Tal y como te prometimos, en este post vas a poder encontrar todos los recursos que hemos citado y/o que complementan nuestro webinario del día 15 de Diciembre de 2016.
Grabación del Webinario
Medidas de protección contra Phishing y Ransomware
Medidas de protección nivel 1
- Tener software legal
- Mantener el sistema operativo actualizado y con los últimos parches
- Mantener el antivirus y sus definiciones actualizados
- Mantener los navegadores y sus plugins actualizados
- Utilizar un Firewall en cada equipo
- Evitar utilizar el usuario administrador del equipo
- Mantener copias de seguridad periódicas de todos los datos importantes
- Software antispam
- Mostrar extensiones para tipos de fichero conocidos
- Cómo mostrar extensiones en Windows y cuáles son peligrosas
- http://www.puertosabiertos.com/es/extensiones-de-archivos-peligrosos-correo-electronico.htm
Medidas de protección nivel 2
Bloqueos y filtrados a nivel de servidores
- Definir listas de bloqueo de URL (navegación)
- Easy Ways to Block Websites
- https://www.timeatlas.com/block-website-access/
- Diferentes maneras de bloquear sitios web
- http://www.downloadsource.es/como-bloquear-sitios-web-en-los-navegadores-ie-chrome-o-firefox/n/6493/
- RBL (Real-Time BlackHole Lists) en servidor de correo
- Documentación oficial de SpamAssassin
- http://spamassassin.apache.org/doc.html
- Usar SpamAssassin desde CPANEL
- http://www.americandominios.com/conta/knowledgebase/339/Como-Usar-SpamAssasin-con-CPanel.html
- Instalación, configuración y optimización de SpamAssassin
- http://www.alcancelibre.org/staticpages/index.php/como-spamassassin
- Listas negras de Spam, qué son y cómo funcionan
- http://hostingdiario.com/listas-negras-de-spam-que-son-y-como-funcionan/
- Formas de luchar contra Spear Phishing (entre ellas, RBL)
- http://www.securityartwork.es/2016/10/31/evitando-anzuelos-luchar-los-ataques-spear-phishing-i/
- SpamAssassin (Implementa RBL)
- Bloqueo de extensiones potencialmente peligrosas en email
- Guía detallada de instalación de DansGuardian
- http://dansguardian.org/downloads/detailedinstallation2-spanish.html
- Bloqueo de ficheros especiales
- Protegidos por contraseña
- https://technet.microsoft.com/en-us/library/jj919236(v=exchg.150).aspx
Puestos de trabajo
- Bloqueo de extensiones potencialmente peligrosas en cliente de correo
- Cómo configurar Microsoft Outlook para bloquear extensiones de nombre de archivo
- https://support.microsoft.com/es-ar/kb/837388
- Lista de extensiones bloqueadas por defecto en Outlook
- https://support.office.com/es-es/article/Datos-adjuntos-bloqueados-en-Outlook-3811cddc-17c3-4279-a30c-060ba0207372
- Bloqueo de ficheros especiales en cliente de correo, para ficheros comprimidos, cifrados, pueden utilizar el mismo link que les pasé antes de Microsoft Outlook
- Cómo configurar Microsoft Outlook para bloquear extensiones de nombre de archivo
- https://support.microsoft.com/es-ar/kb/837388
- Deshabilitar lenguajes de scripting fuera del navegador
- http://blog.segu-info.com.ar/2016/03/como-evitar-infectarse-con-archivos-js.html
- http://www.securityartwork.es/2016/06/24/evitando-la-ejecucion-js-prevenir-ransomware/
- Usar plugins del navegador web para bloquear javascript riesgoso
- Deshabilitar la ejecución de macros
- Habilitar o deshabilitar macros en archivos de Office (2016)
- https://support.office.com/es-ES/article/Habilitar-o-deshabilitar-macros-en-archivos-de-Office-12B036FD-D140-4E74-B45E-16FED1A7E5C6
- Creación de un buzón de correo sospechoso
- Usar plugins del navegador web de reputación del sitio web
- Usar plugins del cliente de correo o navegador para marcar Phishing o Suplantación de identidad
Acceso Remoto
- Evitar RDP
- Utilizar sólo VPNs
- Mantener actualizado el software VPN
Medidas de Protección Nivel 3
Evitando el engaño
- Cómo hacen para spoofear tu dirección de email
- SPF
- SPF Qué es:
- http://blog.segu-info.com.ar/2008/08/qu-es-el-spf-sender-policy-framework.html
- SPF Guia:
- http://codementia.blogspot.com.ar/2013/05/reglas-spf-para-validar-el-correo-lo.html
- SPF Asistentes:
- http://www.spfwizard.net/es/
- SPF Documentación oficial:
- http://www.openspf.org/
- DKIM
- DKIM Qué es
- https://returnpath.com/es/blog/como-explicar-dkim-en-espanol-claro-y-conciso/
- DKIM Guia:
- http://www.gettingemaildelivered.com/dkim-explained-how-to-set-up-and-use-domainkeys-identified-mail-effectively
- DKIM Asistentes:
- https://www.socketlabs.com/domainkey-dkim-generation-wizard/
- https://luxsci.com/extranet/dkim.html
- DKIM Documentación oficial:
- http://www.dkim.org/index.html#docs
- DMARC
- DMARC Qué es:
- https://returnpath.com/es/blog/como-explicar-dmarc-en-espanol-claro-y-conciso/
- DMARC Guía:
- https://support.google.com/a/answer/2466563?hl=es
- DMARC Asistentes:
- En la página de recursos de la web oficial del estándard existen varios asistentes que te ayudarán a crear un registro DMARC. Por ejemplo este, este o este otro.
- DMARC Documentación oficial:
- https://dmarc.org/wiki/FAQ
- Chequeo de SPF y DMARC
EgoSearch
- Controlar los dominios similares al dominio de la organización
- Controlar el grado de exposición de los emails del personal
Backup
- Mantener los archivos centralizados
- Políticas de acceso estrictas
- Mantener las copias offline
- Montar y desmontar una unidad extraíble automáticamente en Windows 7 con Mountvol [How To]
- http://blog.smartfense.com/2016/12/montar-y-desmontar-unidad-extraible-automaticamente.html
- Sincronizar backups en la nube
Medidas de protección nivel 4
UTM: medidas de seguridad intercomunicadas
https://es.wikipedia.org/wiki/Unified_Threat_Management- Antivirus perimetral y Endpoint
- Control de aplicaciones
- Filtro de contenido (incluso de tráfico SSL)
- Filtro Anti-spam
- Coordinación entre Firewalls y los Endpoints
- IDS/IPS
- Advanced Threat Protection (ATP)
Mejorar la seguridad en Windows
- Prevenir la ejecución de archivos por políticas (GPO)
- GPO en Windows
- https://technet.microsoft.com/es-ar/library/hh147307(v=ws.10).aspx
- Tutorial GPO’s
- http://freyes.svetlian.com/GPOS/GPOS.htm
- Aplicaciones de Lista Blanca (white listing).
- Guide to application Whitelisting
- http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-167.pdf
- How to create an Application Whitelist Policy in Windows
- https://www.bleepingcomputer.com/tutorials/create-an-application-whitelist-policy-in-windows/
- Software Restriction Policies (Windows)
- https://technet.microsoft.com/en-us/library/hh831534.aspx
- Qué es Applocker
- https://msdn.microsoft.com/es-es/library/ee424367(v=ws.11).aspx
- Introducción a Applocker y configuración
- https://technet.microsoft.com/es-es/library/dd759113(v=ws.11).aspx
- Activar EMET (Enhance Mitigation Experience Toolkit) https://support.microsoft.com/es-es/kb/2458544
Complementar a nuestro AV
- Productos anti-exploit-kits
- Herramientas de detección y bloqueo de ransomware
- Anti Ransom 3.0.
- http://www.security-projects.com/?Anti_Ransom
- Latch ARW (aún no disponible).
- https://www.elevenpaths.com/labstools/antiransomware/index.html
- Crypto Drop (aún no disponible).
- http://blog.segu-info.com.ar/2016/07/cryptodrop-herramienta-evitar-ransom.html
Usar un antivirus NextGen
- CPU-enforced isolation (microvirtualización):
- Bromium
- https://www.bromium.com/
- IA/Machine Learning AV:
- Cylance
- https://www.cylance.com/
- Invincea
- https://www.invincea.com/
Más allá de las medidas técnicas
¿Por qué eres el único responsable de la seguridad de la información? (Y cómo dejar de serlo)
Awareness
Por qué no están haciendo más:
- ¿Por qué concientizar?
- https://tools.smartfense.com/es-ar/recursos/concientizacion/
Human Firewall Test:
- Simulación de Phishing
- https://tools.smartfense.com/es-ar/productos/phishing/
Hábitos destacados de programas exitosos:
- Plataforma integral de capacitación y concientización en SI:
- https://tools.smartfense.com/es-ar/productos/plataforma/
Y algunos conceptos más...
Programación segura de las aplicaciones
https://es.wikipedia.org/wiki/Cross-site_scriptingSistema de Información
https://es.wikipedia.org/wiki/Sistema_de_informaci%C3%B3nSistema Informático
https://es.wikipedia.org/wiki/Sistema_inform%C3%A1ticoNos infectamos con Ransomware… ¿y ahora?
Actuar rápido
- Desconectar las unidades de red
- Comprobar si el proceso dañino aún sigue ejecutándose
- Intentar detener el proceso
- Autoruns Sysinternals
- https://technet.microsoft.com/en-us/sysinternals/bb963902.aspx
- Process Explorer Sysinternals
- https://technet.microsoft.com/en-us/sysinternals/processexplorer.aspx
Establecer el estado de situación
- ¿Cómo se produjo la infección (adjunto en correo electrónico, etc.)
- ¿Qué mensaje de rescate se muestra al usuario?
- ¿La infección se encuentra en uno o en varios equipos?
- ¿Se han cifrado las unidades de red (si las hubiera mapeadas)?
- ¿Han llevado a cabo alguna medida para desinfectar el/los equipo/s afectado/s?
Valorar el escenario
- Nº 1: ¿Se dispone de backup completo?
- Nº 2: ¿Se dispone de Shadow Volume Copy?
- Nº 3: ¿Se pueden recuperar los ficheros utilizando software forense?
- Nº 4: ¿Existe una herramienta que permite el descifrado?
- Nomoreransom
- https://www.nomoreransom.or/crypto-sheriff.php
- IDRansomware
- https://id-ransomware.malwarehunterteam.com
- Herramientas de detección (con una muestra)
- Herramientas de descifrado
|
Bandarchor – herramienta kaspersky
|
|
Cryptodefense – herramienta emsisoft
|
|
Cryptolocker
|
|
Web: http:// www.decryptcryptolocker.com
|
|
DMAlocker – herramienta emsisoft
|
|
Locky – herramienta emsisoft
|
|
Petya - herramienta bleepingcomputer
|
|
Teslacrypt – herramienta eset
|
|
Torrentlocker – herramienta bleepingcomputer
|
|
Zerolocker – herramienta vinsula
|
|
Avast, empresa de seguridad también propietaria de AVG, recientemente ha creado una colección de herramientas diseñadas para permitir a las víctimas de un total de 11 variantes de ransomware diferentes recuperar sus datos de forma gratuita.
https://www.avast.com/ransomware-decryption-tools |
|
Kaspersky Ransomware Decryptor
|
|
List of Ransomware Decryptors
|
No pagar por el rescate
- Porque estamos financiando la actividad
- Porque quedamos marcados
- Porque no tenemos certeza de recuperar los archivos
- entre el 10% y 20% no los recuperan
- Doxingware (amenazan con publicar información)
- http://blog.segu-info.com.ar/2016/11/la-muni-de-san-francisco-infectada-por.html
- http://www.redeszone.net/2015/11/03/el-ransomware-chimera-amenaza-con-publicar-datos-personales/?utm_source=related_posts&utm_medium=widget
¿Y qué pasa si no me queda otra alternativa?
- Ransomware: ¿Debes elegir si pagar o no un rescate? Te ayudo a decidirlo
- http://blog.smartfense.com/2016/12/ransomware-pagar-o-no-pagar.html
- En caso de que necesiten ayuda para descifrarlo o negociar el rescate
- http://www.asegurarte.com.ar/ransomware
Qué hacer luego
Denuncia
- Policía o seguro
- Organización afectada
- ODILA https://www.odila.org/
- APWG http://www.antiphishing.org/
Mis datos de contacto
- https://www.linkedin.com/in/mgraziosi/es
- @mauro_graziosi
Sorteo
Encuesta
Mensaje final
Esperamos que hayas disfrutado de nuestro Webinario y te sean de utilidad todos los recursos que pusimos a tu disposición. No dudes en comunicarte con nosotros por cualquier inquietud que haya quedado sin resolver.
![Montar y desmontar una unidad extraíble automáticamente en Windows 7 con Mountvol [How To]](https://blog.smartfense.com/hubfs/Imported_Blog_Media/postMati-1.png)
0 comentarios: