Los atacantes aprovechan las credenciales privilegiadas para moverse dentro de las redes y nubes, explotando los débiles controles de seguridad y las vulnerabilidades de las aplicaciones. Los defensores pueden vigilar de forma proactiva las actividades maliciosas, rastrear a los atacantes y aplicar medidas preventivas para proteger las cuentas y configuraciones privilegiadas.
Cuando los atacantes se hacen con credenciales privilegiadas, pueden acceder a una amplia gama de recursos de red y cloud sin utilizar malware ni activar alarmas. Aunque aplicar niveles de privilegios estrictos puede ayudar, los ataques recientes han demostrado que sigue siendo un reto importante.
Para abordar el problema del uso indebido de credenciales robadas, es importante detectar cuándo se está produciendo. Sin embargo, esto no es fácil porque los atacantes pueden camuflarse utilizando permisos legítimos y acciones que no son necesariamente nuevas o sospechosas. Confiar simplemente en alertas de actividades nuevas o inusuales no será eficaz en estos entornos dinámicos.
Para identificar y combatir eficazmente el uso indebido de credenciales, se necesita un enfoque orientado a la seguridad. Este enfoque tiene en cuenta las acciones específicas que un atacante pretende realizar con las credenciales robadas. Al comprender sus objetivos, podemos detectar y prevenir mejor el uso indebido de credenciales privilegiadas.
Vectra puede identificar el uso indebido de credenciales de privilegio robadas tanto en entornos de red como de cloud . El núcleo de este enfoque de detección basado en la seguridad es la comprensión de lo que hacen los atacantes con las credenciales robadas. El valor de las credenciales privilegiadas para un atacante es la capacidad de acceder a servicios y funcionalidades considerados de alto valor y privilegiados en el entorno.
Los investigadores de seguridad de Vectra identificaron que si se conocieran los privilegios reales de cada cuenta, máquina host, servicio y operación cloud nube, se tendría un mapa de todos los recursos de alto valor que existen. Aunque los conceptos de privilegio concedido están bien establecidos, esta representación proporciona un límite superior de cuál es el verdadero privilegio de algo en comparación con el privilegio mínimo necesario. En su lugar, el equipo de investigación de seguridad y el equipo de ciencia de datos de Vectra identificaron una nueva forma de representar el valor de los sistemas en un entorno basándose en lo observado a lo largo del tiempo. Esta visión dinámica y fundamentada del valor se denomina privilegio observado. Esta visión del privilegio basada en datos proporciona un enfoque eficaz de confianza cero para el uso de credenciales sin configuraciones manuales.
La IA de Vectra calcula el privilegio observado teniendo en cuenta las interacciones históricas entre las entidades rastreadas, no el privilegio definido por un administrador de TI. La amplitud y especificidad del acceso y el uso contribuyen en gran medida a las puntuaciones. Un sistema que accede a varios sistemas a los que normalmente acceden otros sistemas tendrá un privilegio bajo, mientras que un sistema que accede a un gran número de sistemas a los que no acceden otros tendrá una puntuación de privilegio alta. Este enfoque permite a Vectra diferenciar entre cuentas de administrador de dominio y cuentas de usuario normales.
Una vez calculadas las puntuaciones de privilegios observadas, se mapean todas las interacciones entre cuentas, servicios, hosts y operaciones cloud para comprender las interacciones históricas normales entre sistemas. A continuación, un conjunto de algoritmos de aprendizaje no supervisado que tienen en cuenta las puntuaciones de privilegios identifican los casos anómalos de abuso de privilegios, para lo que se utilizan algoritmos de detección de anomalías personalizados e implementaciones de agrupación espacial jerárquica basada en la densidad de aplicaciones con ruido (HDBSCAN).
Los resultados de este sofisticado enfoque basado en la seguridad son la capacidad de identificar credenciales robadas de las que se abusa tanto en cloud como en las redes locales. La métrica de privilegios observados centra la detección en las acciones anómalas que importan y permite una mayor precisión y recuperación que un enfoque que ignore esta perspectiva crítica.
Prevenir la escalada de privilegios es un componente crítico para mantener una postura de ciberseguridad segura y resistente. Vectra AI proporciona soluciones avanzadas que pueden ayudar a detectar, prevenir y responder a los intentos de escalada de privilegios, garantizando que los activos digitales de su organización permanezcan protegidos. Póngase en contacto con nosotros para saber cómo podemos ayudarle a reforzar sus defensas frente a ciberamenazas sofisticadas.
La escalada de privilegios se produce cuando un atacante obtiene acceso elevado no autorizado a recursos que normalmente están protegidos de una aplicación o usuario. Esto puede ocurrir a través de dos vectores principales: la escalada vertical, en la que un usuario obtiene privilegios de nivel superior, y la escalada horizontal, en la que un usuario amplía su acceso a través del mismo nivel de privilegios.
Los atacantes ejecutan la escalada de privilegios aprovechando vulnerabilidades en el software, configuraciones erróneas o fallos de diseño dentro de los sistemas. Entre los métodos más comunes se encuentran la explotación de servicios mal configurados, el uso de credenciales robadas, el aprovechamiento de vulnerabilidades no parcheadas o la utilización de permisos de archivo inseguros.
Los signos pueden incluir: Comportamiento inusual del sistema o problemas de rendimiento. Cambios no autorizados en la configuración o los archivos del sistema. Detección de procesos desconocidos que se ejecutan con privilegios elevados. Registros de auditoría que muestren intentos de acceso o cambios de privilegios inesperados.
Las organizaciones pueden protegerse contra la escalada de privilegios mediante: Parcheando y actualizando regularmente los sistemas para corregir vulnerabilidades conocidas. Empleando el principio del mínimo privilegio para las cuentas de usuario y las aplicaciones. Supervisando y auditando las actividades de los usuarios y los cambios del sistema para detectar patrones inusuales. Implantar controles de acceso estrictos y autenticación multifactor. Realizar evaluaciones periódicas de la seguridad para detectar y mitigar posibles puntos débiles.
Aunque el software antivirus puede detectar ciertos tipos de malware que podrían utilizarse en ataques de escalada de privilegios, es posible que no identifique la escalada real de privilegios. Emplear medidas de seguridad adicionales, como sistemas de detección de intrusiones (IDS) y plataformas de gestión de eventos e información de seguridad (SIEM), es crucial para una supervisión exhaustiva.
La educación de los usuarios desempeña un papel fundamental al concienciarlos sobre los riesgos de los ataques phishing , la ingeniería social y las prácticas informáticas inseguras que podrían conducir al robo de credenciales o a una escalada involuntaria de privilegios. Es más probable que los usuarios formados sigan las mejores prácticas de seguridad y reconozcan las amenazas potenciales.
Las organizaciones deben responder a un incidente de escalada de privilegios de la siguiente manera: Conteniendo inmediatamente los sistemas afectados para evitar nuevos accesos no autorizados o daños. Investigar el incidente para determinar la causa y el alcance de la violación. Revocar los privilegios elevados obtenidos por el atacante y restablecer las credenciales afectadas. Corregir las vulnerabilidades o errores de configuración que permitieron la escalada. Revisar y mejorar las políticas y controles de seguridad para prevenir futuros incidentes.
Las herramientas que pueden ayudar a detectar los intentos de escalada de privilegios incluyen soluciones de supervisión de la seguridad como SIEM, IDS, sistemas de detección y respuesta de puntos finales (EDR) y soluciones de gestión de acceso privilegiado (PAM) que supervisan los cambios no autorizados en los privilegios.
El concepto de "zero trust" se relaciona con la prevención de la escalada de privilegios operando sobre el principio de que no se debe confiar por defecto en ningún usuario o sistema, independientemente de su ubicación o de si se encuentran dentro del perímetro de la red. La aplicación de la zero trust implica una verificación estricta y controles de acceso de mínimo privilegio, lo que reduce significativamente la superficie de ataque para la escalada de privilegios.
Los entornos Cloud nube son susceptibles de sufrir ataques de escalada de privilegios, a menudo debido a errores de configuración, controles de acceso inadecuados o credenciales comprometidas. Garantizar unas sólidas prácticas de seguridad cloud , incluidas las políticas de gestión de identidades y accesos (IAM), y una supervisión continua, es vital para las aplicaciones y servicios cloud.