OpiniónSeguridad

Cómo romper la cadena de ataque con una Gestión de Accesos Privilegiados (PAM)

Por Roberto Llop, Director Regional para el Suroeste de Europa de CyberArk.

Roberto Llop, Director Regional para el Suroeste de Europa de CyberArk.
Roberto Llop, Director Regional para el Suroeste de Europa de CyberArk.

Las consecuencias de un ciberataque pueden ser costosas. Según el Noveno Estudio Anual sobre el Coste de los Delitos Cibernéticos de Accenture, el impacto económico medio de un ciberataque aumentó de 1,4 millones de dólares a 13 millones de dólares por ataque. Por lo que, teniendo en cuenta la primera mitad de 2020, es de prever que el número de ataques seguirá aumentando a medida que los ciberdelincuentes amplíen sus campañas para aprovechar las oportunidades emergentes. Entre ellas, las asociadas a los entornos laborales cambiantes y los eslabones más débiles de las organizaciones que son su objetivo.

A medida que un mayor número de empresas trasladan cargas de trabajo a la nube, adoptan herramientas de colaboración para respaldar a las fuerzas de trabajo remotas y aumentan las capacidades de automatización, los atacantes mejoran sus estrategias para explotar áreas de transformación empresarial.

El primer paso para mantener la continuidad y la resiliencia de negocio frente a este panorama dinámico de amenazas es comprender la mentalidad de un atacante. Si bien las motivaciones pueden variar (desde ganar dinero o el espionaje hasta la paralización de un negocio), el ciclo de ataque permanece relativamente constante. Los atacantes utilizarán medios comunes para establecerse en una red, como el phishing o aprovechar una vulnerabilidad de software conocida. Una vez logrado este paso, generalmente buscarán aprovechar cuentas privilegiadas (es decir, aquellas con acceso administrativo amplio y poderoso), con fines de reconocimiento o para permanecer en la red para lanzar más ataques. Pero sin acceso privilegiado, la gran mayoría de los ataques no va más allá de las etapas iniciales.

Obtener acceso privilegiado es siempre una prioridad para los atacantes. La rápida transformación empresarial, motivada por inversiones en tecnologías digitales, ha contribuido a la expansión de cuentas privilegiadas en entornos híbridos y de nube, lo que ha facilitado aún más los potenciales puntos de acceso. Los procesos comerciales críticos, las aplicaciones y las instancias en la nube, por ejemplo, tienen asociadas cuentas privilegiadas necesarias para mantenerlas y ayudar a protegerlas.

El impacto económico medio de un ciberataque aumentó de 1,4 millones de dólares a 13 millones de dólares por ataque

Asegurar el acceso privilegiado ayuda a reducir la superficie de ataque al romper el conjunto de herramientas del atacante y restringir la propagación de un ataque. Mientras que limitar el movimiento lateral obliga a los atacantes a utilizar tácticas que son "más ruidosas" y más fáciles de identificar, con lo que las organizaciones pueden recibir alertas y trabajar para detener la progresión del ataque antes de que el negocio se vea afectado drásticamente.

Según el análisis de CyberArkLabs sobre los vectores y tácticas comunes de los ciberataques, existen  cuatro maneras de priorizar la gestión de acceso privilegiado para que la empresa esté mejor preparada para defenderse.

1. Detener el escalado de privilegios

Una vez que los atacantes obtienen acceso inicial a la red utilizarán una variedad de técnicas para elevar sus privilegios, con el fin de obtener permisos de mayor nivel e iniciar el movimiento lateral.

El software y las aplicaciones de las que dependen las organizaciones para administrar su negocio pueden estar plagados de configuraciones erróneas y vulnerabilidades, especialmente si las actualizaciones básicas y los parches no se realizan sistemáticamente. Según un estudio realizado por el Instituto Ponemon, en 2019, el 60% de las filtraciones de datos supusieron vulnerabilidades sin parchear. Para el atacante, la vulnerabilidad en sí representa una "puerta abierta" para conseguir ese punto de acceso inicial. El paso crítico es cómo los atacantes pueden usar su posición inicial para escalar privilegios y favorecer el movimiento lateral, a través de redes cada vez más distribuidas y descentralizadas.

El escalado de privilegios es el eslabón más crítico en la cadena de ataque, ya que puede permitir que un ciberdelincuente realice varios pasos, incluida la permanencia en la red, la construcción de puertas traseras adicionales y, en última instancia, el acceso a activos críticos. Un programa moderno de gestión de acceso privilegiado hace cumplir el principio de privilegio mínimo, que garantiza que los usuarios solo tengan el acceso necesario para realizar sus funciones. Y nada más. Esto ayuda a limitar los permisos de súper usuario y administrador, lo que reduce muchísimo la superficie de ataque general.

2. Prevenir el movimiento lateral

El movimiento lateral es una táctica, a menudo interconectada con el escalado de privilegios, diseñada para permitir que los atacantes accedan y controlen sistemas en una red y cuyo objetivo es difundir un ataque o facilitar la persistencia a largo plazo. Los atacantes utilizan el movimiento lateral para avanzar desde el punto de acceso original para encontrar información valiosa, obtener acceso a sistemas críticos para el negocio o ejecutar un ataque. Y aprovechar el acceso privilegiado es la manera de facilitar ese movimiento. Al aumentar los privilegios, los atacantes pueden moverse de manera efectiva de un lugar a otro, incluso de entornos locales a entornos de nube y viceversa. La gestión de acceso privilegiado es una de las formas más efectivas de detener el movimiento lateral al asegurar los puntos de acceso que los atacantes necesitan para moverse a través de una red, lo que ayuda a bloquear la progresión de un ataque.

3. Retrasar la propagación del ransomware

El ransomware sigue siendo uno de los ciberataques más comunes y costosos. Si bien el ataque generalmente comienza en una estación de trabajo, el objetivo del ransomware es cifrar archivos, aplicaciones o sistemas para que los atacantes puedan retener a una organización como rehén hasta que se pague un rescate. Un ordenador portátil no le dará al delincuente la ganancia de un día, pero  comprometer una red completa sí.

El paso de la estación de trabajo a la red es un aspecto crítico de la estrategia de ransomware. En este sentido, Cybersecurity Ventures estima que el coste global del ransomware superará los 20.000 millones de dólares en 2021 y predice que, cada 11 segundos, se dirigirán ataques de ransomware a las empresas.

La interconexión actual de las compañías permite que los ataques de ransomware sean una preocupación real para organizaciones de todos los tamaños. Pero aunque el ransomware es dañino, la gestión de acceso privilegiado puede limitar su propagación y mantenerla contenida al punto de infección inicial. Según la investigación de CyberArk Labs, que ha probado 2,5 millones de variantes de ransomware, la eliminación de los privilegios de administrador local, junto con el control de aplicaciones en los puestos de trabajo, resultó 100% eficaz para detener la propagación del ransomware.

Cada 11 segundos, se dirigirán ataques de ransomware a las empresas

4. Evitar la apropiación de cuentas

Los ataques de Adquisición o Control de Cuentas (ATO) son sofisticados, dirigidos y diseñados para brindar al atacante el mayor control posible sobre un entorno mediante el robo y la explotación de credenciales de usuario legítimas. Los atacantes priorizan las credenciales privilegiadas en los ATO, especialmente para las cuentas con acceso "siempre activo". Estas poderosas cuentas permiten a los atacantes moverse a través de una red y lograr el compromiso total de un controlador de dominio de Directorio Activo e incluso entornos de nube completos.

Las soluciones de gestión de acceso privilegiado, –especialmente aquellas que incluyen controles de acceso just-in-time–, pueden reducir drásticamente la superficie de ataque al proteger las credenciales de autenticación que se distribuyen entre los entornos. Un enfoque just-in-time ayuda a proporcionar niveles adecuados de acceso a los recursos apropiados durante el tiempo necesario, eliminando las cuentas siempre activas que desean los atacantes. Esto hace que la vida del ciberdelincuente sea mucho más difícil al evitar el escalado de privilegios y restringir drásticamente el movimiento lateral.

Óptima gestión del acceso privado

El robo de cuentas privilegiadas es clave para la cadena de ataque. Para obtener más información sobre cómo la gestión de acceso privilegiado puede ayudar a romper el ciclo y a proteger los datos, la infraestructura y los activos más críticos de las organizaciones puede descargar una copia gratuita del Cuadrante Mágico de Gartner 2020(1) para la gestión de acceso privilegiado.

(1) Gartner, Magic Quadrant for Privileged Access Management, Felix Gaehtgens, Abhyuday Data, Michael Kelley, 4 de agosto de 2020

Gartner no respalda a ningún proveedor, producto o servicio descrito en sus publicaciones de investigación, y no aconseja a los usuarios de tecnología que seleccionen solo a los proveedores con las calificaciones más altas u otra designación. Las publicaciones de investigación de Gartner consisten en las opiniones de la organización de investigación de Gartner y no deben interpretarse como declaraciones de hechos. Gartner niega todas las garantías, expresas o implícitas, con respecto a esta investigación, incluidas las garantías de comerciabilidad o idoneidad para un propósito particular.

Computing 795