La complejidad de los sistemas de TI corporativos ha crecido significativamente en los últimos 10 años, primero con el cambio de sistemas fijos en las instalaciones a la nube y, más tarde, con el crecimiento de las aplicaciones web y los servicios basados en la nube que brindan nuevas formas más eficientes de hacer negocios. .
Si bien algunas organizaciones más pequeñas pueden estar completamente basadas en la nube, la gran mayoría de las organizaciones tienen una combinación de TI local, nube o nube híbrida, y utilizan sistemas y aplicaciones web de terceros para servicios internos o orientados al cliente.
Si bien esto ha proporcionado un aumento significativo en la capacidad y la eficiencia, también ha traído complejidad, tanto técnica como organizativamente, con partes externas, como proveedores de servicios en la nube y desarrolladores, que tienen responsabilidades de seguridad para el software o los servicios que brindan.
Durante el mismo período, los atacantes se han vuelto más sofisticados, con ataques dirigidos que generalmente usan varias vulnerabilidades para establecerse, escalar sus privilegios y luego moverse a otros hosts y servidores dentro de la red.
Entonces habrá aún más explotación de vulnerabilidades para mantener la persistencia; estas vulnerabilidades no serán solo vulnerabilidades de software, sino que podrían ser errores en la configuración de la nube o en la administración de identidad y acceso (IAM), o podrían ser el resultado de un ataque a la cadena de suministro en un proveedor de software o servicios.
Estos pueden abordarse hasta cierto punto a través del escaneo de vulnerabilidades y las aplicaciones de verificación de políticas de nube automatizadas que verifican las configuraciones contra una política de alto nivel, pero nunca pueden eliminarse.
El marco MITRE ATT&CK identifica nueve técnicas principales que los atacantes utilizan para obtener acceso inicial.
La mayoría de estos, como el compromiso de la web, la explotación de aplicaciones públicas, el phishing externo, la replicación a través de medios extraíbles, el uso de cuentas robadas, solo proporcionarán acceso a nivel de usuario.
Esto permite que el atacante acceda a la información disponible para el usuario, pero no otorga acceso completo. Para esto, el atacante necesita explotar una vulnerabilidad para escalar privilegios y convertirse en administrador para escapar de ese host inicial y otro para establecerse en un segundo host o servidor.
Del mismo modo, si se alojan aplicaciones web, la explotación de una vulnerabilidad o una configuración incorrecta en una aplicación web externa podría dar acceso a una base de datos subyacente o acceso directo al sistema operativo y, a través de este, a otros sistemas mediante la explotación de otras vulnerabilidades.
Si bien los sistemas internos y de cara al cliente deben mantenerse separados, a menudo no lo están, y es posible pasar de una plataforma o sistema a otro.
La conexión más probable será un sistema IAM común, especialmente si las contraseñas de dominio de Windows de los usuarios se usan en diferentes sistemas, lo que no es raro. Sin embargo, si existe alguna conexión entre dos sistemas, una configuración deficiente o vulnerabilidades no mitigadas podrían permitir que un atacante se mueva entre ellos.
Este riesgo no se puede abordar adecuadamente sin un inventario preciso de activos e interconexiones, que debe estar actualizado en todo momento.
“Si hay alguna conexión entre dos sistemas, entonces una configuración deficiente o vulnerabilidades no mitigadas podrían permitir que un atacante se mueva entre ellos”
Paddy Francis, Ciberseguridad de Airbus
Una vez que esto esté implementado, el primer paso para abordar este riesgo debe ser la zonificación/segmentación con un monitoreo adecuado del tráfico entre zonas. Esto debe ir seguido de un análisis de vulnerabilidades regular y aplicación de parches para eliminar las vulnerabilidades encontradas o, cuando no sea posible aplicar parches, mitigar las vulnerabilidades para que no puedan ser explotadas. Esto puede ser a nivel de vulnerabilidad individual o una mitigación a nivel de sistema que aborde varias vulnerabilidades.
Para la nube, las configuraciones incorrectas se pueden identificar mediante herramientas que pueden verificar las configuraciones con una política de seguridad de alto nivel, lo que debería permitir que se corrijan las configuraciones incorrectas de la nube. Esto, por supuesto, supone que existe una política para que la herramienta verifique.
Para aplicaciones web u otro desarrollo de software personalizado, las reglas de codificación de seguridad y el uso de análisis de código estático y dinámico como parte del ciclo de prueba de DevOps ayudarán a eliminar problemas comunes como el desbordamiento del búfer y las vulnerabilidades de secuencias de comandos entre sitios.
Inevitablemente habrá vulnerabilidades que no se pueden reparar o mitigar y configuraciones incorrectas desconocidas. Por lo tanto, hay que hacer algo por esas cosas que no se pueden arreglar, o que no conoces.
Si aún no está implementada, la autenticación multifactor (MFA) para el acceso del administrador, las redes privadas virtuales de acceso remoto y el acceso a otros sistemas confidenciales ayudarán a mitigar la escalada de privilegios y el uso de credenciales robadas, por ejemplo, a través de rastreadores de contraseñas, registradores de claves, etc. sobre.
El uso de zonificación y monitoreo adicional también puede ayudar a crear mitigaciones a nivel de sistema para vulnerabilidades conocidas y ayudar a identificar o prevenir vulnerabilidades y configuraciones desconocidas que se exploten al limitar el tráfico entre zonas a lo que se esperaría y monitorear el tráfico entre zonas para detectar actividad potencial de explotación.
Finalmente, una prueba de penetración independiente en el sistema probaría las mitigaciones de las vulnerabilidades conocidas y también podría identificar configuraciones incorrectas, pero no podrá identificar vulnerabilidades desconocidas.
Los sistemas de TI más grandes de la actualidad tienden a ser complejos y, a menudo, se construyen poco a poco con el tiempo. Esto suele crear vulnerabilidades y errores de configuración a través de muchas reconfiguraciones de equipos y sistemas y la introducción de nuevas aplicaciones y servicios. Es probable que dichos sistemas contengan vulnerabilidades y tengan errores de configuración, y si los tienen, eventualmente serán explotados.
