Durante la \u00faltima semana de marzo, tres importantes empresas tecnol\u00f3gicas (Microsoft, Okta y HubSpot) informaron importantes filtraciones de datos. DEV-0537, tambi\u00e9n conocido como LAPSUS$, realiz\u00f3 los dos primeros. Este grupo altamente sofisticado utiliza vectores de ataque de \u00faltima generaci\u00f3n con gran \u00e9xito. Mientras tanto, no se revel\u00f3 el grupo detr\u00e1s de la violaci\u00f3n de HubSpot. Este blog revisar\u00e1 las tres infracciones en funci\u00f3n de la informaci\u00f3n divulgada p\u00fablicamente y sugerir\u00e1 las mejores pr\u00e1cticas para minimizar el riesgo de que dichos ataques tengan \u00e9xito contra su organizaci\u00f3n. <\/p>\n
HubSpot – Acceso de empleados<\/h2>\n
El 21 de marzo de 2022, HubSpot inform\u00f3 la infracci\u00f3n<\/a> lo que sucedi\u00f3 el 18 de marzo. Actores malintencionados comprometieron una cuenta de empleado de HubSpot que el empleado us\u00f3 para atenci\u00f3n al cliente. Esto permiti\u00f3 a los actores maliciosos acceder y exportar datos de contacto utilizando el acceso del empleado a varias cuentas de HubSpot. <\/p>\n Con poca informaci\u00f3n sobre esta infracci\u00f3n, defenderse de un ataque es un desaf\u00edo, pero una configuraci\u00f3n clave dentro de HubSpot puede ayudar. Este es el control “Acceso de empleados de HubSpot” (que se muestra en la figura a continuaci\u00f3n) en la configuraci\u00f3n de la cuenta de HubSpot. Los clientes deben desactivar esta configuraci\u00f3n en todo momento, a menos que necesiten asistencia espec\u00edfica, y luego desactivarla inmediatamente despu\u00e9s de completar la llamada de servicio. <\/p>\n Una configuraci\u00f3n similar aparece en otras aplicaciones SaaS y tambi\u00e9n debe deshabilitarse all\u00ed. El acceso de los empleados generalmente se registra en los registros de auditor\u00eda, que deben revisarse peri\u00f3dicamente.<\/p>\n Aprenda c\u00f3mo un SSPM puede ayudar a proteger su organizaci\u00f3n de configuraciones incorrectas de SaaS<\/a><\/p>\n Okta subcontrata parte de su atenci\u00f3n al cliente a Sitel Group. El 21 de enero, un miembro del equipo de seguridad de Okta recibi\u00f3 una alerta de que se agreg\u00f3 un nuevo factor MFA a una cuenta de empleado de Sitel Group desde una nueva ubicaci\u00f3n.<\/p>\n Una investigaci\u00f3n revel\u00f3 que la computadora de un ingeniero de soporte de Sitel se vio comprometida mediante un protocolo de escritorio remoto. Esta vulnerabilidad conocida normalmente est\u00e1 deshabilitada, excepto cuando se necesita espec\u00edficamente, lo que ayud\u00f3 a los investigadores de Okta a reducir el per\u00edodo de tiempo para el ataque a una ventana de cinco d\u00edas entre el 16 y el 21 de enero de 2022.<\/p>\n Debido al acceso limitado que tienen los ingenieros de soporte a su sistema, el impacto en los clientes de Okta fue m\u00ednimo. Los ingenieros de soporte no tienen acceso para crear o eliminar usuarios o descargar bases de datos de clientes. Su acceso a los datos de los clientes tambi\u00e9n es bastante limitado.<\/p>\n El 22 de marzo, DEV-0537, m\u00e1s conocido como LAPSUS$, comparti\u00f3 capturas de pantalla en l\u00ednea. En respuesta, Okta emiti\u00f3 un comunicado<\/a> diciendo, “no hay acciones correctivas que nuestros clientes deban tomar”. Al d\u00eda siguiente la empresa comparti\u00f3 detalles de su investigaci\u00f3n<\/a>que inclu\u00eda un cronograma de respuesta detallado.<\/p>\n Si bien esta violaci\u00f3n fue limitada en el da\u00f1o que caus\u00f3, ofrece tres importantes lecciones de seguridad.<\/p>\n Ver Investigaci\u00f3n de Cloudflare sobre el compromiso de Okta de enero de 2022<\/a> para un buen ejemplo de una respuesta a tal incumplimiento. <\/p>\n Descubra c\u00f3mo Adaptive Shield proporciona administraci\u00f3n de posturas de terminales y control de configuraci\u00f3n de SaaS<\/a> <\/p>\n El 22 de marzo, Seguridad de Microsoft informaci\u00f3n compartida<\/a> relacionado con un ataque que sufri\u00f3 a manos de DEV-0537. Microsoft tuvo una sola cuenta comprometida, lo que result\u00f3 en el robo y publicaci\u00f3n del c\u00f3digo fuente.<\/p>\n Microsoft asegur\u00f3 a sus usuarios que el ataque LAPSUS$ no comprometi\u00f3 su informaci\u00f3n y afirm\u00f3 adem\u00e1s que no hab\u00eda riesgo para ninguno de sus productos debido al c\u00f3digo robado.<\/p>\n Microsoft no comparti\u00f3 espec\u00edficamente c\u00f3mo se llev\u00f3 a cabo la violaci\u00f3n, aunque alert\u00f3 a los lectores que LAPSUS$ recluta activamente empleados en telecomunicaciones, importantes desarrolladores de software, centros de atenci\u00f3n telef\u00f3nica y otras industrias para compartir credenciales.<\/p>\n La empresa tambi\u00e9n ofreci\u00f3 estas sugerencias para asegurar las plataformas contra estos ataques.<\/p>\n Para obtener una lista completa de las recomendaciones de Microsoft, consulte esta <\/a>Nota.<\/p>\n Asegurar las plataformas SaaS es un desaf\u00edo importante y, como se vio esta semana, incluso las empresas globales deben mantenerse al tanto de su seguridad. Los actores maliciosos contin\u00faan evolucionando y mejorando sus m\u00e9todos de ataque, lo que obliga a las organizaciones a estar al pendiente y priorizar su seguridad SaaS constantemente.<\/p>\n Las contrase\u00f1as seguras y las soluciones SSO ya no son suficientes por s\u00ed solas. Las empresas necesitan medidas de seguridad avanzadas, como MFA fuerte, listas de IP permitidas y bloqueo del acceso innecesario de los ingenieros de soporte. Una soluci\u00f3n automatizada como SaaS Security Posture Management (SSPM) puede ayudar a los equipos de seguridad a estar al tanto de estos problemas. <\/p>\n La importancia de la seguridad de los dispositivos en SaaS es otra conclusi\u00f3n de estos ataques. Incluso una plataforma SaaS totalmente segura puede verse comprometida cuando un usuario privilegiado accede a una aplicaci\u00f3n SaaS desde un dispositivo comprometido. Aproveche una soluci\u00f3n de seguridad que combina la postura de seguridad del dispositivo con la postura de seguridad de SaaS para una protecci\u00f3n completa de extremo a extremo.<\/p>\n El desaf\u00edo de asegurar las soluciones SaaS es complejo y m\u00e1s que oneroso para completar manualmente. Las soluciones SSPM, como Adaptive Shield, pueden proporcionar gesti\u00f3n automatizada de la postura de seguridad de SaaS, con control de configuraci\u00f3n, gesti\u00f3n de la postura del punto final y control de aplicaciones de terceros<\/a>.<\/p>\n Nota: Hananel Livneh, analista s\u00e9nior de productos de Adaptive Shield, escribi\u00f3 y contribuy\u00f3 con este art\u00edculo.<\/i><\/p>\n <\/p>\n<\/div>\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/04\/1649339721_704_Into-the-Breach-desglose-de-3-ciberataques-a-aplicaciones-SaaS.jpg\")
<\/div>\nOkta – Falta de seguridad del dispositivo para usuarios privilegiados<\/h2>\n
\n
Microsoft – MFA para todos los usuarios privilegiados<\/h2>\n
\n
Pensamientos finales<\/h2>\n