Los ataques cibernéticos ahora rara vez los llevan a cabo atacantes técnicamente altamente calificados. Los métodos tradicionales de piratería, como decodificar el cifrado o infiltrarse en los cortafuegos, se están convirtiendo en algo del pasado. La anatomía de un ciberataque está cambiando.
Los delincuentes ya no piratean; simplemente inician sesión. Esto se debe a que las credenciales débiles, robadas o comprometidas crean un punto de entrada fácil para los actores maliciosos, incluso si tienen poca habilidad técnica.
Inicios de sesión robados de los empleados
La reciente brecha en Twitter, que secuestró decenas de cuentas de usuarios destacados, es un buen ejemplo de cómo se llevan a cabo los ciberataques en la actualidad. Según una investigación del gigante de las redes sociales, un joven de 17 años de Florida utilizó técnicas de ingeniería social para obtener las credenciales de un pequeño número de empleados de Twitter. Luego, el atacante pudo abusar de estos inicios de sesión para obtener acceso a un importante sistema interno. Y Twitter no está solo: Forrester estima que el 80 por ciento de las brechas de seguridad ahora se deben a credenciales comprometidas. Si un atacante secuestra una cuenta privilegiada, puede usarla para moverse extensamente y pasar desapercibido en la red durante mucho tiempo para filtrar datos confidenciales o causar interrupciones.
La ruta de ataque de los ciberdelincuentes
Cada ciberataque difiere en su motivación y el daño resultante. Sin embargo, todos los ataques contienen tres componentes básicos importantes que se aplican tanto a amenazas internas como externas. La siguiente es una descripción general de cómo se producen a menudo los ataques cibernéticos modernos:
1. Encuentra una forma de entrar
Como se mencionó, los delincuentes de hoy suelen hacer un mal uso de las credenciales comprometidas para sus ataques. Por lo general, utilizan técnicas de ingeniería social, como campañas de phishing, para robar las credenciales de inicio de sesión. Los piratas informáticos también se están aprovechando de los millones de credenciales filtradas que están a la venta en la dark web. Como resultado, los usuarios que usan contraseñas iguales o similares para varias cuentas están en riesgo si un atacante usa técnicas como el relleno de credenciales o la difusión de contraseñas.
2. Navegando por el sistema
Una vez en el sistema, el atacante intentará reconocer su entorno y escalar sus privilegios para moverse lateralmente en la red y acceder a infraestructuras más críticas con datos potencialmente valiosos. En esta etapa, los piratas informáticos intentan comprender su entorno observando los horarios de TI, las medidas de seguridad o los flujos de tráfico de la red. Los recursos de red, las cuentas privilegiadas, los controladores de dominio y Active Directory son los principales objetivos de los atacantes porque a menudo tienen credenciales privilegiadas.
3. Robo de datos y cobertura de pistas
Una vez que los atacantes sepan dónde obtener acceso a datos valiosos, buscarán formas de aumentar aún más sus privilegios de acceso para extraer esos datos y cubrir sus huellas. También pueden crear una puerta trasera, por ejemplo, creando una clave SSH para filtrar más datos en el futuro.
Las mejores prácticas para protegerse contra los ataques cibernéticos de hoy
Construir un perímetro sólido e invertir en un equipo de seguridad bien establecido sigue siendo fundamental. Sin embargo, a medida que los atacantes actuales explotan cada vez más las malas prácticas de contraseñas y las cuentas privilegiadas no seguras, las organizaciones deben adaptar su estrategia de seguridad a estas amenazas y centrarse en proteger las identidades y las credenciales.
Las credenciales privilegiadas compartidas deben clasificarse y colocarse en una bóveda de contraseñas para una gestión adecuada. Sin embargo, el almacenamiento por sí solo no es suficiente para defenderse contra el panorama dinámico de amenazas, que se ha expandido significativamente por la transformación digital y tiene superficies de ataque cada vez mayores, como la nube o DevOps.
Hacer cumplir el enfoque de privilegios mínimos
Por lo tanto, las empresas deben aplicar un enfoque de privilegios mínimos basado en las identidades individuales de humanos y máquinas. Además, requiere sistemas que verifiquen qué empleado o qué aplicación está solicitando acceso a los recursos y por qué motivo. Se debe determinar el riesgo del entorno de acceso respectivo y solo se deben otorgar permisos para el objeto de destino por el tiempo mínimo requerido. Aquí hay tres puntos que las empresas deben implementar en su estrategia de seguridad:
- Aplicar un enfoque de confianza cero: el modelo de confianza cero supone que los atacantes ya están en la red. Por lo tanto, no se debe confiar en ningún usuario o solicitud hasta que se verifique por completo. Solo se debe otorgar el acceso con privilegios mínimos, otorgando tantos permisos como sea necesario. Las arquitecturas de seguridad deben estructurarse para tener esto en cuenta.
- Aprovechamiento de la autenticación de múltiples factores para la gestión de acceso privilegiado: La autenticación de múltiples factores es un medio simple de seguridad y debe usarse donde sea que se eleve el privilegio, con zonas de acceso dedicadas que se suman a esa defensa.
- Aprendizaje automático para la conciencia de riesgos en tiempo real: los algoritmos de aprendizaje automático pueden monitorear el comportamiento de los usuarios privilegiados, identificar actividades anómalas y riesgosas y generar alertas para detener operaciones sospechosas.
Los ciberdelincuentes de hoy pueden tener habilidades técnicas sofisticadas o simplemente el conocimiento básico de script kiddies. Sin embargo, al implementar un sólido plan de administración de acceso privilegiado centrado en la identidad basado en los principios de Zero Trust, las organizaciones pueden proteger sus activos críticos contra la creciente ola de ataques y reducir significativamente el riesgo de una brecha de seguridad.
Más en Centrify.com
Acerca de Thycotic Centrify ThycoticCentrify es un proveedor líder de soluciones de seguridad de identidad en la nube que permiten la transformación digital a escala. Las soluciones de administración de acceso privilegiado (PAM) de ThycoticCentrify, líderes en la industria, reducen el riesgo, la complejidad y el costo al mismo tiempo que protegen los datos, los dispositivos y el código de la empresa en la nube, en las instalaciones y en entornos híbridos. ThycoticCentrify cuenta con la confianza de más de 14.000 100 empresas líderes en todo el mundo, incluidas más de la mitad de las XNUMX de Fortune. Los clientes incluyen las instituciones financieras más grandes del mundo, agencias de inteligencia y empresas de infraestructura crítica. Ya sea humano o máquina, en la nube o en las instalaciones, con ThycoticCentrify el acceso privilegiado es seguro.