Escalada de privilegios
La escalada de privilegios, una técnica que utilizan los atacantes para obtener acceso no autorizado a sistemas y datos aprovechando fallos o debilidades de diseño para elevar su nivel de acceso, se erige como una importante amenaza para la seguridad. A menudo sirve de trampolín para ataques más amplios, permitiendo a los adversarios obtener información sensible, desplegar malware, u obtener acceso persistente a la red de una organización. Comprender la mecánica de la escalada de privilegios y aplicar contramedidas sólidas es esencial para reforzar las defensas de ciberseguridad.
- Según un informe, más del 80% de las brechas de seguridad están relacionadas con el uso indebido de credenciales privilegiadas, lo que subraya la importancia de protegerse contra la escalada de privilegios. (Fuente: Forrester)
- Una encuesta reveló que el 70% de las organizaciones creen que la protección contra la escalada de privilegios es un componente crítico de su estrategia de ciberseguridad. (Fuente: CyberArk)
Cómo utilizan los atacantes las credenciales de privilegio
Los atacantes aprovechan las credenciales privilegiadas para moverse dentro de las redes y nubes, explotando los débiles controles de seguridad y las vulnerabilidades de las aplicaciones. Los defensores pueden vigilar de forma proactiva las actividades maliciosas, rastrear a los atacantes y aplicar medidas preventivas para proteger las cuentas y configuraciones privilegiadas.
Cuando los atacantes se hacen con credenciales privilegiadas, pueden acceder a una amplia gama de recursos de red y de cloud sin utilizar malware ni activar alarmas. Aunque aplicar niveles de privilegios estrictos puede ayudar, los ataques recientes han demostrado que sigue siendo un reto importante.
Para abordar el problema del uso indebido de credenciales robadas, es importante detectar cuándo se está produciendo. Sin embargo, esto no es fácil porque los atacantes pueden camuflarse utilizando permisos legítimos y acciones que no son necesariamente nuevas o sospechosas. Confiar simplemente en alertas de actividades nuevas o inusuales no será eficaz en estos entornos dinámicos.
Para identificar y combatir eficazmente el uso indebido de credenciales, se necesita un enfoque orientado a la seguridad. Este enfoque tiene en cuenta las acciones específicas que un atacante pretende realizar con las credenciales robadas. Al comprender sus objetivos, podemos detectar y prevenir mejor el uso indebido de credenciales privilegiadas.
Detección del abuso de credenciales de privilegio
Vectra puede identificar el uso indebido de credenciales de privilegio robadas tanto en entornos de red como en cloud . El núcleo de este enfoque de detección basado en la seguridad es la comprensión de lo que hacen los atacantes con las credenciales robadas. El valor de las credenciales privilegiadas para un atacante es la capacidad de acceder a servicios y funcionalidades considerados de alto valor y privilegiados en el entorno.
Los investigadores de seguridad de Vectra identificaron que si se conociera el privilegio real de cada cuenta, máquina host, servicio y operación de cloud , se tendría un mapa de todos los recursos de alto valor que existen. Aunque los conceptos de privilegio concedido están bien establecidos, esta representación proporciona un límite superior de cuál es el verdadero privilegio de algo en comparación con el privilegio mínimo necesario. En su lugar, el equipo de investigación de seguridad y el equipo de ciencia de datos de Vectra identificaron una nueva forma de representar el valor de los sistemas en un entorno basándose en lo observado a lo largo del tiempo. Esta visión dinámica y fundamentada del valor se denomina privilegio observado. Esta visión del privilegio basada en datos proporciona un enfoque eficaz de confianza cero para el uso de credenciales sin configuraciones manuales.
Redefinición de la evaluación de privilegios mediante el análisis de patrones de acceso
La IA de Vectra calcula el privilegio observado teniendo en cuenta las interacciones históricas entre las entidades rastreadas, no el privilegio definido por un administrador de TI. La amplitud y especificidad del acceso y el uso contribuyen en gran medida a las puntuaciones. Un sistema que accede a varios sistemas a los que normalmente acceden otros sistemas tendrá un privilegio bajo, mientras que un sistema que accede a un gran número de sistemas a los que no acceden otros tendrá una puntuación de privilegio alta. Este enfoque permite a Vectra diferenciar entre cuentas de administrador de dominio y cuentas de usuario normales.
Una vez calculadas las puntuaciones de privilegios observadas, se mapean todas las interacciones entre cuentas, servicios, hosts y operaciones de cloud para comprender las interacciones históricas normales entre sistemas. A continuación, un conjunto de algoritmos de aprendizaje no supervisado que tienen en cuenta las puntuaciones de privilegios identifican los casos anómalos de abuso de privilegios, para lo que se utilizan algoritmos de detección de anomalías personalizados e implementaciones de agrupación espacial jerárquica basada en la densidad de aplicaciones con ruido (HDBSCAN).
Los resultados de este sofisticado enfoque basado en la seguridad son la capacidad de identificar credenciales robadas de las que se abusa tanto en cloud como en redes locales. La métrica de privilegios observados centra la detección en las acciones anómalas que importan y permite una mayor precisión y recuperación que un enfoque que ignore esta perspectiva crítica.
Prevenir la escalada de privilegios es un componente crítico para mantener una postura de ciberseguridad segura y resistente. Vectra AI proporciona soluciones avanzadas que pueden ayudar a detectar, prevenir y responder a los intentos de escalada de privilegios, asegurando que los activos digitales de su organización permanezcan protegidos. Póngase en contacto con nosotros para saber cómo podemos ayudarle a reforzar sus defensas frente a ciberamenazas sofisticadas.