¿Qué se puede aprender de los estudios de caso de Playbook 2021 de empresas que son víctimas de ciberataques? En una serie de artículos, los expertos de Sophos viajan al futuro y abordan varios aspectos específicos de la seguridad de TI para derivar recomendaciones que todos pueden implementar.
Como se detalla en Sophos Active Adversary Playbook 2021, a los atacantes les gusta usar las herramientas utilizadas por los administradores de TI y los profesionales de seguridad para dificultar la detección de acciones sospechosas. Muchas de estas herramientas son reconocidas por los productos de seguridad como "aplicaciones potencialmente no deseadas" o PUA (o RiskWare o RiskTool) para abreviar, pero son esenciales para que los equipos de TI las usen a diario. Para lidiar con esto, los administradores deben hacerse dos preguntas clave con respecto a la política de TI de la empresa: ¿Todos los usuarios deben poder usar estas utilidades y estas utilidades deben poder ejecutarse en todos los dispositivos?
¿Qué son las PUA?
Las PUAs son herramientas de administración integradas con un sistema operativo (por ejemplo, PowerShell) y brindan formas de automatizar y administrar dispositivos en una red. Además, existen herramientas adicionales de terceros que se usan comúnmente para ampliar la funcionalidad, como escaneo de puertos, captura de paquetes, secuencias de comandos, monitoreo, herramientas de seguridad, compresión y archivo, cifrado, depuración, pruebas de penetración, administración de redes y acceso remoto. La mayoría de estas aplicaciones se ejecutan con acceso de sistema o raíz.
Por qué la lista de exclusión de TI es problemática
Si su propio equipo de TI instala y utiliza internamente herramientas de administración, estas aplicaciones son herramientas útiles. Sin embargo, si otros usuarios hacen esto, se consideran PUAs y, a menudo, las soluciones de seguridad acreditadas para dispositivos finales los marcan como tales. Para permitirles el uso gratuito de estas herramientas, muchos administradores simplemente agregan las herramientas que usan a una lista global de exclusión o permiso en la configuración de seguridad de su terminal. Desafortunadamente, este método también permite que personas no autorizadas instalen y usen las herramientas, a menudo sin supervisión, alertas o notificaciones.
¿Cómo usan los ciberdelincuentes las PUAs?
Por lo tanto, las políticas de seguridad que permiten PUAs deben configurarse con cuidado. Porque un boleto gratuito de este tipo vale su peso en oro para los ciberdelincuentes y no hay información sobre el uso, la intención y el contexto de la herramienta.
Una vez que se ha excluido una herramienta, un actor de amenazas aún puede intentar instalarla y usarla, incluso si aún no está instalada en un dispositivo determinado. Sin embargo, la técnica de ataque conocida como “living off the land” requiere que los atacantes utilicen funciones y herramientas existentes para evitar ser detectados durante el mayor tiempo posible. Permiten a los actores realizar detección, acceso a credenciales, escalada de privilegios, evasión de defensa, persistencia, movimiento de red de lado a lado, recolección y exfiltración sin agitar una sola bandera roja.
Permitir PUAs en la empresa solo en modo controlado
El primer paso es comprobar las excepciones globales vigentes en la empresa:
- ¿Son necesarios?
- ¿Se da una razón para la exclusión, o "siempre estuvo ahí"? Los responsables deben investigar por qué la solución de seguridad detectó la PUA en primer lugar: ¿podría ya usarse de forma maliciosa?
- ¿Realmente las exclusiones tienen que aplicarse a TODOS los servidores y dispositivos finales?
- ¿Sigue siendo necesaria la herramienta de administración o se puede relegar a una función integrada?
- ¿Necesita más de una herramienta para lograr el mismo resultado?
Basándose en numerosos estudios de casos, Sophos recomienda permitir PUAs solo de forma muy controlada: aplicación específica, máquinas específicas, tiempos precisos y usuarios seleccionados. Esto se puede lograr a través de una póliza con la exclusión requerida, que también se puede eliminar nuevamente si es necesario. Cualquier uso detectado de PUAs que no se espera debe investigarse, ya que puede indicar que un ciberdelincuente ya ha obtenido acceso a los sistemas.
Más en Sophos.com
Acerca de Sophos Sophos cuenta con la confianza de más de 100 millones de usuarios en 150 países. Ofrecemos la mejor protección contra amenazas informáticas complejas y pérdida de datos. Nuestras soluciones integrales de seguridad son fáciles de implementar, usar y administrar. Ofrecen el costo total de propiedad más bajo de la industria. Sophos ofrece soluciones de cifrado galardonadas, soluciones de seguridad para terminales, redes, dispositivos móviles, correo electrónico y web. También cuenta con el soporte de SophosLabs, nuestra red global de centros de análisis patentados. Las oficinas centrales de Sophos se encuentran en Boston, EE. UU. y Oxford, Reino Unido.