¿Ha oído hablar alguna vez de la regla 80/20? También conocida como principio de Pareto, debe su nombre al economista italiano Vilfredo Pareto. Afirma que el 80% de las consecuencias proceden del 20% de las causas. Sólo es una teoría, pero se ha observado empíricamente en numerosas facetas de los negocios.
La ciberseguridad no es una excepción a la regla 80/20. Supongamos que el 80% de los ataques cibernéticos se deben al 20% de las prácticas de seguridad negligentes. Al contrario, un 20% de prácticas de seguridad prudentes podría evitar el 80% de los ataques cibernéticos. El punto es que las prácticas básicas de seguridad pueden proteger a su organización de las amenazas avanzadas. Para ilustrar esto, echemos un vistazo a tres ataques masivos y dañinos que evolucionaron como resultado de simples errores de configuración.
Incidente de filtración de datos de Capital One
En 2019, se filtraron en Internet los datos de las tarjetas de crédito de 100 millones de clientes de Capital One Financial Corp. La causa raíz de la filtración de datos fue un firewall mal configurado en la infraestructura de Capital One. Esto permitió a un antiguo empleado acceder a los datos del servidor de almacenamiento en la nube AWS S3 y publicarlos en GitHub.
Incidente de filtración de datos de Microsoft Power Apps
Durante la pandemia de COVID-19, alrededor de 38 millones de registros de varias aplicaciones web que utilizaban Microsoft Power Apps quedaron expuestos al público. La causa de esta violación masiva de los datos fue un error de configuración en el parámetro predeterminado del software de la plataforma Microsoft Power Apps. Esta obligaba a los usuarios a activar manualmente un parámetro de privacidad para proteger los archivos. Los archivos de los usuarios que no habilitaron los parámetros de privacidad quedaron accesibles al público.
Ataque Mirai
Desde 2016, el malware Mirai —conocido por su botnet autopropagable— se ha alimentado de errores de configuración comunes para explotar dispositivos IoT. El malware Mirai lleva a cabo un ataque de fuerza bruta contra dispositivos IoT vulnerables utilizando credenciales predeterminadas para obtener acceso no autorizado a la red y crear su botnet.
Las credenciales predeterminadas son un error de configuración común. Aun así, suponen una amenaza mayor para la ciberseguridad que cualquier otro tipo de error de configuración. Si gestiona un SOC, estos son los 10 errores de configuración más importantes que debería vigilar.
Los 10 errores de configuración de ciberseguridad a los que debe prestar atención
La Agencia de Seguridad Nacional (NSA) y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) publicaron una recomendación conjunta de ciberseguridad (CSA) en el 2023 sobre los errores de configuración de ciberseguridad más comunes en las grandes compañías. Considérelos ese 20% que podría causar el 80% de los ataques cibernéticos en su red.
A continuación encontrará los errores de configuración identificados y publicados por la NSA y CISA:
1. Configuraciones predeterminadas de software y aplicaciones
Los dispositivos de red y las aplicaciones de software vienen con credenciales predeterminadas de fábrica. Es importante cambiar dichas credenciales al instalar estos dispositivos o aplicaciones. Cuando los nombres de usuario y contraseñas predeterminados no se cambian, dichos dispositivos y aplicaciones pueden abrir puertas traseras para que los actores de amenazas accedan a su red.
2. Separación inadecuada del privilegio de usuario/administrador
Es importante segregar su grupo de cuentas de administrador y usuario. También es necesario evaluar la finalidad de una cuenta antes de concederle privilegios. Por lo general se asignan varios roles a una única cuenta de administrador o servicio para permitir el control del dominio. Sin embargo, dichos privilegios pueden crear un alboroto en la red cuando dicha cuenta se ve comprometida.
3. Insuficiente monitoreo de la red interna
Sólo se puede monitorear la red de forma efectiva mediante una configuración de red adecuada. La mayoría de las organizaciones acaban configurando sólo sus hosts, habilitando el registro basado en el host para el monitoreo basado en el host. Usar este método le permite detectar los host comprometidos en la red, pero no la causa. Para monitorear a fondo la red interna, debe configurar de forma segura todos los dispositivos y aplicaciones. Lo anterior incluye routers, switches, dispositivos IoT y soluciones de seguridad para endpoints —tales como firewalls y soluciones antimalware— que monitoreen las conexiones entrantes y salientes.
4. Falta de segmentación de la red
El enfoque universal no funciona para una red extensa. Los privilegios y permisos son diferentes en toda la red. Es por eso que las redes grandes se dividen en subredes más pequeñas. Al dividir su red de mayor tamaño en unidades gestionables, puede establecer fácilmente perímetros de seguridad dentro de la red y configurar controles de seguridad únicos para cada subred.
Sin la segmentación de la red, esta existe como una única entidad a través de la cual los atacantes pueden moverse lateralmente y escalar los ataques. Estos incluyen los ataques a la cadena de suministro y los ataques de ransomware.
5. Gestión de parches deficiente
El software y el firmware obsoletos son focos para que los atacantes accedan a sus redes. Además, el software y el firmware tienen un carácter transitorio y pueden volverse incompatibles en su entorno con el paso del tiempo. Estas incompatibilidades son como agujas en un pajar y pueden volver para atormentarlo si los atacantes las identifican antes.
Por ejemplo, Log4Shell —una vulnerabilidad en la biblioteca de registro Log4j de Apache— fue objeto de un exploit de día cero en 2021. Dicha vulnerabilidad permitía a los atacantes realizar la ejecución remota de código. Esto permitía minería de criptomonedas, además de ataques de ransomware y DDoS en los sistemas de las víctimas.
6. Omisión de los controles de acceso al sistema
Almacenar las credenciales de los usuarios permite a los adversarios anular los controles de acceso reales del sistema. Lo anterior se debe a que los atacantes ahora pueden ingresar en sus sistemas de autenticación sin contraseñas reales o códigos de seguridad. Algunos ataques —como los de fuerza bruta y pulverización de contraseñas— se llevan a cabo utilizando credenciales robadas. Esto proporciona un acceso inicial para llevar a cabo otros ataques más sofisticados.
7. Métodos de autenticación multifactor (MFA) débiles o mal configurados
El proceso convencional de inicio de sesión mediante contraseña está siendo sustituido por métodos de MFA, tales como las tarjetas y los tokens inteligentes. A medida que su empresa adopta los nuevos métodos de autenticación, puede olvidarse de adherirse a las políticas de contraseña anteriores. No obstante, los hashes de las contraseñas que ya no se utilizan siguen existiendo. Aún pueden ser utilizados por los actores de amenazas para entrar en su red.
8. Listas de control de acceso (ACL) insuficientes en los recursos de red y servicios
Una ACL de red engloba todos los permisos asociados a un recurso de red. Si no configura correctamente las ACL para los recursos de red compartidos, el personal no autorizado podría acceder a los datos confidenciales compartidos, repositorios y datos administrativos de los discos compartidos.
Los actores de amenazas pueden acceder a sus recursos compartidos de datos confidenciales utilizando comandos, herramientas de código abierto o malware personalizado. Estos datos compartidos pueden contener información de identificación personal (PII), credenciales de cuentas de servicio y aplicaciones web, tickets de servicio, y otra información relacionada con su red. Lo anterior incluye la topología de red, los informes de análisis de vulnerabilidades y los datos de modelado de amenazas. Toda esta información puede ser exfiltrada para ejecutar un ataque de ransomware, DDoS o ingeniería social. Es vital que inspeccione detenidamente todos los permisos asociados a sus recursos de red.
9. Mala higiene de las credenciales
La mala higiene de las credenciales se refiere al uso de contraseñas poco seguras, una MFA mal configurada y el almacenamiento de claves sin protección. Las credenciales se ven comprometidas cuando los adversarios roban una contraseña en texto plano o un hash de contraseña. Es vital implementar políticas de contraseñas seguras que cumplan las directrices del NIST configurando adecuadamente la MFA para proteger los puntos de entrada a su red.
10. Ejecución de código sin restricciones
Es importante controlar todos los archivos ejecutables de su red. Los atacantes no se cansan de atraer a los usuarios para que hagan clic en correos electrónicos de phishing con el fin de autoejecutar scripts y códigos maliciosos en segundo plano. Según la recomendación conjunta de la CISA y NSA, los adversarios ejecutan códigos no verificados en forma de ejecutables, bibliotecas de vínculos dinámicos (DLL), aplicaciones HTML y macros —scripts que se usan en documentos ofimáticos— para explotar una red tras el acceso inicial.
Puede evitar las ejecuciones de código malicioso activando parámetros del sistema que impidan la descarga de fuentes no verificadas y restrinjan las ejecuciones de programas. Esto se hace por medio del análisis de firmas digitales, certificados y atributos de claves.
Continuamente, los atacantes buscan formas de explotar el 20% de los errores de configuración de su red. Para evitar que los empleados muerdan el anzuelo, su equipo de SOC debe evaluar y ajustar su red para garantizar que esté libre de los errores de configuración mencionados. Invertir en una solución SIEM como ManageEngine Log360 es su primer paso para defenderse de las ramificaciones de los errores de configuración de la ciberseguridad.
Así es como puede proteger su red usando Log360:
∙ Obtenga una visibilidad completa de su red con registros en tiempo real e informes de auditoría predefinidos.
∙ Monitoree las actividades de los usuarios privilegiados y el movimiento lateral con reglas de correlación predefinidas.
∙ Defiéndase contra las amenazas potenciales con alertas en tiempo real.
∙ Supervise las actividades anómalas de los usuarios con el análisis del comportamiento de usuarios y entidades.
∙ Prevenga posibles ataques con una respuesta automatizada ante incidentes.
¿Desea obtener más información? Regístrese para recibir una demostración personalizada hoy mismo.
