Cada vez más, el incremento en las amenazas de seguridad está vinculado a la identidad de los usuarios.
Imagen: Zdzisław Beksiński
Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad — CSCT™, (ISC)² Certified in Cybersecurity℠ CC, EC-Council Ethical Hacking Essentials (EHE) Certified, Ethical Hacking Certified Associate (EHCA) y líder del Capítulo Querétaro de la Fundación OWASP.
La amenaza de seguridad cibernética más peligrosa del momento es un atacante con acceso a información de identidad legítima para un sistema determinado.
Las intrusiones interactivas, aquellas en las que un atacante está trabajando activamente para lograr algún fin ilícito en el sistema de una víctima, se implementan cada vez más utilizando estrategias que involucran información de identidad comprometida para acceder a un objetivo. Durante el año pasado, tanto los grupos cibercriminales como las amenazas persistentes avanzadas y los grupos respaldados por los Estados-nación han mejorado sus capacidades con técnicas de phishing e ingeniería social.
En este sentido, la tendencia es que gran parte de los ataques se están moviendo hacia la identidad y credenciales que pueden verse comprometidas de la manera tradicional, utilizando phishing de correo electrónico e ingeniería social, o pueden comprarse en la Dark Web, obtenidas de otros tipos de sistemas vulnerados.
Una vez que tienen acceso a un sistema de destino, los ciberdelincuentes utilizan una variedad de técnicas para lograr sus fines, por lo que además, el uso de software de administración y monitoreo remoto está en aumento.
Los cibercriminales entienden que existen herramientas de seguridad que impiden sus acciones, así que están tratando de usar técnicas que no activen esa seguridad. Las identidades de inicio de sesión comprometidas son difíciles de detectar y, por lo general, deben descubrirse mediante la supervisión del comportamiento inusual de la cuenta.
Un punto a destacar es que los ciberdelincuentes se han volcado contra Microsoft, que tiene buenos sistemas operativos y suites de productividad, pero un historial de seguridad deficiente. En particular, los ataques basados en Kerberos contra los sistemas Windows han ido en aumento.
La técnica de <Kerberoasting> (comprometer un ticket de Kerberos descifrando su encriptación fuera de línea) ha tenido mucho éxito últimamente, ya que Windows utiliza Kerberos como método de autenticación clave.
Algunas recomendaciones para mantener seguros los sistemas contra este tipo de ataques, son:
Actualizaciones y Parches: Mantén actualizados todos los sistemas Windows con las últimas actualizaciones y parches de seguridad. Las vulnerabilidades conocidas a menudo se corrigen en estas actualizaciones.
Políticas de Contraseña Fuertes: Implementa políticas de contraseñas sólidas en la red, como requerir contraseñas largas y complejas, y establecer políticas de caducidad y bloqueo de cuentas.
Uso de Cuentas de Servicio Gestionadas: Utiliza cuentas de servicio gestionadas (Managed Service Accounts) en lugar de cuentas de usuario genéricas para aplicaciones y servicios, ya que proporcionan una mayor seguridad y facilitan la administración de contraseñas.
Uso de Cifrado: Configura Kerberos para que use cifrado (Kerberos Armoring) para proteger la confidencialidad de las comunicaciones entre los componentes.
Restricción de Privilegios: Limita los privilegios de las cuentas de servicio solo a los recursos y acciones necesarios. Evita otorgar excesivos privilegios.
Uso de Canal Seguro: Configura las políticas de seguridad de Kerberos para requerir el uso de canales seguros (SMB signing, LDAP signing) para prevenir ataques de intermediarios.
Auditoría y Monitoreo: Habilita la auditoría de eventos de seguridad relacionados con Kerberos. Monitoriza los registros de eventos para detectar actividad sospechosa.
Firewalls y Segmentación: Utiliza firewalls y segmentación de red para aislar los sistemas y limitar la exposición de los servidores de autenticación.
Eliminación de Cuentas Obsoletas: Realiza una revisión periódica para eliminar cuentas de usuario y de servicio obsoletas o no utilizadas.
Implementación de Autenticación Multifactor (MFA): Donde sea posible, implementa la autenticación multifactor para agregar una capa adicional de seguridad.
Formación y Concienciación: Educa a los usuarios y al personal de TI sobre las mejores prácticas de seguridad, incluyendo la importancia de no compartir contraseñas y de reconocer intentos de phishing.
Pruebas de Penetración y Auditorías de Seguridad: Realiza pruebas regulares de penetración y auditorías de seguridad para identificar posibles vulnerabilidades y debilidades en el sistema.
Respaldo y Recuperación: Implementa procedimientos de respaldo y recuperación de los sistemas de autenticación para garantizar la disponibilidad en caso de incidentes.
Para más información, visite: https://www.silikn.com/
La amenaza de seguridad cibernética más peligrosa del momento es un atacante con acceso a información de identidad legítima para un sistema determinado.
Las intrusiones interactivas, aquellas en las que un atacante está trabajando activamente para lograr algún fin ilícito en el sistema de una víctima, se implementan cada vez más utilizando estrategias que involucran información de identidad comprometida para acceder a un objetivo. Durante el año pasado, tanto los grupos cibercriminales como las amenazas persistentes avanzadas y los grupos respaldados por los Estados-nación han mejorado sus capacidades con técnicas de phishing e ingeniería social.
En este sentido, la tendencia es que gran parte de los ataques se están moviendo hacia la identidad y credenciales que pueden verse comprometidas de la manera tradicional, utilizando phishing de correo electrónico e ingeniería social, o pueden comprarse en la Dark Web, obtenidas de otros tipos de sistemas vulnerados.
Una vez que tienen acceso a un sistema de destino, los ciberdelincuentes utilizan una variedad de técnicas para lograr sus fines, por lo que además, el uso de software de administración y monitoreo remoto está en aumento.
Los cibercriminales entienden que existen herramientas de seguridad que impiden sus acciones, así que están tratando de usar técnicas que no activen esa seguridad. Las identidades de inicio de sesión comprometidas son difíciles de detectar y, por lo general, deben descubrirse mediante la supervisión del comportamiento inusual de la cuenta.
Un punto a destacar es que los ciberdelincuentes se han volcado contra Microsoft, que tiene buenos sistemas operativos y suites de productividad, pero un historial de seguridad deficiente. En particular, los ataques basados en Kerberos contra los sistemas Windows han ido en aumento.
La técnica de <Kerberoasting> (comprometer un ticket de Kerberos descifrando su encriptación fuera de línea) ha tenido mucho éxito últimamente, ya que Windows utiliza Kerberos como método de autenticación clave.
Algunas recomendaciones para mantener seguros los sistemas contra este tipo de ataques, son:
Actualizaciones y Parches: Mantén actualizados todos los sistemas Windows con las últimas actualizaciones y parches de seguridad. Las vulnerabilidades conocidas a menudo se corrigen en estas actualizaciones.
Políticas de Contraseña Fuertes: Implementa políticas de contraseñas sólidas en la red, como requerir contraseñas largas y complejas, y establecer políticas de caducidad y bloqueo de cuentas.
Uso de Cuentas de Servicio Gestionadas: Utiliza cuentas de servicio gestionadas (Managed Service Accounts) en lugar de cuentas de usuario genéricas para aplicaciones y servicios, ya que proporcionan una mayor seguridad y facilitan la administración de contraseñas.
Uso de Cifrado: Configura Kerberos para que use cifrado (Kerberos Armoring) para proteger la confidencialidad de las comunicaciones entre los componentes.
Restricción de Privilegios: Limita los privilegios de las cuentas de servicio solo a los recursos y acciones necesarios. Evita otorgar excesivos privilegios.
Uso de Canal Seguro: Configura las políticas de seguridad de Kerberos para requerir el uso de canales seguros (SMB signing, LDAP signing) para prevenir ataques de intermediarios.
Auditoría y Monitoreo: Habilita la auditoría de eventos de seguridad relacionados con Kerberos. Monitoriza los registros de eventos para detectar actividad sospechosa.
Firewalls y Segmentación: Utiliza firewalls y segmentación de red para aislar los sistemas y limitar la exposición de los servidores de autenticación.
Eliminación de Cuentas Obsoletas: Realiza una revisión periódica para eliminar cuentas de usuario y de servicio obsoletas o no utilizadas.
Implementación de Autenticación Multifactor (MFA): Donde sea posible, implementa la autenticación multifactor para agregar una capa adicional de seguridad.
Formación y Concienciación: Educa a los usuarios y al personal de TI sobre las mejores prácticas de seguridad, incluyendo la importancia de no compartir contraseñas y de reconocer intentos de phishing.
Pruebas de Penetración y Auditorías de Seguridad: Realiza pruebas regulares de penetración y auditorías de seguridad para identificar posibles vulnerabilidades y debilidades en el sistema.
Respaldo y Recuperación: Implementa procedimientos de respaldo y recuperación de los sistemas de autenticación para garantizar la disponibilidad en caso de incidentes.
Para más información, visite: https://www.silikn.com/