El robo de credenciales y el movimiento lateral están hoy en día presente en casi todos los intentos de ataques, siendo uno de los puntos dentro de la ciberseguridad que tiene prioridad en poder identificar la ocurrencia de estos eventos y responder con las actividades necesarias frente a este tipo de ataque detectado.
Pero ¿que es el movimiento lateral? Partamos con esta definición:
Son técnicas de ataque de hackers informáticos, que tienen como objetivo, propagarse a través de la red buscando información clave. Ahora, para aumentar la probabilidad de encontrar información relevante, utilizan el movimiento lateral.
Casi siempre tienen relación al uso de credenciales privilegiadas y técnicas que imitan las tareas que realizan, todos los días, los administradores de dominio Windows.
Aislar los entornos de servidores en el ámbito de procesos, se define como la solución para evitar el movimiento lateral, Disminuyendo la brecha de ataque a un espacio dedicado donde se ejecuta un componente o proceso.
Una de las soluciones son los contenedores, ambientes individuales con servidores agrupados por componentes o procesos específicos. Aislar las aplicaciones puede ser relativamente simple pero no se considera como un método infalible de aislamiento.
Otra solución es la Microsegmentación, que permite descubrir la dependencia de las aplicaciones, proteger las aplicaciones criticas y garantizar el cumplimiento de las normas.
Esto puede incluir una combinación de servidores, máquinas virtuales, instancias de nube y contenedores. Los beneficios principales son reducción de la superficie de ataque, contención mejorada de brechas y una posición de cumplimiento normativo mas fuerte.
La agencia nacional de seguridad de Estados Unidos, NSA, ha informado de 25 vulnerabilidades que hackers del gobierno chino están utilizando actualmente para irrumpir en redes, robar datos, entre otros tipos de ataque. La organización norteamericana indica que liberó este listado para ayudar a los departamentos de TI a priorizar el parchado. En otras palabras: si no sabe que actualizaciones aplicar primero, comience con estas.
Hablando de tropiezos en programación, el 20 de octubre del presente año Google corrigió un hoyo de seguridad en el ultra-utilizado navegador Chrome que estaba siendo explotado a diestra y siniestra por maleantes. La vulnerabilidad en cuestión, CVE-2020-15999, radica en la conversión de tipo Freeparsing en el software. La versión 86.0.4240.111 del navegador para todos los sistemas operativos soportados ya viene con este problema correjido y debería estar en distribución en los próximos dias.
La lista de 25 vulnerabilidades de la NSA son errores de programación que son conocidas y para las cuales ya existen parches disponibles. De estas 7 afectan a sistemas de acceso remoto, 7 a servidores internos, una administración de dispositivos móviles, 2 son escalar privilegios, 2 afectan a Active Directory, 3 a equipos de red, y 3 a servidores públicos.
La directora de ciberseguridad de la NSA, Anne Neuberger, dijo este pasado martes: “Hemos escuchado fuerte y claro que puede ser difícil prorizar el parchado y los esfuerzos de mitigación”. Ademas de que “Esperamos que al destacar estas vulnerabilidades que China está utilizando para comprometer sistemas, los profesionales de la ciberseguridad obtengan información para priorizar esfuerzos y securizar sus sistemas”
El Listado
CVE-2019-11510 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11510 Afecta a: Pulse Secure vpn Descripción:Un atacante remoto sin autenticar puede enviar una URI especialmente creada para ejecutar lectura arbitraria de archivos. Esto puede exponer llaves o contraseñas.
CVE-2020-5902 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5902 Afecta a: F5 BIG-IP balanceador de carga / proxy Descripción: La Traffic Management User Interface (TMUI), a la cual también se le refiere como utilidad de configuración, tiene una vulnerabilidad de ejecución remota de código (RCE), la cual se encuentra publicada en internet.
CVE-2019-19781 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-19781 Afecta a: Citrix Application Delivery Controller (ADC) y Gateway Descripción: Permite movimiento por directorios, lo que conlleva una ejecución remota de código sin credenciales.
CVE-2019-0708 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0708 Afecta a: Microsoft Windows Remote Desktop Services Descripción: Ejecución remota de código cuando un atacante sin autenticar se conecta al objetivo utilizando RDP y enviando paquetes creados especialmente para esto.
CVE-2020-15505 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15505 Afecta a: MobileIron mobile device management (MDM) Descripción: Ejecución remota de código que permite que un atacante remoto ejecute comandos sin autenticación mediante vectores sin especificar.
CVE-2020-1472 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1472 Afecta a: Microsoft Netlogon Remote Protocol (MS-NRPC) Descripción: Existe una elevación de privilegios cuando un atacante establece una conexión vulnerable mediante un canal seguro Netlogon hacia un controlador de dominio.
CVE-2018-4939 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-4939 Afecta a: Adobe ColdFusion 11 Update 13 y anteriores Descripción: Vulnerabilidad de des-serialización de datos no confiables. La explotación exitosa puede conllevar la ejecución de código arbitrario.
CVE-2015-4852 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4852 Afecta a: Oracle WebLogic Descripción: El componente de seguridad de WLS 10.3.6.0, 12.1.2.0, 12.1.3.0, y 12.2.1.0, permite que un atacante remoto ejecute comandos arbitrariamente mediante un objeto serializado en Java en el tráfico del protocolo T3 mediante el puerto TCP 7001
CVE-2020-2555 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2555 Afecta a: Oracle Fusion Middleware Descripción: En Oracle Coherence de OFM existe una explotación fácil que permite a un atacante remoto comprometer Oracle Coherence mediante acceso T3. Esto permite tomar el control de Oracle Coherence.
CVE-2019-3396 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-3396 Afecta a: Atlassian Confluence Server Descripción: La vulnerabilidad permite que in atacante remoto obtenga movimiento entre directorios y ejecición remota de código, mediante server-side template injection.
CVE-2019-11580 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11580 Afecta a: Atlassian Crowd y Crowd Data Center Descripción: Existe un plugin habilitado incorrectamente en los releases llamado pdkinstall. Este permite que atacantes envien requerimientos sin autenticar puedan explotar esta vulnerabilidad, permitiendo la ejecición remota de código.
CVE-2020-10189 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-10189 Afecta a: Zoho ManageEngine Desktop Central Descripción: Es posible realizar una ejecución remota de código debido a la des-serialización de datos no confiables en el método getChartImage de la clase FileStorage.
CVE-2019-18935 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-18935 Afecta a: Progress Telerik UI for ASP.NET AJAX 2019.3.1023 y anteriores Descripción: Una vulnerabilidad de des-serialización en la función RadAsyncUpload, permite que mediante el conocmimiento de las llaves de encriptación (CVE-2017-11317 o CVE-2017-11357) resulte en la ejecición de remota de código.
CVE-2020-0601 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-0601 Afecta a: Microsoft Windows Descripción: Suplantación en el modo que la MS Windows CryptoAPI (Crypt32.dll) valida los certificados ECC. Un atacante puede explotar la vulnerabilidad al utilizar un ejecutable firmado con un certificado con código falsificado, lo que aparentaría ser legítimo. En este caso permite cualquier tipo de ataque mediante malware.
CVE-2020-3118 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-6327 Afecta a: Cisco IOS XR Descripción: Una vulnerabilidad en la implementación del Cisco Discovery Protocol permite que un atacante sin autenticar ejecute código arbitrariamente o causar una recarga en un sistema afectado.
CVE-2020-8515 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8515 Afecta a: DrayTek Vigor2960 1.3.1_Beta, Vigor3900 1.4.4_Beta, and Vigor300B 1.3.3_Beta, 1.4.2.1_Beta, y 1.4.4_Beta Descripción: Estos dispositivos permiten una ejecución remota de código como root sin autenticar, esto, mediante metacaracteres del shell.
Limitar el uso de aplicaciones en estaciones de trabajo es fundamental en el ámbito de la seguridad informática, sobre todo si estas aplicaciones son clasificadas como riesgosas. En este caso, herramientas que permitan tomar el control remoto de otras estaciones de trabajo y servidores y hacer ejecuciones remotas de programas.
Esta es una estrategia comúnmente empleada por los Ciberdelincuentes para robarnos información u ocupar el dispositivo como pivote y así no presentar sospechas en el robo de información.
Para evitar el uso de este tipo de aplicaciones en un ambiente corporativo, es necesario el conocimiento previo de cuáles son las aplicaciones que están implementadas (generar una línea base) en nuestros dispositivos, es decir, tener un Inventario de Software. Para esto, herramientas como #Genians, #Faronics o #Sophos nos pueden ayudar, tanto a saber que existe, como evitar la ejecución de programas clasificados como riesgosos.
Un poco más allá, en cualquier entorno, ya sea Cloud u on-premise #Guardicore podría generar políticas sobre el tráfico lateral (Este-Oeste, o la comunicación entre aplicativos dentro de nuestros servidores), así podríamos limitar o establecer el control sobre quién y qué puede acceder a nuestros servicios de red y obviamente con esto impedimos que una estación de trabajo, por ejemplo, se conecte en forma indebida a una base de datos.
Uno de los puntos claves dentro de las organizaciones, es su gente. Esto también es aplicable en ciberseguridad.
Que nuestros usuarios entiendan, estén consientes y sean responsables de los procesos y las vulnerabilidades que pueden afectarlos a ellos o a sus compañías, es un trabajo diario y complejo. Para esto, es necesario tener procesos asociados a capacitar y concientizar a la gente en el uso correcto de las tecnologías #awarness.
Uno de los puntos que mas se ha comentado o de mayor uso por las compañías están asociados a reducir la superficie expuesta a ataques a través de #phishing.
#Phishing es un término informático que distingue a un conjunto de técnicas que persiguen el engaño a una víctima ganándose su confianza haciéndose pasar por una persona, empresa o servicio de confianza (suplantación de identidad de tercero de confianza), para manipularla y hacer que realice acciones que no debería realizar (por ejemplo revelar información confidencial o hacer click en un enlace).
Una herramienta que nos ayuda en este proceso es #Sophos Phish Threat, que proporciona la flexibilidad y personalización que necesita la empresa para promover una cultura positiva de sensibilización sobre la seguridad y evaluar como los colaboradores podrán reaccionar frente a un ataque.
Si hablamos de los distintos framework de seguridad, tales como PCI-DSS, NIST, CIS, ISO 27002 u otros, todos ellos establecen 6 puntos que son la base para abordar el acceso a los activos de las compañías #NAC:
Inventario y Control de Activos de Hardware
Inventario y Control de Activos de Software
Manejo continuo de vulnerabilidades
Control de Privilegios administrativos
Configuración segura de Hardware y software en móviles, portátiles, estaciones de trabajo y servidores
Mantenimiento, monitoreo y análisis de registros de auditoria.
#Genians, es un producto que nos puede ayudar a abordar estos 6 puntos, estableciendo el control de acceso a nuestros recursos de Red, aplicando políticas basadas en la identificación de los usuarios, dispositivos y las lineas bases de hardware y software definidas.
Hemos hablado de la importancia de la correcta identificación de los usuarios, y uno de los métodos más tradicionales es hacer uso del Active Directory (AD). Herramienta que cumple una función critica en toda compañía que la utiliza y no solo para el correcto reconocimiento de los usuarios, sino también los perfiles y políticas que los rodean..
El tip de hoy habla de una recomendación base, que consiste en tener el control del Dominio de nuestra empresa, en la creación, modificación y eliminación de políticas asociadas a usuarios. Mientras más ordenado está este repositorio de usuario, perfiles y políticas, nuestro trabajo de auditoria es más sencillo.
Siempre existen herramientas que nos pueden ayudar con estas tares que pueden tornarse un tanto tediosa, como es el caso de ADAudit Plus de #ManageEngine que busca justamente esto, ayudarnos con esta tarea de vital importancia. Con ello, tareas como:
Indicadores de posibles amenazas internas
Inicios de sesión de usuarios
Cumplimiento de regulaciones como SOX, PCI-DSS, etc..
Informes y alertas
Almacenamiento de datos (eventos auditados)
Configuración de GPO
Son factibles de auditar, ya sea con recursos propios o con ayudar de un auditor externo que pueda colaborar con esto.
Siempre hemos escuchado que para reconocer o identificar correctamente a una persona en un ambiente digital se necesita conocer tres factores:
Algo que sabes
Algo que tienes
Algo que eres
Cuando hablamos de algo que sabes, nos referimos a incluir usuario, contraseña o preguntas frecuentes. A su vez, algo que tienes, es el uso de un token, softoken u contraseña de una única vez (OTP). Finalmente, cuando hablamos de algo que eres, nos referimos a sistemas de autenticación Biométrica (huella, retina, voz).
Hoy, en particular, ya no basta con manejar una de estas variables, tenemos que considerar múltiples (dos o mas), lo que se conoce con el nombre MFA (múlti-factor de autenticación). Anteriormente, se hablaba de 2FA, segundo factor de autenticación, pero siempre si dos es bueno, múltiples es mejor, de ahí el termino. Adicionalmente PCI DSS reemplazó el termino de 2FA por MFA.
#SecureEnvoy es una de las compañías preocupadas del adecuado reconocimiento de la identidad, hoy conocido como #IAM (Identity and Access Managment), que va emparejada con el concepto de #MFA y que son la piedra angular para hablar de temas como #PAM (Privileged Access Managment) y que en conjunto buscan una forma de evitar el robo de información o de identidad.
Tal como comentamos en el Tip 8. El modelo de #ZeroTrust, se basa en tres pilares fundamentales:
Siempre Autentique, autorice y contabilice.
Limite el acceso de los usuarios con acceso justo a tiempo y estrictamente suficiente.
Minimice la onda expansiva de los incidentes de seguridad al segmentar el acceso por red, usuario, dispositivos y conocimiento de las aplicaciones (#Genians para #NAC o #Guardicore para #microsegmentación)
De los cuales ya hemos comentado el primero y el segundo, a través de herramientas como #SecureEnvoy y #Centrify. Para el caso 3, según el ambiente que abordemos, Tradicional o Cloud, podemos comentar de herramientas como #Genians que nos ayudan a controlar el acceso a los recursos de RED, pasando obviamente por una adecuada segmentación de RED. Adicionalmente #Genians nos ayuda con el reconocimiento de los usuarios, dispositivos y aplicaciones para luego generar políticas de acceso.
En entornos más dinámicos #Cloud, hoy hablamos de #microsegmentación. Donde productos como #Guardicore, líder del mercado en este segmento, nos ayuda con las definiciones y la visualización del tráfico.
El Ministerio de Interior ha formalizado una denuncia ante el ministerio público por el robo del código fuente de clave única y bases de datos del servicio de Clave Única del estado.
Existen cientos de trámites realizables con clave única, dentro de los cuales se encuentran actividades tributarias, civiles y judiciales. El uso de estas credenciales robadas para acceder a estos trámites permite suplantar la identidad de la víctima y realizar fraudes tales como:
Emitir boletas/facturas en nombre de personas o empresas
Solicitar beneficios sociales
Modificación de antecedentes en tribunales
También existe otra arista de esta problemática y es que la clave única no es usada solo para que los ciudadanos accedan a servicios públicos, sino que también es utilizada por sistemas internos del estado, mediante los cuales los trabajadores pueden acceder y modificar información sensible, como lo es la información de salud de la población.
El futuro de las claves robadas Hasta ahora no hay noticia de cuáles serán los siguientes pasos de los delincuentes que se hicieron de los datos, estas podrían ser vendidas en la #DeepWeb, utilizada por el mismo grupo de delincuentes para realizar fraudes, publicadas abiertamente en Internet o transformarse en material de extorsión para el gobierno de Chile.
Poca Información La falta de información otorgada por los organismos públicos y el desconocimiento general de la gente sobre estos temas, deja al descubierto una enorme falta de leyes de protección de la información y la privacidad de la ciudadanía #GDPR . Sobre todo, en un país donde el R.U.T (número de identificación) es prácticamente público.
Los siguientes pasos para el gobierno No basta con cambiar las contraseñas y solicitar crear nuevas claves únicas con el número de serie del carnet, es muy probable que los usuarios repitan sus contraseñas o utilicen credenciales similares, por lo tanto, es importante educar al usuario en el uso de contraseñas seguras y reforzar el sistema agregando tecnologías como múltiple factor de autenticación y monitoreo para la detección de accesos irregulares.
En #Makros creemos en un modelo robusto de ciberseguridad para facilitar la detección temprana de incidentes, la prevención y la contención de los mismos. Dentro de este modelo ofrecemos servicios que se integran con los flujos de #DevOps tales como #EthicalHacking, #RedTeaming,#AnálisisdeCódigo y #GestióndeVulnerabilidades. Esta combinación de servicios, en conjunto con nuestros productos nos permite entregar soluciones concretas a un problema que hoy en día no solo afecta a algunos negocios, sino que a todos los ciudadanos y empresas.
En los difíciles tiempos que corren, donde el cambio es constante y muy rápido, abordar los desafíos de una superficie de ataque más amplia se hace difícil con una estrategia de defensa tradicional basada en el perímetro, es por esto que hoy hablamos de una estrategia de confianza cero #ZeroTrust.
La implementación de este tipo de estrategia, no se basa en adquirir una herramienta y todo queda solucionado, sino más bien, de una implementación por etapas con una administración continua de mejoras. Preocuparse por evaluar el entorno a través de identidad, dispositivos, aplicaciones, datos, infraestructura y redes.
El primer punto a considerar es siempre autenticar, autorizar y Auditar, que va en linea con la administración de la identidad y acceso, para luego enfocarse en la administración de dispositivos.
En este sentido muchas herramientas nos pueden ayudar a abordar la tarea de la administración de la identidad basada en un repositorio de identidad, como puede ser AD/ADFS u otro, e incorporando soluciones como MFA (Multifactor de autenticación) #SecureEnvoy y soluciones para administrar los accesos a plataforma criticas #Centrify.
Este último punto esta incluido en la segunda recomendación del viaje de confianza cero, que corresponde a usar el acceso con privilegios mínimos: Limitar el acceso de los usuarios con acceso justo a tiempo y estrictamente suficiente.