La NSA advierte contra un error tonto en la lucha contra el malware de Windows

Plataforma de automatización de tareas PowerShell, de la que a menudo abusan los actores de amenazas que distribuyen malware (se abre en una pestaña nueva), también se puede utilizar para la detección y prevención de ataques. Este es el consejo que la Agencia de Seguridad Nacional de EE. UU. (NSA) dio recientemente a los administradores de sistemas de todo el mundo.

Junto con los centros de ciberseguridad en el Reino Unido y Nueva Zelanda, la NSA publicó un aviso de seguridad en el que argumenta que bloquear PowerShell, una práctica de seguridad común, en realidad reduce las capacidades defensivas de las organizaciones contra el ransomware. (se abre en una pestaña nueva) y otras formas de ciberataques.

En cambio, los administradores del sistema deberían usarlo para mejorar su análisis forense y la respuesta a incidentes, así como para automatizar tantas tareas repetitivas como sea posible.

Numerosas recomendaciones

“El bloqueo de PowerShell dificulta las capacidades defensivas que pueden proporcionar las versiones actuales de PowerShell y evita que los componentes del sistema operativo Windows funcionen correctamente. Las versiones recientes de PowerShell con capacidades y opciones mejoradas pueden ayudar a los defensores a contrarrestar el abuso de PowerShell”, afirmó la NSA.

El aviso viene con una serie de recomendaciones, incluido el aprovechamiento de la comunicación remota de PowerShell o el uso del protocolo Secure Shell (SSH) para mejorar la seguridad de la autenticación de clave pública.

“La configuración adecuada de WDAC o AppLocker en Windows 10+ ayuda a evitar que un actor malicioso obtenga el control total sobre una sesión de PowerShell y el host”, explica el documento.

Los administradores del sistema también pueden buscar señales de abuso en sus terminales. (se abre en una pestaña nueva) registrando la actividad de PowerShell y los registros de monitoreo.

El aviso también recomienda que los administradores activen funciones como el registro profundo de bloques de scripts, el registro de módulos o la transcripción por encima del hombro, ya que el primero crea una base de datos de registro, útil para detectar actividad agresiva de PowerShell.

Este último permite a los administradores registrar cada entrada y salida de PowerShell, obteniendo una mejor comprensión de los objetivos de los atacantes.

“PowerShell es esencial para proteger el sistema operativo Windows”, concluyó la NSA, y agregó que, con una configuración y administración adecuadas, puede ser una gran herramienta para el mantenimiento y la seguridad del sistema.

Vía BleepingComputer (se abre en una pestaña nueva)

Fuente

Publicación anterior

Publicación siguiente

La NSA advierte contra un error tonto en la lucha contra el malware de Windows

Software imprescindible en 2024

Categorías superiores

Últimas opiniones

El video teaser del Samsung Galaxy Z Flip 5, antes del evento Galaxy Unpacked, muestra un nuevo diseño de bisagra y opciones de color

Twitter está limitando la cantidad de DM que los usuarios no verificados pueden enviar

Mi teléfono Android favorito puede hacer cosas que mi iPhone 14 Pro Max no puede

ChatGPT para Android se lanzará la próxima semana y puede registrarse previamente ahora

Xiaomi Smart TV 32A, Smart TV 40A, Smart TV 43A con Google TV, altavoces de 20 W lanzados en India: Precio, especificaciones

Esta batería comestible podría impulsar el mundo del diagnóstico y la energía sostenible