Las unidades del Reino Unido implementan nuevas políticas de tráfico de IP para combatir el ransomware

Jisc, la organización sin fines de lucro que apoya a la comunidad de investigación y educación superior del Reino Unido con infraestructura y servicios digitales compartidos, como la red Janet, ha anunciado que comenzará a bloquear el tráfico que se origina fuera del Reino Unido para que no acceda al protocolo de escritorio remoto (RDP). -función de acceso a partir del 28 de marzo de 2023, para proteger mejor a sus usuarios de los ataques de ransomware.

La medida sigue a una consulta de 2021 con sus usuarios y refleja el hecho de que el 50% de los principales incidentes de ransomware experimentados por las instituciones de educación superior del Reino Unido en los últimos dos años comenzaron cuando los atacantes explotaron la función RDP.

En el futuro, dijo Jisc, el tráfico entrante al puerto 3389, el puerto predeterminado utilizado para RDP, que se origina fuera del Reino Unido se bloqueará y solo se permitirá que continúe el tráfico entrante desde las direcciones IP del Reino Unido. Actualmente, este bloqueo es posible a través de Jisc como medida opcional, pero ahora será de forma predeterminada.

“El uso de ransomware contra nuestro sector, y a nivel mundial, ha aumentado en los últimos años, y algunos ataques contra colegios y universidades han sido devastadores”, dijo John Chapman, director de política y gobernanza de seguridad de la información en Jisc.

“Las organizaciones aún pueden optar por no recibir restricciones a direcciones IP específicas si así lo desean, pero deben aceptar el mayor riesgo de un incidente grave de seguridad cibernética. Controlar el acceso a un vector de ataque conocido ayudará a proteger al sector en su conjunto contra este tipo de ataque”.

Más contenido para leer:  Datacentre management vulnerabilities leave public clouds at risk

Originalmente desarrollado por Microsoft, RDP es un protocolo de comunicaciones de red supuestamente seguro que está destinado a ayudar a los administradores de TI a diagnosticar problemas de forma remota y permitir que los usuarios accedan a sus escritorios de trabajo físicos desde otros dispositivos.

Esto se hace implementando el software de cliente RDP para conectarse al sistema o servidor que ejecuta el software de servidor RDP y abrir un socket en el sistema deseado para aceptar el tráfico entrante autenticado a través del puerto 3389. El usuario puede acceder a todas sus aplicaciones y archivos como si estaban físicamente presentes en el lugar de trabajo.

El uso legítimo de RDP se disparó en 2020 durante la pandemia de Covid-19, ya que millones de personas se vieron obligadas a trabajar desde casa por las restricciones de cierre, una política que para muchas organizaciones se ha mantenido, incluso cuando la vida vuelve a una apariencia de normalidad.

Pero si no se asegura adecuadamente, RDP también es una forma fácil para que los actores malintencionados obtengan acceso a las redes de las víctimas para realizar más ataques cibernéticos, como el robo de datos y la ejecución de ransomware, mientras dan la apariencia de ser usuarios legítimos.

Esto convirtió a RDP en un vector de ataque muy popular antes de 2020, pero el impacto de Covid-19 hizo que su uso por parte de cárteles de ransomware como Ryuk y Sodinokibi aumentara drásticamente.

Hay una serie de pasos que los defensores pueden tomar para garantizar que el uso de RDP por parte de su organización sea lo más seguro posible:

  • Habilitar las actualizaciones automáticas de Microsoft y priorizar la aplicación de parches siempre y cuando se revelen vulnerabilidades de RDP con explotaciones públicas conocidas.
  • Mejorar la política de contraseñas y exigir la autenticación multifactor (MFA).
  • Implementación de políticas de bloqueo de cuentas.
  • Cambiar el puerto predeterminado de 3389.
  • Restringir el uso de RDP a una lista de permitidos de direcciones IP de confianza.
  • Restricción de conexiones entrantes a sistemas que ejecutan autenticación de nivel de red (NLA) sobre seguridad de capa de transporte (TLS).
  • Uso de políticas de “privilegio mínimo” para restringir lo que los usuarios pueden hacer a través de RDP.
  • Usa una VPN.
  • Implementando el monitoreo del tráfico RDP para posibles indicadores de compromiso (IoC), el uso de un servidor de puerta de enlace RDP puede ayudar a que esto sea más fácil.
Más contenido para leer:  La víctima del escándalo de la oficina de correos pide que se investigue el papel del gobierno en silenciar a las víctimas

La implementación de políticas de gestión del tráfico es uno de los tres principios clave agregados a la política de seguridad cibernética más amplia de Jisc a principios de 2022. Los otros dos son el establecimiento de un grupo de trabajo de colaboración e intercambio de datos para ayudar a los organismos de educación superior a beneficiarse de la seguridad en números, y cambios en el mandato del equipo de respuesta a incidentes de seguridad informática (CSIRT) de Jisc, lo que le permite realizar un análisis proactivo de vulnerabilidades en toda la red de Janet.

Nuestro objetivo fué el mismo desde 2004, unir personas y ayudarlas en sus acciones online, siempre gratis, eficiente y sobre todo fácil!

¿Donde estamos?

Mendoza, Argentina

Nuestras Redes Sociales