Los ciberataques acaparan los titulares de todo el mundo y el ruido que provocan parece no tener fin. Peor que el ruido es, por supuesto, el daño que estos ataques están causando a las organizaciones afectadas, que evidentemente necesitan cambiar algunos de sus comportamientos y estrategias para ayudar a cerrar la brecha.
Teniendo esto en cuenta, y para entender mejor cómo una organización aumenta sus posibilidades de sufrir una brecha, he reunido algunas ideas:
- Céntrese en aumentar sus entornos complejos con nuevos tipos de puntos finales y conexiones a cloud . ¿Dónde empieza su red? ¿Dónde termina? ¿Quién puede conectarse a ella? ¿Traiga su propio dispositivo (BYOD)? Variedad de dispositivos. COVID-19. Existen numerosos puntos de entrada junto con servicios cloud y SaaS en los que se intercambian datos.
- Hackers más sofisticados movidos por incentivos monetarios de sindicatos del crimen organizado, hacktivismo por motivos políticos, robo de propiedad intelectual patrocinado por el Estado nacional. ¿Cómo protegerse de los atacantes patrocinados por el Estado que disponen de tiempo y recursos ilimitados? Lo conseguirán.
- Los ataques de baja intensidad y gran habilidad son notoriamente difíciles de detectar. El uso de distintos oscurecedores del mecanismo de transporte malware y del origen del ataque dificulta la visión completa. ¿Tiene una visión holística de su postura de seguridad?
- Tratar de descifrar malware en retrospectiva e intentar aprender nuevos patrones de ataques es reactivo. Incluso el sandbox y el análisis de registros requieren un patrón conocido e instrucciones sobre qué buscar. Hemos visto nuevos tipos de ataques revolucionarios como SolarWinds/SUNBURST, Hafnium, Sodinikibi, Stuxnet con un enfoque totalmente nuevo, que abarca entornos en local, cloud y SaaS.
- Código mal escrito o vulnerable, puertas traseras no reveladas y certificados de firma robados o agrietados. Se han robado certificados raíz y se han utilizado para firmar malware como paquetes legítimos. Incluso Windows Update ha sido corrompido.
Entrar en la mente de un agresor
Considere este escenario: Un atacante aterriza en un punto final aleatorio de su organización. ¿Cuál es su primer objetivo? En primer lugar, tendrá que identificar en qué parte de la organización se encuentra y, a continuación, rastrear el endpoint en busca de información almacenada en caché. Esto podría incluir:
- Las credenciales se almacenan temporalmente en la memoria y se guardan en el navegador
- Archivos compartidos conectados
- Controladores de dominio conectados
- Historial de navegación a recursos de SharePoint (que puede incluir credenciales guardadas)
- Vulnerabilidades que explotar para convertirse en administrador local
Antes de hacer su siguiente movimiento, por supuesto, tendrán que evitar activar el antivirus o dejar cualquier tipo de rastro.
El sigilo es el nombre del juego, pero ¿hacia dónde?
Necesitan establecer múltiples formas de permanecer dentro de la red corporativa para poder moverse lateralmente. También vale la pena señalar que atacar las infraestructuras de red y de cloud híbrida puede ser muy eficaz para mantenerse persistente. Una vez establecido esto, ¡empieza el juego! Serán capaces de:
- Recoger credenciales, especialmente administrativas
- Intentar conectarse a los servicios que utiliza el usuario
- Evitar la exploración, especialmente entre segmentos con cortafuegos.
- Encontrar servicios vulnerables accesibles que explotar
- Utilizar credenciales robadas para desplazarse con herramientas informáticas habituales: escritorio remoto, SSH, PowerShell, etc. Forzar credenciales fuera de línea y en línea, como Azure AD, etc.
Ahora bien, el reconocimiento pasa por observar y aprender, pero ¿cuáles son los objetivos principales para el atacante?
- Obtener acceso privilegiado a la infraestructura, la red on-prem, la cloud y SaaS. Esto podría proporcionar oportunidades para lanzar estafas phishing o ingeniería social e incluso permitirles establecer acceso a otros empleados o socios.
- Expandirse por la infraestructura, lo que podría significar propagar malware, obtener acceso elevado y establecer un mayor control de las cuentas comprometidas.
- Ejecutar el objetivo y robar o destruir activos clave. Además de localizar activos clave, trabajarán para agregar datos, robar propiedad intelectual, transferir fondos o incluso interrumpir la continuidad del negocio lanzando ataques DDoS o ransomware. Y, antes de salir de la red, podrían incluso minar Bitcoin si la oportunidad lo permite.
Lo sé, son muchos daños en el último paso. Pero la buena noticia es que si podemos detectar y detener a un atacante antes de este punto, tenemos muchas posibilidades de que no se produzca ningún daño real.
Pero, ¿y si el atacante no es detectado o ha logrado sus objetivos?
Pueden borrar sus pruebas, copias de seguridad, registros y archivos maliciosos. Tenga en cuenta que el ransomware es eficaz para desviar la atención y cifrar pruebas. No solo eso, sino que los futuros accesos también pueden venderse en la dark web.
Como todos hemos visto en los titulares, a menudo es "demasiado poco y demasiado tarde" y lo único que te queda son muchas preguntas.
- ¿Cuál era el punto de entrada?
- ¿Iban a robar, sabotear o extorsionar?
- ¿Quién me ataca, con qué recursos cuenta y qué le mueve?
- ¿Puedo mejorar mis protecciones, detecciones, rutinas o concienciación de los usuarios para evitarlo?
Entonces, ¿qué necesitas?
Las operaciones de seguridad deben empezar a construir la próxima generación de centros de operaciones de seguridad (SOC), o SOC v2.0 si se prefiere. El razonamiento que subyace al concepto de SOC v2.0 es que las medidas actuales -y el modo en que se construyen las operaciones de seguridad, con una rotación continua de recursos clave, sobrecarga de información y herramientas tecnológicas aisladas- suponen un riesgo para la seguridad, aunque algunas de las herramientas sean adecuadas.
Construir un SOC v2.0 significa un enfoque más asequible, menos dependiente de un gran número de personas, que detecta los ataques más rápidamente, introduce la automatización, nuevas técnicas analíticas y está preparado para la batalla contra los ataques nunca vistos. Esté atento a un próximo post en el que profundizaremos en el SOC v2.0.
Para obtener más información sobre cómo puede ayudar a su organización a evitar costosas infracciones, aproveche nuestros recursos sobre protección contra ransomware, vea cómo Vectra puede elevar la visibilidad de su SOC o póngase en contacto con nosotros para programar una demostración.