Buscar

Idioma

Incumplimiento de Cisco: un doloroso recordatorio del punto ciego del movimiento lateral

17 de agosto, 2022

Inicio » Blog » Incumplimiento de Cisco: un doloroso recordatorio del punto ciego del movimiento lateral

Nadie es inmune a las violaciones, como se demostró la semana pasada cuando el gigante de las redes Cisco informó una violación de su entorno interno. Aunque los informes indican que no se produjo ningún daño significativo, esta violación presenta una oportunidad para reflexionar sobre las brechas críticas en el panorama actual de protección de identidad en las etapas clave de la trayectoria de un ataque: el acceso inicial y posterior. movimiento lateral.

La brecha más notoria es la falta de información en tiempo real. Protección AMF dentro de un ambiente interno. Esto significa que una vez que los atacantes obtienen acceso inicial a una máquina y comprometen con éxito las credenciales del usuario, pueden ejecutar movimientos laterales sin obstáculos. Silverfort aborda estas brechas con su plataforma Unified Identity Protection que puede extender MFA protección para cualquier usuario, sistema o entorno, incluidos aquellos que nunca antes han tenido esta protección.

El siguiente resumen se basa en extractos del análisis de ataques publicado por el equipo de inteligencia de amenazas Talos de Cisco y se centra en las etapas que ilustran el Protección de la identidad brechas y respectivas medidas de seguridad que Silverfort proporciona.

Tabla de contenido

  • Etapa 1: Acceso Inicial
  • Etapa 2: movimiento lateral
  • Etapa 1A: Acceso inicial revisado
  • Conclusión: cerrar la brecha

    • Etapa 1: Acceso Inicial

    • El ataqueEmpleando fatiga MFA para atraer a los usuarios a permitir el acceso malicioso
      “Después de obtener las credenciales del usuario, el atacante intentó eludir MFA utilizando una variedad de técnicas, incluida MFA fatiga, el proceso de enviar un gran volumen de solicitudes push al dispositivo móvil del objetivo hasta que el usuario acepta, ya sea accidentalmente o simplemente para intentar silenciar las notificaciones push repetidas que están recibiendo".
    • The Gap: MFA estática que no responde dinámicamente a la actividad específica
      En el mundo actual, las medidas de seguridad deben ser inteligentes, lo que significa ser capaces de deducir el significado de los patrones de eventos, comunicarlos a otros productos de seguridad y responder en consecuencia. La notificación push de MFA que se solicita repetidamente varias veces y se rechaza en todas ellas es una clara indicación de que se está llevando a cabo una actividad sospechosa. Debido a la alta efectividad de MFA para prevenir ataques que utilizan credenciales comprometidas para acceder a credenciales específicas, solo se espera que los actores de amenazas respondan con técnicas de elusión, lo que hace que la protección contra ellas sea una necesidad.
    • Silverfort ProtecciónConfirmación de Viaje fatiga MFA mitigación
      Silverfort proporciona protección dedicada contra la fatiga de MFA al suprimir las notificaciones automáticas del usuario después cinco intentos consecutivos de acceso denegado. Además, la puntuación de riesgo del usuario se eleva inmediatamente para alertar al equipo de seguridad de que el usuario ha sido atacado para que pueda actuar en consecuencia.

    Etapa 2: movimiento lateral

    • El ataqueAcceder a una amplia gama de sistemas utilizando una cuenta comprometida
      “Después de establecer el acceso a la VPN, el atacante comenzó a utilizar la cuenta de usuario comprometida para iniciar sesión en una gran cantidad de sistemas antes de comenzar a adentrarse más en el entorno. Se trasladaron al entorno Citrix, comprometieron una serie de servidores Citrix y finalmente obtuvieron acceso privilegiado a los controladores de dominio”.
    • El huecoFalta de MFA para el acceso de línea de comandos a los sistemas
      Herramientas de acceso a la línea de comandos, como PsExec (utilizado en este ataque), PowerShell y WMI: son las principales utilidades que utilizan los administradores para acceder, configurar y solucionar problemas de máquinas remotas. También son las herramientas elegidas por los atacantes para moverse lateralmente dentro de un entorno. Y no existe ninguna solución que pueda imponer la protección MFA en estas interfaces debido a los protocolos de autenticación que utilizan, lo que significa que no existe la posibilidad de bloquear en tiempo real a un atacante que haya comprometido las credenciales de usuario. Esta es la brecha más crítica en la pila de seguridad actual y la razón principal por la que los ataques de movimiento lateral siguen siendo frecuentes: porque la tecnología en uso no ha tenido que evolucionar.
    • Silverfort ProtecciónProtección MFA en todos los recursos del entorno
      Esta protección MFA se aplica independientemente del método de acceso (RDP, PsExec, PowerShell, WMI, etc.) y priva a los atacantes de obtener cualquier valor de las credenciales comprometidas. Cada vez que un atacante intenta realizar un inicio de sesión malicioso, Silverfort envía una notificación MFA al usuario real para que pueda denegar el acceso directamente. Y esta es la primera instancia de protección en tiempo real que se introduce en el entorno interno.

    Etapa 1A: Acceso inicial revisado

    • El ataqueEl phishing por voz incita a los empleados a conceder la aprobación de la MFA
      “El atacante llevó a cabo una serie de sofisticados ataques de phishing de voz bajo la apariencia de varias organizaciones confiables que intentaban convencer a la víctima de que aceptara las notificaciones automáticas de MFA iniciadas por el atacante. El atacante finalmente logró lograr una aceptación push de MFA, otorgándole acceso a VPN en el contexto del usuario objetivo”.
    • El huecoPunto único de falla de MFA
      Los humanos son el eslabón más débil de cualquier cadena de seguridad. Por lo tanto, los equipos de seguridad deben asumir que un atacante determinado logrará en última instancia atraer a un usuario para que actúe de manera insegura. Esta es exactamente la razón por la que la protección debe ser de múltiples capas: porque en el ataque de Cisco, una vez que el acceso a la VPN se vio comprometido, los atacantes nunca más tuvieron que interactuar con el usuario. En cambio, al amparo de la comprometida cuentas de usuario, teóricamente podrían acceder a cualquier recurso que quisieran.
    • Silverfort ProtecciónProtección MFA multicapa en todos los recursos
      Silverfort puede aplicar MFA en cualquier recurso, incluidos los servidores Citrix y los controladores de dominio que fueron objeto de esta infracción. Eso significa que incluso si el phishing de voz de los atacantes tuviera éxito, tendrían que repetir esa acción cada vez que quisieran acceder a un nuevo recurso, lo que en última instancia despertaría sospechas incluso en el usuario más confiado.

    Conclusión: cerrar la brecha

    Silverfort, Protección de identidad unificada La plataforma aborda una brecha de larga data que los actores de amenazas han estado abordando con éxito durante más de una década, y más recientemente en el caso de la violación de Cisco. La conclusión es que la capacidad de tener múltiples capas en tiempo real protección contra el movimiento lateral es un componente clave de cualquier arquitectura de seguridad.

    Aprenda más sobre SilverfortProtección contra movimientos laterales. esta página.

    ¿Listo para una demostración?
    Regístrate hoy.

    Mensajes recientes

    6 de mayo 2024.

    Uso de MITM para evitar la protección resistente al phishing de FIDO2

    Puede 2nd, 2024

    Silverfort Presentará una investigación en RSA 2024: uso de MITM para omitir los métodos de autenticación modernos a SSO

    24 de abril de 2024

    Cinco formas de mejorar la higiene de su AD con Silverfort  

    Marzo 26th, 2024

    The Identity Underground Report: visión profunda de las brechas de seguridad de identidad más críticas  
    Ver más

    Síguenos en:

    Detenga las amenazas a la identidad ahora