La seguridad Zero Trust: en qué consiste y qué pasos necesita tu organización para implementarlo
26 de febrero de 2024La importancia de la educación en ciberseguridad para empresas: ¿estás preparado?
13 de mayo de 2024¿Sabes lo que es el phising, un ataque DDoS o un ataque de ramsonware? Son algunas de las variantes de ataques más registradas por las empresas en los últimos meses. Sin embargo, las organizaciones registran muchos otros tipos, algunos de ellos más delicados y transversales, como las Amenazas Persistentes Avanzadas (APTs).
¿Qué son las APTs?
Las amenazas persistentes avanzadas (APT) se refieren a atacantes avanzados, altamente cualificados y suficientemente motivados para explotar sistemas y redes. A diferencia de los ataques convencionales, las APTs son persistentes y adaptativas, evitando la detección durante largos períodos. Las APTs pueden estar patrocinadas por gobiernos, el crimen organizado o la competencia.
El peligro de este tipo de amenaza va más allá de las pérdidas monetarias que inicialmente va a sufrir la compañía afectada, puesto que la alta permanencia de los atacantes en el sistema hará que conozcan la infraestructura de IT lo suficiente como para que la huella sea mucho más profunda y nociva.
¿Cómo funcionan?
Normalmente, las APTs han seguido un ciclo de vida similar a este:
- Los atacantes utilizan la ingeniería social y el spear phishing a través del correo electrónico, utilizando virus de día cero. Es posible que coloquen malware en un sitio web que probablemente visiten los empleados afectados.
- Establecer una base: los agresores pueden instalar software de administración remota en la red de la víctima o crear puertas traseras y túneles de red que permitan un acceso sigiloso a la infraestructura de red.
- Aumentar privilegios: los atacantes utilizan exploits y descifran contraseñas para adquirir privilegios de administrador sobre el ordenador de la víctima y, posiblemente, ampliarlos a cuentas de administrador de dominio de Windows.
- Realizar reconocimiento interno: los atacantes recopilan información sobre la infraestructura circundante, las relaciones de confianza y la estructura de dominios de Windows.
- Desplazarse lateralmente: amplían el control a otras estaciones de trabajo, servidores y elementos de la infraestructura y realizan en ellos la recolección de datos.
- Mantener la presencia: los atacantes garantizan el control continuo sobre los canales de acceso y las credenciales adquiridas en los pasos anteriores.
- Completar la misión: los agresores extraen los datos robados de la red de la víctima.
¿Cuáles pueden ser algunos indicadores de su existencia en una organización?
Tráfico anómalo: Busca patrones de comunicación inusuales o conexiones a ubicaciones sospechosas.
Comportamiento de usuarios: Detecta cambios en el comportamiento de los empleados, como accesos inusuales o descargas masivas de datos.
Anomalías en archivos: Escanea archivos en busca de firmas maliciosas o cambios no autorizados.
¿Qué puedes hacer para mitigar este tipo de amenazas?
Como responsable de seguridad de la información, hay varias acciones que debes llevar a cabo:
- Crear una estrategia de Seguridad de la Información desde la Gerencia de la compañía, contratando un responsable o creando un comité de Seguridad con orientación al negocio.
- Actualiza tus sistemas, instala los parches necesarios, realiza los mantenimientos indicados y pon a prueba tu plan de respuesta a incidentes.
- Crea un plan de formación y capacitación para los empleados.
- Instala un gestor de acceso privilegiado (PAM).
¿Qué es un gestor de acceso privilegiado (PAM) y cómo puede proteger mi empresa?
Un gestor de acceso privilegiado (PAM) es un software que ayuda al responsable de Seguridad de la Información a asegurar, controlar, gestionar y supervisar el acceso privilegiado a activos críticos. Un PAM ayuda a minimizar las superficies de ataque, controlar los privilegios y asegurar los activos digitales más importantes de una organización.
Estas son algunas de sus características:
- Almacenamiento y gestión de forma segura de credenciales confidenciales como contraseñas, claves y certificados, en una caja fuerte segura.
- Aplicación de principios de mínimo privilegio y cero privilegios permanentes.
- Rotación de contraseñas máquina a máquina sin conocimiento del usuario.
- Registre, supervise, audite y videograbe todas las actividades de los usuarios.
Cosmikal Endurance, el gestor de acceso privilegiado
Entre el gran número de aplicaciones y sistemas de ciberseguridad que podrían ayudar a protegerte de este tipo de amenazas, los expertos destacan Cosmikal Endurance, el gestor de acceso privilegiado personalizable y escalable.
Cosmikal Endurance ofrece al usuario una puesta en marcha rápida y sencilla, un mantenimiento simple y seguro, la monitorización y auditoría avanzadas y un mayor rendimiento. Además, Endurance ofrece a los responsables de Seguridad de la información un escritorio remoto blindado y fácil de usar, la protección total de accesos y activos y una mayor protección de credenciales. Contacta con Cosmikal y protege lo que más le importa a toda tu organización, tus activos.