1 Asegúrese de tener la mejor protección,

Que incluye un firewall moderno de alto rendimiento de próxima generación con IPS, inspección TLS, sandboxing de día cero y protección contra ransomware de aprendizaje automático.
2 Bloquear RDP y otros servicios con su firewall.

Su firewall debería poder restringir el acceso a los usuarios de VPN e incluir direcciones IP autorizadas en la lista blanca.
3 Reducir la superficie de ataque tanto como sea posible revisando y revisando a fondo todas las reglas de reenvío de puertos para eliminar cualquier puerto abierto no esencial. Cada puerto abierto representa una potencial apertura en su red. Siempre que sea posible, utilice VPN para acceder a los recursos de la red interna desde el exterior en lugar del reenvío de puertos.
4 Asegúrese de asegurar adecuadamente los puertos abiertos aplicando una protección IPS adecuada a las reglas que rigen ese tráfico.
5 Habilitar la inspección TLS con soporte para los últimos estándares TLS 1.3 sobre tráfico web para garantizar que las
amenazas no ingresen a su red a través de flujos de tráfico cifrados.
6 Minimizar el riesgo de movimiento lateral dentro de la red segmentando las LAN en zonas aisladas más pequeñas o VLAN que están aseguradas y conectadas entre sí por el firewall. Asegúrese de aplicar políticas IPS adecuadas a las reglas que rigen el tráfico que atraviesa estos segmentos de LAN para evitar que los exploits, gusanos y bots se propaguen entre los segmentos de LAN.
7 Aísle automáticamente los sistemas infectados. Cuando se produce una infección, es importante que su solución de seguridad de TI pueda identificar rápidamente los sistemas comprometidos y aislarlos automáticamente hasta que se puedan limpiar (como con Sophos Synchronized Security).
8 Utilice contraseñas seguras y autenticación multifactor para su gestión remota
y herramientas de intercambio de archivos para que no se vean comprometidas fácilmente por herramientas de piratería de fuerza bruta.