, en este post vas a poder encontrar todos los recursos que hemos citado y/o que complementan nuestro webinario del día 15 de Diciembre de 2016.

Grabación del Webinario

Medidas de protección contra Phishing y Ransomware

Medidas de protección nivel 1

• Tener software legal
• Mantener el sistema operativo actualizado y con los últimos parches
• Mantener el antivirus y sus definiciones actualizados
• Mantener los navegadores y sus plugins actualizados
• Utilizar un Firewall en cada equipo
• Evitar utilizar el usuario administrador del equipo
• Mantener copias de seguridad periódicas de todos los datos importantes
• Software antispam
• Mostrar extensiones para tipos de fichero conocidos
  • Cómo mostrar extensiones en Windows y cuáles son peligrosas
  • http://www.puertosabiertos.com/es/extensiones-de-archivos-peligrosos-correo-electronico.htm

Medidas de protección nivel 2

Bloqueos y filtrados a nivel de servidores

• Definir listas de bloqueo de URL (navegación)
  • Easy Ways to Block Websites
  • https://www.timeatlas.com/block-website-access/
  • Diferentes maneras de bloquear sitios web
  • http://www.downloadsource.es/como-bloquear-sitios-web-en-los-navegadores-ie-chrome-o-firefox/n/6493/
• RBL (Real-Time BlackHole Lists) en servidor de correo
  • Documentación oficial de SpamAssassin
  • http://spamassassin.apache.org/doc.html
  • Usar SpamAssassin desde CPANEL
  • http://www.americandominios.com/conta/knowledgebase/339/Como-Usar-SpamAssasin-con-CPanel.html
  • Instalación, configuración y optimización de SpamAssassin
  • http://www.alcancelibre.org/staticpages/index.php/como-spamassassin
  • Listas negras de Spam, qué son y cómo funcionan
  • http://hostingdiario.com/listas-negras-de-spam-que-son-y-como-funcionan/
  • Formas de luchar contra Spear Phishing (entre ellas, RBL)
  • http://www.securityartwork.es/2016/10/31/evitando-anzuelos-luchar-los-ataques-spear-phishing-i/
  • SpamAssassin (Implementa RBL)
• Bloqueo de extensiones potencialmente peligrosas en email
  • Guía detallada de instalación de DansGuardian
  • http://dansguardian.org/downloads/detailedinstallation2-spanish.html
• Bloqueo de ficheros especiales
  • Protegidos por contraseña
  • https://technet.microsoft.com/en-us/library/jj919236(v=exchg.150).aspx

Puestos de trabajo

• Bloqueo de extensiones potencialmente peligrosas en cliente de correo
  • Cómo configurar Microsoft Outlook para bloquear extensiones de nombre de archivo
  • https://support.microsoft.com/es-ar/kb/837388
  • Lista de extensiones bloqueadas por defecto en Outlook
  • https://support.office.com/es-es/article/Datos-adjuntos-bloqueados-en-Outlook-3811cddc-17c3-4279-a30c-060ba0207372

• Bloqueo de ficheros especiales en cliente de correo, para ficheros comprimidos, cifrados, pueden utilizar el mismo link que les pasé antes de Microsoft Outlook
  • Cómo configurar Microsoft Outlook para bloquear extensiones de nombre de archivo
  • https://support.microsoft.com/es-ar/kb/837388
• Deshabilitar lenguajes de scripting fuera del navegador
  • http://blog.segu-info.com.ar/2016/03/como-evitar-infectarse-con-archivos-js.html
  • http://www.securityartwork.es/2016/06/24/evitando-la-ejecucion-js-prevenir-ransomware/
• Usar plugins del navegador web para bloquear javascript riesgoso
• Deshabilitar la ejecución de macros
  • Habilitar o deshabilitar macros en archivos de Office (2016)
  • https://support.office.com/es-ES/article/Habilitar-o-deshabilitar-macros-en-archivos-de-Office-12B036FD-D140-4E74-B45E-16FED1A7E5C6
• Creación de un buzón de correo sospechoso
• Usar plugins del navegador web de reputación del sitio web
  • Qué es WOT
  • https://es.wikipedia.org/wiki/WOT:_Web_of_Trust
• Usar plugins del cliente de correo o navegador para marcar Phishing o Suplantación de identidad

Acceso Remoto

• Evitar RDP
• Utilizar sólo VPNs
• Mantener actualizado el software VPN

Medidas de Protección Nivel 3

Evitando el engaño

• Cómo hacen para spoofear tu dirección de email
  • http://lifehacker.com/how-spammers-spoof-your-email-address-and-how-to-prote-1579478914
• SPF
  • SPF Qué es:
  • http://blog.segu-info.com.ar/2008/08/qu-es-el-spf-sender-policy-framework.html
  • SPF Guia:
  • http://codementia.blogspot.com.ar/2013/05/reglas-spf-para-validar-el-correo-lo.html
  • SPF Asistentes:
  • http://www.spfwizard.net/es/
  • SPF Documentación oficial:
  • http://www.openspf.org/
• DKIM
  • DKIM Qué es
  • https://returnpath.com/es/blog/como-explicar-dkim-en-espanol-claro-y-conciso/
  • DKIM Guia:
  • http://www.gettingemaildelivered.com/dkim-explained-how-to-set-up-and-use-domainkeys-identified-mail-effectively
  • DKIM Asistentes:
  • https://www.socketlabs.com/domainkey-dkim-generation-wizard/
  • https://luxsci.com/extranet/dkim.html
  • DKIM Documentación oficial:
  • http://www.dkim.org/index.html#docs
• DMARC
  • DMARC Qué es:
  • https://returnpath.com/es/blog/como-explicar-dmarc-en-espanol-claro-y-conciso/
  • DMARC Guía:
  • https://support.google.com/a/answer/2466563?hl=es
  • DMARC Asistentes:
  • En la página de recursos de la web oficial del estándard existen varios asistentes que te ayudarán a crear un registro DMARC. Por ejemplo este, este o este otro.
  • DMARC Documentación oficial:
  • https://dmarc.org/wiki/FAQ
• Chequeo de SPF y DMARC
  • https://tools.smartfense.com/es-ar/herramientas/spoofcheck/

EgoSearch

• Controlar los dominios similares al dominio de la organización
  • https://tools.smartfense.com/es-ar/herramientas/dnstwist/
• Controlar el grado de exposición de los emails del personal
  • https://tools.smartfense.com/es-ar/herramientas/harvester/

Backup

• Mantener los archivos centralizados
• Políticas de acceso estrictas
• Mantener las copias offline
  • Montar y desmontar una unidad extraíble automáticamente en Windows 7 con Mountvol [How To]
  • http://blog.smartfense.com/2016/12/montar-y-desmontar-unidad-extraible-automaticamente.html
• Sincronizar backups en la nube

Medidas de protección nivel 4

UTM: medidas de seguridad intercomunicadas

https://es.wikipedia.org/wiki/Unified_Threat_Management

• Antivirus perimetral y Endpoint
• Control de aplicaciones
• Filtro de contenido (incluso de tráfico SSL)
• Filtro Anti-spam
• Coordinación entre Firewalls y los Endpoints
• IDS/IPS
• Advanced Threat Protection (ATP)

 Mejorar la seguridad en Windows

• Prevenir la ejecución de archivos por políticas (GPO)
  • GPO en Windows
  • https://technet.microsoft.com/es-ar/library/hh147307(v=ws.10).aspx
  • Tutorial GPO’s
  • http://freyes.svetlian.com/GPOS/GPOS.htm
• Aplicaciones de Lista Blanca (white listing).
  • Guide to application Whitelisting
  • http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-167.pdf
  • How to create an Application Whitelist Policy in Windows
  • https://www.bleepingcomputer.com/tutorials/create-an-application-whitelist-policy-in-windows/
  • Software Restriction Policies (Windows)
  • https://technet.microsoft.com/en-us/library/hh831534.aspx
  • Qué es Applocker
  • https://msdn.microsoft.com/es-es/library/ee424367(v=ws.11).aspx
  • Introducción a Applocker y configuración
  • https://technet.microsoft.com/es-es/library/dd759113(v=ws.11).aspx
  • Activar EMET (Enhance Mitigation Experience Toolkit) https://support.microsoft.com/es-es/kb/2458544

Complementar a nuestro AV

• Productos anti-exploit-kits
  • https://es.malwarebytes.com/antiexploit/
• Herramientas de detección y bloqueo de ransomware
  • Anti Ransom 3.0.
  • http://www.security-projects.com/?Anti_Ransom
  • Latch ARW (aún no disponible).
  • https://www.elevenpaths.com/labstools/antiransomware/index.html
  • Crypto Drop (aún no disponible).
  • http://blog.segu-info.com.ar/2016/07/cryptodrop-herramienta-evitar-ransom.html

Usar un antivirus NextGen

• CPU-enforced isolation (microvirtualización):
  • Bromium
  • https://www.bromium.com/
• IA/Machine Learning AV:
  • Cylance
  • https://www.cylance.com/
  • Invincea
  • https://www.invincea.com/

Más allá de las medidas técnicas

¿Por qué eres el único responsable de la seguridad de la información? (Y cómo dejar de serlo)

http://blog.smartfense.com/2016/12/titulo-sigues-intentando-ser-el-unico.html

Awareness

Por qué no están haciendo más:

• ¿Por qué concientizar?
• https://tools.smartfense.com/es-ar/recursos/concientizacion/

Human Firewall Test:

• Simulación de Phishing
• https://tools.smartfense.com/es-ar/productos/phishing/

Hábitos destacados de programas exitosos:

• Plataforma integral de capacitación y concientización en SI:
• https://tools.smartfense.com/es-ar/productos/plataforma/

Y algunos conceptos más…

Programación segura de las aplicaciones

https://es.wikipedia.org/wiki/Cross-site_scripting

Sistema de Información

https://es.wikipedia.org/wiki/Sistema_de_informaci%C3%B3n

Sistema Informático

https://es.wikipedia.org/wiki/Sistema_inform%C3%A1tico

Nos infectamos con Ransomware… ¿y ahora?

Actuar rápido

• Desconectar las unidades de red
• Comprobar si el proceso dañino aún sigue ejecutándose
• Intentar detener el proceso
  • Autoruns Sysinternals
  • https://technet.microsoft.com/en-us/sysinternals/bb963902.aspx
  • Process Explorer Sysinternals
  • https://technet.microsoft.com/en-us/sysinternals/processexplorer.aspx

Establecer el estado de situación

• ¿Cómo se produjo la infección (adjunto en correo electrónico, etc.)
• ¿Qué mensaje de rescate se muestra al usuario?
• ¿La infección se encuentra en uno o en varios equipos?
• ¿Se han cifrado las unidades de red (si las hubiera mapeadas)?
• ¿Han llevado a cabo alguna medida para desinfectar el/los equipo/s afectado/s?

Valorar el escenario

• Nº 1: ¿Se dispone de backup completo?
• Nº 2: ¿Se dispone de Shadow Volume Copy?
  • https://en.wikipedia.org/wiki/Shadow_Copy
• Nº 3: ¿Se pueden recuperar los ficheros utilizando software forense?
• Nº 4: ¿Existe una herramienta que permite el descifrado?
  • Nomoreransom
  • https://www.nomoreransom.or/crypto-sheriff.php
  • IDRansomware
  • https://id-ransomware.malwarehunterteam.com
  • Herramientas de detección (con una muestra)
  • Herramientas de descifrado

No pagar por el rescate

• Porque estamos financiando la actividad
• Porque quedamos marcados
• Porque no tenemos certeza de recuperar los archivos
  • entre el 10% y 20% no los recuperan
  • Doxingware (amenazan con publicar información)
  • http://blog.segu-info.com.ar/2016/11/la-muni-de-san-francisco-infectada-por.html
  • http://www.redeszone.net/2015/11/03/el-ransomware-chimera-amenaza-con-publicar-datos-personales/?utm_source=related_posts&utm_medium=widget

¿Y qué pasa si no me queda otra alternativa?

• Ransomware: ¿Debes elegir si pagar o no un rescate? Te ayudo a decidirlo
• http://blog.smartfense.com/2016/12/ransomware-pagar-o-no-pagar.html
• En caso de que necesiten ayuda para descifrarlo o negociar el rescate
• http://www.asegurarte.com.ar/ransomware

Qué hacer luego

Denuncia

• Policía o seguro
• Organización afectada
• ODILA https://www.odila.org/
• APWG http://www.antiphishing.org/

Mis datos de contacto

• https://www.linkedin.com/in/mgraziosi/es
• @mauro_graziosi

Sorteo

• http://www.loteria-nacional.gov.ar/gxpsites/hgxpp001

Encuesta

• https://goo.gl/forms/1iMgSZvd8dgtLbj43

Mensaje final

Esperamos que hayas disfrutado de nuestro Webinario y te sean de utilidad todos los recursos que pusimos a tu disposición. No dudes en comunicarte con nosotros por cualquier inquietud que haya quedado sin resolver.