Krypton Solid

La última tecnología en raciones de 5 minutos

Reduzca su riesgo con las mejores prácticas de seguridad de Exchange Server

Los ataques a Hafnium destacaron un mal necesario para muchas organizaciones: la necesidad de seguir usando Exchange Server local para el correo electrónico.

Incluso si instala las últimas actualizaciones acumulativas, no hay forma de proteger permanentemente Exchange Server de un día cero. La respuesta al ataque de Hafnium dio a los administradores de Exchange una llamada de atención de que se necesitaban más protecciones para reforzar la seguridad de sus sistemas. Exchange Server solo puede funcionar de manera muy privilegiada, lo que lo convierte en un objetivo atractivo para los piratas informáticos que, una vez que violan la red, corren lateralmente a través de la infraestructura. Si bien no es factible eliminar todos los riesgos asociados con Exchange Server, los administradores pueden tomar varias medidas para controlar el daño en el peor de los casos.

Dado que el correo electrónico es el método de comunicación más utilizado para la empresa, cualquier interrupción en la plataforma de mensajería puede causar problemas importantes para la empresa. El correo electrónico también puede contener información confidencial, como contratos, datos confidenciales y comunicación entre empleados, que, si cae en las manos equivocadas, puede generar problemas legales y financieros. Los administradores pueden evitar el tiempo de inactividad y los intentos de violación cuando siguen las mejores prácticas de seguridad de Exchange Server para proteger la empresa de los ataques cibernéticos en curso y las amenazas en evolución.

Proteja los servidores conectados a Internet

Uno de los elementos clave que hizo que el hack de Hafnium fuera un éxito es que los atacantes encontraron servidores vulnerables a través de escaneos de puertos remotos. Algunas instalaciones de Exchange requieren que algunos puertos estén abiertos a Internet.

Para evitar la detección y convertirse en un objetivo, los administradores deben seguir estos pasos para evitar que los atacantes descubran el servidor:

  • bloquear todo el tráfico entrante de direcciones IP sospechosas o países extranjeros;
  • implementar protecciones de firewall que detecten y bloqueen los escaneos de puertos desde direcciones IP externas; y
  • detectar y bloquear el tráfico entrante anormal con Exchange Server como destino.

Mantenga las aplicaciones comerciales críticas

Es imperativo implementar parches y actualizaciones de software en todos los productos de software lo antes posible. Esto es especialmente importante para Exchange Server.

Los administradores pueden actualizar Exchange en función de una ventana de mantenimiento predefinida, lo que les permitiría mantenerse al día con las últimas actualizaciones acumulativas trimestrales de Microsoft. Los administradores deben mantenerse al día con las últimas actualizaciones de seguridad de Exchange de Microsoft en sitios web como la Guía de actualizaciones de seguridad y el sitio de blogs de seguridad de Microsoft. Alguna vez una rareza, las actualizaciones de seguridad fuera de banda para Exchange han sido más comunes, ya que Microsoft lanzará correcciones para los días cero de Exchange a medida que estén disponibles. También es importante consultar esos sitios web en busca de herramientas e instrucciones de mitigación cuando no haya un parche disponible para una vulnerabilidad.

Adopte herramientas de seguridad avanzadas para detectar actividades anormales en el sistema

Ya no es suficiente instalar aplicaciones antivirus en servidores como Microsoft Exchange y esperar que brinden la protección adecuada. Las herramientas antivirus deben considerarse el mínimo para proteger los sistemas del malware conocido, pero agregan muy poca protección cuando el ataque remoto utiliza exploits.

Para fortalecer los servidores críticos para el negocio, los administradores deben investigar las herramientas de detección y respuesta de puntos finales (EDR) de proveedores como SentinelOne, Trend Micro y Sophos. EDR agrega otra capa de protección al analizar las diferentes actividades en un servidor Exchange y usar inteligencia artificial para determinar si esas actividades son maliciosas y deben bloquearse, así como si notificar a los administradores sobre cualquier hallazgo sospechoso.

Elimine el intercambio local cuando sea posible

Otro enfoque para reducir los riesgos de seguridad asociados con la avalancha de ataques de Exchange Server a principios de 2021 es pasar a una configuración híbrida o migrar completamente a Exchange Online.

Una de las razones por las que una configuración híbrida proporciona protecciones adicionales es que no requiere que Exchange Server esté conectado a Internet cuando todos los buzones de correo están alojados en la nube de Microsoft. Cuando mueve todos los buzones de correo a Exchange Online, la documentación de Microsoft indica que aún necesita Exchange Server para la administración de identidades híbridas. Microsoft solo admite el uso de sus herramientas, la Consola de administración de Exchange, el Centro de administración de Exchange o el Shell de administración de Exchange, para administrar los atributos de Active Directory en un escenario de sincronización completa de directorios.

Dado que más organizaciones están considerando Office 365 para correo electrónico, migrar a Exchange Online es otra forma de reducir el riesgo de seguridad de un servidor local que requiere monitoreo, actualización y parches continuos.

Supervise los registros de auditoría para detectar actividades sospechosas

Si bien algunos de los pasos destacados anteriormente brindan un alto nivel de protección contra los ataques de Exchange, existen riesgos con los ataques desde adentro o con credenciales secuestradas. Esto significa que TI debe ser diligente para saber qué tipo de actividades administrativas están ocurriendo en sus servidores. Los administradores de Exchange deben monitorear periódicamente sus registros de auditoría de Exchange y buscar cualquier actividad administrativa sospechosa que incluya:

  • cambios de configuración como delegaciones y cambios de permisos;
  • exportaciones de buzones;
  • cambios en los roles de los usuarios;
  • eliminación de contenido como buzones de correo o recursos;
  • cambios en las bases de datos de Exchange; y
  • cambios en las políticas de seguridad.

Cualquiera de estas modificaciones debe investigarse si el administrador de Exchange no las autorizó. Hay muchas herramientas que ayudan a monitorear el sistema para este tipo de actividades, incluidos los productos de Lepide, SolarWinds y Netwrix, que envían alertas cuando una actividad sospechosa requiere una mayor investigación.

Deja un comentario

También te puede interesar...

Bonos corporativos: ventajas y desventajas

Los inversores que estén considerando valores de renta fija pueden querer investigar los bonos corporativos, que algunos han descrito como la última inversión segura. Dado que los rendimientos de muchos valores de renta fija disminuyeron

Seguro modular vs

Si es dueño de una casa, una buena póliza de seguro puede brindarle tranquilidad y ayudarlo a evitar pérdidas financieras devastadoras si sucede algo malo. El seguro de hogar cubre sus reclamos de hogar, propiedad

Cómo usar Skype en iPhone

Cuando tienes una red wifi y un teléfono móvil de última generación, comoiPhoneDefinitivamente es una buena idea aprovechar tu conexión a internet para hacer llamadas. Por otro lado, ya sabes, llamar a tus amigos usando

Telstra quiere más dinero para activos

En resumen, Telstra dijo que sigue existiendo una «brecha significativa» entre lo que NBN Co y Telstra consideran que vale sus activos. La empresa de telecomunicaciones emitió un comunicado a través de la Bolsa de

Microsoft quiere apuntar a los spammers australianos

Microsoft quiere que el gobierno federal cambie su legislación anti-spam para permitir que su asociación con Publishing and Broadcasting Ltd, ninemsn, emprenda acciones legales directas contra los spammers. En un comunicado emitido la semana pasada,