Evitando anzuelos: Cómo luchar contra los ataques de spear-phishing (III)

En el artículo anterior se vieron las medidas de seguridad aplicables a nivel de servidor. Una vez el correo es entregado y llega al buzón, es como cuando un delantero se planta solo delante del portero: la única línea de defensa que nos queda es el usuario.

Afortunadamente no estamos jugando al fútbol, así que podemos aplicar una serie de medidas de seguridad para que el atacante falle el tiro (nadie dijo que no podamos hacer la portería más pequeña, o directamente que la portería no exista).

Se da por supuesto que el equipo del usuario tiene un antivirus actualizado y que está actualizado de forma correcta hasta la última versión no vulnerable, y que el usuario tiene una formación básica sobre cómo reconocer y actuar frente a posibles correos maliciosos. Llegados a este punto, podemos desplegar dos barreras de seguridad adicionales.

Medidas de seguridad en el puesto de usuario

Deshabilitar la ejecución de macros

En primer lugar, prohibir la ejecución de macros en Microsoft Office. El nivel por defecto de dicha protección en Office 2010 es “Deshabilitar todas las macros con notificación”, que muestra el conocido ribete amarillo con la funesta opción de “Habilitar Macro” tan buscada por los atacantes.

evitando-anzuelos

El camino lógico para una empresa podría pasar por deshabilitar todas las macros excepto las firmadas digitalmente y habilitar un esquema de firma digital interno. Sin embargo, esta opción no aporta realmente seguridad debido a que cuando se abre un documento con macros y Office no es capaz de validar la firma, mostrará de nuevo el ribete amarillo pidiendo confirmación al usuario (por lo que volvemos a la situación anterior).

La única opción segura pasa por seleccionar “Deshabilitar todas las macros sin notificación”, algo que se puede realizar de tres maneras diferentes:

  1. Manualmente, a través de “Archivo ->Opciones ->Centro de Confianza ->Configuración del Centro de Confianza ->Configuración de Macros»
  2. De forma automatizada a través de una GPO
  3. De forma automatizada directamente a través del registro de Windows (es importante casar la versión de Microsoft Office existente con el valor de registro creado).

Estos cambios se aplican de forma separada para cada componente de Office (Word, Excel y PowerPoint), lo que nos da una cierta flexibilidad a la hora de diseñar nuestra política de seguridad.

Hay que tener en cuenta que bloquear las macros puede tener un impacto sobre el entorno que debe de ser valorado: aunque (casi) nadie usa macros en PowerPoint y el porcentaje de macros legítimas en Word es relativamente escaso, las macros en Excel son muy usadas por lo que su bloqueo completo tendría que estar bien razonado debido a los problemas que podría causar.

Una solución complementaria al bloqueo completo de macros pasa por el uso de las “Ubicaciones de confianza”. Office define estos directorios como zonas que el usuario ha validado como seguras y por lo tanto no aplica ningún control de seguridad. El riesgo subyacente es obvio, por lo que es un recurso que debería ser utilizado de forma cuidadosa y únicamente cuando sea estrictamente necesario.

Deshabilitar lenguajes de scripting

El segundo control de seguridad hace referencia a los lenguajes de scripting. Gran parte de los ataques recibidos a través del correo electrónico tienen como finalidad ejecutar un script. Ya venga contenido en una macro maliciosa o dentro de un fichero comprimido, el script es en muchos casos el punto inicial de la infección.

Es posible plantear como medida de seguridad el deshabilitar la ejecución de estos scripts, algo que puede realizarse haciendo un cambio en el registro de Windows. De esta forma tanto los .vbs como los .js dejarán de ejecutarse, protegiendo nuestros equipos. Es importante tener este punto muy en cuenta, ya que a nivel empresarial estas tecnologías pueden ser usadas por los administradores de sistemas para gestionar los equipos de la empresa.

[Nota: La navegación web seguirá funcionando correctamente ya que el código JavaScript es interpretado por el propio navegador]

Otras medidas de seguridad

Creación de un buzón de correo sospechoso

Una medida de seguridad bastante eficaz y con un coste muy reducido es la habilitación de una dirección de correo dentro de la organización en la que los propios usuarios puedan enviar todos aquellos correos que les parezcan sospechosos (seamos originales y llamémoslo, correosospechoso@ejemplo.com). De esta forma pueden emplearse a los propios usuarios como antenas detectoras, llegando a reconocer ataques muy difíciles de detectar por otros medios (con más eficiencia si cabe si hemos hecho un buen trabajo de concienciación y tenemos a los usuarios “bastionados”).

Si de forma adicional se coordina con acciones de concienciación de seguridad, el efecto de dicha medida puede ser amplificado (y si además cada vez que se detecta una amenaza se agradece el esfuerzo al usuario, el refuerzo positivo generado de cara a la seguridad es excelente).

Seguridad del correo electrónico: Políticas y procedimientos

Todas las medidas de seguridad descritas en estos artículos pueden llegar a tener un cierto impacto sobre los usuarios de nuestra organización: correos que se esperan y no llegan nunca, documentos que hay que sacar de la cuarentena porque son necesarios para el negocio, etc.

Es por ello por lo que se recomienda incluir todas las medidas tomadas en la política de seguridad del correo electrónico ya existente, y definir los procedimientos necesarios para que los usuarios puedan interaccionar con ella (por ejemplo, a quién acudir si es necesario desbloquear un correo en cuarentena, o qué hacer si un dominio es rechazado de forma persistente).

Inteligencia de los correos rechazados

Uno de los problemas principales que se tiene cuando se trabaja en seguridad informática es el conocimiento de los adversarios, siendo muchas veces complicado el encontrar información sobre ellos.

El despliegue de estas medidas de seguridad permite definir una fuente ideal de inteligencia: la cuarentena del servidor de correo. Nuestros adversarios van a utilizar el correo electrónico como vector de entrada, pero si nuestras medidas de seguridad están bien configuradas, en muchos casos fallarán y quedarán atrapados en la cuarentena.

Se debería poder, por tanto, recoger todos los adjuntos existentes en la cuarentena y analizarlos en busca de malware (tanto común como dirigido), así como revisar los logs en busca de posibles patrones (direcciones IP origen, direcciones de correo falsificadas, dominios maliciosos). Un buen análisis puede proveernos de una inteligencia de primera mano sobre las amenazas que pueden afectar a nuestros sistemas.

Conclusiones

El número de amenazas a nuestros sistemas de información es cada día mayor. Sin embargo, el correo electrónico sigue siendo un vector de entrada preferido por muchos adversarios. En estos artículos hemos planteado una serie de medidas adicionales a las habituales con las que se espera incrementar el nivel de seguridad del sistema de correo electrónico y hacerlo más robusto ante posibles ataques.

Referencias