Informe del adversario activo de 2023 para líderes tecnológicos

Sophos presenta el informe de adversario activo de mitad de año para líderes tecnológicos, que analiza los datos recopilados por medio de su equipo de respuesta a incidentes, y que cubre la primera mitad del año 2023. Este es el segundo informe de adversario activo del año.

El anterior informe adversario activo, publicado en abril, estaba dirigido a líderes empresariales. En el contexto de la infoseguridad, los líderes empresariales son quienes establecen la estrategia y supervisan las finanzas de sus respectivas organizaciones. Cuando se trata de ciberseguridad, los líderes empresariales deben ser ampliamente conscientes de las amenazas actuales y los riesgos que esas amenazas representan para la organización. También deben comprender ampliamente las mitigaciones que reducen ese riesgo, aunque no necesariamente todos los detalles. Con este conocimiento, es de esperar que puedan establecer prioridades y presupuestos adecuados. A cambio, esperan métricas confiables que puedan ayudarlos a evaluar el desempeño del departamento en comparación con la estrategia que proponen.

Los líderes tecnológicos son quienes ponen en práctica la estrategia. Despliegan los recursos necesarios, tanto monetarios como humanos, que logran de manera más eficiente los objetivos establecidos en la estrategia. Estos líderes deben equilibrar cuidadosamente las prioridades de quienes establecen la política fiduciaria para la empresa y quienes realizan el trabajo práctico de caza de amenazas.

El informe presenta lo que el equipo de Respuesta a Incidentes de X-Ops ha aprendido sobre el panorama actual de adversarios al abordar crisis de seguridad en todo el mundo. Este informe se basa en datos de 80 casos seleccionados de la primera mitad de 2023. También se comparara este conjunto de datos con un vistazo a datos anteriores de Active Adversary para ver cómo han cambiado las cosas con el tiempo. Proporciona más detalles sobre los datos demográficos representados en este análisis al final del informe.

Por supuesto, sabemos que los delincuentes individuales se toman tiempo libre para descansar y recargar energías, pero no todos los delincuentes a la vez. Tampoco se sugiere que los defensores nunca deban tomarse un descanso del trabajo: esa es una receta para el desastre. Más bien, las organizaciones necesitan tener la capacidad de detectar y responder las 24 horas del día, los 7 días de la semana, los 365 días del año.

Credenciales en foco: desafíos y soluciones

Un aspecto de las investigaciones de respuesta a incidentes es descubrir cómo comenzaron los ataques. Al clasificar los datos, no sólo se toma nota del método de acceso inicial (es decir, cómo los atacantes ingresaron a la red), sino que se intenta atribuir su éxito a una causa raíz.

Los servicios remotos externos encabezaron la lista de técnicas de acceso inicial, seguidos por Exploit Public-Facing Application. En el 70% de los casos, el abuso de cuentas válidas se combinó con el abuso de servicios remotos externos. Esto tiene sentido, ya que a menudo se requieren cuentas válidas para el acceso inicial a través de un servicio remoto. Sin embargo, en muchos casos, explotar una vulnerabilidad permite a los atacantes utilizar un servicio remoto para el acceso inicial, como cuando los atacantes explotan firewalls o puertas de enlace VPN.

En datos de casos anteriores, la explotación de vulnerabilidades ha aparecido de manera más destacada entre las causas fundamentales de los ataques, seguida de cerca por las credenciales comprometidas. Los datos de casos más recientes revierten enfáticamente esa tendencia y, por primera vez, las credenciales comprometidas ocuparon el primer lugar entre las causas fundamentales. En los primeros seis meses de 2023, las credenciales comprometidas representaron el 50 % de las causas fundamentales, mientras que la explotación de una vulnerabilidad representó el 23 %.

Lo que hace que el compromiso de credenciales sea aún más fácil es la falta de autenticación multifactor (MFA) que persiste en muchas organizaciones. Por ejemplo, se pudo identificar que MFA no estaba configurada en el 39% de los casos que fueron investigados hasta ahora en 2023. Lo más desalentador de esta estadística es que la industria sabe cómo resolver este problema, pero muy pocas organizaciones están priorizando esto.

Implementar y hacer cumplir la autenticación resistente al phishing debería ser una prioridad para cualquier organización que desee protegerse contra todos los atacantes, desde script kiddies hasta bandas criminales con buenos recursos. Una de las últimas tácticas de ingeniería social que se han visto en la actualidad es enviar mensajes de texto para animar al destinatario a desactivar su Yubikey.

La autenticación de hardware como la que ofrece Yubikey no es el único juego disponible. La madurez de MFA garantiza que haya una variedad de opciones disponibles, y Microsoft está haciendo un trabajo posiblemente decente al facilitar el proceso. La MFA resistente al phishing, junto con la capacitación de los usuarios sobre cómo utilizarla, es en este momento lo que está en juego para no meterse en problemas.

Además, muchos sistemas de autenticación se pueden configurar para acceso adaptativo. El acceso adaptativo cambia el nivel de acceso o confianza en función de los datos contextuales sobre el usuario o dispositivo que solicita el acceso. También limita el acceso sólo a los usuarios que realmente lo necesitan. Con los sistemas de autenticación de acceso adaptable, puede personalizar las políticas de acceso para aplicaciones o grupos de usuarios específicos y responder dinámicamente a señales sospechosas.

En una publicación reciente, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) descubrió que más de la mitad del acceso inicial se debió a credenciales comprometidas, mientras que los exploits fueron responsables de solo el 1 % de todos los ataques estudiados durante el año fiscal del gobierno federal de 2022.

Parches: estrategias esenciales para mitigar riesgos

Si bien reconocemos que CISA trata con un conjunto único de integrantes y atacantes, sus datos aún brindan una visión general informativa sobre cómo operan los atacantes. Una razón por la que la métrica de credenciales comprometidas podría ser alta en el conjunto de datos de CISA podría deberse a la Directiva Operativa Vinculante 19-02, que establece:

• Las vulnerabilidades críticas deben remediarse dentro de los 15 días calendario posteriores a la detección inicial.
• Las vulnerabilidades altas deben remediarse dentro de los 30 días calendario posteriores a la detección inicial.

Lo cual, de ser cierto, significa que podemos obligar a los atacantes a utilizar un conjunto más limitado de técnicas cuando quitamos algunos de los frutos más fáciles.

En el informe anterior que cubre 2022, se ve que más de la mitad de todas las vulnerabilidades explotadas en la investigaciones fueron causadas por dos vulnerabilidades: ProxyShell y Log4Shell, dos vulnerabilidades con parches existentes en el momento del compromiso. Afortunadamente, esta vez no se observaron exploits de Log4Shell, pero ProxyShell aún persiste en los datos de 2023. En los datos también hay cinco casos con vulnerabilidades de 2021, tres incidentes relacionados con la vulnerabilidad ZeroLogon de 2020 y dos casos de vulnerabilidades de 2019. Estas no eran vulnerabilidades de bajo perfil ni de nicho; no estaban sin parches; los defensores no ignoraban el potencial que tenían estas vulnerabilidades específicas.

Para celebrar las mejores prácticas, de las diversas vulnerabilidades de alto perfil en 2023, se encuentran tres ataques que abusaban de la vulnerabilidad 3CX y dos que aprovechaban la vulnerabilidad PaperCut. Todos los ataques a 3CX ocurrieron en marzo, en la misma región, y todos fueron descubiertos el mismo día, que coincide con la alerta de seguridad de la compañía. Actuando rápidamente sobre la base de esta información, las organizaciones afectadas pudieron limitar los ataques a violaciones de red de corta duración. En ambos casos, las vulnerabilidades de PaperCut fueron utilizadas por bandas de ransomware que reaccionaron rápidamente a las noticias antes de lanzar sus ataques.

Tiempo de permanencia en evolución

El tiempo de permanencia es una métrica desde el primer informe de Active Adversary. Lo que esta métrica ayuda a comprender es cuánto tiempo tienen los equipos de seguridad para detectar y responder a los incidentes. En el período de este informe, se encuentra disminución continua en el tiempo medio de permanencia general, de 10 días en 2022 a 8 días en la primera mitad de 2023. Como se indica en el informe anterior, esto puede verse como una buena y una mala noticia. El aumento de las capacidades de detección está contribuyendo a esta disminución, lo cual es realmente una buena noticia. En otras palabras, el tiempo para detectar está disminuyendo a medida que más organizaciones se “desvían hacia la izquierda” y se dan más tiempo para responder. La mala noticia es que algunos actores de amenazas han respondido acelerando.

Si analizamos más de cerca los detalles, podemos ver dónde se está produciendo este cambio: en particular, son los delincuentes de ransomware quienes están sesgando el promedio. En la primera mitad de 2023, el tiempo medio de permanencia de los incidentes de ransomware se redujo drásticamente de 9 a 5 días. Por el contrario, el tiempo medio de permanencia para todos los incidentes que no son de ransomware ha aumentado ligeramente de 11 a 13 días. Por lo tanto, las bandas de ransomware se están moviendo más rápido que nunca, pero todas las demás intrusiones en la red, donde las motivaciones y los objetivos finales no siempre son claros, tienden a persistir.

Active Directory: El Corazón Vulnerable

Otro dato recopilado para este informe fue el tiempo que les tomó a los actores de amenazas moverse lateralmente a la infraestructura de Active Directory de una organización. En un par de casos, se observó que los atacantes accedían a la infraestructura de AD antes de que el ataque hubiera comenzado “oficialmente”. En otros casos, se ve que el ataque comenzaba con un compromiso de un servidor AD, como cuando una víctima había expuesto su servidor AD a Internet.

El tiempo medio hasta el ataque para todos los ataques fue de 0,68 días, aproximadamente 16 horas. Parecería que los atacantes están haciendo un esfuerzo concertado para moverse lateralmente a los servidores AD lo más rápido posible, y con razón. A lo largo de las investigaciones, descubrieron que la mayoría de los servidores AD solo están protegidos con Microsoft Defender o, a veces, ni siquiera están protegidos. Desafortunadamente, los adversarios se han vuelto muy hábiles a la hora de desactivar Defender. De hecho, se nota un aumento constante del uso de esta técnica en los últimos tres informes de adversario activo. En 2021, esta técnica se observó en el 24% de los casos, aumentando al 36% en 2022 y continuando aumentando hasta el 43% en el primer semestre de 2023.

Establecer un punto de apoyo en un servidor Active Directory mejora enormemente las capacidades de un atacante. Un servidor AD suele ser el activo más poderoso y privilegiado dentro de una red, uno que es capaz de controlar la identidad y las políticas en toda una organización. Los atacantes pueden desviar cuentas con privilegios elevados, crear otras nuevas o desactivar las legítimas. También pueden utilizar el servidor AD para implementar su malware desde una fuente confiable. Finalmente, al desactivar la protección, los atacantes tienen un buen lugar donde esconderse mientras llevan a cabo el resto de su ataque.

RDP: protocolo remoto para desastres

En el informe anterior se aborda brevemente el protocolo de escritorio remoto (RDP) y algunos de los impactos que tiene en la capacidad de facilitar ataques. Si bien ha habido algunas mejoras a lo largo de los años, RDP sigue siendo una de las herramientas de las que más se abusa, y con razón. RDP viene preinstalado en la mayoría de los sistemas operativos Windows. Combinado con el hecho de que el uso de credenciales comprometidas es rampante y que la autenticación de un solo factor es la norma, no es ningún misterio por qué a los atacantes les encanta.

RDP jugó un papel en un sorprendente 95% de los ataques, un aumento con respecto a 2022. El uso interno se presentó en el 93% de los casos y el uso externo en el 18% de los casos. Esto contrasta con el 86% y el 22% respectivamente para 2022.

Si bien el uso externo de RDP ha fluctuado en el pasado, y las cifras son actualmente bajas, la mera presencia de un puerto RDP abierto a Internet en general, una ruta que puede permitir a un atacante atravesar el firewall y avanzar hacia el servidor interno es simplemente una mala gestión de riesgos y ningún endurecimiento del sistema podrá mitigarlo. No son nuevas tecnologías. Existen soluciones modernas de acceso remoto. Incluso si se puede crear un caso de uso en la organización para usar RDP internamente, y ese no es un pequeño problema de configuración de host que manejar, no hay una buena razón para que ninguna organización permita el acceso de RDP a su sistema desde Internet abierto en 2023.

Conclusión

La seguridad de la información consiste en gestionar el riesgo. La información presentada en este informe pone al descubierto algunas de las formas en que los atacantes introducen riesgos a las organizaciones. Los líderes tecnológicos reciben dirección estratégica y un presupuesto con el que poner en práctica la estrategia y gestionar esos riesgos. Para muchos líderes tecnológicos, el presupuesto nunca será suficiente y la priorización de los recursos inevitablemente determinará cómo se implementan esos recursos. La buena noticia es que es posible reducir los riesgos que plantean los atacantes. No sólo es posible, sino que algunas mitigaciones tendrán un enorme impacto positivo en las organizaciones que decidan implementarlas.

Algunas mitigaciones requerirán un cambio en la política corporativa, como garantizar que la aplicación de parches integrales sea una prioridad o exigir que el uso de RDP sea necesario, limitado y auditado. Otros pueden requerir nuevas herramientas, como invertir e implementar MFA resistente al phishing en todas partes o garantizar que la telemetría adecuada esté disponible cuando sea necesario. Proteger RDP, aunque no es trivial, también debería ser una prioridad para los equipos de seguridad y probablemente tendrá un impacto notable.