Privileged Access Management

Después del salto: Movimientos laterales dentro de redes

Las redes corporativas suelen ser estructuras inmensas que engloban miles de dispositivos conectados y, con demasiada frecuencia, tan solo se las protege bloqueando sus puntos de acceso. Pero ¿qué sucede una vez que un usuario (o intruso) ingresa a uno de esos puntos de entrada? Teniendo en cuenta que las ciberamenazas están en perpetua evolución y que existe un bombardeo constante de nuevas herramientas desplegadas por los hackers, todo buen equipo de ciberseguridad siempre debe suponer que sus defensas externas serán penetradas.

Tal suposición hará que estos equipos analicen más de cerca qué características de seguridad están implementadas dentro de la red, y no solo en su perímetro. De lo contrario, ¿qué va a evitar que los hackers se muevan de un recurso a otro tras acceder a una red? Una vez que han robado las credenciales o se han infiltrado por una puerta, ¿qué les impide saltar de este servidor al siguiente para acceder a los activos más sensibles de una empresa? Esta clase de movimiento interno a través de una red, conocido como movimiento lateral, puede conducir a la devastadora exposición de todo el sistema y al acceso a los recursos críticos que no están protegidos correctamente. La violación de datos a la cadena estadounidense de grandes almacenes Target en 2014 sigue siendo un ejemplo ilustrativo y una advertencia de lo que puede suceder cuando los movimientos laterales se realizan de forma sencilla.

Análisis del ciberataque a Target

La entrada inicial a la red de Target se logró mediante el robo de credenciales del proveedor de HVAC de Target. A partir de estas credenciales, los hackers pudieron ingresar directamente en un subsistema de proveedores de la red de Target, lo que una vez más demuestra que los equipos de seguridad siempre deben asumir que los hackers encontrarán una forma de acceder a la red que les interesa. Pero, primero de todo, ¿por qué el equipo de HVAC tenía acceso privilegiado a toda la red de Target si lo único que necesitaban era acceder al sistema de aire?

Evidentemente, los proveedores no tenían acceso a las bases de datos internas de SQL Server de Target, por lo que los hackers comenzaron su serie de movimientos laterales para así instalar un malware en los sistemas de Punto de Venta (POS) de la cadena.

En primer lugar, los hackers instalaron un script en el subsistema del proveedor que les permitió ejecutar comandos arbitrarios del sistema operativo. Gracias a esta acción pudieron consultar el Active Directory y así conocer los nombres de los servidores SQL que podían contener datos valiosos, lo que finalmente les permitió obtener las direcciones IP de esos mismos servidores a través del DNS de Target. Tras ejecutar otro ataque por el que pudieron hacerse pasar por un administrador de dominio y crear su propia cuenta de administrador de dominio, los hackers escanearon la red en busca de máquinas vulnerables.

Movimiento Lateral: de punto a punto a Punto de Venta

Una vez que los hackers lograron hacerse con el acceso de los proveedores de HVAC, los movimientos laterales comenzaron. Estos ciberdelincuentes empezaron a saltar de una máquina a otra utilizando sus credenciales de administrador robadas hasta las bases de datos de SQL Server de Target, desde las que pudieron consultar la información personal de alrededor de 70 millones de clientes. Sin embargo, la información robada no contenía los números de las tarjetas de crédito, por lo que los hackers tuvieron que llevar a cabo más movimientos laterales hasta que encontraron las máquinas POS, en las que instalaron un malware que recopilaba la información de las tarjetas de crédito para después entregarla a los ciberdelincuentes a través de FTP.

Una vez que comenzaron las compras fraudulentas con las tarjetas de crédito robadas, la violación se descubrió rápidamente, pero no sin antes infligir daños que le costaron a Target cientos de millones de dólares. Para ser justos con esta cadena de grandes almacenes, el daño habría sido mucho peor si no hubiera cumplido con la normativa PCI-DSS que establece que no se deben almacenar números de tarjetas de crédito en las bases de datos, pero ¿se podría haber hecho más?

Lo que pudo haber sido

La respuesta breve es sí, se podría haber hecho más. La respuesta más detallada es que existen una serie de medidas de seguridad sencillas que podrían haberse implementado y así se hubiera evitado cada una de las fases del ataque que los hackers llevaron a cabo. A pesar de que las credenciales habían sido robadas, se podría haber impedido que los hackers accedieran a la red de Target si se hubiera solicitado al proveedor la autenticación multifactor utilizando credenciales privilegiadas. Resulta crucial verificar que un usuario privilegiado es quien dice ser al iniciar sesión, ya que es una oportunidad perdida para impedir los ciberataques. Sin embargo, como hemos visto, una vez dentro de la red los hackers causaron estragos, y ahí es donde una estrategia de defensa en profundidad, creada a través de la Gestión de Acceso Privilegiado (PAM) podría haber sido de gran utilidad.

Desde el diseño, una solución PAM sólida está diseñada para mitigar o incluso prevenir la secuencia de exploits y movimientos laterales que los hackers llevaron a cabo. Existen varias características clave que debe tener una solución PAM para que esto sea posible:

Se debe otorgar acceso privilegiado a recursos confidenciales según el Principio del Privilegio Mínimo. Es decir, conceder acceso a un usuario a los recursos mínimos necesarios para realizar su trabajo durante el menor tiempo posible, ni más ni menos.
Los privilegios de acceso deben definirse no solo por las credenciales y roles del usuario, sino también por las circunstancias. Es decir, incluso a los superadministradores solo se les debe permitir el acceso a recursos confidenciales dentro del horario laboral o desde ubicaciones aprobadas.
Para ayudar a prevenir movimientos laterales, ni siquiera los recursos sensibles dentro de una red deben ser visibles para quienes no tienen privilegios de acceso, ya que así se evita la curiosidad y la exploración.
Todas las sesiones deben ser monitoreadas y registradas, y la solución del PAM debe haber automatizado la función que le permite finalizar cualquier sesión en la que se produzca una actividad sospechosa.
Además, la solución PAM debe tener capacidades de alerta en tiempo real para activar la participación del equipo de seguridad siempre que se produzca una actividad sospechosa. Por ejemplo, en el ataque a Target se debería haber comunicado inmediatamente a los administradores que los hackers estaban consultando el Active Directory utilizando cadenas de búsqueda con caracteres comodín.

No se puede subestimar la importancia de una solución PAM con sólidas capacidades de monitoreo de sesiones. Sin este tipo de solución, los hackers que pueden otorgarse con éxito credenciales de acceso privilegiado son libres de acceder a recursos confidenciales a medida que se mueven por una red sin ningún tipo de obstáculo. De hecho, en el caso de Target no se advirtió ningún acceso privilegiado no autorizado ni movimiento lateral dentro de la red hasta que las empresas de tarjetas de crédito dieron la voz de alarma.

¿Podría una solución de PAM adecuada haber detenido en seco a los hackers de Target? Nunca lo sabremos de forma segura, pero parece probable. El precio que ha pagado Target, y otras muchas empresas que han sufrido daños a través de exploits de movimiento lateral, ha sido alto. Dado que los hackers casi siempre encuentran el camino hacia la mayoría de los sistemas, no es suficiente con solo proteger el perímetro. El bloqueo del interior de un sistema para evitar movimientos laterales es seguro y rentable, y una solución PAM sólida contribuye en gran medida a lograr una seguridad de red tan resistente.

Cookie	Duración	Descripción
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Duración	Descripción
__hstc	1 year 24 days	This cookie is set by Hubspot and is used for tracking visitors. It contains the domain, utk, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
hubspotutk	1 year 24 days	This cookie is used by HubSpot to keep track of the visitors to the website. This cookie is passed to Hubspot on form submission and used when deduplicating contacts.
trackalyzer	1 year	This cookie is used by Leadlander. The cookie is used to analyse the website visitors and monitor traffic patterns.

Cookie	Duración	Descripción
__hssc	30 minutes	This cookie is set by HubSpot. The purpose of the cookie is to keep track of sessions. This is used to determine if HubSpot should increment the session number and timestamps in the __hstc cookie. It contains the domain, viewCount (increments each pageView in a session), and session start timestamp.
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
messagesUtk	1 year 24 days	This cookie is set by hubspot. This cookie is used to recognize the user who have chatted using the messages tool. This cookies is stored if the user leaves before they are added as a contact. If the returning user visits again with this cookie on the browser, the chat history with the user will be loaded.

Cookie	Duración	Descripción
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
__hssrc	session	This cookie is set by Hubspot. According to their documentation, whenever HubSpot changes the session cookie, this cookie is also set to determine if the visitor has restarted their browser. If this cookie does not exist when HubSpot manages cookies, it is considered a new session.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duración	Descripción
_gat_UA-12183334-1	1 minute	No description
AnalyticsSyncHistory	1 month	No description
CONSENT	16 years 9 months 23 days 12 hours 13 minutes	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.
wp-wpml_current_language	1 day	No description

Después del salto: Movimientos laterales dentro de redes

Análisis del ciberataque a Target

Movimiento Lateral: de punto a punto a Punto de Venta

Lo que pudo haber sido

PAM y la conformidad con la normativa PCI-DSS

Las mayores violaciones de datos de 2019 y cómo PAM pudo haberlas detenido

Blogs Relacionados

Recursos Relacionados

Productos

Soluciones

Recursos

Acerca