Anatomía de un ciberataque moderno

10 de mayo de 2021
| No hay comentarios
Anatomía de un ciberataque moderno

Compartir publicación

Los ataques cibernéticos ahora rara vez los llevan a cabo atacantes técnicamente altamente calificados. Los métodos tradicionales de piratería, como decodificar el cifrado o infiltrarse en los cortafuegos, se están convirtiendo en algo del pasado. La anatomía de un ciberataque está cambiando.

Los delincuentes ya no piratean; simplemente inician sesión. Esto se debe a que las credenciales débiles, robadas o comprometidas crean un punto de entrada fácil para los actores maliciosos, incluso si tienen poca habilidad técnica.

Inicios de sesión robados de los empleados

La reciente brecha en Twitter, que secuestró decenas de cuentas de usuarios destacados, es un buen ejemplo de cómo se llevan a cabo los ciberataques en la actualidad. Según una investigación del gigante de las redes sociales, un joven de 17 años de Florida utilizó técnicas de ingeniería social para obtener las credenciales de un pequeño número de empleados de Twitter. Luego, el atacante pudo abusar de estos inicios de sesión para obtener acceso a un importante sistema interno. Y Twitter no está solo: Forrester estima que el 80 por ciento de las brechas de seguridad ahora se deben a credenciales comprometidas. Si un atacante secuestra una cuenta privilegiada, puede usarla para moverse extensamente y pasar desapercibido en la red durante mucho tiempo para filtrar datos confidenciales o causar interrupciones.

La ruta de ataque de los ciberdelincuentes

Cada ciberataque difiere en su motivación y el daño resultante. Sin embargo, todos los ataques contienen tres componentes básicos importantes que se aplican tanto a amenazas internas como externas. La siguiente es una descripción general de cómo se producen a menudo los ataques cibernéticos modernos:

1. Encuentra una forma de entrar

Como se mencionó, los delincuentes de hoy suelen hacer un mal uso de las credenciales comprometidas para sus ataques. Por lo general, utilizan técnicas de ingeniería social, como campañas de phishing, para robar las credenciales de inicio de sesión. Los piratas informáticos también se están aprovechando de los millones de credenciales filtradas que están a la venta en la dark web. Como resultado, los usuarios que usan contraseñas iguales o similares para varias cuentas están en riesgo si un atacante usa técnicas como el relleno de credenciales o la difusión de contraseñas.

2. Navegando por el sistema

Una vez en el sistema, el atacante intentará reconocer su entorno y escalar sus privilegios para moverse lateralmente en la red y acceder a infraestructuras más críticas con datos potencialmente valiosos. En esta etapa, los piratas informáticos intentan comprender su entorno observando los horarios de TI, las medidas de seguridad o los flujos de tráfico de la red. Los recursos de red, las cuentas privilegiadas, los controladores de dominio y Active Directory son los principales objetivos de los atacantes porque a menudo tienen credenciales privilegiadas.

3. Robo de datos y cobertura de pistas

Una vez que los atacantes sepan dónde obtener acceso a datos valiosos, buscarán formas de aumentar aún más sus privilegios de acceso para extraer esos datos y cubrir sus huellas. También pueden crear una puerta trasera, por ejemplo, creando una clave SSH para filtrar más datos en el futuro.

Las mejores prácticas para protegerse contra los ataques cibernéticos de hoy

Construir un perímetro sólido e invertir en un equipo de seguridad bien establecido sigue siendo fundamental. Sin embargo, a medida que los atacantes actuales explotan cada vez más las malas prácticas de contraseñas y las cuentas privilegiadas no seguras, las organizaciones deben adaptar su estrategia de seguridad a estas amenazas y centrarse en proteger las identidades y las credenciales.

Özkan Topal, director de ventas de ThycoticCentrificar

Las credenciales privilegiadas compartidas deben clasificarse y colocarse en una bóveda de contraseñas para una gestión adecuada. Sin embargo, el almacenamiento por sí solo no es suficiente para defenderse contra el panorama dinámico de amenazas, que se ha expandido significativamente por la transformación digital y tiene superficies de ataque cada vez mayores, como la nube o DevOps.

Hacer cumplir el enfoque de privilegios mínimos

Por lo tanto, las empresas deben aplicar un enfoque de privilegios mínimos basado en las identidades individuales de humanos y máquinas. Además, requiere sistemas que verifiquen qué empleado o qué aplicación está solicitando acceso a los recursos y por qué motivo. Se debe determinar el riesgo del entorno de acceso respectivo y solo se deben otorgar permisos para el objeto de destino por el tiempo mínimo requerido. Aquí hay tres puntos que las empresas deben implementar en su estrategia de seguridad:

  • Aplicar un enfoque de confianza cero: el modelo de confianza cero supone que los atacantes ya están en la red. Por lo tanto, no se debe confiar en ningún usuario o solicitud hasta que se verifique por completo. Solo se debe otorgar el acceso con privilegios mínimos, otorgando tantos permisos como sea necesario. Las arquitecturas de seguridad deben estructurarse para tener esto en cuenta.
  • Aprovechamiento de la autenticación de múltiples factores para la gestión de acceso privilegiado: La autenticación de múltiples factores es un medio simple de seguridad y debe usarse donde sea que se eleve el privilegio, con zonas de acceso dedicadas que se suman a esa defensa.
  • Aprendizaje automático para la conciencia de riesgos en tiempo real: los algoritmos de aprendizaje automático pueden monitorear el comportamiento de los usuarios privilegiados, identificar actividades anómalas y riesgosas y generar alertas para detener operaciones sospechosas.

Los ciberdelincuentes de hoy pueden tener habilidades técnicas sofisticadas o simplemente el conocimiento básico de script kiddies. Sin embargo, al implementar un sólido plan de administración de acceso privilegiado centrado en la identidad basado en los principios de Zero Trust, las organizaciones pueden proteger sus activos críticos contra la creciente ola de ataques y reducir significativamente el riesgo de una brecha de seguridad.

Más en Centrify.com

 

Acerca de Thycotic Centrify

ThycoticCentrify es un proveedor líder de soluciones de seguridad de identidad en la nube que permiten la transformación digital a escala. Las soluciones de administración de acceso privilegiado (PAM) de ThycoticCentrify, líderes en la industria, reducen el riesgo, la complejidad y el costo al mismo tiempo que protegen los datos, los dispositivos y el código de la empresa en la nube, en las instalaciones y en entornos híbridos. ThycoticCentrify cuenta con la confianza de más de 14.000 100 empresas líderes en todo el mundo, incluidas más de la mitad de las XNUMX de Fortune. Los clientes incluyen las instituciones financieras más grandes del mundo, agencias de inteligencia y empresas de infraestructura crítica. Ya sea humano o máquina, en la nube o en las instalaciones, con ThycoticCentrify el acceso privilegiado es seguro.

 

Artículos relacionados con el tema

Seguridad informática: NIS-2 la convierte en una máxima prioridad

Sólo en una cuarta parte de las empresas alemanas la dirección asume la responsabilidad de la seguridad informática. Especialmente en empresas más pequeñas ➡ Leer más

Los ciberataques aumentarán un 104 por ciento en 2023

Una empresa de ciberseguridad ha analizado el panorama de amenazas del año pasado. Los resultados proporcionan información crucial sobre ➡ Leer más

El software espía móvil representa una amenaza para las empresas

Cada vez más personas utilizan dispositivos móviles tanto en la vida cotidiana como en las empresas. Esto también reduce el riesgo de "descarga móvil". ➡ Leer más

La seguridad colaborativa identifica muchas vulnerabilidades

La seguridad colaborativa ha aumentado significativamente en el último año. En el sector público se reportaron un 151 por ciento más de vulnerabilidades que el año anterior. ➡ Leer más

Seguridad digital: los consumidores son los que más confían en los bancos

Una encuesta sobre confianza digital mostró que los bancos, la atención médica y el gobierno son los sectores en los que más confían los consumidores. Los medios de comunicación- ➡ Leer más

Bolsa de trabajo en la Darknet: los piratas informáticos buscan información privilegiada renegada

La Darknet no es sólo un intercambio de bienes ilegales, sino también un lugar donde los hackers buscan nuevos cómplices. ➡ Leer más

Sistemas de energía solar: ¿qué tan seguros son?

Un estudio examinó la seguridad informática de los sistemas de energía solar. Los problemas incluyen falta de cifrado durante la transferencia de datos, contraseñas estándar y actualizaciones de firmware inseguras. tendencia ➡ Leer más

Nueva ola de phishing: los atacantes utilizan Adobe InDesign

Actualmente hay un aumento de los ataques de phishing que abusan de Adobe InDesign, un sistema de publicación de documentos conocido y confiable. ➡ Leer más

Stories
, , , ,