En las últimas semanas, varias importantes marcas minoristas del Reino Unido, como M&S, Harrods y Co-operative Group, han sufrido importantes ciberataques que han interrumpido sus operaciones comerciales. Se afirma que estos incidentes fueron orquestados por... Grupo de ransomware DragonForce.
Como ex director de AMI En un importante minorista, he formado parte de la respuesta a los atacantes que priorizan la identidad y siento una profunda empatía por los equipos que trabajan incansablemente para responder y recuperarse. Si bien el alcance total de estas brechas aún está saliendo a la luz, las primeras señales apuntan a un actor de amenazas que prioriza la identidad. DragonForce es conocido por explotar las vulnerabilidades de identidad y luego actuar lateralmente a través de... credenciales comprometidasSu metodología pone de relieve algo que llevamos años diciendo: la identidad es el nuevo campo de batalla. Estos atacantes se centran en quién eres, no en lo que tienes.
Si bien no se puede solucionar todo en un día, he delineado algunos pasos que, según mi experiencia, los equipos de identidad y seguridad pueden seguir ahora para acercarse a donde quieren estar.
Comprender al atacante: un enfoque que prioriza la identidad
¿Quiénes son estos atacantes y cómo operan? DragonForce utiliza tácticas y técnicas de ataque similares a las de Scattered Spider y se sabe que utilizan correos electrónicos de phishing, explotan vulnerabilidades conocidas y utilizan credenciales robadas para obtener acceso inicial a las redes de las víctimas.
Su estrategia comienza con el eslabón más vulnerable de cualquier cadena de seguridad: los humanos. Son maestros de la ingeniería social, creando campañas de phishing convincentes, intercambiando SIM para secuestrar números de teléfono y lanzando...fatiga MFAAtaques en los que bombardean a los usuarios con solicitudes de autenticación hasta que alguien simplemente cede y aprueba una. Les gusta especialmente atacar al personal del servicio de asistencia, manipulándolos para que restablezcan sus contraseñas y les proporcionen ese primer punto de apoyo crucial.
Una vez dentro, se mueven metódicamente. Buscan cuentas protegidas únicamente por un nombre de usuario y una contraseña, y las utilizan para navegar por las redes. Las cuentas de servicio (identidades no humanas que mantienen los sistemas en funcionamiento, pero que a menudo pasan desapercibidas) suelen ser el objetivo, ofreciendo acceso privilegiado con mínima supervisión. A partir de ahí, se trata de aumentar sus privilegios y posicionarse para desplegarse. ransomware Donde más duele. Lo que hace que este enfoque sea tan devastador en el comercio minorista no es solo su sofisticación, sino que explota puntos ciegos particularmente comunes en los entornos minoristas.
El complejo panorama de identidad del comercio minorista
Si trabaja en seguridad minorista, ya se enfrenta a desafíos únicos que hacen que... Protección de la identidad especialmente difícil.
Usted administra decenas, cientos o miles de ubicaciones, además de negocios en línea, que necesitan controles de seguridad consistentes a pesar de las diferentes condiciones locales y limitaciones operativas.
Su infraestructura es un híbrido complejo de sistemas locales junto con entornos de nube más modernos, todos los cuales necesitan protección. Es posible que sus sistemas críticos hayan estado en funcionamiento durante muchos años, diseñados antes de la era moderna. seguridad de identidad Fue incluso una consideración.
Es probable que sus operaciones dependan de innumerables proveedores externos y de servicios, cada uno de los cuales requiere acceso específico a sus sistemas. Mientras tanto, usted habilita a los trabajadores de primera línea con cuentas corporativas para una mayor eficiencia y seguridad empresarial, pero al hacerlo, aumenta accidentalmente su... ataque de identidad Aparecen varias veces. Al mismo tiempo, se enfrenta a una fuerza laboral que crece rápidamente con las demandas estacionales, lo que convierte la gobernanza de la identidad en un objetivo en constante evolución.
Estas realidades tienen un gran impacto superficie de ataque para que los actores de amenazas basados en la identidad los exploten.
Las cuentas de administrador a menudo carecen de la supervisión y protección adecuadas. Identidades no humanas, desde Active Directory cuentas de servicio Las cargas de trabajo en la nube a menudo operan con un amplio acceso y una supervisión mínima. MFA La implementación suele ser inconsistente, especialmente en los sistemas backend. Además, la naturaleza interconectada de los entornos minoristas crea innumerables vías para que los atacantes se muevan entre sistemas una vez que obtienen acceso inicial.
Construyendo defensas de identidad específicas para el comercio minorista
Las recientes brechas de seguridad en el sector minorista pueden servir de catalizador para que los equipos de identidad y seguridad revisen y aceleren iniciativas clave, especialmente aquellas que ya han sufrido resistencia por parte de los equipos centrados en la eficiencia operativa. Momentos como estos pueden ayudar a alinear las prioridades en toda la organización. Si yo estuviera en su lugar, esto es en lo que me centraría ahora mismo:
1. Proteger los puntos de acceso iniciales
- Aplicar una MFA integral:Verifique que todos los puntos de acceso externos a los sistemas estén protegidos con MFA, incluidas VPN, aplicaciones SaaS y otros sistemas conectados a Internet.
- Implementar MFA resistente al phishing:Pase a la coincidencia de números como mínimo (recuerde eliminar también los factores que no sean resistentes al phishing) y considere autenticadores FIDO2 “no resistentes al phishing” (como Yubikeys) para objetivos principales, como equipos de TI y seguridad.
- Procesos seguros de restablecimiento de contraseña:Endurecer los procedimientos de soporte técnico con medidas estrictas Verificación de identidad Protocolos. Considere implementar temporalmente reinicios presenciales para sus cuentas más críticas.
- Proteger la gestión de MFA:Asegúrese de que los segundos factores solo se puedan agregar o cambiar con una verificación de identidad adecuada, no solo con nombre de usuario y contraseña.
2. Prevenir el movimiento lateral después del compromiso.
- Ampliar la cobertura de MFA internamente:La MFA debe extenderse más allá del perímetro a los sistemas internos y al acceso a la infraestructura, especialmente Active Directory Entornos que son objetivos principales de actores de amenazas y grupos de ransomware. Proteger RDP por sí solo no es suficiente; debe implementarse en todos los protocolos (PowerShell, por ejemplo, es el preferido por los atacantes).
- Proteger identidades no humanas (NHIs):Implementar controles estrictos en las cuentas de servicio, limitando dónde pueden usarse y alertando sobre cualquier patrón de actividad inusual que pueda indicar un compromiso.
- Contienen protocolos heredados vulnerables:Restringir el legado autenticación protocolos como NTLMv1 a las aplicaciones que absolutamente los requieren.
- Implementar segmentación de identidad:Cree límites de seguridad entre diferentes partes del entorno minorista para contener las infracciones; por ejemplo, al no permitir la autenticación del servidor en sus sitios minoristas.
3. Monitorizar las amenazas a la identidad
- Implementar detección y respuesta ante amenazas de identidad: Implementar ITDR para identificar comportamientos anómalos como intentos de movimiento lateral y equipar a su SOC para responder.
- Centrarse en la actividad de la cuenta de servicio:Cree líneas de base detalladas del comportamiento normal de la cuenta de servicio y alerte sobre desviaciones.
- Monitorización cuenta privilegiada personal:Realice un seguimiento de la actividad de la cuenta de administrador, con especial atención al uso entre niveles, donde las cuentas con altos privilegios acceden a entornos de menor seguridad.
Protección en el mundo real en acción
Este no es sólo un consejo teórico; está basado en batallas reales contra las amenazas exactas que hoy afectan a los minoristas.
Tomemos el caso de un Silverfort cliente que se enfrentó a un movimiento lateral Un ataque similar al que M&S está experimentando ahora. Los atacantes ya habían comprometido dos cuentas de administrador y una de servicio, lo cual suele ser una receta para el desastre. Pero debido a que... Implementó MFA en todos los sistemas internos y protección automatizada de cuentas de servicioDetectaron y bloquearon el ataque en sus primeras etapas, evitando lo que podría haber sido un daño catastrófico para sus operaciones. Puede leer el caso práctico completo. aqui.
O considere otra organización, un fabricante líder, que impidió el movimiento lateral durante un sofisticado ataque a la cadena de suministro. Los actores estatales habían comprometido la red de una fábrica e intentaban acceder al entorno de dominio de la empresa a través de las computadoras portátiles de los empleados. Mediante la implementación de políticas que detectaron y bloquearon intentos de autenticación inusuales, en particular aquellos que utilizaban protocolos vulnerables como NTLMSu equipo de seguridad detuvo el ataque antes de que pudiera consolidarse. Este caso práctico detallado está disponible. aqui.
Protege hoy, construye para el mañana
Si bien estas acciones inmediatas ayudarán a contener rápidamente los riesgos de identidad, hay otras protecciones a considerar que son inversiones a largo plazo.
Gestión de la postura de seguridad de la identidad (NIMF) Puede descubrir y abordar proactivamente las vulnerabilidades de identidad antes de que los atacantes las detecten. Cree un verdadero ciclo cerrado de seguridad de identidad donde los procesos de configuración y recuperación de cuentas requieren una verificación rigurosa en cada paso.
Considere automatizar el ciclo de vida de su identidad, prestando especial atención a las identidades de personas que no son empleados ni personas, a menudo ignoradas. Reduzca la dependencia de cuentas locales que eluden los controles de identidad centrales y comience el camino hacia la seguridad de cero privilegios, donde el acceso se proporciona justo a tiempo y en el tiempo justo, reduciendo drásticamente la vulnerabilidad que DragonForce, Scattered Spider y grupos similares explotan.
Para sus identidades no humanas, considere optar por credenciales efímeras en lugar de credenciales estáticas y de alto riesgo, como contraseñas de cuentas de servicio de larga duración, secretos, claves API y claves SSH. Esto elimina uno de los riesgos más comunes en entornos minoristas: las credenciales de cuentas de servicio comprometidas que proporcionan a los atacantes acceso persistente.
Cuidado con la brecha de identidad
Los enfoques tradicionales para proteger las identidades simplemente no son suficientes contra los atacantes actuales centrados en la identidad, donde cada cuenta y autenticación presenta un riesgo.
Para los minoristas, donde la disponibilidad del sistema afecta directamente el resultado final y la confianza del cliente es primordial, lograr una correcta seguridad de la identidad (conteniendo el riesgo de compromiso de la cuenta, movimiento lateral y, en última instancia, ransomware) es fundamental.
Al comprender cómo operan grupos como DragonForce e implementar medidas integrales de seguridad de identidad, puede reducir significativamente su perfil de riesgo.
Como hemos visto en ejemplos del mundo real, implementar correctamente la seguridad de la identidad puede ser la diferencia entre un funcionamiento normal y una filtración que salta a los titulares. Descargue nuestro libro electrónico, Seguridad de la identidad en el comercio minorista: cómo prevenir el ransomware y frustrar los ataques laterales de identidad.