ransomware-zerotrust

Prepararse para un Ransomware con ZeroTrust

Las campañas de ransomware operadas por humanos representan una amenaza importante y creciente para las empresas y representan una de las tendencias más impactantes en los ataques cibernéticos en la actualidad.

 

Estos ataques son diferentes del ransomware de propagación automática, los adversarios emplean métodos de robo de credenciales y de movimiento lateral tradicionalmente asociados con ataques dirigidos. Demuestran un amplio conocimiento de la administración de sistemas y las configuraciones erróneas comunes de seguridad de la red, realizan un reconocimiento exhaustivo y se adaptan a lo que descubren en una red comprometida.

 

Combatir y prevenir ataques de ransomware requiere un cambio de mentalidad.

Estas campañas parecen despreocupadas del sigilo y han demostrado que podrían operar sin restricciones en las redes. Los operadores humanos comprometen las cuentas con privilegios más altos, escalan los privilegios o utilizan técnicas de volcado de credenciales para establecer un punto de apoyo en las máquinas y continuar sin cesar en la infiltración de entornos de destino. Algunas campañas conocidas de ransomware operadas por humanos incluyen REvil, Samas, Bitpaymer y Ryuk.

 

Combatir y prevenir ataques de esta naturaleza requiere un cambio de mentalidad, que se centre en la protección integral necesaria para ralentizar y detener a los atacantes antes de que puedan tener éxito.

Reproducir vídeo

Mentalidad contra Ransomware

Las empresas que operan con una mentalidad Zero Trust en todo su entorno son más resistentes, coherentes y receptivas a los nuevos ataques de ransomware. A medida que las amenazas aumentan en sofisticación, Zero Trust importa más que nunca, pero los actores pueden aprovechar las brechas en la aplicación de los principios, como dispositivos desprotegidos, contraseñas débiles y brechas en la cobertura de autenticación multifactor (MFA).

Operar con una mentalidad Zero Trust en todo entorno nos hace más resistentes, coherentes y receptivos a los nuevos ataques de ransomware.

Aplicación de Zero Trust

Zero Trust en términos prácticos es una transición de la confianza implícita, suponiendo que todo dentro de una red corporativa es seguro, al modelo que asume una violación y verifica explícitamente el estado de seguridad de la identidad, el punto final, la red y otros recursos basados en todas las señales disponibles y datos. Se basa en la aplicación de políticas contextuales en tiempo real para lograr el acceso con menos privilegios y minimizar los riesgos. La automatización y el aprendizaje automático se utilizan para permitir la detección, prevención y corrección rápidas de ataques mediante análisis de comportamiento y grandes conjuntos de datos.

Verificar explícitamente

Verificar de manera explícita significa que debemos examinar todos los aspectos pertinentes de las solicitudes de acceso en lugar de asumir la confianza sobre la base de una seguridad débil como ubicación de red. Examine la identidad, el punto final, la red y el recurso y luego aplique inteligencia y análisis de amenazas para evaluar el contexto de cada solicitud de acceso.

Cuando observamos cómo los atacantes comprometieron los entornos de identidad, hubo tres vectores principales: cuentas de usuario comprometidas, cuentas de proveedores comprometidas y software de proveedores comprometidos. En cada uno de estos casos, podemos ver claramente dónde el atacante aprovechó las brechas en la verificación explícita.

  • En los casos en que las cuentas de usuario se vieron comprometidas, se utilizaron técnicas conocidas como password spray, el phishing o el malware para comprometer las credenciales del usuario y le dieron al atacante acceso crítico a la red del cliente. Implementar protecciones basadas en la nube, como la protección con contraseña, los avances recientes en la detección de contraseñas o la inteligencia artificial mejorada para la prevención del compromiso de la cuenta.
  • Nuevamente, en los casos en que el actor tuvo éxito, las cuentas de proveedores con privilegios elevados carecían de protecciones como MFA, restricciones de rango de IP, cumplimiento de dispositivos o revisiones de acceso. En otros casos, las cuentas de usuario designadas para su uso con el software del proveedor se configuraron sin MFA ni restricciones de políticas. Las cuentas de los proveedores deben configurarse y administrarse con el mismo rigor que se utiliza para las cuentas que pertenecen a la organización.

  • Incluso en el peor de los casos de falsificación de tokens SAML, los permisos de usuario excesivos y las restricciones de políticas de red y dispositivos faltantes permitieron que los ataques progresaran. El primer principio de Zero Trust es verificar explícitamente: asegúrese de extender esta verificación a todas las solicitudes de acceso, incluso las de los proveedores y especialmente las de los entornos locales.

La identidad en la nube, como Azure Active Directory (Azure AD), es más simple y segura que la federación con identidad local. No solo es más fácil de mantener (menos partes móviles para que los atacantes exploten), su política de Zero Trust debe basarse en la inteligencia de la nube. La capacidad para razonar sobre más de ocho billones de señales al día, junto con análisis avanzados, permite la detección de anomalías que son muy sutiles y solo detectables en conjuntos de datos muy grandes. El historial del usuario, el historial de la organización, la inteligencia de amenazas y las observaciones en tiempo real son un mecanismo esencial en una estrategia de defensa moderna. Mejorar esta señal con la salud de punto final y el cumplimiento, las políticas de cumplimiento dispositivo , las políticas de protección de aplicaciones, Supervisión de la sesión, y el control y la sensibilidad de los recursos para llegar a una postura de verificación Zero Trust.

Acceso menos privilegiado

El acceso con privilegios mínimos ayuda a garantizar que los permisos solo se otorguen para cumplir objetivos comerciales específicos desde el entorno apropiado y en los dispositivos apropiados. Esto minimiza las oportunidades del atacante para el movimiento lateral al otorgar acceso en el contexto de seguridad apropiado y después de aplicar los controles correctos, incluida la autenticación sólida, las limitaciones de sesión o las aprobaciones y los procesos humanos. El objetivo es compartimentar los ataques limitando cuánto puede acceder cualquier recurso comprometido (usuario, dispositivo o red) a otros en el entorno.

Asumir incumplimiento

Nuestro principio final es asumir una infracción, construyendo nuestros procesos y sistemas asumiendo que una infracción ya ha ocurrido o que pronto ocurrirá. Esto significa usar mecanismos de seguridad redundantes, recopilar la telemetría del sistema, usarla para detectar anomalías y, siempre que sea posible, conectar esa información a la automatización para permitirle prevenir, responder y remediar casi en tiempo real.

El análisis sofisticado de anomalías en los entornos de los clientes fue clave para detectar este complejo ataque. Clientes que utilizaron capacidades avanzadas de automatización y análisis de la nube, como las que se proporcionan en Microsoft 365 Defender, pudieron evaluar rápidamente el comportamiento del atacante y comenzar sus procedimientos de desalojo y reparación.

Es importante destacar que organizaciones que modelan como si el atacante ya los estuviera observando, pueden tener más confianza en que las mitigaciones ya están implementadas porque los modelos de amenazas asumen intrusiones de atacantes.

Recomendaciones finales

  • Más que cualquier otro paso, habilite MFA para reducir la probabilidad de compromiso de la cuenta en más del 99,9%. Esto es tan importante que Azure AD MFA es gratuito para cualquier cliente de Microsoft que utilice una suscripción a un servicio comercial en línea.
  • Configure Zero Trust utilizando nuestra guía de implementación de Zero Trust.

Conozca más sobre que es Zero Trust y cómo Implementar el Modelo Zero Trust a su negocio

EMPECEMOS
A POTENCIAR SU NEGOCIO

Banner de Consentimiento de Cookies por Real Cookie Banner