Header Ads Widget

Ticker

6/recent/ticker-posts

Para la seguridad de Windows, lo que tenemos es una falla en la comunicación.

Mientras esperamos la llegada de Windows 11, Microsoft brindaría un mejor servicio a los usuarios informándoles sobre las soluciones de seguridad que ya tenemos en nuestros sistemas.


Microsoft reportó la semana pasada $ 60 mil millones en ganancias y $ 165 mil millones en ventas para su año más reciente, con un aumento asombroso en los ingresos de la nube. Pero esa buena noticia llega en un año en el que no pasa un día sin informes de otro problema de seguridad, otro ataque de ransomware. Sí, Windows 11 requerirá hardware que debería traer consigo una mejor seguridad, pero tiene un precio. La mayoría de los usuarios tienen sistemas que no son compatibles con Windows 11, por lo que no usaremos Windows 10.

Parece haber una gran desconexión entre la realidad (y el éxito financiero) del ecosistema de Windows y la realidad de sus usuarios. Necesitamos más seguridad ahora, no más tarde.

Para muchas personas, el malware a menudo se infiltra en los sistemas a través de señuelos de phishing y enlaces atractivos. Microsoft podría brindar un mejor servicio a los usuarios recomendando soluciones de seguridad que ahora tenemos en nuestros sistemas y que no están habilitadas. Algunas de estas configuraciones no requieren licencias adicionales, mientras que otras están protegidas por el santo grial de las licencias de Windows: la licencia de Microsoft 365 E5 . Si bien un usuario puede comprar una sola licencia E5 para obtener las mejoras de seguridad incluidas, surge la preocupación de que Microsoft esté comenzando a hacer de la seguridad un complemento del sistema operativo en lugar de una integración. Recuerdo cuando Microsoft habló de "Seguro por diseño, ”“ Seguro por defecto ”y“ Seguro en implementación y comunicación ”(también conocido como SD3 + C). Ahora, en cambio, está promocionando soluciones de seguridad con su licencia E5 en lugar de las que ya están en Windows que podrían protegernos mejor.

Esas herramientas incluyen las reglas nativas de reducción de la superficie de ataque de Microsoft Defender, o más bien, las configuraciones específicas ocultas en Defender que se pueden ajustar sin mucho impacto. Una opción es utilizar herramientas de GitHub de terceros, como " Configure Defender " para descargar un archivo zip, extraerlo y ejecutar ConfigureDefender.exe. Una vez que se lance, desplácese hacia abajo hasta la sección Exploit Guard. En una publicación de blog reciente, Palantir detalla la configuración que considera útil para la protección sin ralentizar su sistema:

  • Bloquee procesos que no sean de confianza y no firmados que se ejecutan desde USB.
  • Impedir que Adobe Reader cree procesos secundarios.
  • Bloquea el contenido ejecutable del cliente de correo electrónico y el correo web.
  • Evite que JavaScript o VBScript inicien contenido ejecutable descargado.
  • Bloquear la persistencia a través de la suscripción a eventos de WMI.
  • Bloquear el robo de credenciales del subsistema de autoridad de seguridad local de Windows (lsass.exe).
Impedir que las aplicaciones de Office creen contenido ejecutable.
Le recomiendo que descargue ConfigureDefender y habilite estas configuraciones. Probablemente encontrará (como hice yo) que habilitar estas configuraciones no afecta las operaciones rutinarias de la computadora ni desencadena problemas. Entonces, ¿por qué Microsoft no crea una mejor interfaz para estas reglas ASR en Windows 11? ¿Por qué todavía están enterrados en paneles de control confusos dirigidos a administradores de TI con dominios y políticas de grupo?

Para los usuarios empresariales, es inquietante leer constantemente que los atacantes se han infiltrado en nuestras redes. Recientemente, descubrimos que "el 80% de las cuentas de correo electrónico de Microsoft utilizadas por los empleados en las cuatro oficinas del fiscal de EE. UU. En Nueva York fueron violadas", según AP . "En total, el Departamento de Justicia dijo que 27 oficinas del fiscal de EE. UU. Tenían al menos la cuenta de correo electrónico de un empleado se vio comprometida durante la campaña de piratería ".

Cuando los atacantes obtienen acceso a un buzón de Office 365, es clave saber si un atacante realmente accedió a los elementos y a qué se dirigieron. Pero esta información está protegida por una licencia E5 . Por lo tanto, si necesita saber exactamente lo que leen los atacantes, a menos que adquiera una auditoría avanzada que incluya MailItemsAccessed , no tiene suerte. Peor aún, como Joe Stocker (un MVP de Microsoft y experto en InfoSec) señaló recientemente en Twitter , los usuarios podrían habilitar una versión de prueba de E5 y obtener acceso a seis meses de registros de seguridad de aplicaciones de Microsoft Cloud.. Ahora, cuando habilita una prueba de MCAS, a menos que habilite manualmente el registro de auditoría para Office 365, no hay ningún archivo de registro que pueda retroactivamente volver a un momento potencial de ataque.


Tomemos el caso del directorio activo de Azure. Con la versión gratuita, solo obtiene siete días de inicio de sesión de Azure Active Directory y registros de auditoría. En el pasado, podía habilitar (comprar) una licencia Azure AAD P1, una licencia P2 o una licencia EMS E5 e inmediatamente podía retroceder 30 días. Entonces, si fue atacado, podría volver a encenderlo retroactivamente y obtener la información necesaria. Pero cuando habilita estas licencias ahora, no se puede acceder a los archivos de registro retroactivos. No tienes suerte.

En el Office 365 predeterminado, el único registro forense disponible durante más de siete días es el archivo del Centro de seguridad y cumplimiento. (El tiempo de retención de registros predeterminado normal para el Centro de seguridad y cumplimiento es de 90 días, y si tiene una licencia E5 o un complemento de cumplimiento, esto puede extenderse a un año. Y si compra el nuevo SKU de retención dirigida de registros gubernamentales, podría obtener hasta 10 años de retención). Hay una buena noticia: si es un gurú de PowerShell, hay más información disponible  con un poco de scripting .

El punto que estoy señalando es que estos dos elementos de registro muestran que Microsoft ahora trata el registro de cumplimiento no como una característica predeterminada incluida en el producto, sino como una característica de seguridad que debe comprarse. En mi opinión, para los productos en la nube, la seguridad no debería requerir un complemento de licencia.

Publicar un comentario

0 Comentarios