CISA comparte recomendaciones de protección contra amenazas cibernéticas para proveedores de servicios y sus clientes
Fuente oficial de esta publicación: https://www.cisa.gov/uscert/

Las autoridades de seguridad cibernética del Reino Unido (NCSC-UK), Australia (ACSC), Canadá (CCCS), Nueva Zelanda (NCSC-NZ) y los Estados Unidos (CISA), (NSA), (FBI) están al tanto de los recientes informes que observan un aumento en la actividad cibernética maliciosa dirigida a los proveedores de servicios administrados (MSP) y esperan que esta tendencia continúe. Este Aviso de Ciberseguridad (CSA) conjunto proporciona acciones que los MSP y sus clientes pueden tomar para reducir el riesgo de ser víctimas de una intrusión cibernética. Este aviso describe las mejores prácticas de seguridad cibernética para los servicios y funciones de tecnología de la información y las comunicaciones (TIC), centrándose en la orientación que permite discusiones transparentes entre los MSP y sus clientes sobre la protección de datos confidenciales. Las organizaciones deben implementar estas pautas según corresponda a sus entornos únicos, de acuerdo con sus necesidades de seguridad específicas y de conformidad con las reglamentaciones aplicables. Los clientes de MSP deben verificar que los acuerdos contractuales con su proveedor incluyan medidas de ciberseguridad en línea con sus requisitos de seguridad particulares.

La orientación proporcionada en este aviso está diseñada específicamente tanto para los MSP como para sus clientes y es el resultado de un esfuerzo de colaboración del Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC-UK), el Centro de Seguridad Cibernética de Australia (ACSC), el Centro Canadiense de Seguridad Cibernética (CCCS), el Centro Nacional de Seguridad Cibernética de Nueva Zelanda (NCSC-NZ), la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA), la Agencia de Seguridad Nacional (NSA) y la Oficina Federal de Investigaciones (FBI) con contribuciones de miembros de la industria del Joint Cyber ​​Defense Collaborative (JCDC) . Las organizaciones deben leer este aviso junto con la guía del NCSC-UK sobre las acciones a tomar cuando la amenaza cibernética aumenta, la guía del CCCS sobreConsideraciones de seguridad cibernética para consumidores de servicios administrados y orientación de CISA proporcionada en las páginas web de Shields Up y Shields Up Technical Guidance .

Proveedores de servicios gestionados

Este aviso define a los MSP como entidades que brindan, operan o administran servicios y funciones de TIC para sus clientes a través de un acuerdo contractual, como un acuerdo de nivel de servicio. Además de ofrecer sus propios servicios, un MSP puede ofrecer servicios junto con los de otros proveedores. Las ofertas pueden incluir servicios de plataforma, software e infraestructura de TI; procesos comerciales y funciones de apoyo; y servicios de ciberseguridad. Los MSP normalmente administran estos servicios y funciones en el entorno de red de su cliente, ya sea en las instalaciones del cliente o alojado en el centro de datos del MSP. Nota: este aviso no aborda la orientación sobre proveedores de servicios de  la nube (CSP): proveedores que manejan las necesidades de TIC de sus clientes a través de servicios en la nube, como software como servicio, plataforma como servicio e infraestructura como servicio; sin embargo, los MSP también pueden ofrecer estos servicios. (Consulte el Apéndice para obtener definiciones adicionales).

Los MSP brindan servicios que generalmente requieren conectividad de red confiable y acceso privilegiado hacia y desde los sistemas del cliente. Muchas organizaciones, que van desde grandes organizaciones de infraestructura crítica hasta pequeñas y medianas empresas, utilizan MSP para administrar sistemas de TIC, almacenar datos o respaldar procesos confidenciales. Muchas organizaciones hacen uso de los MSP para escalar y admitir procesos y entornos de red sin expandir su personal interno o tener que desarrollar las capacidades internamente. 

Actores de amenazas dirigidos al acceso de MSP a las redes de los clientes

Ya sea que el entorno de red del cliente esté en las instalaciones o alojado externamente, los actores de amenazas pueden usar un MSP vulnerable como vector de acceso inicial a múltiples redes de víctimas, con efectos en cascada a nivel mundial. Las autoridades de seguridad cibernética del Reino Unido, Australia, Canadá, Nueva Zelanda y EE. UU. esperan que los actores cibernéticos maliciosos, incluidos los grupos de amenazas persistentes avanzadas (APT) patrocinados por el estado, intensifiquen su selección de MSP en sus esfuerzos por explotar las relaciones de confianza de la red proveedor-cliente. Por ejemplo, los actores de amenazas que comprometen con éxito un MSP podrían permitir una actividad de seguimiento, como ransomware y espionaje cibernético, contra el MSP, así como en toda la base de clientes del MSP.

Las autoridades de seguridad cibernética del Reino Unido, Australia, Canadá, Nueva Zelanda y EE. UU. emitieron previamente una guía general para los MSP y sus clientes. Este aviso proporciona una guía específica para permitir discusiones transparentes y bien informadas entre los MSP y sus clientes que se centran en proteger información y datos confidenciales. Estas discusiones deben resultar en una reevaluación de los procesos de seguridad y los compromisos contractuales para adaptarse a la tolerancia al riesgo del cliente. Un compromiso compartido con la seguridad reducirá el riesgo tanto para los MSP como para sus clientes, así como para la comunidad global de TIC. 

Recomendaciones 

Los MSP y sus clientes

Las autoridades de seguridad cibernética del Reino Unido, Australia, Canadá, Nueva Zelanda y EE. UU. recomiendan que los MSP y sus clientes implementen las medidas de seguridad y los controles operativos básicos que se enumeran en esta sección. Además, los clientes deben asegurarse de que sus acuerdos contractuales especifiquen que su MSP implementa estas medidas y controles.

Prevenir el compromiso inicial. 

En sus esfuerzos por comprometer a los MSP, los actores cibernéticos maliciosos explotan dispositivos vulnerables y servicios de Internet, realizan ataques de fuerza bruta y utilizan técnicas de phishing. Los MSP y sus clientes deben asegurarse de mitigar estos métodos de ataque. A continuación se enumeran recursos útiles de mitigación sobre los métodos de ataque de compromiso inicial:

Habilitar/mejorar los procesos de monitoreo y registro. 

Pueden pasar meses antes de que se detecten los incidentes, por lo que las autoridades de ciberseguridad del Reino Unido, Australia, Canadá, Nueva Zelanda y EE. UU. recomiendan que todas las organizaciones almacenen sus registros más importantes durante al menos seis meses. Ya sea a través de una solución integral de administración de eventos e información de seguridad (SIEM) o herramientas de registro discretas, implemente y mantenga un régimen de registro segregado para detectar amenazas a las redes. Las organizaciones pueden consultar la siguiente guía del NCSC-UK sobre los datos apropiados para recopilar con fines de seguridad y cuándo usarlos: ¿Qué debemos registrar exactamente? Además, todas las organizaciones, ya sea a través de acuerdos contractuales con un MSP o por su cuenta, deben implementar capacidades de monitoreo de defensa de red y detección de puntos finales, además de utilizar la lista de permitidos/denegados de aplicaciones. 

  • Los MSP deben registrar las actividades de infraestructura de entrega utilizadas para brindar servicios al cliente. Los MSP también deben registrar la actividad de la red interna y del cliente, según corresponda y se haya acordado contractualmente. 
  • Los clientes deben habilitar la supervisión y el registro efectivos de sus sistemas. Si los clientes eligen contratar a un MSP para realizar el monitoreo y el registro, deben asegurarse de que sus acuerdos contractuales requieran que su MSP:
    • Implementar una gestión integral de eventos de seguridad que permita la supervisión y el registro adecuados de los sistemas de clientes gestionados por el proveedor; 
    • Proporcionar visibilidad, como se especifica en el acuerdo contractual, a los clientes de las actividades de registro, incluida la presencia del proveedor, las actividades y las conexiones a las redes de los clientes ( Nota: los clientes deben asegurarse de que las cuentas de MSP se controlen y auditen adecuadamente); y
    • Notifique al cliente sobre eventos e incidentes de seguridad confirmados o sospechados que ocurran en la infraestructura y las redes administrativas del proveedor, y envíelos a un centro de operaciones de seguridad (SOC) para su análisis y clasificación. 

Hacer cumplir la autenticación multifactor (MFA). 

Las organizaciones deben asegurar las aplicaciones de acceso remoto y hacer cumplir MFA cuando sea posible para fortalecer la infraestructura que permite el acceso a redes y sistemas. Nota: Los actores APT patrocinados por el estado ruso han demostrado recientemente la capacidad de explotar los protocolos MFA predeterminados; las organizaciones deben revisar las políticas de configuración para protegerse contra escenarios de “apertura fallida” y reinscripción.

  • Los MSP deben recomendar la adopción de MFA en todos los productos y servicios al cliente. Nota: los MSP también deben implementar MFA en todas las cuentas que tienen acceso a los entornos de los clientes y deben tratar esas cuentas como privilegiadas.
  • Los clientes deben asegurarse de que sus arreglos contractuales exijan el uso de MFA en los servicios y productos que reciben. Los contratos también deben exigir que se aplique MFA en todas las cuentas de MSP utilizadas para acceder a los entornos de los clientes.

Gestione los riesgos de la arquitectura interna y segregue las redes internas. 

Las organizaciones deben comprender su entorno y segregar sus redes. Identifique, agrupe y aísle los sistemas comerciales críticos y aplíqueles los controles de seguridad de red apropiados para reducir el impacto de un compromiso en toda la organización.

  • Los MSP deben revisar y verificar todas las conexiones entre los sistemas internos, los sistemas del cliente y otras redes. Separe los conjuntos de datos de los clientes (y los servicios, cuando corresponda) entre sí, así como de las redes internas de la empresa, para limitar el impacto de un solo vector de ataque. No reutilice las credenciales de administrador en varios clientes. 
  • Los clientes deben revisar y verificar todas las conexiones entre los sistemas internos, los sistemas MSP y otras redes. Asegurar la gestión de proveedores de identidad y confianzas entre los diferentes entornos. Utilice una red privada virtual (VPN) dedicada o un método de acceso seguro alternativo para conectarse a la infraestructura de MSP y limitar todo el tráfico de red hacia y desde el MSP a esa conexión segura dedicada. Verificar que las redes utilizadas para las relaciones de confianza con los MSP estén adecuadamente segregadas del resto de sus redes. Asegúrese de que los acuerdos contractuales especifiquen que los MSP no reutilizarán las credenciales de administrador en varios clientes.

Aplicar el principio de privilegio mínimo. 

Las organizaciones deben aplicar el principio de privilegios mínimos en todo su entorno de red y actualizar los privilegios inmediatamente cuando se produzcan cambios en las funciones administrativas. Utilice un modelo de niveles para cuentas administrativas para que estas cuentas no tengan ningún acceso o privilegios innecesarios. Solo use cuentas con privilegios completos en una empresa cuando sea estrictamente necesario y considere el uso de privilegios basados ​​en el tiempo para restringir aún más su uso. Identificar dispositivos, servicios y usuarios de alto riesgo para minimizar sus accesos.

  • Los MSP deben aplicar este principio tanto a los entornos internos como a los de los clientes, evitando los privilegios administrativos predeterminados. 
  • Los clientes deben asegurarse de que su MSP aplique este principio a los entornos de red del proveedor y del cliente. Nota: los clientes con arreglos contractuales que les proporcionen la administración de cuentas de MSP dentro de su entorno deben asegurarse de que las cuentas de MSP solo tengan acceso a los servicios/recursos administrados por el MSP.

Desaprobar cuentas e infraestructura obsoletas. 

Tanto los MSP como los clientes deben revisar periódicamente su superficie de ataque de Internet y tomar medidas para limitarla, como deshabilitar las cuentas de usuario cuando se realiza la transición del personal. ( Nota: aunque no se recomienda compartir cuentas, si una organización lo requiere, debe restablecerse cuando el personal haga la transición). Las organizaciones también deben auditar su infraestructura de red, prestando especial atención a aquellos en el límite del MSP-cliente, para identificar y deshabilitar los sistemas y servicios no utilizados. Las herramientas de escaneo de puertos y los inventarios de sistemas automatizados pueden ayudar a las organizaciones a confirmar las funciones y responsabilidades de los sistemas.

  • Los clientes deben asegurarse de deshabilitar las cuentas de MSP que ya no administran la infraestructura. Nota: la desactivación de cuentas MSP puede pasarse por alto cuando finaliza un contrato.

Aplicar actualizaciones. 

Las organizaciones deben actualizar el software, incluidos los sistemas operativos, las aplicaciones y el firmware. Priorice la aplicación de actualizaciones de seguridad al software que contenga vulnerabilidades explotadas conocidas. Nota: las organizaciones deben priorizar las vulnerabilidades de parcheo incluidas en el catálogo de CISA de vulnerabilidades explotadas conocidas (KEV) en lugar de solo aquellas con puntajes altos del Sistema de puntuación de vulnerabilidades comunes (CVSS) que no han sido explotadas y es posible que nunca lo sean.

  • Los MSP deben implementar actualizaciones en las redes internas lo más rápido posible.
  • Los clientes deben asegurarse de comprender la política de su MSP sobre actualizaciones de software y solicitar que se entreguen actualizaciones completas y oportunas como un servicio continuo.

Sistemas de respaldo y datos. 

Las organizaciones deben actualizar y probar periódicamente las copias de seguridad, incluidas las “imágenes doradas” de los sistemas críticos en caso de que sea necesario reconstruirlos ( Nota: las organizaciones deben basar la frecuencia de las copias de seguridad en su objetivo de punto de recuperación). Guarde las copias de seguridad por separado y aíslelas de las conexiones de red que podrían permitir la propagación de ransomware; muchas variantes de ransomware intentan encontrar y cifrar/eliminar copias de seguridad accesibles. El aislamiento de las copias de seguridad permite la restauración de sistemas/datos a su estado anterior en caso de que estén encriptados con ransomware. Nota: las mejores prácticas incluyen el almacenamiento de copias de seguridad por separado, como en medios externos.

  • Los MSP deben realizar copias de seguridad periódicas de los datos internos, así como de los datos de los clientes (cuando corresponda por contrato) y mantener copias de seguridad fuera de línea encriptadas con claves de encriptación separadas fuera de línea. Los proveedores deben alentar a los clientes a crear copias de seguridad fuera del sitio seguras y ejercitar las capacidades de recuperación.
  • Los clientes deben asegurarse de que sus acuerdos contractuales incluyan servicios de respaldo que cumplan con sus requisitos de resiliencia y recuperación ante desastres. Específicamente, los clientes deben solicitar a su MSP que implemente una solución de copia de seguridad que realice copias de seguridad automáticas y continuas de datos críticos y configuraciones del sistema y almacene las copias de seguridad en una ubicación fácilmente recuperable, por ejemplo, una solución basada en la nube o una ubicación que esté aislada de la organización. red.

Desarrollar y ejercitar planes de recuperación y respuesta a incidentes. 

Los planes de respuesta y recuperación ante incidentes deben incluir roles y responsabilidades para todas las partes interesadas de la organización, incluidos ejecutivos, líderes técnicos y oficiales de adquisiciones. Las organizaciones deben mantener copias impresas actualizadas de los planes para garantizar que los respondedores puedan acceder a ellos en caso de que la red sea inaccesible (por ejemplo, debido a un ataque de ransomware).

  • Los MSP deben desarrollar y ejercitar regularmente planes internos de respuesta y recuperación ante incidentes y alentar a los clientes a hacer lo mismo.
  • Los clientes deben asegurarse de que sus acuerdos contractuales incluyan planes de respuesta y recuperación ante incidentes que cumplan con sus requisitos de resiliencia y recuperación ante desastres. Los clientes deben asegurarse de que estos planes se prueben a intervalos regulares.

Comprender y gestionar proactivamente el riesgo de la cadena de suministro. 

Todas las organizaciones deben gestionar de forma proactiva el riesgo de la cadena de suministro de TIC en los grupos de seguridad, legales y de adquisiciones, utilizando evaluaciones de riesgo para identificar y priorizar la asignación de recursos.

  • Los MSP deben comprender el riesgo de su propia cadena de suministro y gestionar los riesgos en cascada que representa para los clientes.
  • Los clientes deben comprender el riesgo de la cadena de suministro asociado con su MSP, incluido el riesgo asociado con proveedores o subcontratistas externos. Los clientes también deben establecer expectativas claras de seguridad de la red con sus MSP y comprender el acceso que tiene su MSP a su red y los datos que alberga. Cada cliente debe asegurarse de que sus arreglos contractuales cumplan con sus requisitos de seguridad específicos y que su contrato especifique si el MSP o el cliente tienen responsabilidades específicas, como el fortalecimiento, la detección y la respuesta a incidentes.

Promover la transparencia. 

Tanto los MSP como sus clientes se beneficiarán de acuerdos contractuales que definan claramente las responsabilidades. 

  • Los MSP , al negociar los términos de un contrato con su cliente, deben proporcionar explicaciones claras de los servicios que el cliente está comprando, los servicios que el cliente no está comprando y todas las contingencias para la respuesta y recuperación de incidentes.
  • Los clientes deben asegurarse de tener un conocimiento profundo de los servicios de seguridad que proporciona su MSP a través del acuerdo contractual y abordar cualquier requisito de seguridad que quede fuera del alcance del contrato. Nota: los contratos deben detallar cómo y cuándo los MSP notifican al cliente sobre un incidente que afecta el entorno del cliente.

Administrar la autenticación y autorización de la cuenta. 

Todas las organizaciones deben adherirse a las mejores prácticas para la administración de contraseñas y permisos. Las organizaciones deben revisar los registros en busca de intentos de autenticación fallidos inexplicables; los intentos de autenticación fallidos inmediatamente después de un cambio de contraseña de la cuenta podrían indicar que la cuenta se ha visto comprometida. Nota: los defensores de la red pueden buscar de manera proactiva tales “canarios de intrusión” revisando los registros después de realizar cambios de contraseña, utilizando comunicaciones fuera de la red para informar a los usuarios de los cambios, en todas las cuentas confidenciales. (Consulte la publicación de ACSC, Registro y reenvío de eventos de Windows , así como la documentación de Microsoft, 4625(F): No se pudo iniciar sesión en una cuenta, para orientación adicional). 

  • Los MSP deben verificar que el cliente restrinja el acceso a la cuenta del MSP a los sistemas administrados por el MSP.
  • Los clientes deben asegurarse de que las cuentas de MSP no estén asignadas a grupos de administradores internos; en su lugar, restrinja las cuentas de MSP a los sistemas administrados por el MSP. Otorgue acceso y permisos administrativos según sea necesario, utilizando el principio de privilegio mínimo. Verifique, a través de auditorías, que las cuentas de MSP se utilicen para fines y actividades apropiados, y que estas cuentas estén deshabilitadas cuando no se utilicen activamente. 

La información en este informe se proporciona “tal cual” solo con fines informativos. NCSC-UK, ACSC, CCCS, NCSC-NZ, CISA, NSA y FBI no respaldan ningún producto o servicio comercial, incluidos los sujetos de análisis. Cualquier referencia a productos, procesos o servicios comerciales específicos por marca de servicio, marca comercial, fabricante o de otro modo, no constituye ni implica respaldo, recomendación o favorecimiento.