{"id":1181770,"date":"2024-02-12T20:33:36","date_gmt":"2024-02-12T20:33:36","guid":{"rendered":"https:\/\/teknomers.com\/es\/por-que-las-identidades-comprometidas-son-la-pesadilla-para-la-velocidad-y-la-eficiencia-de-los-infrarrojos\/"},"modified":"2024-02-12T20:33:42","modified_gmt":"2024-02-12T20:33:42","slug":"por-que-las-identidades-comprometidas-son-la-pesadilla-para-la-velocidad-y-la-eficiencia-de-los-infrarrojos","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/por-que-las-identidades-comprometidas-son-la-pesadilla-para-la-velocidad-y-la-eficiencia-de-los-infrarrojos\/","title":{"rendered":"\u00bfPor qu\u00e9 las identidades comprometidas son la pesadilla para la velocidad y la eficiencia de los infrarrojos?"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/\u00bfPor-que-las-identidades-comprometidas-son-la-pesadilla-para-la.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>La respuesta a incidentes (RI) es una carrera contra el tiempo.  Involucras a tu equipo interno o externo porque hay suficiente evidencia de que algo malo est\u00e1 sucediendo, pero a\u00fan est\u00e1s ciego al alcance, el impacto y la causa ra\u00edz.  El conjunto com\u00fan de herramientas y pr\u00e1cticas de IR proporciona a los equipos de IR la capacidad de descubrir archivos maliciosos y conexiones de red salientes.  Sin embargo, el aspecto de la identidad, es decir, la localizaci\u00f3n de cuentas de usuario comprometidas que se utilizaron para propagarse en su red, lamentablemente sigue sin atenderse.  Esta tarea resulta ser la que consume m\u00e1s tiempo para los equipos de IR y se ha convertido en una batalla cuesta arriba y desafiante que permite a los atacantes ganar un tiempo precioso durante el cual a\u00fan pueden infligir da\u00f1o. <\/p>\n<p>En este art\u00edculo, analizamos la causa ra\u00edz de la identidad de los puntos ciegos de IR y proporcionamos ejemplos de escenarios de IR en los que act\u00faa como un inhibidor de un proceso r\u00e1pido y eficiente.  Luego presentamos la plataforma unificada de protecci\u00f3n de identidad de Silverfort y mostramos c\u00f3mo su MFA en tiempo real y su segmentaci\u00f3n de identidad pueden superar este punto ciego y marcar la diferencia entre un incidente contenido y una vulneraci\u00f3n costosa. <\/p>\n<h2>IR 101: El conocimiento es poder.  El tiempo es todo <\/h2>\n<p>El desencadenamiento de un proceso de IR puede presentarse en un mill\u00f3n de formas.  Todos ellos comparten un parecido en el sentido de que usted piensa (o incluso est\u00e1 seguro) de que <strong><em>algo<\/em><\/strong>  est\u00e1 mal, pero no lo sabes exactamente <strong><em>qu\u00e9<\/em>, <em>d\u00f3nde<\/em>y <em>c\u00f3mo<\/em>.<\/strong> Si tienes suerte, tu equipo detect\u00f3 la amenaza cuando todav\u00eda est\u00e1 acumulando su poder en su interior pero a\u00fan no ha ejecutado su objetivo malicioso.  Si eres <em>no<\/em> Por suerte, te das cuenta de la presencia del adversario s\u00f3lo despu\u00e9s de que su impacto ya se ha manifestado: m\u00e1quinas cifradas, datos faltantes y cualquier otra forma de actividad maliciosa. <\/p>\n<p>De una forma u otra, la tarea m\u00e1s urgente una vez que el IR comienza a funcionar es disolver la oscuridad y obtener informaci\u00f3n clara sobre las entidades comprometidas dentro de su entorno.  Una vez localizados y validados, se pueden tomar medidas para contener los ataques poniendo en cuarentena las m\u00e1quinas, bloqueando el tr\u00e1fico saliente, eliminando archivos maliciosos y restableciendo las cuentas de los usuarios. <\/p>\n<p>Da la casualidad de que la \u00faltima tarea est\u00e1 lejos de ser trivial cuando se trata de cuentas de usuario comprometidas e introduce un desaf\u00edo a\u00fan no abordado.  Entendamos por qu\u00e9 es as\u00ed. <\/p>\n<h3 style=\"text-align: left;\">Brecha de IR de identidad n.\u00ba 1: no hay medidas de gu\u00eda para detectar cuentas comprometidas<\/h3>\n<p>A diferencia de los archivos de malware o las conexiones de red salientes maliciosas, <strong>una cuenta comprometida no hace nada que sea esencialmente malicioso: simplemente inicia sesi\u00f3n en los recursos de la misma manera que lo har\u00eda una cuenta normal. <\/strong>Si se trata de una cuenta de administrador que accede a m\u00faltiples estaciones de trabajo y servidores a diario (como es el caso de muchos ataques), su movimiento lateral ni siquiera parecer\u00e1 an\u00f3malo. <\/p>\n<div class=\"article-board\" style=\"text-align: left;\">\n<p>\u00bfQuiere obtener m\u00e1s informaci\u00f3n sobre las capacidades de respuesta a incidentes de la plataforma Silverfort? <a rel=\"nofollow noopener\" data-saferedirecturl=\"https:\/\/www.google.com\/url?q=https:\/\/www.silverfort.com\/request-a-demo\/?utm_campaign%3Didentity-threat-detection-and-response%26utm_source%3Dthn%26utm_medium%3Darticle%26utm_term%3Djan24%26utm_content%3Ddemo-cont-article&amp;source=gmail&amp;ust=1707812954508000&amp;usg=AOvVaw2tpl9NPfzMqAPKTQIB7oTH\" href=\"https:\/\/www.silverfort.com\/request-a-demo\/?utm_campaign=identity-threat-detection-and-response&amp;utm_source=thn&amp;utm_medium=article&amp;utm_term=jan24&amp;utm_content=demo-cont-article\" target=\"_blank\">Programe una demostraci\u00f3n hoy<\/a>!<\/p>\n<\/div>\n<p>El resultado es que el descubrimiento de la cuenta comprometida se produce s\u00f3lo <em>despu\u00e9s<\/em> las m\u00e1quinas comprometidas se localizan y se ponen en cuarentena, e incluso entonces, implica verificar manualmente todas las cuentas que est\u00e1n registradas all\u00ed.  Y nuevamente: cuando se corre contra el tiempo, la dependencia de la investigaci\u00f3n manual y propensa a errores crea un retraso cr\u00edtico. <\/p>\n<h3 style=\"text-align: left;\">Brecha de identidad IR n.\u00ba 2: No hay medidas de manual para contener inmediatamente el ataque y evitar una mayor propagaci\u00f3n<\/h3>\n<p>Como en la vida real, existe una etapa de primeros auxilios inmediatos que precede al tratamiento completo.  El equivalente en el mundo de las IR es contener el ataque dentro de sus l\u00edmites actuales y garantizar que no se propague m\u00e1s, incluso antes de descubrir sus componentes activos.  A nivel de red, se hace aislando temporalmente los segmentos que potencialmente albergan actividad maliciosa de aquellos que a\u00fan no est\u00e1n comprometidos.  A nivel de endpoint, se realiza poniendo en cuarentena las m\u00e1quinas donde se encuentra el malware.<\/p>\n<p>Una vez m\u00e1s, el aspecto de la identidad debe ponerse al d\u00eda.  La \u00fanica contenci\u00f3n disponible es deshabilitar la cuenta de usuario en AD o restablecer su contrase\u00f1a.  La primera opci\u00f3n es descartada debido a la interrupci\u00f3n operativa que introduce, especialmente en el caso de falsos positivos.  La segunda opci\u00f3n tampoco es buena;  Si la cuenta sospechosa es una cuenta de servicio de m\u00e1quina a m\u00e1quina, restablecer su contrase\u00f1a probablemente interrumpa los procesos cr\u00edticos que administra, lo que terminar\u00e1 con da\u00f1os adicionales adem\u00e1s del que caus\u00f3 el ataque.  Si el adversario ha logrado comprometer la propia infraestructura de identidad, el restablecimiento de la contrase\u00f1a se solucionar\u00e1 inmediatamente cambiando a otra cuenta. <\/p>\n<h3 style=\"text-align: left;\">Brecha de IR de identidad n.\u00b0 3: No hay medidas de manual para reducir las superficies de ataque de identidad expuestas a las que se dirigen los adversarios dentro del ataque<\/h3>\n<p>Las debilidades que exponen la superficie de ataque de identidad a acceso malicioso a credenciales, escalada de privilegios y movimiento lateral son puntos ciegos para los productos de postura e higiene en la pila de seguridad.  Esto priva al equipo de Relaciones Internacionales de indicios cr\u00edticos de compromiso que podr\u00edan haber acelerado significativamente el proceso.<\/p>\n<p>Ejemplos destacados son protocolos de autenticaci\u00f3n vulnerables como NTLM (o, peor a\u00fan, NTLMv1), configuraciones err\u00f3neas como cuentas configuradas con delegaci\u00f3n sin restricciones, administradores en la sombra, usuarios obsoletos y muchos m\u00e1s.  Los adversarios se alimentan de estas debilidades mientras siguen su ruta Living Off The Land.  La incapacidad de localizar y reconfigurar o proteger cuentas y m\u00e1quinas que presentan estas debilidades convierte al IR en una manada de gatos, donde mientras el analista est\u00e1 ocupado analizando para ver si la Cuenta A est\u00e1 comprometida, los adversarios ya est\u00e1n aprovechando la Cuenta B comprometida. <\/p>\n<h3 style=\"text-align: left;\">Conclusi\u00f3n: sin herramientas.  Sin atajos.  Simplemente an\u00e1lisis de registros lento y manual mientras el ataque est\u00e1 en plena marcha<\/h3>\n<p>Entonces, ese es el status quo: cuando el equipo de IR necesita finalmente descubrir qui\u00e9nes son las cuentas de usuario comprometidas que el atacante est\u00e1 utilizando para propagarse en su entorno.  Este es un secreto del que nadie habla y la verdadera causa fundamental de por qu\u00e9 los ataques de movimiento lateral son tan exitosos y dif\u00edciles de contener, incluso cuando se est\u00e1 llevando a cabo el proceso de IR.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/www.silverfort.com\/blog\/the-identity-ir-playbook-against-scattered-spider-attacks\/?utm_campaign=identity-threat-detection-and-response&amp;utm_source=thn&amp;utm_medium=article&amp;utm_term=jan24&amp;utm_content=ir-cont-article\" target=\"_blank\"><strong>Este es el desaf\u00edo que resuelve Silverfort<\/strong><\/a>.<\/p>\n<h2>Protecci\u00f3n de identidad unificada de Silverfort para operaciones de IR<\/h2>\n<p>La plataforma Unified Identity Protection de Silverfort se integra con la infraestructura de identidad local y en la nube (Active Directory, Entra ID, Okta, Ping, etc.).  Esta integraci\u00f3n permite a Silverfort tener visibilidad total de cualquier intento de autenticaci\u00f3n y acceso, aplicaci\u00f3n de control de acceso en tiempo real para evitar el acceso malicioso con MFA o bloqueo de acceso, y descubrimiento y protecci\u00f3n automatizados de cuentas de servicio. <\/p>\n<p>Veamos c\u00f3mo estas capacidades aceleran y optimizan el proceso de IR de identidad:<\/p>\n<h3>Detecci\u00f3n de cuentas comprometidas con MFA sin interrupci\u00f3n operativa<\/h3>\n<p><strong>Silverfort es la \u00fanica soluci\u00f3n que puede imponer la protecci\u00f3n MFA en toda la autenticaci\u00f3n de AD, incluidas las herramientas de l\u00ednea de comandos como PsExec y PowerShell. <\/strong>Con esta capacidad, una pol\u00edtica \u00fanica que requiere que todas las cuentas de usuario verifiquen su identidad con MFA puede detectar todas las cuentas comprometidas en minutos.<\/p>\n<p>Una vez configurada la pol\u00edtica, el flujo es simple: <\/p>\n<ol>\n<li>El adversario intenta continuar con su acceso malicioso e inicia sesi\u00f3n en una m\u00e1quina con las credenciales de la cuenta comprometida.<\/li>\n<li>Al verdadero usuario se le solicita MFA y niega haber solicitado acceso al recurso especificado.<\/li>\n<\/ol>\n<p><strong>Objetivo n\u00famero 1 logrado: ahora hay evidencia fuera de toda duda de que esta cuenta est\u00e1 comprometida.<\/strong><\/p>\n<p>Nota al margen: ahora que hay una cuenta comprometida validada, todo lo que tenemos que hacer es filtrar todas las m\u00e1quinas en las que esta cuenta ha iniciado sesi\u00f3n en la pantalla de registro de Silverfort. <\/p>\n<h3>Contenga el ataque con MFA y pol\u00edticas de bloqueo de acceso <\/h3>\n<p>La pol\u00edtica MFA que hemos descrito anteriormente no solo sirve para detectar qu\u00e9 cuentas est\u00e1n comprometidas sino tambi\u00e9n<strong>o evitar cualquier propagaci\u00f3n adicional del ataque<\/strong>.  Esto permite al equipo de IR congelar el punto de apoyo del adversario donde est\u00e1 y garantizar que todos los recursos a\u00fan no comprometidos permanezcan intactos.<\/p>\n<h3>Revisi\u00f3n de la protecci\u00f3n ante interrupciones operativas: enfoque en las cuentas de servicio<\/h3>\n<p>Se debe prestar especial atenci\u00f3n a las cuentas de servicio, ya que los actores de amenazas abusan mucho de ellas.  Estas cuentas de m\u00e1quina a m\u00e1quina no est\u00e1n asociadas con un usuario humano y no pueden estar sujetas a la protecci\u00f3n MFA. <\/p>\n<p>Sin embargo, Silverfort descubre autom\u00e1ticamente estas cuentas y obtiene informaci\u00f3n sobre sus patrones de comportamiento repetitivos.  Con esta visibilidad, Silverfort permite la configuraci\u00f3n de pol\u00edticas que bloquean el acceso cada vez que una cuenta de servicio se desv\u00eda de su comportamiento.  De esa manera, no se interrumpe toda la actividad est\u00e1ndar de la cuenta de servicio, mientras que se bloquea cualquier intento malicioso de abusar de ella. <\/p>\n<p><strong>Objetivo n.\u00b0 2 logrado: el ataque est\u00e1 contenido y el equipo de IR puede pasar r\u00e1pidamente a la investigaci\u00f3n<\/strong><\/p>\n<h3>Eliminaci\u00f3n de las debilidades expuestas en la superficie de ataque a la identidad<\/h3>\n<p>La visibilidad de Silverfort de todas las autenticaciones e intentos de acceso dentro del entorno le permite descubrir y mitigar debilidades comunes que aprovechan los atacantes.  Aqu\u00ed est\u00e1n algunos ejemplos:<\/p>\n<ul>\n<li>Configuraci\u00f3n de pol\u00edticas de MFA para todos los administradores paralelos<\/li>\n<li>Configuraci\u00f3n de pol\u00edticas de acceso de bloqueo para cualquier autenticaci\u00f3n NTLMv1<\/li>\n<li>Descubra todas las cuentas que se configuraron sin autenticaci\u00f3n previa<\/li>\n<li>Descubra todas las cuentas que se configuraron con delegaci\u00f3n sin restricciones <\/li>\n<\/ul>\n<p>Esta reducci\u00f3n de la superficie de ataque normalmente tendr\u00e1 lugar durante la etapa inicial de &#8220;primeros auxilios&#8221;. <\/p>\n<p><strong>Objetivo n.\u00b0 3 logrado: las debilidades de identidad se mitigan y no pueden usarse para propagaci\u00f3n maliciosa.<\/strong><\/p>\n<h2>Conclusi\u00f3n: Obtener capacidades de identidad IR es imperativo: \u00bfest\u00e1 listo?<\/h2>\n<p>Las cuentas comprometidas son un componente clave en m\u00e1s del 80% de los ataques cibern\u00e9ticos, lo que hace que el riesgo de ser atacado sea casi seguro.  Las partes interesadas en la seguridad deben invertir en herramientas de IR que puedan abordar este aspecto para garantizar su capacidad de responder de manera eficiente cuando ocurre un ataque de este tipo. <\/p>\n<p>Para obtener m\u00e1s informaci\u00f3n sobre las capacidades de IR de la plataforma Silverfort, <a rel=\"nofollow noopener\" href=\"https:\/\/www.silverfort.com\/request-a-demo\/?utm_campaign=identity-threat-detection-and-response&amp;utm_source=thn&amp;utm_medium=article&amp;utm_term=jan24&amp;utm_content=demo-cont-article\" target=\"_blank\">alcanzar<\/a> a uno de nuestros expertos para programar una demostraci\u00f3n r\u00e1pida.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/02\/why-are-compromised-identities.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>La respuesta a incidentes (RI) es una carrera contra el tiempo. Involucras a tu equipo interno o externo<\/p>\n","protected":false},"author":1,"featured_media":1181771,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,4664,11532,28506,4662,17265,114486,4668,246,201033,36,4654,201031,4659,4653,4655,18,5885,231,387,4666,4665,201032,1932,3409,4660],"class_list":["post-1181770","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-como-hackear","tag-comprometidas","tag-eficiencia","tag-filtracion-de-datos","tag-identidades","tag-infrarrojos","tag-la-seguridad-informatica","tag-las","tag-las-noticias-de-los-piratas-informaticos","tag-los","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-para","tag-pesadilla","tag-por","tag-que","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-software-malicioso-ransomware","tag-son","tag-velocidad","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1181770","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1181770"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1181770\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1181771"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1181770"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1181770"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1181770"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}