El reciente ataque global de ransomware, conocido como
WannaCry, ha demostrado la importancia de tener una infraestructura bien
asegurada. Fueron afectados o no por el reciente malware de WannaCry, le
recomiendo a todos los clientes de Azure los siguientes 8 pasos para proteger
su organización de ataques como estos.
1. Este malware
WannaCry explota la vulnerabilidad del servicio mensaje bloque (SMB)
(CVE-2017-0145). Los clientes deben inmediatamente instalar MS17-010 que
resuelve esta vulnerabilidad.
2. Revisar todas las suscripciones Azure que tengan puntos SMB expuestos a internet, comúnmente asociados con los puertos TCP 139, 445 TCP, UDP 137, UDP 138. Recomendamos abrir solamente los puertos a internet que no son esenciales para sus operaciones.
3. Desactivar SMBv1-instrucciones aquí: https://aka.ms/disablesmb1
4. Utilizar Windows Update para mantener sus máquinas al día con la seguridad de las últimas actualizaciones. Si estás ejecutando servicios de nube Azure (plataforma como servicio o Web Roles y funciones de infraestructura como servicio (IaaS)) las actualizaciones automáticas están habilitadas de forma predeterminada, por lo que no es necesario tomar ninguna otra acción. Todas las versiones de sistema operativo liberadas después del 14 de marzo de 2017 contienen la actualización MS17-010. Usted puede ver el estado de actualización de sus recursos en el Azure Security Center.
5. Recomiendo el uso del centro de seguridad de Azure para monitorear continuamente su entorno de amenazas. Para capturar y monitorear los registros de eventos y tráfico en búsqueda de potenciales ataques utilice el centro de seguridad de Azure como también para nuevas alertas de seguridad, asítener visibilidad de cualquier amenaza detectada.
6. El uso de grupos de seguridad de red (NSGs) para restringir el acceso a la red y reducir la exposición a ataques, configurar NSGs con reglas in-bound que restringen el acceso a sólo los puertos necesarios. Podemos utilizar firewalls de red de un rango de las empresas para seguridad adicional. Azure Security Center proporciona una vista de la seguridad de todas tus redes en Azure, y ayuda a identificar los extremos accesibles de internet, insuficiente protección de NSG y en algunos casos recomienda una solución de firewall.
7. Valide que el anti-malware (AV,Firewall etc..) este implementado y actualizado. Si está utilizando Microsoft Antimalware para Azure o Windows Defender, Microsoft lanzó una actualización la semana pasada que detecta esta amenaza como Ransom: Win32 / WannaCrypt. Si estás ejecutando software de anti-malware de otras empresas de seguridad, debe confirmar con su proveedor que realmente estás protegido. Usted también puede usar Azure Security Center para verificar que el anti-malware y otros controles de seguridad críticos, estén configurados para todas sus máquinas virtuales Azure.
8. Configurar copias de seguridad con autenticación de múltiples factores. Una parte importante de la recuperación de cualquier desastre es tener una fuerte solución de backup en su lugar. Si ya está usando Azure Backup, puede recuperar los datos si los servidores son atacados por ransomware. Sólo los usuarios con credenciales válidas de azul pueden acceder a las copias de seguridad almacenadas en Azure. También se recomienda habilitar la Autenticación de múltiples factores de Azure para proporcionar una capa adicional de seguridad para las copias de seguridad en Azure.
2. Revisar todas las suscripciones Azure que tengan puntos SMB expuestos a internet, comúnmente asociados con los puertos TCP 139, 445 TCP, UDP 137, UDP 138. Recomendamos abrir solamente los puertos a internet que no son esenciales para sus operaciones.
3. Desactivar SMBv1-instrucciones aquí: https://aka.ms/disablesmb1
4. Utilizar Windows Update para mantener sus máquinas al día con la seguridad de las últimas actualizaciones. Si estás ejecutando servicios de nube Azure (plataforma como servicio o Web Roles y funciones de infraestructura como servicio (IaaS)) las actualizaciones automáticas están habilitadas de forma predeterminada, por lo que no es necesario tomar ninguna otra acción. Todas las versiones de sistema operativo liberadas después del 14 de marzo de 2017 contienen la actualización MS17-010. Usted puede ver el estado de actualización de sus recursos en el Azure Security Center.
5. Recomiendo el uso del centro de seguridad de Azure para monitorear continuamente su entorno de amenazas. Para capturar y monitorear los registros de eventos y tráfico en búsqueda de potenciales ataques utilice el centro de seguridad de Azure como también para nuevas alertas de seguridad, asítener visibilidad de cualquier amenaza detectada.
6. El uso de grupos de seguridad de red (NSGs) para restringir el acceso a la red y reducir la exposición a ataques, configurar NSGs con reglas in-bound que restringen el acceso a sólo los puertos necesarios. Podemos utilizar firewalls de red de un rango de las empresas para seguridad adicional. Azure Security Center proporciona una vista de la seguridad de todas tus redes en Azure, y ayuda a identificar los extremos accesibles de internet, insuficiente protección de NSG y en algunos casos recomienda una solución de firewall.
7. Valide que el anti-malware (AV,Firewall etc..) este implementado y actualizado. Si está utilizando Microsoft Antimalware para Azure o Windows Defender, Microsoft lanzó una actualización la semana pasada que detecta esta amenaza como Ransom: Win32 / WannaCrypt. Si estás ejecutando software de anti-malware de otras empresas de seguridad, debe confirmar con su proveedor que realmente estás protegido. Usted también puede usar Azure Security Center para verificar que el anti-malware y otros controles de seguridad críticos, estén configurados para todas sus máquinas virtuales Azure.
8. Configurar copias de seguridad con autenticación de múltiples factores. Una parte importante de la recuperación de cualquier desastre es tener una fuerte solución de backup en su lugar. Si ya está usando Azure Backup, puede recuperar los datos si los servidores son atacados por ransomware. Sólo los usuarios con credenciales válidas de azul pueden acceder a las copias de seguridad almacenadas en Azure. También se recomienda habilitar la Autenticación de múltiples factores de Azure para proporcionar una capa adicional de seguridad para las copias de seguridad en Azure.
Para una mirada comprensiva sobre el software afectado,
información sobre la vulnerabilidad y despliegue de la actualización de
seguridad, consulte Microsoft Security
Bulletin MS17-010.
Para obtener más información acerca de esta actualización,
consulte Artículo de MicrosoftKnowledge Base 4013389.
Para la comprensión de su estado de seguridad en Azure: Azure Security Center
Ayuda para instalar las actualizaciones: Windows Update FAQ
