Las amenazas internas utilizan cada vez más exploits de escalada de privilegios

A informe publicado a finales de 2023 describía cómo los insiders utilizaban cada vez más exploits de escalada de privilegios para llevar a cabo acciones no autorizadas en las redes de sus organizaciones.

Según el informe de Crowdstrike, el 55% de las amenazas internas identificadas utilizaron o intentaron utilizar exploits de escalada de privilegios. En los casos en que el insider era malicioso, se le observó usando sus privilegios elevados para utilizar kits adicionales como Metasploit, Cobalt Strike y otras herramientas destinadas a explotar sistemas.

Vale la pena señalar que la investigación se centró en sistemas locales y probablemente no incluyó datos recopilados a partir del abuso de aplicaciones en la nube.

Al leer su informe, la gran mayoría de las visitas se encuentran en sistemas Windows y Linux. Dicho esto, dentro de los parámetros dados, estos siguen siendo algunos hallazgos bastante importantes a los que vale la pena prestar atención por parte de los equipos de seguridad a medida que avanzamos hacia 2024. Puede indicar que las amenazas internas están encontrando nuevas formas innovadoras de atacar los sistemas centrales mientras eluden controles importantes.

¿Por qué es importante la escalada de privilegios?

Si hacemos bien nuestro trabajo, entonces implementaremos controles que definan lo que nuestra gente puede hacer en términos de a qué sistemas o activos pueden acceder. Profundizando un paso más, podemos controlar no solo a qué se puede acceder, sino también lo que alguien puede hacer con ese activo.

¿Pueden leer, escribir, editar o eliminar un activo? ¿Pueden cambiar los privilegios para ellos mismos o para otros? La madriguera de los privilegios puede llegar bastante lejos, pero puede ser realmente importante para la seguridad de sus datos.

En el mundo ideal, cada usuario tiene exactamente el nivel mínimo de acceso y privilegios que necesita para realizar su trabajo. Esto se conoce como el Principio de Mínimo Privilegio. Es casi imposible ser perfecto para hacer esto exactamente bien, pero es el objetivo al que aspirar.

Lo complicado es cuando un usuario encuentra formas de aumentar sus privilegios a partir de los que se le han proporcionado.

Si tienen éxito, habrán traspasado los límites definidos de lo que se supone que pueden hacer con nuestros sistemas. Perdemos cierto nivel de control y, en el caso del actor interno de amenazas, nos enfrentamos a un oponente difícil que tiene un conocimiento profundo de nuestros activos y de cómo encontrarlos.

Desafíos que plantean las amenazas internas

Los incidentes internos han aumentado constantemente en los últimos años y no se espera que esta tendencia cambie en 2024. Esto es sumamente preocupante porque las amenazas internas plantean en muchos sentidos muchas más dificultades que un atacante externo.

Más allá de sus impactos negativos en una organización, que socavan la confianza de los clientes, socios y partes interesadas internas, pueden ser francamente difíciles de detectar.

Uno de los desafíos con una amenaza interna es que este usuario comienza el juego con un conjunto de privilegios que le permiten afianzarse dentro de la organización. A primera vista, esto tiene sentido. Si la persona es un empleado, entonces debe brindarle la capacidad de hacer su trabajo. Esto significa acceder a los sistemas y datos adecuados para ser un empleado eficaz.

El segundo desafío es que el movimiento de los empleados dentro de los sistemas de la organización se considerará normal y es poco probable que active alguna alarma a menos que se desvíen demasiado de la reserva. En términos prácticos, las posibilidades de que alguien con información privilegiada toque uno de sus honeypots son bastante bajas porque ya sabe exactamente a qué quiere acceder y dónde está ubicado.

Entonces, dados algunos de estos desafíos, a continuación tenemos un par de consejos para contrarrestar la amenaza de escalada de privilegios por parte de sus insiders.

Tres estrategias para reducir el riesgo de amenazas internas que aumentan los privilegios

1. Parche, parchee y asegúrese de hacerlo temprano y con frecuencia

Uno de los consejos más antiguos en lo que respecta a la seguridad cibernética, incluso antes de la implementación de la autenticación multifactor (MFA), es la importancia de aplicar parches a sus sistemas de software.

Si bien las vulnerabilidades de día cero, como las utilizadas para dañar las instalaciones nucleares iraníes o piratear iPhones, pueden acaparar toda la prensa, la mayoría de los piratas informáticos utilizan vulnerabilidades conocidas que se hacen públicas para llevar a cabo sus ataques con éxito.

Los piratas informáticos suelen encontrar estas vulnerabilidades de dos maneras. La primera es que pueden observar las vulnerabilidades disponibles públicamente (CVE) que publica MITRE Corporation para beneficio del público. En segundo lugar, y lo que es más molesto, pueden mirar las actualizaciones de software e intentar descubrir qué se ha solucionado y luego ver cómo explotarlo. Por estos motivos y más, asegúrese de aplicar el parche poco después de que las nuevas versiones estén disponibles.

Como parte del proceso de publicación y notificación de vulnerabilidades, las empresas propietarias del software, o en el caso del software de código abierto, los directores de proyecto, suelen tener un período de 90 días para solucionar los problemas de sus productos antes de que la información se haga pública. Esto equilibra la necesidad de impulsar a los propietarios de software a actuar con el espacio que necesitan para desarrollar una solución al error.

Sin embargo, todo su duro trabajo queda en nada si no utilizamos los parches que publican. Esto significa implementar los parches para CVE, cumplir con las necesidades del martes de parches y, en general, asegurarnos de que nuestros sistemas estén actualizados con las últimas versiones.

Aplicar parches puede ser una gran molestia y ninguna organización está realmente donde debería estar. Siempre unos pasos atrás, esperando que hayan parchado sus sistemas más críticos.

La esperanza es que el paso a la nube elimine la responsabilidad de aplicar parches a los usuarios finales y transfiera una mayor parte a los proveedores que brindan las soluciones SaaS. Sin embargo, tenga en cuenta que este no es el caso cuando se trata de infraestructura en la nube (IaaS) como AWS, Azure y GCP, por lo que sus equipos de TI y seguridad aún necesitarán estar en funcionamiento para mantenerse actualizados en estos sistemas durante algún tiempo. .

2. Monitorear comportamientos anómalos

Si un insider, o alguien que finge serlo, logra escalar sus privilegios para acceder a sistemas diferentes a los que normalmente tendría, esto debería activar grandes alertas. Si tiene el monitoreo implementado para detectarlo, por supuesto.

Captar una línea de base de la actividad normal con las herramientas de análisis del comportamiento del usuario es imprescindible para determinar cuándo se está produciendo un comportamiento sospechoso.

La ventaja aquí es que su monitoreo del comportamiento se ejecuta en segundo plano y no se verá afectado por cambios ilícitos en sus privilegios. Los sistemas que toquen u otras acciones que realicen serán detectados, registrados y alertados si se desvían de los límites de lo que usted ha definido como normal para ellos.

Más allá de la función de alerta, el otro beneficio de monitorear sus entornos es su uso en investigaciones después de un incidente. Uno de los mayores desafíos en la respuesta a incidentes es comprender qué sistemas se vieron afectados y podrían necesitar reparación. Tener un registro de sesiones de actividad en sistemas confidenciales vinculado a un usuario específico puede reducir significativamente el tiempo dedicado a las investigaciones.

3. Eduque a su fuerza laboral sobre cómo seguir las reglas

Mark Zuckerberg, de Facebook, popularizó la idea de “Moverse rápido y romper cosas” como parte del espíritu de las startups que llevó a las empresas al éxito. Si bien romper con una mentalidad corporativa aburrida puede ser muy beneficioso en lo que respecta a la innovación, hay algunos beneficios al mantenerse dentro de al menos algunas de las pautas.

Las políticas de la empresa sobre qué tipos de software se pueden descargar en las máquinas de la empresa y los procesos de aprobación existen por una razón. Incluso una política determinada parece más un obstáculo que algo que tenga mucho sentido.

La mejor manera de lograr que su gente siga sus reglas es menos con palos y más con involucrarlos explicándoles a qué puede conducir el impacto potencial de romper las reglas.

Lo ideal es evitar la muerte por Powerpoint y hacer las sesiones un poco más interactivas. Un método que ha demostrado ser más eficaz es asignar diferentes casos de políticas que se han roto y presentar al grupo cómo se desarrolló.

Esta es también la misma metodología utilizada en el ejército para enseñar material de seguridad de vida o muerte y realmente se queda en la memoria.

Involuntariamente imprudente pero no malicioso

Al leer el informe, las noticias aquí son y no son tan malas como podría parecer.

Los autores señalan que el 45% de los incidentes no parecen ser causados por personas internas maliciosas que pretendan ser amenazas. Algunos de los incidentes involucran a personas internas que violan las reglas para poder descargar software en las máquinas de la organización que no deberían hacerlo, pero por razones distintas a las de dañar a su empleador.

Piense en los empleados que eluden los controles para poder descargar torrents u otro software ilícito en sus máquinas de trabajo.

Quizás una de las mejores historias como esta es la vieja y siempre buena sobre los trabajadores de una Central nuclear ucraniana que conectaron sus sistemas intencionalmente fuera de línea a Internet con el fin de extraer criptomonedas. Esto fue antes del estallido de la guerra, pero ya en la campaña de los piratas informáticos rusos contra la infraestructura crítica de Ucrania, por lo que seguía siendo una idea excepcionalmente mala.

Por otro lado, sólo porque alguien no tenga la intención de causar daño no significa que no haya falta. De acuerdo con la Informe de investigaciones de vulneración de datos de Verizon para 2023 , Los errores varios siguen representando una parte importante de las estadísticas anuales sobre violaciones de datos. Y cuando se trata de reguladores que investigan a empresas por exponer datos controlados como la información personal de los clientes, no les importa mucho si la acción fue maliciosa o no. Sólo que sucedió.

Con suerte, al seguir las mejores prácticas y educar a su equipo, podrá evitar tener que explicar un incidente grave como un momento de mal juicio en lugar de un acto de mala fe por completo.