En esta serie de artículos de blog “Break the Attack Chain”, examinamos la manera en que los ciberdelincuentes comprometen nuestras defensas y se desplazan lateralmente por nuestras redes para escalar privilegios y conseguir su objetivo final.
Si el estado actual del panorama de amenazas pudiera resumirse con una frase, esta sería: los ciberdelincuentes ya no se infiltran, se conectan.
En lugar de dedicar tiempo a burlar nuestras defensas o de abrirse paso mediante ataques por fuerza bruta, los ciberdelincuentes actuales ponen el punto de mira en nuestros usuarios o, más concretamente, en sus preciadas identidades y credenciales.
Y este es el caso en prácticamente cada etapa de la cadena de ataque. Las identidades no solo son una manera increíblemente eficaz de infiltrarse en las organizaciones, sino que también permiten acceder a los datos más estratégicos y confidenciales. Como resultado, el juego del ratón y el gato de la ciberseguridad se parece cada vez más a una partida de ajedrez, en la que la estrategia tradicional de ataques relámpago deja paso a un modus operandi más metódico.
Los ciberdelincuentes son ahora expertos en desplazarse lateralmente a través de nuestras redes, comprometiendo a otros usuarios para escalar privilegios y preparar el terreno para conseguir su objetivo último.
Si bien este gambito táctico puede provocar daños importantes, también ofrece a los equipos de seguridad más oportunidades de detectar y frustrar los ataques. Si comprendemos la estrategia del ciberdelincuente desde el compromiso inicial hasta el impacto, podemos aplicar las protecciones adecuadas a lo largo de toda la cadena de ataque.
Conocimiento del repertorio de aperturas
Para continuar con la analogía del ajedrez, cuanto mejor conozcamos el repertorio de aperturas de nuestro adversario, mejor preparados estaremos para contraatacar.
En cuanto al desplazamiento lateral, podemos estar seguros de que la gran mayoría de los ciberdelincuentes elegirá el camino más fácil. ¿Por qué intentar atravesar las defensas y arriesgarse a ser descubiertos cuando es mucho más sencillo buscar credenciales almacenadas en el endpoint comprometido?
Podría tratarse de una búsqueda de archivos tipo “contraseña.txt”, credenciales de conexión a escritorio remoto (RDP, Remote Desktop Protocole) almacenadas o cualquier elemento de valor que pudiera estar en la papelera de reciclaje. No exageramos lo más mínimo, es así de aterradoramente simple. Para esta estrategia no se necesitan privilegios de administrador. Es poco probable que haga saltar las alarmas. Y, desafortunadamente, es de una eficacia impresionante.
En nuestros trabajos de investigación, hemos descubierto que uno de cada seis endpoints presenta riesgos asociados a las identidades que permiten a los ciberdelincuentes escalar privilegios y desplazarse lateralmente con esos datos. (Para obtener más información, consulte nuestro informe Análisis de los riesgos asociados a la identidad.)
En cuanto a los ataques a gran escala, DCSync se ha convertido en la herramienta de referencia. Los colectivos vinculados a Estados y muchos grupos de piratas informáticos la utilizan. Esta técnica está tan extendida que, si fuera una vulnerabilidad de día cero, los responsables de la seguridad pedirían a gritos un parche.
Sin embargo, puesto que en general se acepta que Active Directory es difícil de proteger, también se admite que las vulnerabilidades de este tipo seguirán existiendo.
Dicho de manera sencilla, un ataque DCSync permite a un ciberdelincuente simular el comportamiento de un controlador de dominio y recuperar datos de contraseñas de usuarios con privilegios en Active Directory. Y, una vez más, este tipo de ataque es increíblemente fácil de ejecutar.
Con un simple comando de PowerShell, los ciberdelincuentes pueden encontrar usuarios con los permisos que necesitan. Añada una herramienta lista para utilizar como Mimikatz y, en cuestión de segundos, pueden acceder a cada hash y privilegio de Active Directory en la red.
Controlar nuestra defensa
Las protecciones perimetrales tradicionales no tienen nada que hacer una vez que los ciberdelincuentes se han infiltrado nuestras organizaciones. En lugar de eso, debemos tomar las medidas necesarias para limitar el acceso de los atacantes a otros privilegios y animarlos a revelar sus desplazamientos.
Esto empieza por una evaluación de nuestro entorno. Proofpoint Identity Threat Defense ofrece transparencia total, lo que permite a sus equipos de seguridad identificar sus principales vulnerabilidades. Gracias a esa información, podemos reducir la superficie de ataque potencial reforzando las protecciones de los usuarios con privilegios y limpiando los endpoints para dificultar a los ciberdelincuentes el acceso a las identidades más preciadas.
Con Proofpoint Identity Threat Defense, podemos ejecutar automáticamente estos procesos para corregir las vulnerabilidades en tiempo real, incluso si los ciberdelincuentes ya se han desplazado lateralmente por nuestros entornos.
Ni que decir tiene que mientras los ciberdelincuentes estén detrás de nuestras defensas, no podemos estar tranquilos. Por lo tanto, además de limitar el riesgo de escalamiento, debemos incitar a los actores maliciosos a revelar sus herramientas, técnicas y procedimientos.
Para ello, podemos ampliar la superficie de ataque percibida. Proofpoint Identity Threat Defense utiliza más de 75 técnicas de engaño para imitar las credenciales, las conexiones, los datos, los sistemas y otros artefactos que interesan a los ciberdelincuentes.
Sabemos que la mayoría de los ciberdelincuentes elegirán el camino más fácil. Por tanto, podemos estar seguros de que se comerán nuestra reina si se lo ponemos fácil. Pero esta vez, activarán nuestras defensas, lo que nos permitirá obtener información sobre las conexiones comprometidas, capturas de pantalla de las actividades maliciosas y mucho más.
Este enfoque permite a los equipos de seguridad detectar y bloquear los desplazamientos laterales, y nos ofrece una vista desde la perspectiva del atacante. Podemos evaluar la cercanía de los ciberdelincuentes a los recursos estratégicos, cómo han llegado hasta ahí y cómo interactúan con nuestros datos de engaño. Toda esa información nos ayuda a reforzar nuestra estrategia defensiva para prepararnos para hacer frente a futuros ataques.
Más información
Vea este webinar para descubrir cómo romper la cadena de ataque y proteger a sus empleados con soluciones de seguridad centradas en las personas.
Obtenga más información sobre Proofpoint Identity Threat Defense, y vuelva la semana que viene para acceder a un análisis detallado de la última etapa de la cadena de ataque: ejecución e impacto.