Su forma de comprender las rutas de ataque

Su forma de comprender las rutas de ataque


La complejidad de los sistemas de TI empresariales ha aumentado significativamente en los últimos 10 años, primero con el cambio de sistemas locales fijos a la nube y, más recientemente, con el crecimiento de las aplicaciones web y los servicios basados ​​en la nube que ofrecen servicios nuevos y más eficientes. oportunidades de negocio.

Si bien algunas organizaciones más pequeñas pueden estar completamente basadas en la nube, la gran mayoría de las organizaciones tienen una combinación de TI local, nube o nube híbrida, y utilizan sistemas y aplicaciones web de terceros para servicios internos o orientados al cliente.

Si bien esto ha resultado en aumentos significativos en el rendimiento y la eficiencia, también ha creado complejidad, tanto técnica como organizativamente, ya que las partes externas, como los proveedores de servicios en la nube y los desarrolladores, tienen responsabilidades de seguridad por el software o los servicios que brindan.

Los atacantes se han vuelto más sofisticados durante el mismo período, con ataques dirigidos que generalmente utilizan múltiples vulnerabilidades para establecerse, escalar sus privilegios y luego pasar a otros hosts y servidores dentro de la red.

Entonces habrá aún más explotación de vulnerabilidades para mantener la persistencia: estas vulnerabilidades no serán solo vulnerabilidades de software, sino que podrían ser fallas en la configuración de la nube o en la gestión de identidad y acceso (IAM) o el resultado de un ataque en una cadena de suministro puede ser un software. o proveedor de servicios.

Estos pueden abordarse hasta cierto punto con análisis de vulnerabilidades y aplicaciones automatizadas de validación de políticas en la nube que validan las configuraciones contra una política general, pero nunca pueden eliminarse.

El marco MITRE ATT&CK identifica nueve técnicas principales que utilizan los atacantes para obtener acceso.

La mayoría de estos, como el compromiso de la web, la explotación de aplicaciones de cara al público, el phishing externo, la replicación a través de medios extraíbles, el uso de cuentas robadas, solo brindan acceso a nivel de usuario.

Esto permite que el atacante acceda a la información disponible para el usuario, pero no otorga acceso completo. Para hacer esto, el atacante debe explotar una vulnerabilidad para escalar privilegios y convertirse en administrador para escapar de ese primer host y otro para establecerse en un segundo host o servidor.

Del mismo modo, al alojar aplicaciones web, explotar una vulnerabilidad o una configuración incorrecta en una aplicación web externa podría permitir el acceso a una base de datos subyacente o el acceso directo al sistema operativo y, por lo tanto, a otros sistemas mediante la explotación de otras vulnerabilidades.

Si bien los sistemas internos y de cara al cliente deben mantenerse separados, a menudo este no es el caso y es posible pasar de una plataforma o sistema a otro.

La conexión más probable será un sistema IAM compartido, especialmente si las contraseñas de dominio de Windows de los usuarios se comparten en diferentes sistemas, lo que no es raro. Sin embargo, cuando hay una conexión entre dos sistemas, una configuración deficiente o vulnerabilidades no mitigadas podrían permitir que un atacante cambie entre ellos.

Sin un inventario preciso de activos y conexiones, que debe estar actualizado en todo momento, este riesgo no puede abordarse adecuadamente.

«Si hay una conexión entre dos sistemas, una configuración deficiente o vulnerabilidades no mitigadas podrían permitir que un atacante cambie entre ellos».

Paddy Francis, Seguridad Cibernética de Airbus

Una vez que esto esté en su lugar, el primer paso en la gestión de este riesgo debe ser la zonificación/segmentación con un seguimiento adecuado del tráfico entre zonas. Esto debe ir seguido de análisis de vulnerabilidades regulares y parches para eliminar las vulnerabilidades encontradas o, cuando no sea posible aplicar parches, mitigar las vulnerabilidades para que no puedan ser explotadas. Esto se puede hacer a nivel de la vulnerabilidad individual o una mitigación a nivel del sistema que aborde múltiples vulnerabilidades.

Para la nube, las configuraciones incorrectas se pueden identificar utilizando herramientas que pueden validar las configuraciones contra una política de seguridad de alto nivel, que puede corregir las configuraciones incorrectas de la nube. Esto supone, por supuesto, que existe una política para la herramienta que se está revisando.

Para aplicaciones web u otro desarrollo de software personalizado, las reglas de codificación de seguridad y el uso de análisis de código estático y dinámico como parte del ciclo de prueba de DevOps ayudan a eliminar problemas comunes como el desbordamiento del búfer y las vulnerabilidades de secuencias de comandos entre sitios.

Inevitablemente, habrá vulnerabilidades que no se pueden reparar o mitigar, y configuraciones incorrectas desconocidas. Entonces, se debe hacer algo por las cosas que no se pueden arreglar o que no conoces.

Si aún no está implementada, la autenticación multifactor (MFA) para el acceso del administrador, el acceso remoto a redes privadas virtuales y el acceso a otros sistemas confidenciales ayuda a reducir la escalada de privilegios y el uso de credenciales robadas, por ejemplo, por rastreadores de contraseñas, registradores de teclas, etc.

El uso de zonificación y monitoreo adicional también puede ayudar a crear defensas a nivel de sistema para vulnerabilidades conocidas e identificar o evitar que se exploten vulnerabilidades y configuraciones desconocidas al limitar el tráfico entre zonas a los niveles esperados y se monitoreará la reducción del tráfico entre zonas para identificar posibles actividades de explotación. .

Finalmente, una prueba de penetración independiente en el sistema demostraría la mitigación de vulnerabilidades conocidas y también podría identificar configuraciones incorrectas, pero no podrá identificar vulnerabilidades desconocidas.

Los sistemas de TI más grandes de hoy tienden a ser complejos y, a menudo, se construyen pieza por pieza a lo largo del tiempo. Esto generalmente conduce a vulnerabilidades y configuraciones incorrectas a través de muchas reconfiguraciones de dispositivos y sistemas y la introducción de nuevas aplicaciones y servicios. Es probable que dichos sistemas contengan vulnerabilidades y errores de configuración, y si los tienen, eventualmente serán explotados.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Esta wen utiliza cookies, puedes ver la política de cookies aquí.    Configurar y más información
Privacidad