El año 2020 supuso un maremoto de retos para las empresas de todos los sectores, desde la sanidad a la hostelería, pasando por la aviación. Todas las organizaciones se vieron obligadas a adaptar algún aspecto de su estrategia, ya fuera reduciendo el gasto, recortando personal, contratando a lo loco o cambiando los modelos operativos.
Transformación digital ante una plantilla a distancia
Aunque el impacto de la pandemia de COVID-19 de 2020 en la industria tecnológica es inferior al de otros sectores, se produjeron cambios significativos. Muchas organizaciones se vieron obligadas a poner en marcha y acelerar iniciativas de transformación digital para atender a una mano de obra remota desplegada rápidamente.
Las organizaciones que habían invertido mucho en desarrollar y crear sólidas arquitecturas de seguridad locales tuvieron que transformar y actualizar significativamente su estrategia de seguridad para protegerse de las amenazas en los activos utilizados fuera de las paredes de la oficina. De hecho, una de las mayores conclusiones y lecciones aprendidas en materia de seguridad en 2020 es que la seguridad de la protección de los dispositivos de los empleados, su interacción con Internet y el acceso a las aplicaciones corporativas debe poder viajar con ellos, independientemente de dónde se encuentren en un momento dado.
Impacto en el panorama de la seguridad con la adopción de Cloud y el SaaS
Como resultado directo de las iniciativas aceleradas de trabajo desde casa, la adopción y el uso diario de aplicaciones cloud y SaaS (software como servicio) se dispararon en 2020, presentando muchas amenazas nuevas. Los ataques dirigidos a cuentas de usuarios de SaaS y de cloud se encontraban entre los problemas de mayor crecimiento y prevalencia para las organizaciones, incluso antes de que COVID-19 forzara el amplio y rápido cambio al trabajo remoto.
Con el aumento del uso de software cloud por parte de las organizaciones, aplicaciones como Office 365 dominaron el espacio de la productividad. La plataforma Office 365 contaba con más de 250 millones de usuarios activos al mes y se convirtió en la base del intercambio, almacenamiento y comunicación de datos empresariales, lo que la convirtió en un tesoro increíblemente rico para los atacantes.
No es de extrañar, por tanto, que Office 365 se convirtiera en el objetivo de los atacantes en 2020, provocando enormes pérdidas económicas y de reputación, a pesar de la creciente adopción de la autenticación multifactor y otros controles de seguridad destinados a servir de barrera a los atacantes. Entre las infracciones que afectaron a Office 365, el robo de cuentas fue la técnica de ataque que más rápido creció y la más frecuente.
Herramientas explotadas por los atacantes en el entorno Office 365
Los atacantes ahora se centran en la toma de cuentas en lugar de comprometer el correo electrónico para obtener acceso inicial en un entorno. Según un estudio reciente, el movimiento lateral es la categoría más común de comportamiento sospechoso dentro de los entornos de Office 365, seguido de cerca por los intentos de establecer comunicación de comando y control. Dos herramientas de Office 365 que han surgido como valiosas para los atacantes son Power Automate y eDiscovery Compliance Search.
Microsoft Power Automate, anteriormente Microsoft Flow, automatiza las tareas cotidianas de los usuarios tanto en Office 365 como en Azure y está activado por defecto en todos los inquilinos de Office 365. Puede reducir el tiempo y el esfuerzo de los usuarios a la hora de realizar ciertas tareas, pero al igual que ocurre con PowerShell, los atacantes también suelen querer automatizar tareas. Con más de 350 conectores de aplicaciones disponibles, las opciones para los ciberatacantes que utilizan Power Automate son muy amplias. Office 365 eDiscovery Compliance Search permite buscar información en todo el contenido de Office 365 mediante un simple comando. Todas estas técnicas se utilizan activamente en la actualidad, y con frecuencia se emplean juntas a lo largo del ciclo de vida del ataque.
Sin duda, el número de amenazas dirigidas a los usuarios de Office 365 y otras plataformas similares seguirá creciendo en 2021. Tradicionalmente, la identificación del uso indebido del acceso de los usuarios se ha abordado mediante enfoques basados en la prevención y centrados en políticas, o se ha basado en alertas que identificaban las amenazas potenciales a medida que se producían, lo que dejaba poco tiempo para responder adecuadamente. Estos enfoques heredados seguirán fallando, ya que solo muestran que se está utilizando una cuenta autorizada para acceder a los recursos y no proporcionan ninguna información más profunda sobre cómo o por qué se están utilizando los recursos y si el comportamiento observado podría ser útil para un atacante.
En 2021, los equipos de seguridad deben centrarse en implementar medidas que proporcionen una visión más detallada de cómo sus usuarios utilizan acciones privilegiadas -conocidas como privilegio observado- dentro de aplicaciones SaaS como Office 365. Esto se traduce en comprender cómo acceden los usuarios a los recursos de Office 365 y desde dónde. Se trata de comprender los patrones de uso y los comportamientos, no de definir políticas de acceso estáticas.
Nunca se insistirá lo suficiente en la importancia de vigilar el uso indebido del acceso de los usuarios a los datos de SaaS, dada su prevalencia en los ataques del mundo real. Las plataformas SaaS son un paraíso para el movimiento lateral de los atacantes, por lo que es fundamental vigilar el acceso de los usuarios a cuentas y servicios.
Medidas de seguridad y consideraciones para el futuro
De cara a 2021, ¿cuáles son otras consideraciones de seguridad para las que deben prepararse las organizaciones? La inversión de la red corporativa seguirá siendo predominante, ya que muchas empresas de todo el mundo se centran en adoptar una estructura de trabajo híbrida o completamente remota más permanente para aumentar la productividad, reducir los gastos generales y proporcionar a los empleados una mayor flexibilidad. Ya no se trata de que los datos altamente sensibles y confidenciales sólo se mantengan en las instalaciones, donde se hace un pequeño número de excepciones en las políticas de cortafuegos de protección para permitir la comunicación saliente.
En 2021, la desperimetrización de las redes de las organizaciones se aceptará por fin como norma, algo que se viene anticipando desde hace años y que la pandemia ha acelerado. Uno de los principales indicadores de ello son las empresas que se están deshaciendo de Active Directory (arquitectura heredada local) y trasladando todas sus identidades a Azure AD (una moderna tecnología cloud).
Una de las mejores cosas que puede hacer una organización para prepararse para los retos de seguridad en 2021 es invertir en detección y respuesta en red (NDR) y ofrecer acceso a los usuarios a través de una arquitecturaZero Trust . Las empresas deben pensar en dónde se encuentran sus datos más importantes (muy probablemente en cloud y en las aplicaciones SaaS) y determinar la eficacia de su equipo de seguridad para localizar a los atacantes desde todos estos lugares antes de que causen daños sustanciales.
Para descubrir cómo NDR y Zero Trust ayudarán a las organizaciones a alcanzar estos objetivos, programe una demostración hoy mismo.