La respuesta a incidentes (RI) es una carrera contra el tiempo. Involucras a tu equipo interno o externo porque hay suficiente evidencia de que algo malo está sucediendo, pero aún estás ciego al alcance, el impacto y la causa raíz. El conjunto común de herramientas y prácticas de IR proporciona a los equipos de IR la capacidad de descubrir archivos maliciosos y conexiones de red salientes. Sin embargo, el aspecto de la identidad, es decir, la localización de cuentas de usuario comprometidas que se utilizaron para propagarse en su red, lamentablemente sigue sin atenderse. Esta tarea resulta ser la que consume más tiempo para los equipos de IR y se ha convertido en una batalla cuesta arriba y desafiante que permite a los atacantes ganar un tiempo precioso durante el cual aún pueden infligir daño.
En este artículo, analizamos la causa raíz de la identidad de los puntos ciegos de IR y proporcionamos ejemplos de escenarios de IR en los que actúa como un inhibidor de un proceso rápido y eficiente. Luego presentamos la plataforma unificada de protección de identidad de Silverfort y mostramos cómo su MFA en tiempo real y su segmentación de identidad pueden superar este punto ciego y marcar la diferencia entre un incidente contenido y una vulneración costosa.
IR 101: El conocimiento es poder. El tiempo es todo
El desencadenamiento de un proceso de IR puede presentarse en un millón de formas. Todos ellos comparten un parecido en el sentido de que usted piensa (o incluso está seguro) de que algo está mal, pero no lo sabes exactamente qué, dóndey cómo. Si tienes suerte, tu equipo detectó la amenaza cuando todavía está acumulando su poder en su interior pero aún no ha ejecutado su objetivo malicioso. Si eres no Por suerte, te das cuenta de la presencia del adversario sólo después de que su impacto ya se ha manifestado: máquinas cifradas, datos faltantes y cualquier otra forma de actividad maliciosa.
De una forma u otra, la tarea más urgente una vez que el IR comienza a funcionar es disolver la oscuridad y obtener información clara sobre las entidades comprometidas dentro de su entorno. Una vez localizados y validados, se pueden tomar medidas para contener los ataques poniendo en cuarentena las máquinas, bloqueando el tráfico saliente, eliminando archivos maliciosos y restableciendo las cuentas de los usuarios.
Da la casualidad de que la última tarea está lejos de ser trivial cuando se trata de cuentas de usuario comprometidas e introduce un desafío aún no abordado. Entendamos por qué es así.
Brecha de IR de identidad n.º 1: no hay medidas de guía para detectar cuentas comprometidas
A diferencia de los archivos de malware o las conexiones de red salientes maliciosas, una cuenta comprometida no hace nada que sea esencialmente malicioso: simplemente inicia sesión en los recursos de la misma manera que lo haría una cuenta normal. Si se trata de una cuenta de administrador que accede a múltiples estaciones de trabajo y servidores a diario (como es el caso de muchos ataques), su movimiento lateral ni siquiera parecerá anómalo.
¿Quiere obtener más información sobre las capacidades de respuesta a incidentes de la plataforma Silverfort? Programe una demostración hoy!
El resultado es que el descubrimiento de la cuenta comprometida se produce sólo después las máquinas comprometidas se localizan y se ponen en cuarentena, e incluso entonces, implica verificar manualmente todas las cuentas que están registradas allí. Y nuevamente: cuando se corre contra el tiempo, la dependencia de la investigación manual y propensa a errores crea un retraso crítico.
Brecha de identidad IR n.º 2: No hay medidas de manual para contener inmediatamente el ataque y evitar una mayor propagación
Como en la vida real, existe una etapa de primeros auxilios inmediatos que precede al tratamiento completo. El equivalente en el mundo de las IR es contener el ataque dentro de sus límites actuales y garantizar que no se propague más, incluso antes de descubrir sus componentes activos. A nivel de red, se hace aislando temporalmente los segmentos que potencialmente albergan actividad maliciosa de aquellos que aún no están comprometidos. A nivel de endpoint, se realiza poniendo en cuarentena las máquinas donde se encuentra el malware.
Una vez más, el aspecto de la identidad debe ponerse al día. La única contención disponible es deshabilitar la cuenta de usuario en AD o restablecer su contraseña. La primera opción es descartada debido a la interrupción operativa que introduce, especialmente en el caso de falsos positivos. La segunda opción tampoco es buena; Si la cuenta sospechosa es una cuenta de servicio de máquina a máquina, restablecer su contraseña probablemente interrumpa los procesos críticos que administra, lo que terminará con daños adicionales además del que causó el ataque. Si el adversario ha logrado comprometer la propia infraestructura de identidad, el restablecimiento de la contraseña se solucionará inmediatamente cambiando a otra cuenta.
Brecha de IR de identidad n.° 3: No hay medidas de manual para reducir las superficies de ataque de identidad expuestas a las que se dirigen los adversarios dentro del ataque
Las debilidades que exponen la superficie de ataque de identidad a acceso malicioso a credenciales, escalada de privilegios y movimiento lateral son puntos ciegos para los productos de postura e higiene en la pila de seguridad. Esto priva al equipo de Relaciones Internacionales de indicios críticos de compromiso que podrían haber acelerado significativamente el proceso.
Ejemplos destacados son protocolos de autenticación vulnerables como NTLM (o, peor aún, NTLMv1), configuraciones erróneas como cuentas configuradas con delegación sin restricciones, administradores en la sombra, usuarios obsoletos y muchos más. Los adversarios se alimentan de estas debilidades mientras siguen su ruta Living Off The Land. La incapacidad de localizar y reconfigurar o proteger cuentas y máquinas que presentan estas debilidades convierte al IR en una manada de gatos, donde mientras el analista está ocupado analizando para ver si la Cuenta A está comprometida, los adversarios ya están aprovechando la Cuenta B comprometida.
Conclusión: sin herramientas. Sin atajos. Simplemente análisis de registros lento y manual mientras el ataque está en plena marcha
Entonces, ese es el status quo: cuando el equipo de IR necesita finalmente descubrir quiénes son las cuentas de usuario comprometidas que el atacante está utilizando para propagarse en su entorno. Este es un secreto del que nadie habla y la verdadera causa fundamental de por qué los ataques de movimiento lateral son tan exitosos y difíciles de contener, incluso cuando se está llevando a cabo el proceso de IR.
Este es el desafío que resuelve Silverfort.
Protección de identidad unificada de Silverfort para operaciones de IR
La plataforma Unified Identity Protection de Silverfort se integra con la infraestructura de identidad local y en la nube (Active Directory, Entra ID, Okta, Ping, etc.). Esta integración permite a Silverfort tener visibilidad total de cualquier intento de autenticación y acceso, aplicación de control de acceso en tiempo real para evitar el acceso malicioso con MFA o bloqueo de acceso, y descubrimiento y protección automatizados de cuentas de servicio.
Veamos cómo estas capacidades aceleran y optimizan el proceso de IR de identidad:
Detección de cuentas comprometidas con MFA sin interrupción operativa
Silverfort es la única solución que puede imponer la protección MFA en toda la autenticación de AD, incluidas las herramientas de línea de comandos como PsExec y PowerShell. Con esta capacidad, una política única que requiere que todas las cuentas de usuario verifiquen su identidad con MFA puede detectar todas las cuentas comprometidas en minutos.
Una vez configurada la política, el flujo es simple:
- El adversario intenta continuar con su acceso malicioso e inicia sesión en una máquina con las credenciales de la cuenta comprometida.
- Al verdadero usuario se le solicita MFA y niega haber solicitado acceso al recurso especificado.
Objetivo número 1 logrado: ahora hay evidencia fuera de toda duda de que esta cuenta está comprometida.
Nota al margen: ahora que hay una cuenta comprometida validada, todo lo que tenemos que hacer es filtrar todas las máquinas en las que esta cuenta ha iniciado sesión en la pantalla de registro de Silverfort.
Contenga el ataque con MFA y políticas de bloqueo de acceso
La política MFA que hemos descrito anteriormente no solo sirve para detectar qué cuentas están comprometidas sino tambiéno evitar cualquier propagación adicional del ataque. Esto permite al equipo de IR congelar el punto de apoyo del adversario donde está y garantizar que todos los recursos aún no comprometidos permanezcan intactos.
Revisión de la protección ante interrupciones operativas: enfoque en las cuentas de servicio
Se debe prestar especial atención a las cuentas de servicio, ya que los actores de amenazas abusan mucho de ellas. Estas cuentas de máquina a máquina no están asociadas con un usuario humano y no pueden estar sujetas a la protección MFA.
Sin embargo, Silverfort descubre automáticamente estas cuentas y obtiene información sobre sus patrones de comportamiento repetitivos. Con esta visibilidad, Silverfort permite la configuración de políticas que bloquean el acceso cada vez que una cuenta de servicio se desvía de su comportamiento. De esa manera, no se interrumpe toda la actividad estándar de la cuenta de servicio, mientras que se bloquea cualquier intento malicioso de abusar de ella.
Objetivo n.° 2 logrado: el ataque está contenido y el equipo de IR puede pasar rápidamente a la investigación
Eliminación de las debilidades expuestas en la superficie de ataque a la identidad
La visibilidad de Silverfort de todas las autenticaciones e intentos de acceso dentro del entorno le permite descubrir y mitigar debilidades comunes que aprovechan los atacantes. Aquí están algunos ejemplos:
- Configuración de políticas de MFA para todos los administradores paralelos
- Configuración de políticas de acceso de bloqueo para cualquier autenticación NTLMv1
- Descubra todas las cuentas que se configuraron sin autenticación previa
- Descubra todas las cuentas que se configuraron con delegación sin restricciones
Esta reducción de la superficie de ataque normalmente tendrá lugar durante la etapa inicial de «primeros auxilios».
Objetivo n.° 3 logrado: las debilidades de identidad se mitigan y no pueden usarse para propagación maliciosa.
Conclusión: Obtener capacidades de identidad IR es imperativo: ¿está listo?
Las cuentas comprometidas son un componente clave en más del 80% de los ataques cibernéticos, lo que hace que el riesgo de ser atacado sea casi seguro. Las partes interesadas en la seguridad deben invertir en herramientas de IR que puedan abordar este aspecto para garantizar su capacidad de responder de manera eficiente cuando ocurre un ataque de este tipo.
Para obtener más información sobre las capacidades de IR de la plataforma Silverfort, alcanzar a uno de nuestros expertos para programar una demostración rápida.