Es difícil distinguir la actividad de los hackers de la de los usuarios legítimos

Recomendados:  Pruebas de seguridad de aplicaciones interactivas (IAST) Leer  Los desastres ocurren... ¿tienes un plan de continuidad de negocio? Webinar

En 2019, los expertos de Positive Technologies realizaron pruebas de penetración interna, simulando ataques de un malhechor ubicado dentro de la empresa. Estos expertos lograron hacerse con el control total de la infraestructura en todas las empresas probadas, generalmente en tres días, y en una de las redes tardaron solo 10 minutos. En el 61% de las empresas se encontró al menos una forma sencilla de obtener el control de la infraestructura que habría sido factible incluso para un hacker poco cualificado.

Los expertos señalaron que las acciones que serían idénticas a la actividad habitual de los usuarios representaron el 47% de las acciones que permitieron a los pentesters crear un vector de ataque. Estas acciones incluyeron la creación de nuevos usuarios privilegiados en los hosts de la red, la creación de un volcado de memoria de lsass.exe, la exportación de secciones de registro y el envío de solicitudes al controlador de dominio. Estas acciones permiten a los hackers obtener credenciales de los usuarios de la red corporativa o la información necesaria para desarrollar el ataque. La dificultad de diferenciar tales acciones de las actividades habituales de los usuarios y administradores aumenta la probabilidad de que el ataque pase desapercibido. Sin embargo, estos incidentes se pueden detectar con sistemas de detección de incidentes de seguridad.

Las pruebas también demostraron que los atacantes pueden aprovechar las vulnerabilidades conocidas que se encuentran en versiones de software obsoletas para ejecutar de forma remota código arbitrario, escalar privilegios o aprender información importante. Lo que los expertos ven con mayor frecuencia es la falta de actualizaciones actuales del sistema operativo. Por ejemplo, según los pentesters de Positive Technologies, en el 30% de las empresas aún pueden encontrar vulnerabilidades de Windows descritas en el Boletín de seguridad de 2017 MS17-010 y, a veces, incluso en el boletín MS08-067 (con fecha de octubre de 2008).

"Durante los ataques a las redes internas, los hackers suelen utilizar las peculiaridades de la arquitectura del sistema operativo, los mecanismos de autenticación Kerberos y NTLM para recopilar credenciales y moverse entre PCs. Por ejemplo, los hackers pueden extraer las credenciales de la memoria del sistema operativo con utilidades especiales, como mimikatz, secretsdump y procdump, o con herramientas de sistema operativo integradas, como taskmgr, para crear un volcado de memoria del proceso lsass.exe", comenta Dmitry Serebryannikov, director del Departamento de Auditoría de Seguridad de Positive Technologies. "Para mitigar el riesgo de un ataque interno, recomendamos utilizar las versiones actuales de Windows (8.1 o posterior en estaciones de trabajo y Windows Server 2012 R2 o posterior en servidores). Los usuarios de dominio privilegiado también deben ubicarse en el grupo de Usuarios Protegidos. Versiones recientes de Windows 10 y Windows Server 2016 tienen Remote Credential Guard, una tecnología para aislar y proteger lsass.exe del acceso no autorizado. Para una protección adicional de cuentas privilegiadas como administradores de dominio, recomendamos la autenticación de dos factores".