Si algo hemos aprendido de la historia de las ciberamenazas es que las reglas del juego cambian continuamente. Los ciberdelincuentes mueven ficha. Nosotros actuamos para defendernos. Entonces los ciberdelincuentes mueven ficha de nuevo.
Actualmente, este nuevo movimiento representa la vulnerabilidad de las identidades. El atacante sabe que, aunque la red y todos los endpoints y dispositivos estén protegidos, si consiguen acceder a una cuenta con privilegios pueden poner en riesgo todos los recursos de una empresa.
Además, no faltan las oportunidades para hacerlo. En las empresas uno de cada seis endpoints está en riesgo de vulneración de identidad, según se descubrió en un estudio para el informe de investigación Análisis de los riesgos asociados a la identidad (AIR) de Proofpoint.
“Vaya, pues sí que se ha escalado rápidamente”.
El último Data Breach Investigation Report (Informe sobre las investigaciones de fugas de datos) de Verizon destaca los riesgos de ataques complejos que implican la intrusión en los sistemas. Además, subraya la necesidad de frenar al atacante una vez que ha accedido a su entorno. Tras conseguir acceder, buscará formas de escalar los privilegios y mantener la persistencia. Después intentará encontrar vías que le permitan desplazarse por la empresa para conseguir sus objetivos, sean cuales sean.
El problema se agrava porque gestionar las identidades y los sistemas en la empresa es una tarea compleja. A esto se suma la complicación que presentan los continuos cambios en las cuentas y en sus configuraciones.
Los atacantes cada vez se centran más en la usurpación de cuentas con identidades con privilegios, lo que les permite comprometer la empresa de manera fácil y rápida, especialmente si se compara con la cantidad de tiempo, esfuerzo y coste que se requiere para aprovechar una vulnerabilidad de software (o CVE).
Prevemos que esta tendencia continúe dado que con las usurpaciones de cuentas el tiempo de permanencia del atacante se ha reducido de meses a días. Además, para los atacantes, el riesgo de ser detectados antes de llevar a cabo el delito es mínimo.
¿Cómo pueden responder los responsables de TI y de la seguridad y sus equipos? Sería conveniente aplicar un enfoque basado en volver a lo básico.
Poner el foco en la protección de las identidades
Los equipos de seguridad trabajan sin descanso para proteger toda su infraestructura (redes, sistemas y endpoints) y continúan avanzando por la pila para proteger también las aplicaciones. Nosotros ahora debemos fijarnos en cómo mejorar la forma de proteger las identidades. Por eso hoy día es fundamental contar con una estrategia de detección y respuesta a amenazas para la identidad (ITDR).
Solemos platearnos la seguridad en términos de batalla. Siguiendo esta analogía, la identidad sería la siguiente “fortaleza” que debemos defender. Como hicimos en otras fortalezas (la red, los endpoints y las aplicaciones), debemos aplicar prácticas básicas de ciberhigiene y seguridad para evitar los riesgos en cuanto a las identidades.
Aunque es importante utilizar controles de prevención y detección, la ciberhigiene es fundamental. (Y además, su despliegue cuesta menos). En otras palabras, para defender contra las amenazas para la identidad, debemos tener presente que más vale prevenir que curar.
La identidad como un tipo de recurso de gestión de vulnerabilidades
Las empresas deben abordar la corrección de las vulnerabilidades para las identidades que más ataques sufren de forma igual o similar a la de los millones de vulnerabilidades en otros tipos de recursos (la red, hosts, aplicaciones, etc.).
Es necesario tratar el riesgo para las identidades como un tipo de recurso. Su gestión debe incluirse en el proceso para priorizar las vulnerabilidades que deben corregirse. Para ello, es imprescindible tener la capacidad de analizar el entorno de manera continua para descubrir las identidades vulnerables en este momento y averiguar por qué están en riesgo.
Proofpoint Spotlight™ ofrece una solución que facilita:
- El descubrimiento continuo de amenazas para la identidad y la gestión de vulnerabilidades.
- Su priorización automatizada en función del riesgo que implican.
- Visibilidad del contexto de cada vulnerabilidad.
Y Spotlight ofrece corrección de las vulnerabilidades totalmente automatizada, sin riesgos de interrupción de la actividad empresarial.
Priorización de los esfuerzos de corrección en los distintos tipos de recursos
La mayoría de las empresas tienen millones de vulnerabilidades en sus distintos tipos de recursos. Por lo tanto, es fundamental priorizar los esfuerzos para gestionar las amenazas y las vulnerabilidades. La mayoría de las vulnerabilidades representan un riesgo limitado. Los factores principales para determinar la priorización son:
- La importancia del recurso vulnerable para la empresa.
- La probabilidad de que una amenaza explote la vulnerabilidad.
- La intensidad y la eficacia de los controles de compensación que mitigan el riesgo asociado con la vulnerabilidad.
Una vez que considere estos factores, los riesgos para las identidades y las vulnerabilidades asociadas con las identidades con privilegios suelen ocupar uno de los primeros puestos en la lista de prioridades.
Los ciberdelincuentes pueden usar cuentas con privilegios para causar daños a los sistemas más importantes de una empresa. Las probabilidades de que estas cuentas se aprovechen en un ataque han aumentado, ya que ahora son el objetivo principal de muchos ciberdelincuentes. Además, la mayoría de las usurpaciones de cuentas pasan desapercibidas, por lo que es evidente que contar con suficientes controles de compensación no mitiga el riesgo de estas vulnerabilidades.
La buena noticia es que muchas vulnerabilidades descubiertas en identidades con privilegios se pueden corregir fácilmente. Un método es eliminar las credenciales no seguras de los endpoints. Esto no tiene comparación con el esfuerzo necesario para corregir las vulnerabilidades de software (CVE) que puede incluir costosos cambios de código y pruebas de regresión completas.
La gestión de vulnerabilidades y amenazas para la identidad es un control de compensación para muchas vulnerabilidades CVE no corregidas, ya que los ciberdelincuentes utilizan con frecuencia dichas vulnerabilidades para facilitar las primeras tácticas en el ataque. A continuación, aún tienen que conseguir escalar los privilegios.
Por este motivo, la corrección de las vulnerabilidades en las identidades ofrece un control de compensación para muchas CVE no corregidas que, si no se solucionan las vulnerabilidades, puede evitar que el atacante escale los privilegios y avance hacia sus objetivos.
Webinar: Identity Is the New Attack Surface (La identidad es la nueva superficie de ataque)
Vea nuestro webinar bajo demanda para ampliar la información sobre este tema y escuchar a nuestros expertos en seguridad que hablarán sobre cómo la IDTR puede ayudarle a superar las vulnerabilidades en las identidades.
Consiga su copia gratuita de New Perimeters
Descubra cómo conocer sus identidades vulnerables y de riesgo puede ayudarle a romper la cadena de ataque en New Perimeters–Identity Is the New Attack Surface.