La violación de Okta: lecciones que sólo los atacantes pueden enseñar

“No hay más maestro que el enemigo. Nadie más que el enemigo te dirá lo que va a hacer. Nadie más que el enemigo te enseñará jamás cómo destruir y conquistar. Sólo el enemigo te muestra dónde eres débil. Sólo el enemigo te muestra dónde es fuerte. Y las reglas del juego son lo que puedes hacerle y lo que puedes impedir que te haga a ti”.
(juego de Ender, tarjeta de Orson Scott)

Si bien la recientemente revelada ataque a Okta Aunque parecía tener un alcance y un impacto limitados, proporciona información clave sobre el papel fundamental que desempeñó el uso de credenciales comprometidas en esta infracción. Situar esta infracción en el contexto general del panorama de amenazas actual revela que las identidades de los usuarios se han convertido en un objetivo principal. superficie de ataque. ¿Cómo debería afectar este cambio en el manual de los actores de amenazas a nuestra arquitectura y prácticas de seguridad para que podamos vencer los ataques que emplean cuentas de usuario como sus principales vectores de ataque? En este artículo, exploramos las lecciones clave que los actores de amenazas de Lapsus$ nos han enseñado en esta infracción y cómo podemos usar estas lecciones para mejorar la resiliencia de nuestros entornos a las amenazas de identidad.

Un breve resumen de la infracción de Okta

Los atacantes del grupo atacante Lapsus$ lograron comprometer un punto final de un ingeniero de soporte externo a través de RDP. Tras el compromiso del endpoint, los atacantes desactivaron el agente de protección del endpoint y descargaron varias herramientas como ProcessHacker y Mimikatz. Luego utilizaron estas herramientas en el punto final comprometido para obtener credenciales para la cuenta O365, asociada con una empresa que el proveedor de servicios externo adquirió en agosto de 2021. Una vez obtenido este acceso, los atacantes crearon una nueva cuenta y configuraron una regla para reenviar todos correo a esta cuenta, lo que podría afectar a 366 clientes de Okta.

Conclusiones clave para las partes interesadas en la seguridad:

Lección #1: Los atacantes apuntan a tus debilidades

Entonces, ¿qué nos ha enseñado el enemigo a través de esta brecha? Creemos… mucho. En primer lugar, se nos recordó (nada nuevo) que la cadena es tan fuerte como su eslabón más débil y que los atacantes inicialmente apuntan a estos eslabones débiles para finalmente acceder a lo que hay detrás de los más fuertes. Según el flujo de ataque que hemos descrito, veamos los enlaces más débiles. Actores de amenazas de Lapsus$ han apuntado para lanzar su ataque:

Debilidad #1: Adición de nuevos entornos de fusiones y adquisiciones

No hay nada nuevo aquí, pero sigue siendo un recordatorio útil. Las fusiones y adquisiciones son una parte integral del ciclo de vida empresarial. Dicho esto, no existe una manera fácil de absorber un entorno de TI activo en otro. Si bien no hay soluciones fáciles en este caso, los equipos de seguridad deberían seguir el ejemplo de los atacantes y dedicar mayor atención a estas nuevas partes de sus redes, ya que son las que tienen más probabilidades de ser atacadas.

Debilidad #2: Cadena de suministro y acceso de terceros

El entorno de TI empresarial moderno es un ecosistema, no una entidad independiente. Eso significa que, por diseño, las personas se conectan a su entorno desde máquinas que usted no administra con prácticas de seguridad que podrían no alinearse con las suyas, mientras usted sigue siendo responsable de una infracción que se produzca debido a ellas. Al final del día, el único aspecto del ecosistema de la cadena de suministro que puede controlar es la política de acceso y los requisitos que deben cumplir los terceros para ser confiables.

Debilidad n.º 3: los recursos de la nube en un entorno híbrido están expuestos a ataques que se originan en máquinas locales

Al final del día, incluso si es nativo de la nube y está transformado digitalmente, habrá recursos no web que interactuarán con su entorno o serán parte real de él. El ejemplo más intuitivo son las estaciones de trabajo que utilizan sus empleados para conectarse a aplicaciones SaaS y cargas de trabajo en la nube. Si una estación de trabajo de este tipo se ve comprometida, los atacantes pueden obtener fácilmente las credenciales almacenadas y hacer avanzar su presencia, no solo a máquinas adicionales locales sino también a aplicaciones SaaS y cargas de trabajo en la nube.

El examen de estas debilidades revela que no tienen la magnitud de una vulnerabilidad sin parches o una política mal configurada. No se pueden eliminar simplemente con solo hacer clic en un botón y no son el resultado de ninguna mala práctica de seguridad. Más bien son inherentes a la infraestructura de cualquier entorno de TI.

Lección n.º 2: Las credenciales comprometidas fueron la columna vertebral del ataque

Si bien cada una de las dos primeras debilidades abre el entorno a varios tipos de ataques, la tercera debilidad (la exposición de los recursos de la nube a ataques que se originan en el entorno local) intensifica radicalmente su impacto. Credenciales comprometidas jugó un doble papel en este ataque. Primero, en el acceso inicial a la máquina comprometida, y segundo, en el acceso a O365. Entonces, es el ataque basado en identidad vector que entrelazó las tres debilidades en un ataque extremadamente efectivo que pone en riesgo recursos que parecen estar bajo alta protección.

Lección n.° 3: una superficie de ataque de identidad solo puede protegerse cuando está unificada

Disperso Protección de la identidad crea puntos ciegos. Si el acceso remoto a través de RDP está protegido por el proveedor de VPN, el inicio de sesión de SaaS mediante CASB y la conexión interna entre máquinas locales por parte de un atacante EDR los evitará uno por uno. La mejor alternativa es monitorear y proteger centralmente cada intento de autenticación y acceso, de modo que un riesgo detectado en el inicio de sesión de un usuario en un recurso permita restringir también el acceso de este usuario a todos los demás recursos.

Todos los interesados ​​en la seguridad pueden extraer de este análisis una simple verdad: en el entorno empresarial actual, la identidad es la superficie de ataque clave. Y nuestras arquitecturas de seguridad deben ajustarse, responder y volverse nativas de esta idea si queremos tomar ventaja en la batalla contra los ciberatacantes.

Deteniendo al enemigo

La violación de Okta pone de relieve una tendencia que ha ido aumentando lentamente en los últimos años. Los atacantes prefieren lanzar ataques basados ​​en identidad, utilizando credenciales comprometidas para acceder a recursos específicos. Y lo hacen porque este vector de ataque es el menos protegido en el entorno empresarial actual. La respuesta de nuestra parte debe ser reconocer que la identidad es una superficie de ataque crítica y protegerla en consecuencia, con prevención, detección y respuesta en tiempo real. amenazas de identidad on-premise y en la nube, esto se aplica igualmente a la conexión RDP a estaciones de trabajo remotas, al inicio de sesión web en una aplicación SaaS y al acceso por línea de comandos a un servidor local.

Sobre nosotros Silverfort

Silverfort ha sido pionero en la primera Protección contra amenazas de identidad Plataforma diseñada específicamente para la prevención, detección y respuesta en tiempo real a ataques basados ​​en identidad que utilizan credenciales comprometidas para acceder a recursos específicos. Silverfort previene estos ataques a través de monitoreo continuo, análisis de riesgos y aplicación en tiempo real de Zero Trust políticas de acceso para cada usuario, sistema y entorno local y en la nube.

Aprenda más sobre Silverfort protección contra amenazas de identidad.