Las empresas siguen acosadas por los sobreprivilegiados …



Los atacantes comúnmente se enfocan en encontrar usuarios con demasiado acceso privilegiado como su boleto para comprometer la purple. ¿Qué pueden hacer las empresas?

Las brechas recientes han subrayado los peligros de las cuentas de usuario y los procesos de software con exceso de privilegios, destacando la necesidad de que las empresas descubran y mitiguen las cuentas con privilegios que los atacantes podrían utilizar para comprometer aún más sistemas y aplicaciones importantes.

El mes pasado, la violación de una cuenta administrativa en el proveedor de servicios de online video Verkada dejó a los clientes de la empresa, entre ellos, Tesla y Cloudflare, abiertos a la vigilancia de intrusos en línea. El servicio de movie en la nube de Verkada parece haber permitido a los superusuarios un acceso sin restricciones a las transmisiones de video clip y las cámaras de los clientes, lo que permite que una sola brecha tenga un impacto masivo. De manera related, a través del compromiso del proceso de actualización para el program de administración remota Orion de SolarWind, los atacantes obtuvieron acceso completo a los sistemas de los clientes porque Orion, por defecto, tenía acceso completo.

El problema no se limita a las cuentas de superusuario en los servicios en la nube. Muchas estaciones de trabajo y servidores continúan teniendo cuentas con privilegios excesivos que podrían sufrir abusos, y no se trata solo de cuentas de administrador, dice Tim Wade, director técnico del equipo de CTO de la firma de detección de amenazas Vectra.

«Es importante reconocer que el privilegio existe en un espectro», dice. «El candidato obvio a la preocupación está asociado con los derechos administrativos, pero la realidad es que incluso el acceso aparentemente inofensivo a los recursos compartidos más allá de la necesidad puede permitir el avance del ataque hacia su objetivo previsto».

Si bien el concepto de privilegio mínimo se comprende ampliamente, los usuarios y las aplicaciones con más derechos de los necesarios continúan siendo un problema común. Más de un tercio de las empresas (37%) han detectado cuentas sobreprivilegiadas, según el «Informe de amenazas en la nube de Oracle y KPMG 2020». Estas credenciales también están en la mira de los atacantes, y el 59% de las empresas encuestadas sufrieron un ataque en el que se robaron credenciales privilegiadas. Si bien las empresas a menudo otorgan a los usuarios demasiados privilegios, a menudo el problema es que las aplicaciones, especialmente las aplicaciones heredadas, generalmente requieren privilegios de alto nivel.

Además, aunque los sistemas de escritorio, como Windows y MacOS, han eliminado la cuenta de administrador predeterminada, demasiadas vulnerabilidades pueden aumentar los privilegios de una cuenta de usuario estándar. De hecho, el 56% de las vulnerabilidades críticas reportadas en el software program de Microsoft en 2020 podrían haberse mitigado eliminando los derechos administrativos, afirmó la firma de administración de acceso Over and above Have confidence in en un informe reciente.

«Con Home windows, todavía tiene demasiado poder con el inicio de sesión predeterminado», dice Morey Haber, director de tecnología y director de seguridad de la información de BeyondTrust. «Todavía tiene que reducirlo a un usuario estándar, y las Mac no son mejores».

Las aplicaciones que tienen arquitecturas de seguridad problemáticas y requieren demasiados privilegios siguen siendo un problema. La saga en curso del compromiso de SolarWinds es un ejemplo de ello.

Entre mayo y diciembre de 2020, las actualizaciones maliciosas del computer software de gestión remota SolarWinds Orion comprometieron a unas 18.000 empresas. De todos los problemas de seguridad que surgieron después de la violación de SolarWinds y sus clientes, quizás el más significativo es que una vez que se instaló la actualización comprometida, los atacantes tuvieron acceso a todos los dispositivos y aplicaciones en el entorno de un cliente, evadiendo el software package de seguridad debido a que Orion El software generalmente está incluido en la lista blanca del entorno.

«La aplicación SolarWinds necesita una cuenta privilegiada para funcionar, que tenga privilegios similares a los de Dios y una lista de permisos anti-malware en todo», dice Haber. «Así que tiene una credencial que permite que funcione toda la aplicación, y así es como nos metimos en tantos problemas».

Para combatir el arrastre de privilegios, las empresas primero deben descubrir hasta qué punto las cuentas de administrador, las API de administración y los procesos del sistema son un problema en su entorno regional y en la nube. Parte de ese descubrimiento se puede realizar en Energetic Listing buscando grupos o miembros específicos que tengan ciertos derechos, como la autoridad para restablecer la contraseña, el acceso administrativo a las cuentas en la nube o la capacidad de administrar unidades organizativas.

Sin embargo, esto rápidamente se vuelve oneroso, dice Vectra&#39s Wade. Además, el monitoreo continuo del uso de cuentas privilegiadas requiere la capacidad de buscar anomalías en tiempo genuine.

«Desafortunadamente, muchas organizaciones se enfocan en auditar los privilegios otorgados, que, si bien son importantes, a menudo requieren muchos recursos y son difíciles de contextualizar completamente frente a las necesidades continuas del negocio», dice. «¿Esta cuenta está realmente sobreprivilegiada a la luz de las necesidades comerciales en evolución? ¿Sigue existiendo la necesidad comercial continua de estas capacidades? ¿O ha cambiado? Esto a menudo significa compensaciones de cobertura y confianza con respecto a la administración de privilegios, que tienden a crear el brechas explotadas por los adversarios «.

Con la creciente adopción de infraestructura y servicios en la nube durante la pandemia, la administración de usuarios privilegiados se ha vuelto más difícil y más difícil de monitorear en tiempo true. Sin embargo, la fuerza de trabajo y los servicios distribuidos significan que el monitoreo actualizado es aún más importante, dice Wade.

«Las organizaciones deben identificar el subconjunto de roles y derechos críticos que se van a auditar, mientras implementan soluciones dinámicas para proyectar una purple más amplia en torno a los privilegios observados en toda la empresa», dice. «Este es un lugar donde la inteligencia artificial y las técnicas de aprendizaje automático han demostrado ser particularmente útiles y permiten que una organización detecte y responda en tiempo genuine a los principales indicadores de que se está abusando de los privilegios».

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Dark Reading, MIT&#39s Technological know-how Critique, Popular Science y Wired Information. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original