28 marzo, 2023

Recomendaciones y gestión de la información

Normas para el correcto uso y comprensión de los informes y alertas de seguridad informática del CSIRT de Gobierno

1. NORMAS SOBRE EL INTERCAMBIO DE INFORMACIÓN

1.1. Sobre el procesamiento de datos y análisis de la información publicada

La información contenida y analizada en los informes de alertas, vulnerabilidades, boletines, documentos generales, guías, campañas y comunicados, tienen su origen en múltiples fuentes tanto públicas como privadas, así como fruto del análisis y de las estadísticas recopiladas por el Equipo de Respuesta ante Incidentes de Seguridad Informática del Gobierno de Chile (CSIRT de Gobierno).

1.2. Sobre la actualización de la información publicada

La información publicada puede ser modificada o actualizada a partir de nuevos antecedentes y análisis. El CSIRT de Gobierno procurará mantener el correcto versionado, que refleje las actualizaciones de los documentos.

1.3. Sobre el uso de imágenes que involucran a personas o marcas en los informes

Las personas y organizaciones víctimas de una suplantación, en los casos que involucran un phishing u otro tipo de suplantación, no tienen responsabilidad sobre la acción maliciosa ejecutada por los atacantes. En esos casos, el uso de la imagen de los suplantados en la documentación del CSIRT de Gobierno tiene el propósito didáctico de advertir que los atacantes están abusando de esa marca para cometer el delito especificado.

En el caso de las alertas de vulnerabilidades, las imágenes se utilizan para identificar a proveedores de servicios o fabricantes que advierten públicamente sobre la necesidad de actualizar algunos de sus productos.

Los usos de imágenes relacionados con campañas de concientización tienen como finalidad exclusiva ser un apoyo didáctico en el documento en que se utilizan.

1.4. Sobre el contenido de los informes

Las alertas de seguridad cibernéticas del CSIRT de Gobierno contienen información sobre incidentes y acciones maliciosas que podrían impactar en las organizaciones, y cuando existan posibles puntos especialmente sensibles como indicadores de compromiso (IoC), que involucren activos de reconocidas empresas, servicios o productos, se procurará mencionarlo para que se tomen las precauciones del caso.

Los receptores de esta información tienen la exclusiva responsabilidad de evaluar la eventual aplicación de cuarentenas preventivas o bloqueos sobre los IoC que se comparten en este tipo de documentos. Antes de aplicar alguna acción preventiva, el CSIRT de Gobierno recomienda tener presente los impactos o consecuencias que dichas acciones pudieran causar en la continuidad operativa de sus servicios o negocios. Una vez que sus plataformas de monitoreo no detecten actividad maliciosa sobre los IoC compartidos, las organizaciones deben evaluar la posibilidad de levantar los bloqueos preventivos.

En el caso de las alertas de vulnerabilidades, estas contienen información provistas por los fabricantes y evaluadas por organismos como la National Vulnerability Database del NIST (National Institute of Standards and Technology del Departamento de Comercio del Gobierno de los Estados Unidos) o del Common Vulnerabilities and Exposures (CVE) de la corporación MITRE.

En el caso de los informes de alertas que se publican en forma de comunicados, el contenido es elaborado a partir de un análisis de los especialistas del CSIRT  de Gobierno en base a fuentes abiertas, cerradas y propias, así como de las partes involucradas en los incidentes en los casos que correspondan.

Cuando se presentan esos casos, el CSIRT de Gobierno, en general, no hace público el nombre de entidades involucradas en incidentes (ver el apartado 1.6 sobre respeto a la reputación de las organizaciones). Si fuere necesario y relevante mencionar el nombre de la institución afectada para la mejor gestión y respuesta del incidente por parte de las instituciones afectadas o relacionadas con este, se hará solamente en documentos o comunicaciones con nivel de TLP ámbar o superior (Ver apartado 1.7. sobre uso del protocolo TLP).

Los informes elaborados a partir de fuentes con bases estadísticas pueden tener su origen en la información compilada de herramientas gestionadas por el CSIRT de Gobierno, así como de fuentes abiertas o cerradas.

Los informes que involucran campañas de concientización se elaboran a partir de datos públicos y análisis del CSIRT de Gobierno.

1.5. Sobre las fuentes anónimas

Las personas u organizaciones pueden colaborar o entregar información de forma anónima con el CSIRT de Gobierno indicando dicha condición.

1.6. Respeto a la reputación de las organizaciones

El CSIRT de Gobierno tiene la costumbre de mantener en reserva el nombre de las instituciones afectadas por un incidente para resguardar su reputación. Sin embargo, el CSIRT de Gobierno se reserva el derecho de señalar de forma explícita o implícita el nombre de la organización afectada solo si existiera una circunstancia de fuerza mayor, y tomando la precaución de informar a la entidad afectada sobre lo que se comunicará y la razón que justifica esa acción.

1.7. Sobre el uso del protocolo TLP

Para facilitar el intercambio de información, el CSIRT utiliza el protocolo TLP (Traffic Light Protocol), el cual consiste en una serie de distinciones que garantizan que la información se comparte con las audiencias correspondientes.

Los contenidos que se comparten en los diferentes informes del CSIRT de Gobierno están clasificados por colores (rojo, ámbar, verde y blanco) los que están asociados a una serie de restricciones. El TLP:ROJO solo permite divulgar la información a personas específicas; el TLP:ÁMBAR, se distribuye a organizaciones específicas; el TLP:VERDE se comparte con comunidades específicas o una serie de organizaciones y el TLP:BLANCO no tiene restricciones.

2. NORMAS SOBRE LA GESTIÓN DE CONTENIDO

La información y las imágenes publicadas por el CSIRT de Gobierno en sus diferentes medios de comunicación pueden ser utilizadas libremente por cualquier persona u organización, siempre que citen la fuente y no se remueva la imagen corporativa del CSIRT de Gobierno.

Las organizaciones y personas pueden solicitar o exigir una rectificación de los contenidos publicados por CSIRT de Gobierno en caso de que se acredite un error a través de un correo electrónico a la casilla soc@interior.gob.cl.

Las organizaciones y personas pueden realizar observaciones, comentarios y recomendaciones al correo electrónico soc@interior.gob.cl.

Las organizaciones son responsables de actualizar la información que, por diferentes motivos, el CSIRT de Gobierno modifique, reemplace o suprima en sus repositorios, respetando las señales de actualización de los documentos.

3. NORMAS SOBRE LA GESTIÓN DE LOS INDICADORES DE COMPROMISO

Los indicadores de compromiso (IoC) que comparte el CSIRT son analizados por los especialistas, quienes evalúan si es pertinente su publicación. Estos son obtenidos de fuentes públicas o privadas, anónimas o conocidas.

Los indicadores expresados en forma de hash pueden ser gestionados con herramientas centralizadas para contener las distribuciones de la amenaza. El hash puede ser utilizado en plataformas de antivirus, firewall u otras.

Al gestionar patrones potencialmente maliciosos con nombres de host o IP, se debe considerar que la relación entre nombre FQDN e IP puede cambiar en el tiempo, y que una dirección IP específica puede estar siendo usada por un proveedor de web hosting que puede tener más de un dominio asociado a dicha IP.

En consecuencia, se recomienda tener un orden de prioridades a la hora de ejecutar un bloqueo, considerando al menos:

• El uso de un dispositivo WAF que pueda discriminar el nombre FQDN potencialmente malicioso por sobre la IP.

• El uso de un firewall que permita integrar listas de bloqueo FQDN.

• El uso de sistemas proxy que permitan bloquear el FQDN.

• En última instancia, incorporar el bloqueo de la IP verificando que no corresponda a un esquema de web hosting, porque existe la posibilidad de bloquear los restantes dominios que utilizan la misma dirección IP.

4. RECOMENDACIONES

4.1. Generales para los usuarios

• No abrir correos ni mensajes de dudosa procedencia, pues pueden redireccionarlos a sitios web fraudulentos.

• Desconfiar de los enlaces y archivos en los mensajes o correo.

• Solicitar que sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras) estén actualizadas.

• Ser escépticos frente ofertas, promociones o premios increíbles que se ofrecen por internet.

• Prestar atención en los detalles de los mensajes o redes sociales.

• Solicitar que todas las plataformas de tecnologías y de detección de amenazas estén actualizadas.

• Intentar siempre verificar que los sitios web que se visitan sean los oficiales.

• Desconfiar de los enlaces y archivos en los mensajes o correo.

• No abrir correos ni mensajes de dudosa procedencia.

Notificar oportunamente a sus encargados de ciberseguridad para que investiguen el incidente. Algunas señales que debieran gatillar una notificación inmediata:

• Accedí a un sitio web y entregué mis credenciales.

• Realicé una transacción en un sitio o sistema web que parece oficial, pero no lo es.

• Identifiqué un sitio o sistema web que a mi entender es fraudulento.

• Recibí un correo sospechoso, podría ser una suplantación

4.2. Para Encargados de Seguridad

• Desarrollar políticas de seguridad cibernética, procedimientos, capacitación y materiales educativos que se aplican a la organización.

• Aplicar buenas prácticas e higiene cibernética también sobre los proveedores de servicios o terceras partes, los que pueden ser un foco de infección en su organización.

• Implementar un programa de capacitación y concientización del usuario sobre seguridad cibernética que incluya orientación sobre cómo identificar y reportar actividades sospechosas, por ejemplo, ayudar a identificar phishing.

• Implementar un programa de capacitación del personal de TI para garantizar una exitosa respuesta ante un incidente.

• Mantener actualizado el plan de emergencia de ciberseguridad de su organización.

• Promover una cultura de diálogo e información sobre la importancia de la ciberseguridad en la organización.

• Auditar la ciberseguridad de su organización con asesoría del CSIRT de Gobierno.

• Asegurarse de mantener los contactos de sus superiores jerárquicos, proveedores de servicios y del CSIRT de Gobierno a mano, para solicitar de ellos la ayuda correspondiente en caso de presentarse un incidente.

• Crear mecanismos amistosos para el reporte y el feedback, en un entorno donde no se busque la culpabilidad, sino que la solución.

• Promover una cultura de actualizaciones o parchados de seguridad en la organización y equipos hogareños donde se utilice acceso VPN.

• Implementar y promover el uso de segundo factor de autenticación (2FA).

• Crear mecanismos de reporte de incidente o actividad sospechosa.

• Crear, mantener y ejercer un plan básico de respuesta a incidentes cibernéticos y un plan de comunicaciones, que incluya procedimientos de respuesta y notificación para un incidente.

• Gestionar análisis de vulnerabilidades de forma regular para identificar y abordar vulnerabilidades, especialmente aquellas en activos y dispositivos con acceso a Internet, para limitar la superficie de ataque.

• Desarrollar y actualice periódicamente un diagrama de red integral que describa los sistemas y los flujos de datos dentro de la red de su organización.

4.3. Para administradores de sistemas y redes

• Mantener el inventario de toda la infraestructura que da soporte a la organización.

• Practicar procedimientos de respuesta a incidentes y recuperación.

• Implementar controles anti spoofing (DKIM, SPF y DMARC).

• Revisar la información que se expone de sus usuarios en sus sitios y sistemas web.

• Filtrar o bloquear los correos entrantes que sean clasificados como phishing.

• Evaluar el bloqueo preventivo de los indicadores de compromisos entregados por el CSIRT.

• Revisar los controles de seguridad de los antispam, sandboxing y equipos de seguridad.

• Proteger a sus usuarios de sitios maliciosos usando proxy servers u otro método de filtro.

• Proteger los activos con sistemas de antimalware o antivirus.

• Segmentar redes.

• Implementar una topología de red que tenga múltiples capas, con las comunicaciones más críticas ocurriendo en la capa más segura y confiable.

• Configurar una DMZ para crear una subred física y lógica que actúe como intermediario para los dispositivos de seguridad conectados para evitar la exposición.

• Configurar el firewall para controlar el tráfico de la red de TI.

• Utilice el bloqueo geográfico de IP según corresponda.

• No permitir la conexión persistente remota de proveedores o funcionarios a la red de control.

• Catalogar y monitorear todas las conexiones remotas a la red.

• Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras).

•  Parchar y actualizar regularmente el software y los sistemas operativos a las últimas versiones disponibles. Priorice la aplicación oportuna de parches a los servidores conectados a Internet, así como al software que procesa datos de Internet, como navegadores web, complementos de navegador y lectores de documentos, para detectar vulnerabilidades conocidas.

• Reemplazar los dispositivos de software y hardware obsoletos, así como los sistemas operativos que no cuenten con soporte del fabricante.

• Deshabilitar los puertos y servicios no utilizados.

• Mantener respaldos actualizados de los sistemas críticos en caso de que necesiten ser reconstruidos.

• Mantener actualizado las plantillas de imágenes que incluyen un sistema operativo (SO) preconfigurado y aplicaciones de software asociadas que se pueden implementar rápidamente para reconstruir un sistema.

• Asegurar de que los dispositivos estén configurados correctamente y que las funciones de seguridad estén habilitadas.

• Emplear las mejores prácticas para el uso de RDP y otros servicios de escritorio remoto. Los actores de amenazas a menudo obtienen acceso inicial a una red a través de servicios remotos expuestos.

• Audite la red en busca de sistemas que usen RDP, cierre los puertos RDP no utilizados, haga cumplir los bloqueos de cuentas después de un número específico de intentos y registre los intentos de inicio de sesión de RDP.

• Asegurar que los softwares y las firmas de antivirus y antimalware estén actualizadas. Activar las actualizaciones automáticas para ambas soluciones. Se recomienda utilizar una solución antivirus gestionada de forma centralizada.

• Emplear MFA para todos los servicios en la medida de lo posible, particularmente para correo web, redes privadas virtuales, correo electrónico, accesos a sistemas y cuentas que acceden a sistemas críticos.

• Deshabilitar o bloquear el protocolo de bloque de mensajes del servidor (SMB) saliente y elimine o deshabilite las versiones obsoletas de SMB.

• Considerar implementar un sistema de detección de intrusiones (IDS) para detectar la actividad de comando y control y otra actividad de red potencialmente maliciosa.

• Aplicar el principio de privilegio mínimo a todos los sistemas y servicios para que los usuarios solo tengan el acceso que necesitan para realizar su trabajo.

• Restrinja los permisos de usuario para instalar y ejecutar aplicaciones de software.

• Limite la capacidad de una cuenta de administrador local para iniciar sesión desde una sesión interactiva local y evite el acceso a través de una sesión RDP.

• Elimine cuentas y grupos innecesarios.

• Restrinja el acceso de root y cuentas de adminstradores.

• Controlar y limitar la administración local de los equipos.

• Utilice el grupo de usuarios protegidos de Active Directory en los controladores de dominios.

• Audite las cuentas de usuario con regularidad, en particular las cuentas de administración y supervisión remotas.

4.4. Para la relación con proveedores

• Establecer acuerdos contractuales para todos los servicios subcontratados que aseguren, al menos: el adecuado manejo y reporte de incidentes, la seguridad de las interconexiones, y las especificaciones y procesos de acceso remoto.

• Aplicar los protocolos de seguridad de la información en sus relaciones contractuales con terceros privados apuntando a la confidencialidad, integridad y disponibilidad de los activos informáticos.

• Establecer protocolos de seguridad para conectarse remotamente y almacenamiento de contraseña y usuarios.

• Exigir a los proveedores de servicios de tecnologías de la información, que compartan la información sobre las amenazas y vulnerabilidades que puedan afectar a las redes, plataformas y sistemas informáticos de los órganos de la administración del Estado, al igual que las medidas de mitigación aplicadas a éstas, así como las políticas y prácticas de seguridad de la información incorporadas en los servicios prestados. (Ver el Decreto Supremo 273, de 2022 en https://bcn.cl/3agqm).