6 maneras de alterar a un intruso en tu red.
Debido a que no se puede contraatacar sin violar la ley, estas tácticas frustrarán, engañarán y molestarán a los intrusos.
Security 101
Robert Portvliet, miembro técnico de Cylance, piensa en lo que más lo ha frustrado como pentester: las empresas que hacen su tarea y exponen una superficie de ataque mínima.
Algunas técnicas, dice, son tan simples como los sistemas que se están endureciendo adecuadamente: evite la ejecución de PowerShell, por ejemplo, y no le dé a los adversarios la capacidad de instalar nuevos paquetes. No le dé a la gente más privilegios de los que realmente necesitan. Use una arquitectura como Microsoft Red Forest, que protege la transferencia de credenciales para que ataques como el envenenamiento LLMNR no sean tan efectivos.
La correcta segmentación de la red también ayuda. "No puedes atacar lo que no puedes alcanzar", explica Portvliet. Por ejemplo, si no se requieren dos departamentos para comunicarse, segmentar sus redes y no permitir la interacción. "Se trata de eliminar esa fácil victoria", dice.
Recomienda que las empresas se acerquen a sus entornos desde la perspectiva de un atacante. Asuma cada punto de compromiso, ingrese desde el exterior, y phish una estación de trabajo. Si alguien puede ingresar a su red, no debería ser un administrador local. Ir a través del proceso de un compromiso potencial y asegurarse de que las defensas correctas están en su lugar para cada paso.
Lo que quieres hacer es romper varias partes de la cadena de muerte del atacante. "Lo que he encontrado en la prueba de la pluma es que si haces las cosas básicas y lo haces bien, hace que la prueba de la pluma sea mucho más difícil", dice Portvliet. "Todos los métodos probados y verdaderos ya no dan frutos".
Honeypots
Las compañías solían hacer más uso de honeypots, dice Fredriksen de PCSU, pero desde entonces su popularidad ha disminuido. "Durante bastante tiempo, tuve muchos honeypots por ahí que parecían interesantes, y era una forma de frustrar a los atacantes", explica.
Mientras que los adversarios "bajan por el agujero del conejo" y se infiltran en la organización, los honeypots te permiten recopilar información sobre quiénes son y qué buscan. Si están tratando de realizar un "ataque lento y lento", explica, o se esconden para que pasen seis meses antes de que los encuentres en tu red, hace falta trabajo, dedicación, intercambio y discusión para rastrearlos y monitorearlos. Un honeypot permite a los profesionales de seguridad aprender más sobre los atacantes mientras operan.
Sin embargo, requieren tiempo para construir y monitorear, y las empresas a menudo no tienen los recursos que necesitan para hacerlo, agrega. Portvliet, de Cylance, dice que rara vez ve que las empresas usen honeypots en la naturaleza. "Desde mi perspectiva, no es una técnica ampliamente utilizada para la defensa", agrega.
El Straight de UnitedLex advierte a las compañías mientras exploran los honeypots: un atacante podría verlos como un desafío, dice, y las cosas podrían escalarse de una manera que de otra manera no podrían tener.
Canarios
Un canario es una táctica que es similar a los honeypots pero con menor mantenimiento, explica Straight de UnitedLex. Con un honeypot, estás intentando que el adversario entre y tome algo. Los canarios tienen la intención de advertirle que alguien está hurgando en la red en lugares donde no debería.
Con un canario, configura algo que parece un objetivo atractivo (credenciales falsas, por ejemplo) y lo coloca en la red en un lugar donde un empleado no iría. Si una cuenta golpea a un director de archivos falso, sabe que alguien está hurgando y puede iniciar una investigación.
Straight dice que es diferente de un honeypot porque no es tan activo en la forma en que rastrea a un atacante fuera del entorno. Los canarios son menos invasivos y menos pasivos, y es menos probable que incluso un atacante avanzado se dé cuenta de lo que sucedió.
"Creo que hay menos riesgo en usar canarios que en usar honeypots", explica. "Hay más casos de uso para canarios". Si todo lo que quiere es saber que alguien está en la red, ayudan a detectar la actividad para que pueda bloquearla.
Robert Portvliet, miembro técnico de Cylance, piensa en lo que más lo ha frustrado como pentester: las empresas que hacen su tarea y exponen una superficie de ataque mínima.
Algunas técnicas, dice, son tan simples como los sistemas que se están endureciendo adecuadamente: evite la ejecución de PowerShell, por ejemplo, y no le dé a los adversarios la capacidad de instalar nuevos paquetes. No le dé a la gente más privilegios de los que realmente necesitan. Use una arquitectura como Microsoft Red Forest, que protege la transferencia de credenciales para que ataques como el envenenamiento LLMNR no sean tan efectivos.
La correcta segmentación de la red también ayuda. "No puedes atacar lo que no puedes alcanzar", explica Portvliet. Por ejemplo, si no se requieren dos departamentos para comunicarse, segmentar sus redes y no permitir la interacción. "Se trata de eliminar esa fácil victoria", dice.
Recomienda que las empresas se acerquen a sus entornos desde la perspectiva de un atacante. Asuma cada punto de compromiso, ingrese desde el exterior, y phish una estación de trabajo. Si alguien puede ingresar a su red, no debería ser un administrador local. Ir a través del proceso de un compromiso potencial y asegurarse de que las defensas correctas están en su lugar para cada paso.
Lo que quieres hacer es romper varias partes de la cadena de muerte del atacante. "Lo que he encontrado en la prueba de la pluma es que si haces las cosas básicas y lo haces bien, hace que la prueba de la pluma sea mucho más difícil", dice Portvliet. "Todos los métodos probados y verdaderos ya no dan frutos".
Honeypots
Las compañías solían hacer más uso de honeypots, dice Fredriksen de PCSU, pero desde entonces su popularidad ha disminuido. "Durante bastante tiempo, tuve muchos honeypots por ahí que parecían interesantes, y era una forma de frustrar a los atacantes", explica.
Mientras que los adversarios "bajan por el agujero del conejo" y se infiltran en la organización, los honeypots te permiten recopilar información sobre quiénes son y qué buscan. Si están tratando de realizar un "ataque lento y lento", explica, o se esconden para que pasen seis meses antes de que los encuentres en tu red, hace falta trabajo, dedicación, intercambio y discusión para rastrearlos y monitorearlos. Un honeypot permite a los profesionales de seguridad aprender más sobre los atacantes mientras operan.
Sin embargo, requieren tiempo para construir y monitorear, y las empresas a menudo no tienen los recursos que necesitan para hacerlo, agrega. Portvliet, de Cylance, dice que rara vez ve que las empresas usen honeypots en la naturaleza. "Desde mi perspectiva, no es una técnica ampliamente utilizada para la defensa", agrega.
El Straight de UnitedLex advierte a las compañías mientras exploran los honeypots: un atacante podría verlos como un desafío, dice, y las cosas podrían escalarse de una manera que de otra manera no podrían tener.
Canarios
Un canario es una táctica que es similar a los honeypots pero con menor mantenimiento, explica Straight de UnitedLex. Con un honeypot, estás intentando que el adversario entre y tome algo. Los canarios tienen la intención de advertirle que alguien está hurgando en la red en lugares donde no debería.
Con un canario, configura algo que parece un objetivo atractivo (credenciales falsas, por ejemplo) y lo coloca en la red en un lugar donde un empleado no iría. Si una cuenta golpea a un director de archivos falso, sabe que alguien está hurgando y puede iniciar una investigación.
Straight dice que es diferente de un honeypot porque no es tan activo en la forma en que rastrea a un atacante fuera del entorno. Los canarios son menos invasivos y menos pasivos, y es menos probable que incluso un atacante avanzado se dé cuenta de lo que sucedió.
"Creo que hay menos riesgo en usar canarios que en usar honeypots", explica. "Hay más casos de uso para canarios". Si todo lo que quiere es saber que alguien está en la red, ayudan a detectar la actividad para que pueda bloquearla.
Tecnologia de engaño
Lo que las herramientas comerciales aportan ahora es un nivel de fácil implementación y administración que anteriormente no existía en los kits de herramientas de código abierto, dice Portvliet de Cylance. Las capacidades de las herramientas de engaño van desde el despliegue de dispositivos y estaciones de trabajo falsos, hasta recursos compartidos abiertos, hasta sistemas integrados.
Algunos proporcionan la capacidad de implementar diferentes tipos de honeypots de alta interacción. Pueden imitar diferentes tipos de dispositivos y diferentes tipos de estaciones de trabajo, todas ellas destinadas a incitar a los atacantes a perseguir sus sistemas. Cuando los atacantes tocan cualquiera de los señuelos, sabes que son maliciosos porque ningún usuario legítimo podría acceder a estaciones de trabajo y archivos falsos.
"Toca cualquiera de estas cosas [y] las alarmas se activan", explica Portvliet. Agrega que todo es frustrante para los atacantes, quienes se enamorarán del atractivo de herramientas y archivos falsos que los empleados legítimos no tocarían. "Si lo estás haciendo bien, estás haciendo que el atacante trabaje más, y el atacante se hace más fuerte y comete más errores", agrega.
Sin embargo, Portvliet dice que no se ha encontrado con la tecnología del engaño en las pruebas de pluma. Las empresas están utilizando honeypots y tokens de miel, estaciones de trabajo falsas y cuentas falsas, pero las herramientas de engaño aún no se han dado cuenta.
Si decide instalar tecnología de engaño, hágalo solo después de reforzar el sistema, el entorno, las prácticas y las políticas. "En mi opinión, la tecnología del engaño debería ser la guinda del pastel", dice Portvliet. "No debería ser lo primero que hagas".
Compartir estrategias
Cuando las empresas comparten las mejores prácticas, los atacantes se encuentran en una posición vulnerable. Por lo general, ellos son los que combinan sus tácticas favoritas, no las organizaciones a las que apuntan, dice Fredriksen de PCSU. Si tiene un puerto abierto en su máquina, por ejemplo, muchas personas saben que tiene una debilidad.
"Una cosa en la que los malos se destacan en general es el intercambio de información", continúa. En el aspecto comercial, no solemos hacer eso. Incluso las personas responsables de compartir amenazas no intercambian información en la medida en que deberían hacerlo, agrega Fredriksen. Recomienda compartir datos sobre amenazas detectadas y de dónde proviene el tráfico sospechoso.
"Esa es una manera de frustrar y retrasar a los malos porque confían en el hecho de que no hablamos", dice. "Si nos estamos comunicando y cerrando constantemente sus vectores de ataque, tendrán que ser más flexibles".
Actividad no procesable
Aunque no está a favor de ello, Straight de UnitedLex dice que hay una zona entre la actividad legal y la actividad ilegal. Se denomina "actividad no procesable" y abarca acciones que son mal vistas pero que probablemente no den lugar a consecuencias legales para la empresa.
"Todavía es técnicamente ilegal", dice. "Hay ciertos tipos de cosas por las que nunca serías procesado".
A modo de ejemplo, Straight describe un momento en que su empresa estaba ayudando a una empresa que había sufrido una intrusión y estaba comprometida activamente. Un analista encontró una dirección de correo electrónico y una contraseña mientras investigaba archivos en un servidor comprometido, y luego descubrió que el atacante estaba extrayendo datos de la compañía víctima a esa cuenta. Así que ingresó la información de inicio de sesión del intruso, accedió a la cuenta y descubrió los archivos robados de la compañía.
"Eso es ilegal, no puedes hacer eso", dice Straight. Pero cuando le dijo a la policía, no lo metieron en problemas. Después de todo, agrega, estarían admitiendo que no podrían hacer su trabajo de manera efectiva y procesar a la persona que lo hizo por ellos.
Lo que las herramientas comerciales aportan ahora es un nivel de fácil implementación y administración que anteriormente no existía en los kits de herramientas de código abierto, dice Portvliet de Cylance. Las capacidades de las herramientas de engaño van desde el despliegue de dispositivos y estaciones de trabajo falsos, hasta recursos compartidos abiertos, hasta sistemas integrados.
Algunos proporcionan la capacidad de implementar diferentes tipos de honeypots de alta interacción. Pueden imitar diferentes tipos de dispositivos y diferentes tipos de estaciones de trabajo, todas ellas destinadas a incitar a los atacantes a perseguir sus sistemas. Cuando los atacantes tocan cualquiera de los señuelos, sabes que son maliciosos porque ningún usuario legítimo podría acceder a estaciones de trabajo y archivos falsos.
"Toca cualquiera de estas cosas [y] las alarmas se activan", explica Portvliet. Agrega que todo es frustrante para los atacantes, quienes se enamorarán del atractivo de herramientas y archivos falsos que los empleados legítimos no tocarían. "Si lo estás haciendo bien, estás haciendo que el atacante trabaje más, y el atacante se hace más fuerte y comete más errores", agrega.
Sin embargo, Portvliet dice que no se ha encontrado con la tecnología del engaño en las pruebas de pluma. Las empresas están utilizando honeypots y tokens de miel, estaciones de trabajo falsas y cuentas falsas, pero las herramientas de engaño aún no se han dado cuenta.
Si decide instalar tecnología de engaño, hágalo solo después de reforzar el sistema, el entorno, las prácticas y las políticas. "En mi opinión, la tecnología del engaño debería ser la guinda del pastel", dice Portvliet. "No debería ser lo primero que hagas".
Compartir estrategias
Cuando las empresas comparten las mejores prácticas, los atacantes se encuentran en una posición vulnerable. Por lo general, ellos son los que combinan sus tácticas favoritas, no las organizaciones a las que apuntan, dice Fredriksen de PCSU. Si tiene un puerto abierto en su máquina, por ejemplo, muchas personas saben que tiene una debilidad.
"Una cosa en la que los malos se destacan en general es el intercambio de información", continúa. En el aspecto comercial, no solemos hacer eso. Incluso las personas responsables de compartir amenazas no intercambian información en la medida en que deberían hacerlo, agrega Fredriksen. Recomienda compartir datos sobre amenazas detectadas y de dónde proviene el tráfico sospechoso.
"Esa es una manera de frustrar y retrasar a los malos porque confían en el hecho de que no hablamos", dice. "Si nos estamos comunicando y cerrando constantemente sus vectores de ataque, tendrán que ser más flexibles".
Actividad no procesable
Aunque no está a favor de ello, Straight de UnitedLex dice que hay una zona entre la actividad legal y la actividad ilegal. Se denomina "actividad no procesable" y abarca acciones que son mal vistas pero que probablemente no den lugar a consecuencias legales para la empresa.
"Todavía es técnicamente ilegal", dice. "Hay ciertos tipos de cosas por las que nunca serías procesado".
A modo de ejemplo, Straight describe un momento en que su empresa estaba ayudando a una empresa que había sufrido una intrusión y estaba comprometida activamente. Un analista encontró una dirección de correo electrónico y una contraseña mientras investigaba archivos en un servidor comprometido, y luego descubrió que el atacante estaba extrayendo datos de la compañía víctima a esa cuenta. Así que ingresó la información de inicio de sesión del intruso, accedió a la cuenta y descubrió los archivos robados de la compañía.
"Eso es ilegal, no puedes hacer eso", dice Straight. Pero cuando le dijo a la policía, no lo metieron en problemas. Después de todo, agrega, estarían admitiendo que no podrían hacer su trabajo de manera efectiva y procesar a la persona que lo hizo por ellos.
Fuente: https://www.darkreading.com/
Compartir...