Plataforma de automatización de tareas PowerShell, de la que a menudo abusan los actores de amenazas que distribuyen malware, también se puede utilizar para la detección y prevención de ataques. Este es el consejo que la Agencia de Seguridad Nacional de EE. UU. (NSA) dio recientemente a los administradores de sistemas de todo el mundo.

Junto con los centros de seguridad cibernética en el Reino Unido y Nueva Zelanda, la NSA publicó un aviso de seguridad en el que argumenta que bloquear PowerShell, una práctica de seguridad común, en realidad reduce las capacidades defensivas de las organizaciones contra Secuestro de datos y otras formas de ciberataques.

En su lugar, los administradores del sistema deberían usarlo para mejorar su análisis forense y la respuesta a incidentes, así como para automatizar tantas tareas repetitivas como sea posible.

Numerosas recomendaciones

“El bloqueo de PowerShell dificulta las capacidades defensivas que pueden proporcionar las versiones actuales de PowerShell y evita que los componentes del sistema operativo Windows funcionen correctamente. Las versiones recientes de PowerShell con capacidades y opciones mejoradas pueden ayudar a los defensores a contrarrestar el abuso de PowerShell”, afirmó la NSA.

El aviso viene con una serie de recomendaciones, incluido el aprovechamiento de la comunicación remota de PowerShell o el uso del protocolo Secure Shell (SSH) para mejorar la seguridad de la autenticación de clave pública.

“La configuración adecuada de WDAC o AppLocker en Windows 10+ ayuda a evitar que un actor malicioso obtenga el control total sobre una sesión de PowerShell y el host”, explica el documento.

Los administradores del sistema también pueden buscar señales de abuso en sus puntos finales registrando la actividad de PowerShell y los registros de monitoreo.

El aviso también recomienda que los administradores activen funciones como el registro profundo de bloques de scripts, el registro de módulos o la transcripción por encima del hombro, ya que los primeros crean un registro. base de datos útil para detectar actividad agresiva de PowerShell.

Este último permite a los administradores registrar cada entrada y salida de PowerShell, obteniendo una mejor comprensión de los objetivos de los atacantes.

“PowerShell es esencial para proteger el sistema operativo Windows”, concluyó la NSA, y agregó que, con una configuración y administración adecuadas, puede ser una gran herramienta para el mantenimiento y la seguridad del sistema.

Artículos relacionadosMás del autor