Medidas para seguir seguros tras el final del soporte de Windows Server 2008

A partir del próximo martes, la próxima vez que un atacante encuentre una vulnerabilidad que afecten a máquinas con Windows Server 2008 R2, Windows Server 2008 y Windows 7, Microsoft no proporcionará ningún parche y los sistemas empresariales quedarán desprotegidos.

Microsoft ofrece a las organizaciones varias opciones para gestionar el final de la vida útil de estos sistemas operativos. Sin embargo, según Guardicore, especialista en seguridad de centros de datos, son muchas las organizaciones que no pueden actualizar inmediatamente sus sistemas no compatibles por toda una enorme variedad de razones, desde temas regulatorios y requisitos de certificación, hasta falta de presupuesto o la existencia de software heredado. Además, el proceso suele ser largo, lo que deja expuesta a la red a peligros. Por esto, se necesitan soluciones que puedan proteger los sistemas durante este periodo de transición, que puede llegar a durar años.

Recomendados:  Informe IT Trends: 2020, el año de la consolidación digital Leer Ciberseguridad en 2020, ¿qué podemos esperar? Registro.  Tendencias TI 2020, visionando el futuro. Webinar ondemand.

Las organizaciones que se encuentren en esta situación no deben ser víctimas del pánico ya que aún pueden limitar los riesgos, incluso si no actualizan o migran los sistemas de forma inmediata, tomando algunas precauciones adicionales.

Según esta compañía, aún pueden proteger eficazmente sus sistemas, limitando la exposición, mientras que continúan evaluando el mejor curso de acción a largo plazo que puedan tomar.

Su primera recomendación es que apliquen guías de mejores prácticas para Windows Server 2008 R2 y Windows 7, publicadas por Microsoft. Además, siempre que sea posible, hay que deshabilitar SMBv1 y habilitar la firma de mensajes SMBv2. “Esto evitará muchos ataques de movimiento lateral, incluidos todos los que utilizan la familia de vulnerabilidades EternalBlue y muchas técnicas que se aprovechan de la retransmisión NTLM”, explica la firma.

En tercer lugar, recomienda cambiar la configuración de autenticación de red para bloquear el uso de métodos de autenticación obsoletos y débiles, como NTLMv1 y LanMan. Esto evitará muchos ataques de robo de tokens empleados por herramientas populares como Mimikatz.

Recomienda también reenviar todos los registros de eventos a un servidor centralizado y protegido para ayudar a las investigaciones sobre futuros incidentes de seguridad y reducir el riesgo de registros modificados.

Y, por último, segmentar para reforzar la seguridad: aprovechar la segmentación para limitar las opciones de ataque para el movimiento lateral. Al segmentar la red en partes lógicas, las organizaciones pueden reducir la superficie de ataque y disminuir el riesgo de verse comprometidas. Por ejemplo, en la mayoría de las redes corporativas, las máquinas corporativas no necesitan comunicarse entre sí. Con la microsegmentación, puede bloquearse fácilmente el tráfico entre máquinas dentro del mismo segmento evitando movimientos laterales rápidos.

“Aunque el uso de sistemas no compatibles nunca es una práctica recomendada, una planificación cuidadosa y una combinación de herramientas puede reducir significativamente el riesgo sobre el uso de estos sistemas obsoletos mientras planifica una actualización”, asegura Guardicore.