¿Qué es una cadena de ataque? Es una serie de pasos que habitualmente sigue un atacante al llevar a cabo una infracción.
Si bien la cadena puede incluir muchos pasos, hay cuatro pasos clave donde las credenciales con privilegios representan la base de un ataque. Estos incluyen:
OBTENER Y AMPLIAR EL ACCESO: Para acceder a la red, los usuarios internos podrían explotar las credenciales que ya poseen, mientras que los externos explotarán una vulnerabilidad en el sistema (por ej., mediante o un “spear phishing” o ataque de suplantación de identidad dirigido) para robar las credenciales necesarias.
AUMENTAR LOS PRIVILEGIOS: Una vez dentro, los atacantes a menudo tratarán de aumentar sus privilegios para poder emitir comandos que les permitan acceder a los recursos deseados.
INVESTIGAR Y MOVERSE LATERALMENTE: Los atacantes rara vez aterrizan en el lugar exacto donde se encuentran los datos que buscan (por ej., registros de tarjetas de crédito, información personal, etc.), de modo que tienen que investigar y moverse por la red para acercarse a su objetivo último.
OCASIONAR ESTRAGOS: Una vez que poseen las credenciales necesarias y han encontrado exactamente lo que buscaban, los atacantes tienen libertad para ocasionar estragos (por ej., robo, interrupción de las operaciones, etc.).
COMO PROTEGER SU EMPRESA
Evitar el acceso no autorizado: Si puede evitar que un usuario no autorizado interno o externo) obtenga acceso al sistema en primer lugar, puede detener un ataque incluso antes de que empiece. Una autenticación sólida es la mejor manera de proteger sus credenciales en este paso.
Para lograr una autenticación sólida, debe asegurarse de que:
todas las credenciales pasen por el mismo sistema de administración de identidades con privilegios.
el sistema de identidades con privilegios se integre con los almacenes de identidades existentes, como Active Directory o los directorios LDAP.
de alguna manera se implemente la autenticación multifactor (por ej., tokens de software en el teléfono inteligente, tarjetas de teclado físico, etc.).
se utilicen restricciones para el inicio de sesión, dependiendo de dónde y cuándo requieran acceso los usuarios (por ej., dirección IP u hora del día).
las credenciales estén protegidas en un almacén de datos cifrado y se roten periódicamente.
Limitar el aumento de privilegios, la investigación y el movimiento lateral: En muchas redes, es común que los usuarios tengan acceso a más recursos que los que en realidad necesitan en toda la red; lo cual significa que los atacantes pueden causar un máximo daño rápidamente e incluso los usuarios benignos pueden causar problemas inadvertidamente. Es por eso que los controles de acceso granulares son tan importantes.
Para evitar el acceso no autorizado, debe asegurarse de que:
una política de “confianza cero” obligue a los usuarios a autenticarse para luego otorgarles acceso solo a los sistemas que necesitan para hacer su trabajo.
los controles de acceso basados en roles y las capacidades de inicio de sesión único funcionen en concordancia para definir y presentar permisos a los usuarios cuando inician sesión.
las políticas se apliquen mediante filtros de comandos y listas blancas y negras que permitan un control preciso sobre lo que los usuarios pueden y no pueden hacer en un sistema.
se inhabiliten proactivamente los intentos de los usuarios de moverse lateralmente entre sistemas no autorizados.
Monitorear, registrar y auditar la actividad: Ya sea que se trate de un usuario interno de confianza que ingresó inadvertidamente al área equivocada o de un atacante con intenciones maliciosas, existe una buena probabilidad de que en algún punto los usuarios obtengan un acceso que no deberían. El desafío, entonces, es mejorar la visibilidad y el análisis en torno a la actividad de los usuarios en los sistemas confidenciales.
Para impedir las infracciones en esta última etapa de la cadena de ataque, debe asegurarse de que:
las sesiones de los usuarios se monitoreen, registren y graben permanentemente, de modo que puedan reproducirse tipo DVR.
se registren toda la actividad (gráfica y de texto) y todos los metadatos de la sesión, como por ej., cuándo se inició y cualquier intento de infracción de la política.
toda la actividad de la cuenta con privilegios se atribuya a un usuario específico, para evitar la confusión que puede suceder con las cuentas compartidas.
las capacidades analíticas incluyan la capacidad de detectar proactivamente cualquier conducta inapropiada mediante la integración de la actividad del usuario con privilegios con los datos SIEM existentes.
Fuente: ADMINISTRACIÓN DE ACCESOS CON PRIVILEGIOS – La clave para proteger su empresa en el auge actual de la ciberdelincuencia, CA Technologies.