Skip to main content

Recomendaciones de ciberseguridad con Kaspersky

  • Inicio
  • Recomendaciones de ciberseguridad con Kaspersky

 Rev. 06 ABRIL, 2024.

Las recomendaciones de seguridad, que enseguida se detallan, tienen como finalidad ser una guía a considerar para ayudar a tener una postura de ciberseguridad óptima en su organización.

En primera instancia se presentan recomendaciones desde un enfoque  agnóstico (puntos del 1 al 4), así como  las relacionadas con productos y servicios empresariales de Kaspersky (puntos del 5 al 7).

1. Primer línea de defensa: Hardware y Software de seguridad

  1. Mantener equipos (Servidores, estaciones de trabajo, dispositivos móviles, equipos de networking) actualizados (con no más de dos semanas de atraso): Sistemas operativos, firmwares, aplicaciones VPN, aplicaciones en general.
  2. Reducir en la medida de lo posible, la exposición de activos y servicios de la empresa hacia internet. Una medida específica recomendada es, desactivar el acceso por escritorio remoto (RDP) a estos activos (principalmente servidores) desde internet y habilitar accesos más seguros por medio de VPNs.
  3. Uso de contraseñas fuertes y únicas (se recomienda sean de 14 caracteres de longitud, utilizando letras minúsculas y mayúsculas, números y caracteres especiales). Así como autenticación multifactor (MFA), en los servicios donde sea posible. Poner especial atención en cuentas con derechos de administrador (Mas información: CIS Password Policy Guide).
  4. Denegar la conexión remota a equipos Windows, donde no se considere necesario (Más información).
  5. Control de aplicaciones (Zero Trust). Poner especial atención en limitar el uso de scripts de PowerShell.
  6. Implementación de solución perimetral (UTM) que incluya funciones de Firewall, IDS, IPS, Antispam, Anti phishing, Filtrado de contenido.
  7. Contar con una solución EPP (Endpoint Protection), implementada en todos los servidores, equipos y celulares de la empresa, asegurándose de que este trabajando en óptimas condiciones (versión más reciente, actualizaciones al día, módulos de protección habilitados, parametrización optimizada, protegida con contraseña y administrada desde una consola centralizada). Las soluciones EPP, proveen protección básica y protegen contra amenazas conocidas de manera automática.
  8. Implementación de solución EDR (Endpoint Detection and Response), principalmente en activos críticos o con alta exposición, para detectar amenazas avanzadas como APT (Advanced Persistent Threats).
    Las soluciones EPP no están preparadas para detectar actividades maliciosas que utilizan herramientas legitimas (como comandos lanzados desde cmd o powershell) o también conocidas como Tácticas, Técnicas y Procedimientos (TTPs). Estas TTPs intentan pasar desapercibidas, mimetizándose como actividades comunes de administradores o usuarios de la organización.En este punto es donde una solución EDR toma sentido, ya que su principal función es proveer contexto (telemetría) a detalle de las actividades sospechosas llevadas a cabo en el entorno (TTPs) y en base a esto, permitir al analista de ciberseguridad realizar un análisis a profundidad, determinar si efectivamente se trata de una actividad maliciosa y en consecuencia realizar acciones de respuesta (contención, erradicación), con la misma solución EDR (como aislar el dispositivo de la red, búsqueda y neutralización de IOCs, etc.). A esta actividad de análisis y respuesta, se le conoce bajo el concepto de Threat Hunting (Caza de amenazas).
  9. (Opcional) Servicio de Managed Detection and Response (MDR): Las tareas de Threat Hunting necesitan ser realizadas por un equipo experto de ciberseguridad, así como contar con infraestructura para realizar de manera centralizada el monitoreo de su entorno (SOC) y permanente (24/7), con la finalidad de detectar ataques de manera proactiva o en etapas tempranas en los entornos de la empresa (Respuesta a Incidentes).
    Cubrir esta necesidad llega a ser abrumador para las empresas, ya que comúnmente no cuentan con un equipo de expertos en ciberseguridad o en el mejor de los casos, su equipo no cuenta con la suficiente experiencia y el habilitarlos llega a ser costoso y requiere de mucho tiempo.Es aquí donde entra en juego el servicio de MDR, ya que las tareas de Threat Hunting, son realizadas por un tercero, que garantiza contar con un equipo de expertos en ciberseguridad  y la infraestructura necesaria (SOC, herramientas de análisis sofisticadas, etc.), para analizar de manera permanente las actividades llevadas a cabo en el entorno de la empresa y en el caso de un detectar actividad maliciosa, como un ataque dirigido, responder a estas amenazas sofisticadas, cubriendo estas necesidades, sin que la empresa tenga que contar con un equipo de expertos e infraestructura propia.

2. Segunda línea de defensa: Respaldos

  1. Tener implementado un sistema de respaldo seguro, probado, completo y fuera de línea. Estrategia de respaldo 3-2-1.
  2. Probar de manera regular los procedimientos de restauración de la información respaldada, hasta de los últimos 3 o 4 meses.
  3. Probar de manera regular la integridad de los respaldos.

3. Tercer línea de defensa: Prevención de robo de datos y credenciales

  1. Implementar herramientas y políticas de Prevención de Perdida de Datos (DLP), que permitan:
  2. Aplicar lógica de restricción de privilegios (zero trust), para accesar a archivos, carpetas y bases de datos.
  3. Monitorear y restringir cualquier movimiento inusual de datos de la empresa hacia ubicaciones dentro y fuera de la empresa (como recursos compartidos, unidades extraíbles, email, almacenamiento en la nube, etc.).
  4. Cifrar discos duros de equipos portátiles (laptops) y dispositivos móviles.
  5. Cifrar información en reposo.

4. Cuarta línea de defensa: Los usuarios

  1. Implementar entrenamientos (Awareness), para empleados de la empresa, sobre recomendaciones básicas de ciberseguridad, teniendo como prioridad el aprender a identificar ataques de phishing (emails, sitios web), reforzándolo con campañas de ataques simulados de phishing.
  2. Es recomendado realizar de manera frecuente ataques simulados de phishing a los usuarios, con la finalidad de que los identifiquen de mejor manera. Recomendado hacerlo al menos una vez por mes.
  3. Solución de Kaspersky recomendada: Automated Security Awareness Platform.

5. Respecto a los productos EPP (Endpoint Protection) de Kaspersky

  1. Asegurarse que todos los equipos (estaciones de trabajo, laptops, dispositivos móviles) y servidores  de la empresa tengan instalada la aplicación EPP correspondiente.
  2. Contar con las versiones más recientes de productos EPP (estaciones de trabajo y servidores), o al menos con versiones con Full Support por parte de Kaspersky (Product Support Lifecycle).
  3. Contar con la versión más reciente de Kaspersky Security Center on premise (en el caso de KSC Cloud Console y KES Cloud, siempre se cuenta con la versión más reciente, de manera automática), o al menos con una versión con Full Support por parte de Kaspersky (Product Support Lifecycle).
  4. Recomendado unirse al grupo de Novedades de Soporte Técnico de Kaspersky en Telegram. Donde se publican, entre otras cosas, noticias sobre la liberación de nuevas versiones de productos de Kaspersky.
  5. Asegurarse que su estatus de las aplicaciones EPP sea el óptimo. Tomar en cuenta las siguientes consideraciones:
    1. Asegurarse que todos los equipos protegidos, estén replicando correctamente a la consola de administración correspondiente.
    2. Tener todos los componentes de las aplicaciones de EPP habilitados.
    3. Definir una contraseña de protección, tanto para aplicaciones EPP, como para el agente de red.
  6. Desde la consola de administración correspondiente, tomar en cuenta las siguientes consideraciones:
    1. Habilitar notificaciones de eventos críticos relacionados con incidentes de malware (como detecciones de malware con problemas en su contención por parte del producto EPP, ataques de red).
    2. Revisión cotidiana (al menos una vez por semana) de paneles de información (Dashboard) e informes de amenazas, con la finalidad de analizar y detectar, comportamientos anómalos, tipos de malware,  equipos, usuarios, etc., involucrados y en caso de ser necesario, tomar medidas adicionales de endurecimiento de políticas del EPP.
  7. Nota: Como parte de nuestro esquema de servicios incluidos en la compra de su licenciamiento con nosotros (AVSOFT – SLA Standard: Servicios incluidos), se incluye el servicio de Healt Check, en el que se analiza la postura de los productos de Kaspersky implementados en su entorno, en base a mejores prácticas y en caso de encontrar áreas de mejora, se hacen de su conocimiento por medio de un reporte detallado para realizar las correcciones correspondientes.

6. Respecto a los productos EDR (Endpoint Detection and Response) de Kaspersky

  1. Tomar en cuenta las recomendaciones para productos EPP de Kaspersky, en los casos donde el componente de EDR, esta embebido a EPP, como:
    1. Kaspersky Endpoint Detection and Response Optimum (Hoja de datos).
    2. Kaspersky Endpoint Detection and Response Expert (Hoja de datos).
  2. Asegurarse que el componente de EDR esté operando de manera óptima. Tomar en cuenta las siguientes consideraciones:
    1. Debe estar habilitado en todos los equipos (o en los que se requiera).
    2. Se estén generando las tarjetas de incidentes detallados.
    3. Debe estar habilitado y funcional el módulo de “Prevención de ejecución”.
    4. Debe estar habilitado y funcional el módulo de Cloud Sandbox.

7. Servicios MDR (Managed Detectión and Response) de Kaspersky

  1. Se recomienda contar con un servicio de MDR de Kaspersky, que permita detectar ataques sofisticados (APTs).
  2. Kaspersky ofrece los siguientes servicios MDR
    1. Kaspersky MDR Optimum
    2. Kaspersky MDR Expert
  3. Si cuenta con servicios de Kaspersky MDR, asegurarse que el componente de MDR esté operando de manera óptima. Tomar en cuenta las siguientes consideraciones:
    1. Debe estar habilitado en todos los equipos (o en los que se requiera).
    2. Debe estar habilitado el módulo de KEDRO, en todos los equipos (o en los que se requiera), ya que esté módulo es necesario para la ingesta del MDR.
    3. Tomar en cuenta las recomendaciones para los productos EDR de Kaspersky.