El impacto de un ataque puede ser desastroso para las organizaciones, a esto se suman el breve lapso de tiempo que requieren los criminales para robar datos críticos, de hecho en promedio se han detectado, que las infiltraciones son de alrededor de nueve meses. Con este contexto, Quest Software ha identificado las cinco etapas en un incidente de seguridad.
“Un ataque consiste en una cadena de acciones para que los criminales comprometan cuentas, obteniendo privilegios administrativos y el control del entorno de TI, así se dan incidentes tan simples como phishing. Una de las plataformas de mayor riesgo es Microsoft Active Directory (AD)” declaró Marco Fontenelle, director general de Quest Software en AL
Si bien es óptimo tratar de garantizar que se evite la intrusión inicial, es crucial enfocarse en la cuarta etapa, es decir interrumpir la ruta de ataque, donde los criminales pueden escalar sus privilegios. Para robustecer la seguridad en AD, se requiere tecnología de gestión de rutas de ataque para identificar los cuellos de botella en la infraestructura de la empresa.
1-Conocer a la víctima: Esto comienza identificando organizaciones objetivo y recopilando información clave, así se evalúa el potencial de beneficio que representa un ransomware y que tan complicado es realizar la operación. Esto incluye técnicas, tanto pasivas como activas, la primera tiene que ver con datos públicos y la segunda con malware directo.
2-Planificación: En esta etapa, el atacante determina qué método de afectación va a emplear, esto puede incluir la explotación de una vulnerabilidad de día cero, lanzar una campaña de phishing, e incluso sobornar a un empleado para que proporcione detalles de inicio de sesión, filtre información sensible o implemente malware a nivel interno.
3-Ataque inicial: Se emplea un método para intentar infiltrar la red de la empresa, esto se puede lograr adivinando la identificación de usuario o su contraseña para obtener acceso a través de un sistema sin parches o mal configurado, también se puede engañar a un empleado para iniciar malware oculto en un archivo adjunto malicioso.
4-Elegir una ruta: El hacker busca escalar sus privilegios y comprometer sistemas adicionales para ubicar datos confidenciales o comprometer otros recursos críticos, esto incluye crear nuevas cuentas de usuario o modificar configuraciones. El objetivo es incrementar los privilegios para dificultar la detección de su actividad, así se simula una operación normal.
5-Limpiar el desorden: Se roban, corrompen o cifran los datos de la empresa para interrumpir su operación, a menudo también intentan cubrir sus huellas para frustrar las investigaciones y evitar que la organización mejore sus defensas contra futuros incidentes, esto incluye desinstalación de programas, archivos y cuentas empleadas en el ataque.
