Este artículo forma parte de una serie que pretende mostrar a los profesionales de la ciberseguridad las lecciones aprendidas por las víctimas de ciberataques. Cada lección incluirá recomendaciones sencillas, muchas de las cuales no requieren que las organizaciones adquieran ninguna herramienta.
Parte del mundo de la tecnología de la información cree que hay algunos sistemas que simplemente no necesitan seguridad endpoint. Tal vez estén air-gapped o no tengan acceso a Internet. Tal vez sean sistemas de desarrollo o no tengan nada importante ejecutándose. Incluso hay organizaciones que no les importa que la suscripciones de seguridad de endpoints caducasen, no creen que eso agregara ningún valor.
La mentalidad proviene de una larga historia (en el mundo de InfoTech) de seguridad de endpoint diseñada para detener malware, en caso de que de alguna manera llegue a ese sistema. Por lo tanto, si el sistema estaba aislado, se restauraba fácilmente, no era importante o “siempre somos muy cuidadosos”, no se requería protección.
Algunos consideran que los ordenadores de los usuarios son menos importantes que los servidores, por lo que solo protegen los servidores. En realidad, según el Sophos 2021 Active Adversary Playbook, el 54% de los ataques involucraron sistemas desprotegidos.
Tanto la seguridad de los endpoints como la forma en que funcionan los ataques han cambiado drásticamente en los últimos años. Los ciberdelincuentes han desarrollado tácticas sofisticadas de “living off the land” en las que utilizan tus herramientas de administración (por ejemplo, PowerShell), entornos de scripting (por ejemplo, JavaScript), configuraciones del sistema (por ejemplo, tareas programadas y políticas de grupo), servicios de red (por ejemplo, SMB y recursos compartidos de administración y WMI) y aplicaciones válidas (como TeamViewer, AnyDesk o ScreenConnect) para evitar tener que usar malware real para lograr sus objetivos. Lo que se consideraban técnicas de amenazas persistentes avanzadas (APT) ahora son utilizadas incluso por ciberdelincuentes menos sofisticados.
El objetivo de los “malos”, sin embargo, sigue siendo en gran parte el mismo: ganar dinero. Esto podría ser mediante la implementación de ransomware (a menudo después de la exfiltración de datos y la eliminación de la copia de seguridad para que el pago del rescate sea una opción más viable), la extracción de criptomonedas, la obtención de información de identificación personal (PII) para vender o el espionaje industrial.
En respuesta, la seguridad de los endpoints ha evolucionado y ahora detecta y previene comportamientos maliciosos al tiempo que brinda visibilidad detallada, contexto y herramientas de búsqueda de amenazas. Esta evolución de la protección se pierde si no se implementa. Los sistemas desprotegidos son puntos ciegos.
Los sistemas sin acceso directo a Internet necesitan protección
Entonces, ¿cómo puede un ciberdelincuente atacar un sistema desprotegido que no tiene acceso directo a Internet?
Por lo general, lanzan ataques desde un sistema que está conectado como intermediario utilizando un troyano o stager a través de un canal de comando y control en el puerto 443 (es difícil identificar el tráfico cifrado anómalo). No es tan importante si se trata de un servidor o un sistema de un usuario: todos ejecutan un conjunto similar de recursos básicos. El adversario puede acceder a los sistemas de la misma manera que lo haría un usuario.
Hagamos una lista de técnicas disponibles para atacar un sistema a través de la LAN (enlaces a MITRE ATT&CK):
- T1047 – Instrumentación de Administración Windows (WMI)
- 1 – Protocolo de escritorio remoto
- 2 – Recursos compartidos administrativos
- 3 – Modelo de Objetos de Componentes Distribuidos
- 4 – Secure Shell (SSH)
- 6 – Gestión remota de Windows
- 5 – VNC, ScreenConnect, TeamViewer y otras herramientas de administración remota de terceros
Con tantas opciones disponibles para los ciberdelincuentes, necesitamos la visibilidad y la protección que brinda la implementación de la protección de endpoints en todos los sistemas posibles, incluso en aquellos sin acceso directo a Internet. Si bien la actividad en el sistema intermediario puede parecer benigna (por ejemplo, hacer una conexión RDP), los resultados en el sistema desprotegido pueden ser catastróficos.
Eliminar los puntos ciegos mediante la implementación de protección de endpoints en todas partes significa que los atacantes tienen menos lugares para esconderse. Eso es importante porque si los adversarios pueden esconderse en los sistemas, pueden pasar desapercibidos durante días, semanas o incluso meses, recopilando información silenciosamente sobre el entorno, usuarios, redes, aplicaciones y datos. Encontrarán los sistemas desprotegidos como sistemas al final de su vida útil, servidores Linux, hipervisores y aplicaciones desatendidas y sin parches y luego seguirán investigando hasta que estén listos para el ataque final.
La mayoría de las veces, el procedimiento operativo estándar es deshabilitar la seguridad del endpoint (lo que pueden hacer porque han obtenido privilegios elevados, o incluso a nivel del sistema), exfiltrar y luego eliminar las copias de seguridad e implementar el ransomware que escojan.
Sophos Rapid Response se creó recientemente para hacer frente a un incidente que involucró un sistema desprotegido. Este caso es un excelente ejemplo de por qué, en retrospectiva, la protección de endpoints debería haberse implementado en todas partes
cosmetica profesional
Estaba esperando este tercer paso! muchas gracias! estoy aprendiendo mucho con estas retrospectivas!