¿No sería estupendo que todos los actores maliciosos firmaran una especie de Convención de Ginebra sobre ciberguerra que estableciera las reglas de la guerra y ordenara que los ataques deben realizarse contra una única unidad de negocio de una empresa?
Ya que estamos, podríamos añadir algunas normas más:
- Hay que avisar antes de actuar: una declaración de ciberguerra, por así decirlo.
- El atacante debe anunciar el lugar del ataque con al menos 24 horas de antelación
- El defensor puede marcar ciertas infraestructuras clave como fuera de los límites y no pueden ser atacadas
Esto simplificaría mucho la vida de los equipos azules.
Desgraciadamente, esto no ocurre, lo que significa que los equipos de seguridad necesitan visibilidad sobre cómo interactúan los usuarios con su infraestructura de TI a través de todos los medios.
Manténgase alerta durante todo el ciclo de vida del ataque
Si detecta a un actor malicioso intentando exfiltrar datos importantes de su base de datos de producción, no va a limitarse a cerrarla, limpiarse las manos del asunto y pasar a la siguiente tarea. Necesita ver cómo y dónde se infiltraron los atacantes y cerrarles el acceso. No podrá hacerlo si no puede conectar los puntos entre su cloud y su infraestructura de red.
Por eso, los ingenieros de seguridad de Vectra han creado una solución innovadora que ofrece una visión unificada de las cuentas en su red y en cloud.
Si un usuario sufre un spearphishing en Office 365 de forma que las credenciales robadas se utilizan para acceder a infraestructuras críticas, mostraremos esta información en una cuenta fusionada con contexto completo sobre lo que hizo el usuario, cuándo y por qué debería preocuparse.
Si alguien está realizando algunas operaciones de Exchange dudosas en Office 365, podemos mostrar rápidamente qué hosts ha visto esta cuenta en la red, para que puedas ver si ha habido alguna actividad sospechosa en estos hosts.
Al repasar algunos ataques recientes, queda claro que los atacantes no ven la red cloud nube ni siquiera como la más mínima barrera en la progresión de su ataque.
Aprovechamiento de herramientas legítimas para acciones maliciosas
Consideremos las acciones llevadas a cabo por APT 33: los atacantes comenzaron su ataque forzando credenciales débiles y luego aprovecharon las reglas de correo electrónico para pasar al endpoint. Una vez en el endpoint, aprovecharon las credenciales del mismo usuario para moverse lateralmente y hacer progresar el ataque. Si sus carteras de detección en la red y cloud están desvinculadas, puede perderse por completo la magnitud del ataque.
La superficie de ataque de Office 365 no se limita al acceso inicial. Los atacantes con acceso a Office 365 pueden abusar de SharePoint para corromper las carpetas compartidas y propagarse lateralmente a los endpoints mediante técnicas de secuestro de DLL o cargando malware. La misma funcionalidad de SharePoint utilizada para sincronizar archivos de usuario normales puede ejecutarse en cada endpoint para sincronizar con un único recurso compartido, evitando así las técnicas estándar de recopilación en red. Un ataque puede entonces, con unos pocos clics, establecer canales de exfiltración persistentes a través de flujos de Power Automate que pueden cargar datos desde cada endpoint infectado diariamente. Las oportunidades de este tipo son enormes y van en aumento.
Es posible que veas un problema en cloud nube en el que las credenciales de una cuenta fueron forzadas bruscamente seguido de la creación de nuevas reglas de correo electrónico, lo cual es malo, pero no terrible. Esto se debe a que también ha visto algún movimiento lateral en su red, lo que es mucho más preocupante ya que no tiene ni idea de cómo entraron los hackers. En Cognito, unir estas vistas significa que los analistas tienen una visibilidad temprana y completa, lo que les permite detener el ataque antes de que se muevan los datos o se produzcan daños.
Para descubrir cómo los atacantes están aprovechando Office 365, lea nuestro último informe destacado y descubra cómo la plataforma Cognito de Vectra le permite integrar visibilidad para detectar y responder a los atacantes en sus redes e implementaciones de Office 365.