Con un mayor uso de la nube, las contraseñas se vuelven uniformes …



El parcheo lento proporciona vulnerabilidades para explotar. La falta de segmentación de la purple permite un movimiento lateral sin restricciones. Sin embargo, un informe que analizó un año de pruebas de penetración encuentra que las contraseñas siguen encabezando la lista de lo que los atacantes usan para comprometer los sistemas.

Las contraseñas continúan siendo la principal debilidad explotada en los compromisos de pruebas de penetración, y la recopilación de credenciales es una parte importante de los compromisos internos, del equipo rojo y de ingeniería social, afirma la firma de seguridad Quick7 en un informe publicado el 26 de agosto.

Si bien el aumento del trabajo remoto ha centrado a los atacantes en las redes privadas virtuales (VPN) y los servicios en la nube en 2020, los datos de las pruebas de penetración del año pasado muestran que muchos compromisos ya se centraron en las credenciales como la mejor manera de obtener acceso a la infraestructura de la nube. declaró la empresa de gestión de vulnerabilidades. «Below the Hoodie « reporte.

Demasiadas empresas siguen confiando en que los usuarios elijan buenas contraseñas y no las reutilicen en todos los servicios, y no hay suficientes empresas que hayan implementado la autenticación multifactor, dice Tod Beardsley, director de investigación de Swift7.

«Estás confiando a tus humanos para que escojan contraseñas, y eso es una forma de llorar», dice. «Tenemos todas estas opciones para elegir contraseñas … así que deje que la máquina elija sus contraseñas. Si bien eso pone todos sus huevos en una canasta, nos hemos vuelto realmente buenos protegiendo esa canasta».

Las contraseñas han sido un problema constante tanto para las empresas como para los consumidores, y los atacantes se han centrado constantemente en recopilar credenciales. Utilizando datos de 206 interacciones realizadas durante los 12 meses hasta junio de 2020, Fast7 encontrado que las empresas continúan dejando su crimson y sistemas abiertos para explotar credenciales filtradas o comprometidas, con una cuarta parte de las interacciones externas que dan como resultado que los probadores de penetración obtengan acceso a las credenciales, el 7% encuentre políticas de contraseña débiles y el 6% permita la enumeración de usuarios.

Debido a la importancia de las credenciales en un mundo cada vez más centrado en el trabajo remoto, la administración de contraseñas, junto con la administración de parches y la segmentación de la pink, son defensas necesarias que la mayoría de las empresas necesitan mejorar, dice Beardsley.

«Si tuviera que elegir una cosa para arreglar, debería ser la administración de contraseñas», dice. «Obviamente, debe tener buenos procesos de administración de parches, pero a medida que las personas avanzan hacia una plataforma como servicio y una mayor dependencia de la nube, … el parche se convierte en parte de lo que está obteniendo, y las contraseñas y credenciales se vuelven más importantes . «

Las pruebas de penetración, donde una empresa de seguridad prueba las defensas de un cliente, ha sido durante mucho tiempo parte del proceso de establecer defensas y luego probarlas en busca de debilidades. La película de 1992 Zapatillas, por ejemplo, cuenta con una empresa de pruebas de penetración que se centra más en lo físico, pero también utiliza medidas electrónicas para derrotar las defensas de los bancos y las empresas de tecnología.

Si bien la actividad ahora es rutinaria, la industria vio cierta controversia el año pasado cuando dos empleados de Coalfire Safety fueron atrapados en un juzgado del condado durante un compromiso de prueba de penetración en juzgados estatales y acusados ​​de robo, cargos que finalmente se redujeron y luego se retiraron. «El incidente sacudió el espacio de pentesting», declaró Swift7 en su informe. «Claramente, todos los involucrados en la seguridad ofensiva deben esforzarse por explicar mejor el valor del pentesting rutinario de nuestro mundo físico y virtual».

Los servicios de pruebas continúan encontrando problemas importantes. Si bien la seguridad deficiente de las contraseñas es el problema más importante, los parches incoherentes y retrasados ​​también siguen siendo un problema. Las empresas están tardando más de 90 días en parchear la mitad de los sistemas críticos de World-wide-web, dice Beardsley.

«Tenemos que mejorar en la implementación de parches críticos», dice. «Necesitamos llegar a una cadencia mensual de sistemas de parcheo».

Después de explotar el computer software sin parches, moverse lateralmente a través de una red es la tercera estrategia más exitosa para los probadores de penetración, según el informe de Fast7. Las técnicas que utilizan el servicio de Instrumentación de administración de Windows (WMI), PsExec, una herramienta related a Telnet para el acceso remoto a Windows, o el Protocolo de escritorio remoto (RDP) son formas comunes para que un atacante y un probador de penetración extiendan su compromiso a otros máquinas en una purple. Los ataques de ransomware WannaCry y NotPetya utilizaron las dos primeras técnicas para propagarse rápidamente a través de redes comprometidas en 2017 y 2018, señala el informe.

«La mayoría de las discusiones sobre estos gusanos se centran en los exploits de EternalBlue implementados, pero no hablan de la verdadera razón por la que estos gusanos son tan efectivos: utilizan las mismas técnicas sofisticadas para el movimiento lateral que los atacantes reales y los probadores de penetración por igual», afirma el informe. «Al recuperar y reutilizar contraseñas en sistemas comprometidos, los atacantes a menudo pueden pasar de una máquina a otra en busca de sus objetivos finales».

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Dark Looking at, MIT&#39s Know-how Evaluate, Common Science y Wired News. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique