En el tumultuoso panorama de la ciberseguridad, el año 2023 dejó una marca indeleble con las descaradas hazañas del grupo de amenazas Scattered Spider. Sus ataques se dirigieron a los centros neurálgicos de las principales instituciones financieras y de seguros y culminaron en lo que se considera uno de los ataques de ransomware más impactantes de los últimos tiempos.
Cuando las organizaciones no cuentan con un plan de respuesta para un ataque de este tipo, puede resultar abrumador intentar priorizar los siguientes pasos que tendrán un impacto agravante en la capacidad del actor de la amenaza para retener el acceso y el control sobre una red comprometida.
El equipo de investigación de amenazas de Silverfort interactuó estrechamente con las amenazas de identidad utilizadas por Scattered Spider. y, de hecho, creó un manual de respuesta en tiempo real para responder a un ataque activo de Araña Dispersa. Este seminario web analizará el escenario de la vida real. en el que se les pidió que construyeran y ejecutaran un plan de respuesta mientras los atacantes se movían dentro del entorno híbrido de una organización.
Escuche directamente del equipo de Silverfort acerca de los desafíos que enfrentaron, incluido cómo cumplir de manera rápida y eficiente (y de la manera más automatizada posible) los siguientes objetivos de respuesta:
- Coloque ‘barricadas’ inmediatamente para proteger contra movimientos laterales adicionales a partir de ese punto en adelante.
- Identifique las cuentas de usuario que fueron comprometidas, con especial énfasis en las cuentas de servicio (un objetivo favorito de Scattered Spider)
- Erradicar la posible presencia maliciosa de la infraestructura de identidad de la organización (nuevamente, una técnica de Scattered Spider favorable y documentada públicamente).
Además, obtendrá información sobre los pasos dados en respuesta, centrándose en tres dimensiones del movimiento lateral:
- Cuentas de usuario: analizaremos las políticas y el monitoreo necesarios para cuentas de servicio, usuarios administradores y usuarios de dominio.
- Infraestructura de identidad: discutiremos cómo limitar el acceso de los usuarios, deshabilitar protocolos de autenticación inseguros y reforzar aún más los requisitos de autenticación.
- Otras máquinas unidas a un dominio: veremos cómo limitar la comunicación entre máquinas para las estaciones de trabajo de los usuarios y bloquear temporalmente los protocolos de autenticación inseguros.
¡Te veo allí!
About the Author
