![<\/a><\/div>\nComo categor\u00eda de seguridad relativamente nueva, muchos operadores y ejecutivos de seguridad que he conocido nos han preguntado “\u00bfCu\u00e1les son estas herramientas de validaci\u00f3n de seguridad automatizada (ASV)?” Hemos cubierto eso bastante extensamente en el pasado, por lo que hoy, en lugar de cubrir el “\u00bfQu\u00e9 es ASV?” <\/em>Quer\u00eda abordar el “\u00bfPor qu\u00e9 ASV?”.<\/em> pregunta. En este art\u00edculo, cubriremos algunos casos de uso comunes y conceptos err\u00f3neos sobre c\u00f3mo las personas hacen mal uso y malinterpretan las herramientas ASV a diario (porque eso es mucho m\u00e1s divertido). Para empezar, no hay lugar para empezar como el principio.<\/p>\nLas herramientas de validaci\u00f3n de seguridad automatizadas est\u00e1n dise\u00f1adas para proporcionar una evaluaci\u00f3n continua y en tiempo real de las defensas de ciberseguridad de una organizaci\u00f3n. Estas herramientas son continuas y utilizan la explotaci\u00f3n para validar defensas como EDR, NDR y WAF. Son m\u00e1s profundos que los esc\u00e1neres de vulnerabilidades porque utilizan t\u00e1cticas y t\u00e9cnicas que ver\u00e1 en las pruebas de penetraci\u00f3n manuales. Los esc\u00e1neres de vulnerabilidades no transmitir\u00e1n hashes ni combinar\u00e1n vulnerabilidades para futuros ataques, que es donde brillan los ASV. Su finalidad est\u00e1 en el nombre: “validar” las defensas. Cuando se abordan problemas o brechas, debemos validar que realmente se hayan solucionado.<\/p>\n\u00bfPor qu\u00e9 se necesita ASV?<\/strong><\/h2>\nY eso nos lleva a la demostraci\u00f3n <\/em>parte de esto, y nuestro maestro para esto es Esopo, el narrador griego que vivi\u00f3 alrededor del a\u00f1o 600 a.C. Escribi\u00f3 una historia llamada El ni\u00f1o que grit\u00f3 lobo que s\u00e9 que has escuchado antes, pero la compartir\u00e9 nuevamente en caso de que necesites un repaso:<\/p>\nLa f\u00e1bula cuenta la historia de un pastorcillo que sigue enga\u00f1ando al pueblo haci\u00e9ndoles creer que ha visto un lobo. \u00bfLo motiv\u00f3 la atenci\u00f3n, el miedo o una vista terrible? No s\u00e9. El caso es que agita repetidamente las manos en el aire y grita “\u00a1Lobo!” cuando no hay ning\u00fan lobo a la vista. Hace esto con tanta frecuencia que insensibiliza a la gente del pueblo a sus llamadas, de modo que cuando realmente hay un lobo, el pueblo no le cree y se come al pastor. Es una historia muy conmovedora, como la mayor\u00eda de los cuentos griegos.<\/p>\nEl administrador del sistema que llor\u00f3 remediado<\/strong><\/h2>\nEn la ciberseguridad moderna, el falso positivo equivale al “lloro del lobo”. Un problema de pr\u00e1ctica com\u00fan, donde las amenazas reciben alertas a pesar de no tener ninguna posibilidad de ser explotadas. Pero cambiemos el alcance de esta historia porque lo \u00fanico peor que un falso positivo es un falso negativo.<\/p>\nImag\u00ednese, si en lugar de “llorar lobo” cuando no hab\u00eda ning\u00fan lobo, el ni\u00f1o dijera “todo est\u00e1 claro”, sin darse cuenta de que el lobo se esconde entre las ovejas. Esto es un falso negativo, no recibir una alerta cuando prevalece una amenaza. Una vez que el ni\u00f1o coloc\u00f3 las trampas, se convenci\u00f3 de que ya no hab\u00eda una amenaza, pero no valid\u00f3 que las trampas realmente funcionaran para bloquear al lobo. Entonces, la versi\u00f3n modificada de Crying Wolf era m\u00e1s o menos as\u00ed:<\/p>\n“Ah, pens\u00e9 que ten\u00edamos un lobo acechando. Yo me encargar\u00e9 de ello”, dice el ni\u00f1o.<\/p>\nEntonces el pastor sigue las instrucciones: coloca trampas para lobos, compra una herramienta de seguridad para matar lobos e incluso coloca un objeto de pol\u00edtica de grupo (GPO) para sacar al lobo de su campo. Luego se dirige al pueblo orgulloso de su trabajo.<\/p>\n“Me dijeron que hab\u00eda un lobo, as\u00ed que lo cuid\u00e9”, les cuenta a sus amigos pastores mientras toma una cerveza en la taberna local.<\/p>\nMientras tanto, la realidad es que el lobo es capaz de esquivar las trampas, pasar por delante de la herramienta para matar lobos mal configurada y establecer nuevas pol\u00edticas a nivel de aplicaci\u00f3n para que no le importe el GPO. Captura un conjunto de credenciales de administrador de dominio (DA) de la ciudad, las transmite, se declara alcalde y luego somete a la ciudad a un ataque de ransomware. Antes de que se den cuenta, la ciudad le debe 2 Bitcoin a alg\u00fan lobo, o perder\u00e1n sus ovejas y un cami\u00f3n lleno de PII.<\/p>\nLo que hizo el pastorcillo se llama falso negativo. Pens\u00f3 que no hab\u00eda ning\u00fan lobo y viv\u00eda con una falsa sensaci\u00f3n de seguridad cuando la amenaza nunca era realmente neutralizada. Y ahora es tendencia en Twitter por las razones equivocadas.<\/p>\n\u00a1Es hora de escenarios de la vida real!<\/strong><\/h2>\nLos lobos rara vez representan una amenaza para la seguridad de la informaci\u00f3n, pero \u00bfsabes qui\u00e9n lo es? Ese mal actor con una puerta trasera, un punto de apoyo en su red, escuchando en busca de credenciales. Todo esto es posible gracias a sus muy buenos amigos, los protocolos de resoluci\u00f3n de nombres heredados.<\/p>\nLos ataques de envenenamiento por resoluci\u00f3n de nombres son un error dif\u00edcil de eliminar en lo que respecta a la remediaci\u00f3n. Si su DNS est\u00e1 configurado incorrectamente (lo cual es sorprendentemente com\u00fan) y no ha desactivado los protocolos LLMNR, NetBIOS NS y mDNS utilizados en ataques de intermediario a trav\u00e9s de GPO, scripts de inicio o los suyos propios. salsa especial, entonces podr\u00edas tener alg\u00fan problema. Y donde el lobo podr\u00eda haberse servido un vaso de leche, su atacante se servir\u00e1 datos confidenciales.<\/p>\nSi un atacante husmea las credenciales y usted no tiene habilitada la firma SMB y <\/em>requerido en todas las m\u00e1quinas unidas a su dominio (si se pregunta si lo hace, probablemente no lo haga), entonces ese atacante puede transmitir el hash. Esto obtendr\u00e1 acceso a la m\u00e1quina unida al dominio sin siquiera descifrar el hash capturado.<\/p>\n\u00a1Ay!<\/p>\nAhora su amigable pentester de la aldea encuentra este problema y le dice al administrador del sistema, tambi\u00e9n conocido como nuestro pastor, que haga una de las correcciones antes mencionadas para evitar toda esta serie de ataques. \u00c9l soluciona esto lo mejor que puede. Instalan los GPO, obtienen las herramientas sofisticadas, hacen TODAS las cosas. \u00bfPero se ha visto al lobo muerto? \u00bfSABEMOS que la amenaza ha sido solucionada?<\/p>\nA trav\u00e9s de un conjunto de casos de esquina dignos de un montaje, el atacante a\u00fan puede entrar, porque casi siempre habr\u00e1 casos de esquina. Tendr\u00e1 un servidor Linux que no est\u00e1 unido a un dominio, una aplicaci\u00f3n que ignora GPO y transmite sus credenciales de todos modos. Peor a\u00fan (*escalofr\u00edos*), una herramienta de descubrimiento de activos que utiliza enumeraci\u00f3n autenticada que conf\u00eda en la red en general y env\u00eda credenciales de DA a todos.<\/p>\nFalsas alarmas rectificadas<\/strong><\/h2>\nPor eso los dioses cibern\u00e9ticos nos dieron el ASV, porque ASV es el le\u00f1ador de la ciudad con un trabajo secundario como un fantasma de lobo. Se comportar\u00e1 como un lobo. Rastrear\u00e1 las credenciales, capturar\u00e1 el hash y lo transmitir\u00e1 a la m\u00e1quina unida al dominio para que el administrador del sistema pueda encontrar el \u00fanico servidor molesto que no est\u00e1 unido al dominio y no escucha el GPO.<\/p>\nLlev\u00e9moslo todo a casa. Hay algunas cosas que simplemente tienen sentido. No llamar\u00edas muerto a un lobo antes de haberlo visto y, sin duda, no llamar\u00edas algo remediado antes de validarlo. Por lo tanto, no se convierta en “el administrador del sistema que llor\u00f3 por la soluci\u00f3n”.<\/p>\nEste art\u00edculo fue escrito por Joe Nay, arquitecto de soluciones de Pentera.<\/i><\/p>\nPara obtener m\u00e1s informaci\u00f3n, visita pentera.io<\/a>. <\/p>\n<\/p>\n\u00bfEncontr\u00f3 interesante este art\u00edculo? Este art\u00edculo es una contribuci\u00f3n de uno de nuestros valiosos socios.<\/span> S\u00edguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/11\/Cyber-\u200b\u200bStory-Time-El-nino-que-lloro-quot\u00a1Seguroquot.png\"){kind=link}
Como categor\u00eda de seguridad relativamente nueva, muchos operadores y ejecutivos de seguridad que he conocido nos han preguntado “\u00bfCu\u00e1les son estas herramientas de validaci\u00f3n de seguridad automatizada (ASV)?” Hemos cubierto eso bastante extensamente en el pasado, por lo que hoy, en lugar de cubrir el “\u00bfQu\u00e9 es ASV?” <\/em>Quer\u00eda abordar el “\u00bfPor qu\u00e9 ASV?”.<\/em> pregunta. En este art\u00edculo, cubriremos algunos casos de uso comunes y conceptos err\u00f3neos sobre c\u00f3mo las personas hacen mal uso y malinterpretan las herramientas ASV a diario (porque eso es mucho m\u00e1s divertido). Para empezar, no hay lugar para empezar como el principio.<\/p>\n Las herramientas de validaci\u00f3n de seguridad automatizadas est\u00e1n dise\u00f1adas para proporcionar una evaluaci\u00f3n continua y en tiempo real de las defensas de ciberseguridad de una organizaci\u00f3n. Estas herramientas son continuas y utilizan la explotaci\u00f3n para validar defensas como EDR, NDR y WAF. Son m\u00e1s profundos que los esc\u00e1neres de vulnerabilidades porque utilizan t\u00e1cticas y t\u00e9cnicas que ver\u00e1 en las pruebas de penetraci\u00f3n manuales. Los esc\u00e1neres de vulnerabilidades no transmitir\u00e1n hashes ni combinar\u00e1n vulnerabilidades para futuros ataques, que es donde brillan los ASV. Su finalidad est\u00e1 en el nombre: “validar” las defensas. Cuando se abordan problemas o brechas, debemos validar que realmente se hayan solucionado.<\/p>\n Y eso nos lleva a la demostraci\u00f3n <\/em>parte de esto, y nuestro maestro para esto es Esopo, el narrador griego que vivi\u00f3 alrededor del a\u00f1o 600 a.C. Escribi\u00f3 una historia llamada El ni\u00f1o que grit\u00f3 lobo que s\u00e9 que has escuchado antes, pero la compartir\u00e9 nuevamente en caso de que necesites un repaso:<\/p>\n La f\u00e1bula cuenta la historia de un pastorcillo que sigue enga\u00f1ando al pueblo haci\u00e9ndoles creer que ha visto un lobo. \u00bfLo motiv\u00f3 la atenci\u00f3n, el miedo o una vista terrible? No s\u00e9. El caso es que agita repetidamente las manos en el aire y grita “\u00a1Lobo!” cuando no hay ning\u00fan lobo a la vista. Hace esto con tanta frecuencia que insensibiliza a la gente del pueblo a sus llamadas, de modo que cuando realmente hay un lobo, el pueblo no le cree y se come al pastor. Es una historia muy conmovedora, como la mayor\u00eda de los cuentos griegos.<\/p>\n En la ciberseguridad moderna, el falso positivo equivale al “lloro del lobo”. Un problema de pr\u00e1ctica com\u00fan, donde las amenazas reciben alertas a pesar de no tener ninguna posibilidad de ser explotadas. Pero cambiemos el alcance de esta historia porque lo \u00fanico peor que un falso positivo es un falso negativo.<\/p>\n Imag\u00ednese, si en lugar de “llorar lobo” cuando no hab\u00eda ning\u00fan lobo, el ni\u00f1o dijera “todo est\u00e1 claro”, sin darse cuenta de que el lobo se esconde entre las ovejas. Esto es un falso negativo, no recibir una alerta cuando prevalece una amenaza. Una vez que el ni\u00f1o coloc\u00f3 las trampas, se convenci\u00f3 de que ya no hab\u00eda una amenaza, pero no valid\u00f3 que las trampas realmente funcionaran para bloquear al lobo. Entonces, la versi\u00f3n modificada de Crying Wolf era m\u00e1s o menos as\u00ed:<\/p>\n “Ah, pens\u00e9 que ten\u00edamos un lobo acechando. Yo me encargar\u00e9 de ello”, dice el ni\u00f1o.<\/p>\n Entonces el pastor sigue las instrucciones: coloca trampas para lobos, compra una herramienta de seguridad para matar lobos e incluso coloca un objeto de pol\u00edtica de grupo (GPO) para sacar al lobo de su campo. Luego se dirige al pueblo orgulloso de su trabajo.<\/p>\n “Me dijeron que hab\u00eda un lobo, as\u00ed que lo cuid\u00e9”, les cuenta a sus amigos pastores mientras toma una cerveza en la taberna local.<\/p>\n Mientras tanto, la realidad es que el lobo es capaz de esquivar las trampas, pasar por delante de la herramienta para matar lobos mal configurada y establecer nuevas pol\u00edticas a nivel de aplicaci\u00f3n para que no le importe el GPO. Captura un conjunto de credenciales de administrador de dominio (DA) de la ciudad, las transmite, se declara alcalde y luego somete a la ciudad a un ataque de ransomware. Antes de que se den cuenta, la ciudad le debe 2 Bitcoin a alg\u00fan lobo, o perder\u00e1n sus ovejas y un cami\u00f3n lleno de PII.<\/p>\n Lo que hizo el pastorcillo se llama falso negativo. Pens\u00f3 que no hab\u00eda ning\u00fan lobo y viv\u00eda con una falsa sensaci\u00f3n de seguridad cuando la amenaza nunca era realmente neutralizada. Y ahora es tendencia en Twitter por las razones equivocadas.<\/p>\n Los lobos rara vez representan una amenaza para la seguridad de la informaci\u00f3n, pero \u00bfsabes qui\u00e9n lo es? Ese mal actor con una puerta trasera, un punto de apoyo en su red, escuchando en busca de credenciales. Todo esto es posible gracias a sus muy buenos amigos, los protocolos de resoluci\u00f3n de nombres heredados.<\/p>\n Los ataques de envenenamiento por resoluci\u00f3n de nombres son un error dif\u00edcil de eliminar en lo que respecta a la remediaci\u00f3n. Si su DNS est\u00e1 configurado incorrectamente (lo cual es sorprendentemente com\u00fan) y no ha desactivado los protocolos LLMNR, NetBIOS NS y mDNS utilizados en ataques de intermediario a trav\u00e9s de GPO, scripts de inicio o los suyos propios. salsa especial, entonces podr\u00edas tener alg\u00fan problema. Y donde el lobo podr\u00eda haberse servido un vaso de leche, su atacante se servir\u00e1 datos confidenciales.<\/p>\n Si un atacante husmea las credenciales y usted no tiene habilitada la firma SMB y <\/em>requerido en todas las m\u00e1quinas unidas a su dominio (si se pregunta si lo hace, probablemente no lo haga), entonces ese atacante puede transmitir el hash. Esto obtendr\u00e1 acceso a la m\u00e1quina unida al dominio sin siquiera descifrar el hash capturado.<\/p>\n \u00a1Ay!<\/p>\n Ahora su amigable pentester de la aldea encuentra este problema y le dice al administrador del sistema, tambi\u00e9n conocido como nuestro pastor, que haga una de las correcciones antes mencionadas para evitar toda esta serie de ataques. \u00c9l soluciona esto lo mejor que puede. Instalan los GPO, obtienen las herramientas sofisticadas, hacen TODAS las cosas. \u00bfPero se ha visto al lobo muerto? \u00bfSABEMOS que la amenaza ha sido solucionada?<\/p>\n A trav\u00e9s de un conjunto de casos de esquina dignos de un montaje, el atacante a\u00fan puede entrar, porque casi siempre habr\u00e1 casos de esquina. Tendr\u00e1 un servidor Linux que no est\u00e1 unido a un dominio, una aplicaci\u00f3n que ignora GPO y transmite sus credenciales de todos modos. Peor a\u00fan (*escalofr\u00edos*), una herramienta de descubrimiento de activos que utiliza enumeraci\u00f3n autenticada que conf\u00eda en la red en general y env\u00eda credenciales de DA a todos.<\/p>\n Por eso los dioses cibern\u00e9ticos nos dieron el ASV, porque ASV es el le\u00f1ador de la ciudad con un trabajo secundario como un fantasma de lobo. Se comportar\u00e1 como un lobo. Rastrear\u00e1 las credenciales, capturar\u00e1 el hash y lo transmitir\u00e1 a la m\u00e1quina unida al dominio para que el administrador del sistema pueda encontrar el \u00fanico servidor molesto que no est\u00e1 unido al dominio y no escucha el GPO.<\/p>\n Llev\u00e9moslo todo a casa. Hay algunas cosas que simplemente tienen sentido. No llamar\u00edas muerto a un lobo antes de haberlo visto y, sin duda, no llamar\u00edas algo remediado antes de validarlo. Por lo tanto, no se convierta en “el administrador del sistema que llor\u00f3 por la soluci\u00f3n”.<\/p>\n Este art\u00edculo fue escrito por Joe Nay, arquitecto de soluciones de Pentera.<\/i><\/p>\n Para obtener m\u00e1s informaci\u00f3n, visita pentera.io<\/a>. <\/p>\n <\/p>\n\u00bfPor qu\u00e9 se necesita ASV?<\/strong><\/h2>\n
El administrador del sistema que llor\u00f3 remediado<\/strong><\/h2>\n
\u00a1Es hora de escenarios de la vida real!<\/strong><\/h2>\n
Falsas alarmas rectificadas<\/strong><\/h2>\n