Ya se trate de ataques cibernéticos bien publicitados en organizaciones gubernamentales o de ransomware generalizados que amenazan con detener las operaciones comerciales, los atacantes siguen apuntando a las credenciales privilegiadas como un medio rápido y fácil de alcanzar activos críticos y robar datos confidenciales.
Sobre la base de lo aprendido de trabajar con organizaciones que han sufrido una brecha importante, una vez que los atacantes entran en la red – a menudo a través de phishing de destino y contraseñas débiles – deben encontrar una manera de moverse a través de la red y escalar los privilegios para completar su misión . El robo de credenciales privilegiadas – o tomar el «camino privilegiado» – es la forma más común de hacer esto. Como resultado, la obtención de credenciales privilegiadas es una de las primeras acciones que toman las organizaciones después de un incumplimiento.
En el panorama actual de la amenaza cibernética, todas las organizaciones son susceptible a una brecha. Además, cada violación nos enseña más sobre lo que podemos y debemos hacer antes de ser atacados para prevenir o reducir el impacto. Utilizar estas lecciones para establecer un plan realista para lograr «Quick wins» de manera de priorizar la reducción de riesgos, cuantificar los progresos y retener el apoyo de la gerencia ejecutiva y de la Junta, es de vital importancia. Se llama a esto un sprint – la primera etapa de un programa de seguridad a largo plazo.
¿Y qué si tuviera que comenzar su propio sprint de seguridad cibernética – implementando rápidamente medidas de seguridad proactivas obtenidas de la dura suerte de otros? ¿Dónde comenzarías como organización?
Sobre la base de una investigación realizada con Global 1000 CISOs y ejecutivos de seguridad de las principales organizaciones que han experimentado grandes brechas de datos, se ha desarrollado un marco que se puede implementar rápidamente para ayudar a cerrar el acceso a privilegios y reducir significativamente la superficie de ataques a cuentas privilegiadas. Este marco prioriza la implementación de controles para proteger las credenciales privilegiadas y obtener resultados tangibles en un plazo de 30 días. Desde allí, armados con estos rápidos y demostrables éxitos, las organizaciones pueden escalar esfuerzos y convertir el sprint en un programa de seguridad sostenible.
Para los atacantes, las cuentas privilegiadas se consideran la primera opción obvia para ampliar su alcance dentro de una organización. La mayoría de las empresas se han centrado principalmente en la implementación de controles de seguridad para mantener a los atacantes fuera de su red. Sin embargo, la experiencia ha demostrado que encontrarán un camino más allá de estas defensas perimetrales y una vez dentro, usarán credenciales privilegiadas secuestradas para moverse por toda la red y completar su misión.
El marco de sprint se centra en el entorno de Windows, en lo que los atacantes saben, quieren y no tienen que escribir sofisticados programas maliciosos para obtener – las cuentas administrativas de Active Directory (AD) y los equipos miembros. Comenzar con este pequeño conjunto de cuentas específicas permitirá la implementación de controles clave, sin requerir grandes inversiones en tiempo, recursos e tecnología.
Los primeros cuatro controles a implementar para proteger rápidamente sus cuentas más potentes (y más vulnerables) incluyen:
Las estaciones de trabajo empresariales (usadas para correo electrónico, navegación web y más) son frecuentemente el punto de infiltración inicial para los atacantes. Para limitar la exposición de las credenciales privilegiadas, la administración de Active Directory y computadores miembros sólo debe permitirse desde un entorno de confianza sin acceso a Internet y con un control estricto de las aplicaciones que se pueden ejecutar. Este entorno sirve como una barrera entre el activo sensible y la estación de trabajo, negando al atacante la capacidad de robar credenciales privilegiadas.
La autenticación multifactorial (AMF) es vital para detener a los atacantes, especialmente para los usuarios privilegiados. Si un atacante logra comprometer una credencial, la AMF puede impedir que pueda usarla para infligir daño.
Idealmente, las organizaciones deben tener el menor número posible de cuentas privilegiadas para minimizar la superficie de ataque y para simplificar la administración de identidad. La realidad está lejos de este ideal, ya que los años de controles débiles han llevado a la proliferación de cuentas y privilegios. El sprint prioriza la eliminación de cuentas de administrador de dominio y de empresa innecesarias, ya que estos privilegios se extienden comúnmente y representan el mayor riesgo para la empresa.
Una de las claves para defender el camino privilegiado es romper el ciclo donde el movimiento lateral lleva a la escalada de privilegios. Esto se hace mediante máquinas de «nivelación» (controladores de dominio> servidores> estaciones de trabajo) y rechazando las credenciales utilizadas en un nivel de máquinas que se utilizarán en un nivel diferente. Por ejemplo, las cuentas de administrador de dominio sólo deben utilizarse para administrar controladores de dominio, no servidores o estaciones de trabajo. La implementación de este control restringe la escalada de privilegios, evitando que el atacante comprometa una credencial en un nivel y aproveche la credencial para acceder a un activo en otro.
La adopción de una «mentalidad de sprint» – aplicar rápidamente las lecciones de los incumplimientos y priorizar eficazmente – son algunos de los factores más importantes para lograr una rápida reducción del riesgo. Este esfuerzo intensivo de 30 días para implementar controles de seguridad específicos establece el marco para todo lo que sucede durante la vida del programa de seguridad de cuentas privilegiadas. Es la primera métrica clave del éxito.
Impulsado por este impulso, su equipo puede dirigir su atención a la siguiente etapa del programa de seguridad. Esto suele implicar la ampliación de los cuatro controles básicos a más cuentas dentro de la empresa y el aumento de la profundidad de los controles, eliminando las cuentas privilegiadas personales o eliminando contraseñas incrustadas en las aplicaciones, por ejemplo, y formalizando el programa para garantizar un mantenimiento continuo y soporte para estas nuevas Controles.
Mientras que comenzar el sprint puede parecer abrumador, un buen comienzo puede transformarse rápidamente en éxito y crear un marco repetible que se pueda utilizar para demostrar métricas reales y resiliencia de la empresa.
Fuente: https://www.helpnetsecurity.com/2017/07/17/cybersecurity-sprint/