Cada año, miles de millones de credenciales aparecen en línea, ya sea en la dark web, clear web, pegar sitios o en volcados de datos compartidos por ciberdelincuentes. Estas credenciales a menudo se usan para ataques de apropiación de cuentas, lo que expone a las organizaciones a infracciones, ransomware y robo de datos.

Si bien los CISO son conscientes de las crecientes amenazas a la identidad y tienen múltiples herramientas en su arsenal para ayudar a reducir el riesgo potencial, la realidad es que las metodologías existentes han demostrado ser en gran medida ineficaces. Según el Informe de investigaciones de violación de datos de Verizon de 2022 , ma s del 60 % de las violaciones involucran credenciales comprometidas.

Los atacantes utilizan técnicas como la ingeniería social, la fuerza bruta y la compra de credenciales filtradas en la dark web para comprometer identidades legítimas y obtener acceso no autorizado a los sistemas y recursos de las organizaciones víctimas.

Los adversarios a menudo aprovechan el hecho de que algunas contraseñas se comparten entre diferentes usuarios, lo que facilita la violación de varias cuentas en la misma organización. Algunos empleados reutilizan contraseñas. Otros usan un patrón compartido en sus contraseñas entre varios sitios web. Un adversario puede utilizar técnicas de descifrado y ataques de diccionario para superar las permutaciones de contraseñas aprovechando un patrón compartido, incluso si la contraseña esta codificada. El principal desafío para la organización es que los piratas informa ticos solo necesitan una única coincidencia de contraseña para ingresar.

Para mitigar eficazmente su exposición, dada la inteligencia de amenazas actual, las organizaciones deben centrarse en lo que es explotable desde la perspectiva del adversario.

Exposición de credenciales

Aquí hay cinco pasos que las organizaciones deben tomar para mitigar la exposición de las credenciales:

Recopilar datos de credenciales filtrados

Para comenzar a abordar el problema, los equipos de seguridad deben recopilar datos sobre las credenciales que se han filtrado externamente en varios lugares, desde la web abierta hasta la web oscura. Esto les puede dar una indicación inicial del riesgo para su organización, así como las credenciales individuales que deben actualizarse.

Analizar los datos

A partir de ahí, los equipos de seguridad deben identificar las credenciales que realmente podrían generar riesgos de seguridad. Un atacante tomaría las combinaciones de nombre de usuario y contraseña (ya sea en texto sin cifrar o hash) y luego intentaría usarlas para acceder a servicios o sistemas. Los equipos de seguridad deben utilizar técnicas similares para evaluar sus riesgos. Esto incluye:

  • Verificar si las credenciales permiten el acceso a los activos expuestos externamente de la organización, como servicios web y bases de datos.
  • Intentar descifrar hashes de contraseña capturados
  • Validación de coincidencias entre los datos de credenciales filtrados y las herramientas de administración de identidades de la organización, como Active Directory
  • Manipular los datos sin procesar para aumentar el número logrado de identidades comprometidas. Por ejemplo, los usuarios suelen utilizar los mismos patrones de contraseña. Incluso si las credenciales filtradas no permiten el acceso a activos externos ni coinciden con las entradas de Active Directory, es posible encontrar coincidencias adicionales probando variaciones.

Mitigar exposiciones de credenciales

Después de validar las credenciales filtradas para identificar las exposiciones reales, las organizaciones pueden tomar medidas específicas para mitigar el riesgo de que un atacante haga lo mismo. Por ejemplo, podrían borrar cuentas filtradas inactivas en Active Directory o iniciar cambios de contraseña para usuarios activos.

Reevaluar los procesos de seguridad

Después de la mitigación directa, los equipos de seguridad deben evaluar si sus procesos actuales son seguros y realizar mejoras cuando sea posible. Por ejemplo, si esta n lidiando con muchas credenciales filtradas coincidentes, pueden recomendar cambiar toda la política de contraseñas en toda la organización. De manera similar, si se encuentran usuarios inactivos en Active Directory, puede ser beneficioso revisar el proceso de baja de empleados.

Repetir automa ticamente

Los atacantes adoptan continuamente nuevas técnicas. Las superficies de ataque cambian y se agregan y eliminan nuevas identidades de manera rutinaria. Del mismo modo, los humanos siempre sera n propensos a cometer errores accidentales. Como resultado, un esfuerzo único para encontrar, validar y mitigar las exposiciones de credenciales no es suficiente. Para lograr una seguridad sostenible en un panorama de amenazas altamente dina mico, las organizaciones deben repetir este proceso continuamente.

Sin embargo, los equipos de seguridad con recursos limitados no pueden darse el lujo de realizar manualmente todos estos pasos con una cadencia suficiente. La única forma de gestionar eficazmente la amenaza es automatizar el proceso de validación.

Pentera ofrece una forma para que las organizaciones emulen automa ticamente las técnicas de los atacantes, intentando explotar las credenciales filtradas tanto externamente como dentro de la red. Para cerrar el ciclo de validación, Pentera proporciona información sobre rutas de ataque completas, junto con pasos de remediación procesables que permiten a las organizaciones maximizar de manera eficiente la fortaleza de su identidad.

FUENTE: thn

INFORMÁTICA FORENSE
error: Content is protected !!