La Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones informa de la actualización en el procedimiento de instalación de securización de servidores y equipos con fecha de 1 de febrero de 2022.
Debido a los ataques que diversas entidades del sector sanitario están recibiendo mediante código dañino, la Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones ruega encarecidamente extremar la vigilancia y las precauciones ante la posibilidad de ser abordados por ransomware. Llamamos vuestra atención sobre la necesidad de aplicar las siguientes instrucciones.
Instrucciones
A nivel técnico:
Paso 1. Mantener los dispositivos y aplicaciones actualizados: Contar con la última versión del navegador, sistema operativo, software o aplicación que utilicemos contribuirá a reforzar nuestra seguridad
Paso 2. Se debe verificar que el equipo está protegido con el antivirus corporativo Symantec Endpoint Protection, dispone de las últimas firmas publicadas y tiene el módulo IPS instalado y habilitado.
Paso 3. Es altamente recomendable verificar que está instalado el Agente EDR de Crowdstrike. En caso contrario, puede ver el procedimiento de instalación a continuación:
- Verificar incompatibilidad de versiones NO soportadas:
- All pre-GA versions/builds of Windows – Windows Insider Preview, beta, etc – unless specifically stated in a Release Note. Including but not limited to:
- Windows 11 Preview Builds
- Windows Server 2022 Preview Builds
- Windows 7 hosts without a CrowdStrike Extended Support subscription as of January 14, 2021 [https://supportportal.crowdstrike.com/s/article/SupportAnnouncement-Falcon-Sensor-Support-Policy-for-Windows-7-SP1-and-Windows-Server-2008-R2-SP1] .
- Windows Server 2008 R2 hosts without a CrowdStrike Extended Support subscription as of January 14, 2021
[https://supportportal.crowdstrike.com/s/article/Support-Announcement-Falcon-Sensor-Support-Policy-for-Windows-7-SP1-and-Windows-Server-2008-R2-
SP1] . - Windows Server 2008 (non-R2), which is based on the Vista kernel
- Windows Server Core, all versions other than 2016 and 2019
- Windows 10 64-bit v1511, aka Threshold 2
- Windows 10 64-bit v1703, aka Redstone 2 ("RS2")
- Windows 10 64-bit v1709, aka Redstone 3 ("RS3")
- Windows 10 64-bit v1803, aka Redstone 4 ("RS4")
- Windows 10 64-bit v1903, aka 19H1
- All 32-bit versions of Windows 10 not listed above
- All 32-bit versions of Windows 8.1
- All versions of Windows 8
- Container-based Windows OS solutions, including but not limited to Docker, are not currently supported.
- Windows Embedded Standard 7 is unsupported. This version is independent from Windows 7 Embedded POS Ready, which is the only Embedded version we
do support.
- All pre-GA versions/builds of Windows – Windows Insider Preview, beta, etc – unless specifically stated in a Release Note. Including but not limited to:
- IMPORTANTE Verificar que en el equipo donde se vaya a desplegar el EDR tiene comunicación con las siguientes urls y debe aparecer como resultado la palabra "ok":
- Verificar incompatibilidad de versiones NO soportadas:
EU-1
ts01-lanner-lion.cloudsink.net
lfodown01-lanner-lion.cloudsink.net
- Para Windows.
En Servidores NO CITRIX: Descargar el Instalable del sensor EDR para Windows y seguir las instrucciones que se indican en el fichero Readme-Server.txt
En Servidores CITRIX: Descargar el Instalable del sensor EDR para Windows y seguir las instrucciones que se indican en el fichero Readme-ServerCTX.txt
- Para Windows.
En PCs. Descargar el Instalable del sensor EDR para Windows y seguir las instrucciones que se indican en el fichero Readme-PC.txt
Descarga del sensor:
NOTA: Importante verificar los requisitos de comunicaciones antes de proceder a la instalación.
Procedimiento completo: Falcon Sensor for Windows Deployment _ Documentation _ Support _ Falcon.pdf.
- Para Linux.
- Verificar compatibilidad del Kernel en el procedimiento completo.
- Instalar con el comando apropiado según distribución (ver procedimiento completo). La instalación requiere privilegios de sudo.
- Establecer el CID que figura en el punto anterior.
- Establecer opciones de proxy si se requieren
- Establecer Grouping_Tags. Se recomienda usar la cadena “SERVERS_PROVINCIA” Sustituyendo provincia por la que corresponda.
- Para Linux.
Version Linux | Ejecutable sensor EDR |
|---|---|
| Debian | |
| RHEL_CentOS_Oracle6 | |
| RHEL_CentOS_Oracle7 | |
| RHEL_CentOS_Oracle8 | |
| Ubuntu |
NOTA: Importante verificar los requisitos de comunicaciones antes de proceder a la instalación.
Procedimiento completo: Falcon Sensor for Linux Deployment _ Documentation _ Support _ Falcon.pdf.
Paso 4. Incluir IOCs (Indicadores de Compromiso) en proxies y firewalls provinciales
Actualmente desde la USTIC estamos trabajando en un sistema de implementación automática de IOC para el ámbito de la seguridad corporativa en distintas líneas de servicios de seguridad (proxies, firewalls, EDR...)
Los proxies SQUID son los primeros elementos de seguridad en los que se están pilotando esta solución, mediante una servicio de descarga diaria de los IOC del repositorio de Andalucia-CERT e integración en listas de denegación de Ip y dominios.
Este repositorio de Andalucia-CERT, a su vez, proviene de los análisis de la cibertinteligencia de la herramienta REYES (CCN-CERT).
Los IOC que recomienda CCN-CERT, que corresponden a indicadores de explotación de la vulnerabilidad, ya están incluidos en REYES, por lo que se recomienda que se traten de manera automática a través de la ejecución del script preparado para tal efecto.
El script de configuración para la descarga e incorporación de los IOCs automática es el siguiente: ScriptIOCautomatic.sh . En este script hay que sustituir <password_ftp> por la clave. Contactar con ustic.stic.sspa@juntadeandalucia.es para el envío de dichas credenciales.
Para cualquier otra duda o consulta al respecto, puede ponerse en contacto con ustic.stic.sspa@juntadeandalucia.es.
Gracias por su atención. Reciba un cordial saludo,
Unidad de Seguridad TIC
Subdirección de Tecnologías de la Información y Comunicaciones
Servicio Andaluz de Salud