En tiempos de trabajo a distancia, el cuidado con los datos corporativos se debe duplicar. Con los constantes avances tecnológicos también llegaron las nuevas modalidades de trabajo como el trabajo a distancia, en el cual ya no es indispensable ir a la oficina de la empresa para tener acceso a la red corporativa.
Ahora, las actividades profesionales pueden realizarse desde cualquier lugar con acceso a Internet. Sin embargo, para aprovechar al máximo esa forma práctica de trabajo, es esencial invertir en la seguridad de TI, puesto que los dispositivos de la red corporativa ya no estarán unificados.
Con esos datos disponibles en la red, los administradores deben estar siempre buscando métodos para aumentar la seguridad de la información, ya que cada día surgen nuevas amenazas y nuevas tecnologías capaces de robar esos valiosos datos.
Parte del mundo de la tecnología de la información cree que hay algunos sistemas que simplemente no necesitan seguridad endpoint. Tal vez estén air-gapped o no tengan acceso a Internet. Tal vez sean sistemas de desarrollo o no tengan nada importante ejecutándose. Incluso hay organizaciones que no les importa que la suscripciones de seguridad de endpoints caducasen, no creen que eso agregara ningún valor.
La mentalidad proviene de una larga historia (en el mundo de InfoTech) de seguridad de endpoint diseñada para detener malware, en caso de que de alguna manera llegue a ese sistema. Por lo tanto, si el sistema estaba aislado, se restauraba fácilmente, no era importante o “siempre somos muy cuidadosos”, no se requería protección.
Algunos consideran que los ordenadores de los usuarios son menos importantes que los servidores, por lo que solo protegen los servidores. En realidad, según el Sophos 2021 Active Adversary Playbook, el 54% de los ataques involucraron sistemas desprotegidos.
Tanto la seguridad de los endpoints como la forma en que funcionan los ataques han cambiado drásticamente en los últimos años. Los ciberdelincuentes han desarrollado tácticas sofisticadas de “living off the land” en las que utilizan tus herramientas de administración (por ejemplo, PowerShell), entornos de scripting (por ejemplo, JavaScript), configuraciones del sistema (por ejemplo, tareas programadas y políticas de grupo), servicios de red (por ejemplo, SMB y recursos compartidos de administración y WMI) y aplicaciones válidas (como TeamViewer, AnyDesk o ScreenConnect) para evitar tener que usar malware real para lograr sus objetivos. Lo que se consideraban técnicas de amenazas persistentes avanzadas (APT) ahora son utilizadas incluso por ciberdelincuentes menos sofisticados.
El objetivo de los “malos”, sin embargo, sigue siendo en gran parte el mismo: ganar dinero. Esto podría ser mediante la implementación de ransomware (a menudo después de la exfiltración de datos y la eliminación de la copia de seguridad para que el pago del rescate sea una opción más viable), la extracción de criptomonedas, la obtención de información de identificación personal (PII) para vender o el espionaje industrial.
En respuesta, la seguridad de los endpoints ha evolucionado y ahora detecta y previene comportamientos maliciosos al tiempo que brinda visibilidad detallada, contexto y herramientas de búsqueda de amenazas. Esta evolución de la protección se pierde si no se implementa.
Los sistemas sin acceso directo a Internet necesitan protección
Entonces, ¿cómo puede un ciberdelincuente atacar un sistema desprotegido que no tiene acceso directo a Internet?
Por lo general, lanzan ataques desde un sistema que está conectado como intermediario utilizando un troyano o stager a través de un canal de comando y control en el puerto 443 (es difícil identificar el tráfico cifrado anómalo). No es tan importante si se trata de un servidor o un sistema de un usuario: todos ejecutan un conjunto similar de recursos básicos. El adversario puede acceder a los sistemas de la misma manera que lo haría un usuario. Hagamos una lista de técnicas disponibles para atacar un sistema a través de la LAN (enlaces a MITRE ATT&CK):
T1047 – Instrumentación de Administración Windows (WMI)
1 – Protocolo de escritorio remoto
2 – Recursos compartidos administrativos
3 – Modelo de Objetos de Componentes Distribuidos
4 – Secure Shell (SSH)
6 – Gestión remota de Windows
5 – VNC, ScreenConnect, TeamViewer y otras herramientas de administración remota de terceros
Con tantas opciones disponibles para los ciberdelincuentes, necesitamos la visibilidad y la protección que brinda la implementación de la protección de endpoints en todos los sistemas posibles, incluso en aquellos sin acceso directo a Internet. Si bien la actividad en el sistema intermediario puede parecer benigna (por ejemplo, hacer una conexión RDP), los resultados en el sistema desprotegido pueden ser catastróficos.
Eliminar los puntos ciegos mediante la implementación de protección de endpoints en todas partes significa que los atacantes tienen menos lugares para esconderse. Eso es importante porque si los adversarios pueden esconderse en los sistemas, pueden pasar desapercibidos durante días, semanas o incluso meses, recopilando información silenciosamente sobre el entorno, usuarios, redes, aplicaciones y datos. Encontrarán los sistemas desprotegidos como sistemas al final de su vida útil, servidores Linux, hipervisores y aplicaciones desatendidas y sin parches y luego seguirán investigando hasta que estén listos para el ataque final.
La mayoría de las veces, el procedimiento operativo estándar es deshabilitar la seguridad del endpoint (lo que pueden hacer porque han obtenido privilegios elevados, o incluso a nivel del sistema), exfiltrar y luego eliminar las copias de seguridad e implementar el ransomware que escojan.
Una solución puede ayudar a abordar de manera integral todas las necesidades que enfrentan los administradores de TI desde una ubicación central. por eso te dejamos el link https://www.inforc.lat para poder analizar estos incidentes, una solución de seguridad de los equipos de acceso debe ser capaz de monitorizar continuamente los datos de ataque; lo que permitirá revelar el origen y el alcance del incidente.
En INFORC Ecuador, creemos en la ciberseguridad.