Los ataques de escalada de privilegios se producen cuando los malos actores explotan configuraciones erróneas, errores, contraseñas débiles y otras vulnerabilidades que les permiten acceder a activos protegidos.
Un exploit típico puede comenzar con el atacante obteniendo primero acceso a una cuenta con privilegios de bajo nivel. Una vez iniciada la sesión, los atacantes estudiarán el sistema para identificar otras vulnerabilidades que puedan seguir explotando. A continuación, utilizan los privilegios para hacerse pasar por los usuarios reales, obtener acceso a los recursos objetivo y realizar diversas tareas sin ser detectados.
Los ataques de escalada de privilegios son de tipo vertical u horizontal.
En los de tipo vertical, el atacante obtiene acceso a una cuenta y luego ejecuta tareas como ese usuario. En el tipo horizontal, el atacante obtiene primero acceso a una o varias cuentas con privilegios limitados y, a continuación, compromete el sistema para obtener más permisos que le permitan desempeñar funciones administrativas.
Estos permisos permiten a los atacantes realizar tareas administrativas, desplegar malware o llevar a cabo otras actividades no deseadas. Por ejemplo, pueden interrumpir las operaciones, modificar la configuración de seguridad, robar datos o comprometer los sistemas de tal forma que dejen abiertas puertas traseras para explotarlas en el futuro.
En general, al igual que los ciberataques, la escalada de privilegios explota las vulnerabilidades de los sistemas y procesos en las redes, servicios y aplicaciones. Por ello, es posible prevenirlos desplegando una combinación de buenas prácticas y herramientas de seguridad. Lo ideal es que una organización despliegue soluciones que puedan escanear, detectar y prevenir una amplia gama de vulnerabilidades y amenazas de seguridad potenciales y existentes.
Buenas prácticas para prevenir los ataques de escalada de privilegios
Las organizaciones deben proteger todos sus sistemas y datos críticos, así como otras áreas que puedan parecer atractivas para los atacantes. Todo lo que necesita un atacante es penetrar en un sistema. Una vez dentro, pueden buscar vulnerabilidades que explotarán aún más para obtener permisos adicionales. Aparte de proteger los activos contra las amenazas externas, es igualmente importante poner las medidas suficientes para prevenir los ataques internos.
Aunque las medidas reales pueden variar en función de los sistemas, las redes, el entorno y otros factores, a continuación se indican algunas técnicas que las organizaciones pueden utilizar para proteger su infraestructura.
Proteja y escanee su red, sistemas y aplicaciones
Además de desplegar una solución de seguridad en tiempo real, es esencial escanear regularmente todos los componentes de la infraestructura informática en busca de vulnerabilidades que puedan permitir la penetración de nuevas amenazas. Para ello, puede utilizar un escáner de vulnerabilidades eficaz para encontrar sistemas operativos y aplicaciones sin parches e inseguros, configuraciones erróneas, contraseñas débiles y otros fallos que los atacantes pueden aprovechar.
Aunque puede utilizar varios escáneres de vulnerabilidades para identificar puntos débiles en software obsoleto, suele ser difícil o poco práctico actualizar o parchear todos los sistemas. En particular, esto supone un reto cuando se trata de componentes heredados o sistemas de producción a gran escala.
Para estos casos, puede desplegar capas de seguridad adicionales como cortafuegos de aplicaciones web (WAF) que detectan y detienen el tráfico malicioso a nivel de red. Normalmente, el WAF protegerá el sistema subyacente incluso cuando no tenga parches o esté obsoleto.
Gestión adecuada de las cuentas con privilegios
Es importante gestionar las cuentas con privilegios y asegurarse de que todas son seguras, se utilizan de acuerdo con las mejores prácticas y no están expuestas. Los equipos de seguridad necesitan tener un inventario de todas las cuentas, dónde existen y para qué se utilizan.
Otras medidas incluyen
- Reducir al mínimo el número y el alcance de las cuentas privilegiadas, supervisarlas y mantener un registro de sus actividades.
- Analizar cada usuario o cuenta privilegiada para identificar y abordar cualquier riesgo, amenaza potencial, fuente e intención del atacante
- Principales modos de ataque y medidas de prevención
- Seguir el principio del menor privilegio
- Evite que los administradores compartan cuentas y credenciales.
Supervise el comportamiento de los usuarios
Analizar el comportamiento de los usuarios puede descubrir si hay identidades comprometidas. Normalmente, los atacantes tendrán como objetivo las identidades de usuario que proporcionan acceso a los sistemas de la organización. Si consiguen obtener las credenciales, se conectarán a la red y pueden pasar desapercibidos durante algún tiempo.
Dado que es difícil supervisar manualmente el comportamiento de cada usuario, el mejor enfoque es desplegar una solución de análisis del comportamiento de usuarios y entidades (UEBA). Una herramienta de este tipo supervisa continuamente la actividad de los usuarios a lo largo del tiempo. A continuación, crea una línea de base de comportamiento legítimo que utiliza para descubrir actividades inusuales que sean indicativas de un compromiso.
El perfil resultante contiene información como la ubicación, los recursos, los archivos de datos y los servicios a los que accede el usuario y su frecuencia, las redes internas y externas específicas, el número de hosts, así como los procesos ejecutados. Con esta información, la herramienta puede identificar acciones sospechosas o parámetros que se desvían de la línea de base.
Políticas sólidas de contraseñas y aplicación de las mismas
Establezca y aplique políticas sólidas para garantizar que los usuarios tengan contraseñas únicas y difíciles de adivinar. Además, el uso de una autenticación multifactor añade una capa adicional de seguridad al tiempo que supera las vulnerabilidades que pueden surgir cuando es difícil aplicar manualmente políticas de contraseñas fuertes.
Los equipos de seguridad también deben desplegar las herramientas necesarias, como auditores de contraseñas, encargados de hacer cumplir las políticas y otros que puedan escanear los sistemas, identificar y marcar las contraseñas débiles o solicitar que se tomen medidas. Las herramientas de aplicación garantizan que los usuarios tengan contraseñas seguras en cuanto a longitud, complejidad y políticas de la empresa.
Las organizaciones también pueden utilizar herramientas empresariales de gestión de contraseñas para ayudar a los usuarios a generar y utilizar contraseñas complejas y seguras que cumplan las políticas de los servicios que requieren autenticación.
Medidas adicionales como la autenticación multifactor para desbloquear el gestor de contraseñas mejoran aún más su seguridad, por lo que resulta casi imposible para los atacantes acceder a las credenciales guardadas. Entre los gestores de contraseñas empresariales típicos se encuentran Keeper, Dashlane y 1Password.
Sanear las entradas del usuario y asegurar las bases de datos
Los atacantes pueden utilizar los campos de entrada de usuario vulnerables, así como las bases de datos, para inyectar código malicioso, obtener acceso y comprometer los sistemas. Por esta razón, los equipos de seguridad deben utilizar las mejores prácticas, como la autenticación fuerte y herramientas eficaces para proteger las bases de datos y todo tipo de campos de entrada de datos.
Una buena práctica consiste en cifrar todos los datos en tránsito y en reposo, además de parchear las bases de datos y desinfectar todas las entradas de los usuarios. Otras medidas adicionales incluyen dejar los archivos con acceso de sólo lectura y dar el acceso de escritura a los grupos y usuarios que lo requieran.
Formar a los usuarios
Los usuarios son el eslabón más débil de la cadena de seguridad de una organización. Por lo tanto, es importante capacitarlos y formarlos sobre cómo realizar sus tareas de forma segura. De lo contrario, un solo clic de un usuario puede poner en peligro toda una red o sistema. Algunos de los riesgos son abrir enlaces o archivos adjuntos maliciosos, visitar sitios web comprometidos, utilizar contraseñas débiles, etc.
Lo ideal sería que la organización contara con programas regulares de concienciación sobre la seguridad. Además, deberían disponer de una metodología para verificar que la formación es eficaz.
Herramientas de prevención de ataques de escalada de privilegios
La prevención de los ataques de escalada de privilegios requiere una combinación de herramientas. Estas incluyen, entre otras, las siguientes soluciones.
Soluciones de software de gestión de acceso privilegiado (PAM)
Heimdal
Privileged Access Management (PAM)de Heimdal es una solución de seguridad de nivel empresarial diseñada para ayudar a las organizaciones a proteger sus activos y datos más críticos mediante el control del acceso privilegiado a sistemas y aplicaciones sensibles. El producto proporciona un conjunto completo de herramientas para gestionar, supervisar y auditar el acceso privilegiado, al tiempo que aplica los principios de mínimo privilegio y reduce la superficie de ataque.
Con la solución PAM de Heimdal, las organizaciones pueden identificar y gestionar fácilmente las cuentas privilegiadas en toda su infraestructura de TI, incluidos los entornos locales y en la nube, mediante un panel de control centralizado. Proporciona un control granular sobre los derechos de acceso y los permisos, permitiendo a los administradores definir políticas y aplicar la autenticación multifactor, el registro de sesiones y la gestión de contraseñas para garantizar un acceso seguro a los sistemas y datos críticos.
También incluye varias funciones avanzadas, como la supervisión y grabación de sesiones, que proporciona visibilidad en tiempo real de las actividades de los usuarios con privilegios, ayudando a detectar y responder a comportamientos sospechosos. Además, ofrece flujos de trabajo automatizados para agilizar los procesos de solicitud y aprobación de acceso, reduciendo la carga de los equipos de TI y garantizando el cumplimiento de las normativas y estándares del sector.
Las capacidades de generación de informes y análisis de la solución proporcionan información sobre el comportamiento de los usuarios, los registros de auditoría y el estado de cumplimiento, lo que permite a las organizaciones identificar y mitigar los riesgos y vulnerabilidades de forma proactiva.
La solución PAM de Heimdal también se integra con los sistemas y aplicaciones de TI existentes, proporcionando una gestión de accesos sin fisuras en toda la organización. En general, la solución PAM de Heimdal ofrece una solución completa y fácil de usar para gestionar el acceso privilegiado, reducir el riesgo de filtración de datos y garantizar el cumplimiento de las normas y reglamentos del sector. Con sus funciones avanzadas y capacidades de integración, la solución proporciona una sólida defensa contra las amenazas cibernéticas y ayuda a las organizaciones a lograr una postura de seguridad sólida.
JumpCloud
Jumpcloud es una solución de directorio como servicio (DaaS) que autentica y conecta de forma segura a los usuarios con redes, sistemas, servicios, aplicaciones y archivos. En general, el directorio escalable basado en la nube es un servicio que gestiona, autentica y autoriza usuarios, aplicaciones y dispositivos.
Entre sus características se incluyen;
- Crea un directorio autorizado seguro y centralizado
- Admite la gestión de acceso de usuarios multiplataforma
- Proporciona funciones de inicio de sesión único que admiten el control del acceso de los usuarios a las aplicaciones a través de LDAP, SCIM y SAML 2.0
- Proporciona acceso seguro a servidores locales y en la nube
- Admite la autenticación multifactor
- Dispone de administración automatizada de la seguridad y funciones relacionadas como registro de eventos, scripting, gestión de API, PowerShell, etc
Identidad Ping
PingIdentity es una plataforma inteligente que proporciona autenticación multifactor, inicio de sesión único, servicios de directorio y mucho más. Permite a las organizaciones mejorar la seguridad y la experiencia de identidad de los usuarios.
Características
- Inicio de sesión único que proporciona autenticación segura y fiable y acceso a los servicios
- Autenticación multifactor que añade capas de seguridad adicionales
- Gobernanza de datos mejorada y capacidad para cumplir la normativa sobre privacidad
- Servicios de directorio que proporcionan una gestión segura de las identidades y los datos de los usuarios a escala
- Opciones flexibles de despliegue en la nube como la identidad como servicio (IDaaS), software en contenedores, etc.
Foxpass
Foxpass es una solución escalable de control de acceso e identidades de nivel empresarial para despliegues en las instalaciones y en la nube. Proporciona funciones RADIUS, LDAP y de gestión de claves SSH que garantizan que cada usuario sólo acceda a redes, servidores, VPN y otros servicios específicos en el momento permitido.
La herramienta puede integrarse perfectamente con otros servicios como Office 365, Google Apps, etc.
Administrador de secretos de AWS
AWS Secrets Manager le proporciona un medio fiable y eficaz para proteger los secretos necesarios para acceder al servicio, las aplicaciones y otros recursos. Le permite gestionar, rotar y recuperar fácilmente las claves API, las credenciales de bases de datos y otros secretos.
Hay más soluciones de gestión de secretos que puede explorar.
Solución de análisis del comportamiento de usuarios y entidades (UEBA)
Exabeam
La plataforma de gestión de la seguridad Exabeam es una solución de análisis del comportamiento basada en IA, rápida y fácil de implantar, que ayuda a realizar un seguimiento de las actividades de usuarios y cuentas en distintos servicios. También puede utilizar Exabeam para ingerir los registros de otros sistemas informáticos y herramientas de seguridad, analizarlos e identificar y marcar actividades de riesgo, amenazas y otros problemas.
Entre sus funciones se incluyen
- Registrar y proporcionar información útil para la investigación de incidentes. Se incluyen todas las sesiones en las que una cuenta o un usuario concreto accedió por primera vez a un servicio, servidor o aplicación, o a un recurso, los registros de cuentas desde una nueva conexión VPN, desde un país inusual, etc
- La solución escalable es aplicable a una instancia única, a la nube y a despliegues in situ
- Crea una línea de tiempo exhaustiva que muestra claramente la trayectoria completa de un atacante basándose en el comportamiento normal y anormal de la cuenta o del usuario.
Cynet 360
La plataforma Cynet 360 es una solución integral que proporciona análisis de comportamiento, red y seguridad de puntos finales. Permite crear perfiles de usuario que incluyen sus geolocalizaciones, funciones, horas de trabajo, patrones de acceso a recursos locales y basados en la nube, etc.
La plataforma ayuda a identificar actividades inusuales como;
- Primeros inicios de sesión en el sistema o los recursos
- Ubicación inusual de inicio de sesión o uso de una nueva conexión VPN
- Múltiples conexiones simultáneas a varios recursos en muy poco tiempo
- Cuentas que acceden a los recursos fuera del horario laboral
Herramientas de seguridad de contraseñas
Auditor de contraseñas
Las herramientas de auditor de contraseñas escanean los nombres de host y las direcciones IP para identificar automáticamente las credenciales débiles de los servicios de red y las aplicaciones web como formularios web HTTP, MYSQL, FTP, SSH, RDP, enrutadores de red y otros que requieren autenticación. A continuación, intenta iniciar sesión utilizando las débiles, y las combinaciones comunes de nombre de usuario y contraseña para identificar y alertar sobre las cuentas con credenciales débiles.
Gestor de contraseñas Pro
El gestor de contraseñas pro de ManageEngine le proporciona una solución completa de gestión, control, supervisión y auditoría de la cuenta privilegiada a lo largo de todo su ciclo de vida. Puede gestionar la cuenta privilegiada, el certificado SSL, el acceso remoto así como la sesión privilegiada.
Entre sus funciones se incluyen
- Automatiza y aplica el restablecimiento frecuente de contraseñas para sistemas críticos como servidores, componentes de red, bases de datos y otros recursos
- Almacena y organiza todas las identidades y contraseñas de cuentas privilegiadas y sensibles en una bóveda centralizada y segura.
- Permite a las organizaciones satisfacer las auditorías de seguridad críticas, así como el cumplimiento de normas reglamentarias como la HIPAA, PCI, SOX, etc
- Permite a los miembros del equipo compartir de forma segura las contraseñas administrativas.
Escáneres de vulnerabilidad
Invicti
Invicti es un escáner de vulnerabilidades escalable y automatizado, y una solución de gestión que puede ampliarse para satisfacer los requisitos de cualquier organización. La herramienta puede escanear redes y entornos complejos a la vez que se integra perfectamente con otros sistemas, incluidas las soluciones CI/CD, SDLC y otras. Dispone de capacidades avanzadas y está optimizada para escanear e identificar vulnerabilidades en entornos y aplicaciones complejos.
Además, puede utilizar Invicti para comprobar los servidores web en busca de errores de configuración de seguridad que puedan aprovechar los atacantes. En general, la herramienta identifica inyecciones SQL, inclusión remota de archivos, Cross-site Scripting (XSS) y otras vulnerabilidades OWASP Top-10 en aplicaciones web, servicios web, páginas web, API y más.
Acunetix
Acunetix es una solución integral con escaneado de vulnerabilidades incorporado, gestión y fácil integración con otras herramientas de seguridad. Ayuda a automatizar las tareas de gestión de vulnerabilidades, como el escaneado y la corrección, lo que le permite ahorrar recursos.
Entre sus características se incluyen;
- Se integra con otras herramientas como Jenkins, rastreadores de problemas de terceros como GitHub, Jira, Mantis, etc.
- Opciones de despliegue en las instalaciones y en la nube
- Personalizable para adaptarse al entorno y los requisitos del cliente, así como compatibilidad multiplataforma.
- Identifique y responda rápidamente a una amplia gama de problemas de seguridad, incluyendo, ataques web comunes, Cross-site Scripting (XSS), inyecciones SQL, malware, configuraciones erróneas, activos expuestos, etc.
Conclusión
Al igual que los ciberataques, la escalada de privilegios explota las vulnerabilidades del sistema y de los procesos en las redes, servicios y aplicaciones. Como tal, es posible prevenirlos desplegando las herramientas y prácticas de seguridad adecuadas.
Entre las medidas eficaces se incluyen la aplicación de los mínimos privilegios, contraseñas seguras y políticas de autenticación, la protección de los datos sensibles, la reducción de la superficie de ataque, la seguridad de las credenciales de las cuentas, etc. Otras medidas incluyen mantener todos los sistemas, software y firmware actualizados y parcheados, supervisar el comportamiento de los usuarios y formar a éstos en prácticas informáticas seguras.