James Thew - Fotolia

Credenciales comprometidas: ¿Qué pueden hacer las empresas?

Los atacantes utilizan credenciales comprometidas para infiltrarse en las empresas sin ser detectados y robar datos corporativos. El experto Nick Lewis ofrece las mejores maneras de manejar esta amenaza.

Un reciente informe de la Unidad de Defensa de Amenazas (CTU) de Dell SecureWorks detalló la forma en que los atacantes utilizan credenciales comprometidas para evitar ser detectados cuando se hay brechas en la red. Si se utilizan credenciales legítimas, ¿cómo puede una empresa detener a tales atacantes? ¿Y cuál es la mejor manera de determinar si la información fue potencialmente comprometida o es robada?

La diferencia entre las amenazas internas y las credenciales comprometidas son mínimas, al igual que distinguir las amenazas internas de los ataques de malware externos. En la forma más simple, el mismo monitoreo de seguridad que se utiliza para detectar una amenaza interna también podría ser utilizado para detectar un atacante utilizando credenciales comprometidas. Los mismos registros de autenticación pueden ser monitoreados para detectar comportamientos sospechosos, como los tiempos de inicio de sesión de cuenta irregulares o los intentos de conexión de nuevas direcciones IP.

Una empresa puede detener tales atacantes cambiando las contraseñas y restringiendo el acceso a la red a las direcciones IP atacantes. Esto podría dar tiempo a la empresa para determinar qué sistemas y cuentas se vieron comprometidas y luego poner en práctica las medidas de remediación apropiadas, que podrían requerir la reinstalación del sistema operativo desde medios seguros conocidos.

Una empresa podría determinar si la información fue potencialmente comprometida o robada mediante el uso de la lista de sistemas o cuentas a las que accedió el atacante. Los equipos de seguridad deben determinar qué información se almacena en los sistemas que pudieran haber sido accedidos mediante las credenciales comprometidas, a continuación, examinar todos los registros log en busca de potenciales accesos desde el sistema operativo o un sistema de detección de intrusiones basado en host. Muchas veces los accesos a archivos individuales no se registran debido al alto volumen de datos de registro generados, por lo que los datos de registro de la red podrían ser revisados ​​para ver cuántos datos fueron transferidos durante la presunta brecha.

Este nivel de datos log de red en los hosts individuales que se comunican en una red local, con frecuencia no se almacenan debido a los recursos necesarios para mantenerla, pero los datos hacia y desde internet podrían almacenarse de manera útil para respuesta a incidentes. Los datos podrían ser registrados por un recolector o una herramienta de monitorización de red NetFlow, pero incluso con los datos de registro, puede ser difícil determinar si se accedió a esos datos.

Como se mencionó en el informe CTU de Dell SecureWorks, los mejores controles de seguridad preventivos para las cuentas comprometidas son la autenticación de dos factores y la gestión de privilegios. La autenticación de dos factores puede impedir que la cuenta sea comprometida, de inicio, y si falla esa medida, las herramientas de gestión de privilegios pueden ayudar a limitar la capacidad del atacante para moverse libremente en el entorno y acceder a sistemas y datos sensibles.

Investigue más sobre Protección de datos empresarial

Close