La infraestructura de red es el núcleo de las operaciones comerciales en la mayoría de las industrias. Puede considerarse el centro neurálgico de toda la organización de TI porque centraliza los datos, simplifica el intercambio de datos y facilita la comunicación entre los empleados.
Por lo tanto, es una herramienta esencial para el buen funcionamiento de las organizaciones, que requiere una atención constante en términos de seguridad para protegerse contra ataques externos e internos cada vez más numerosos y sofisticados.
Infraestructura de red: el Objetivo final de los ciberataques
El único problema es que los ciberataques en la infraestructura de red continúan aumentando en frecuencia, escala e impacto. Los servidores externos e internos, los dispositivos y equipos de red, las estaciones de trabajo, son el objetivo de atacantes novatos y experimentados porque todas estas entidades todavía tienen demasiadas vulnerabilidades: gran superficie de ataque, falta de conciencia de los empleados, fallas de seguridad, diseño, configuración e implementación deficientes, medidas de seguridad débiles, etc.
Ninguna industria está a salvo de los incidentes de seguridad, incluso si los atacantes tienen sus propios objetivos preferidos. Este es el caso, en particular, de las industrias sanitaria, financiera y minorista, independientemente del tamaño de las organizaciones que operan en estos campos.
Para garantizar la seguridad de la infraestructura de red frente a estos ataques, son necesarias medidas de seguridad específicas: reducción de la superficie de ataque, segmentación de la red, cifrado de comunicaciones, conocimiento del usuario de los ataques de ingeniería social, principio de mínimo privilegio (PoLP), monitoreo de registros, etc. Las auditorías de seguridad o las pruebas de penetración también son una buena manera de detectar fallas existentes en la red de su computadora para solucionarlas.
En este artículo, nos centraremos en las vulnerabilidades comunes (técnicas y organizativas) más explotadas durante los ataques internos y externos a la infraestructura de red, ilustrándolas con casos concretos encontrados durante nuestras pruebas de penetración. También detallaremos las mejores prácticas y medidas que se implementarán para reducir el riesgo o contrarrestar estos ataques.
¿Cuáles son las Vulnerabilidades Comunes en la Infraestructura de Red y Cómo Protegerse?
Gestión de la Superficie de ataque y Exposición al Riesgo
Todos los ataques informáticos generalmente comienzan con una fase de reconocimiento para identificar la superficie de ataque de una empresa objetivo. En otras palabras, los atacantes recopilan la mayor cantidad de información posible sobre el sistema de información antes de lanzar ataques a entidades potencialmente vulnerables. Por lo tanto, la superficie de ataque es la suma de los elementos expuestos dentro o fuera de su red que pueden ser atacados para causar un incidente de seguridad: servidores (internos y externos), aplicaciones, API, tecnologías, versiones, componentes, datos técnicos o personales, etc.
Todos ellos tienen vulnerabilidades potenciales que una persona no autorizada podría explotar, tras un escaneo de puertos o una búsqueda cuidadosa en Google o la Web oscura, para entrar en su sistema de información.
Reducir la superficie de ataque es un principio clave en ciberseguridad para protegerse contra ataques internos y externos. Para hacer esto, se requieren dos acciones: por un lado, es esencial conocer su superficie de ataque y, por lo tanto, elaborar un mapa completo de la misma, que también debe actualizarse continuamente porque la arquitectura de un sistema está en constante evolución. Por otro lado, es necesario implementar medidas para endurecer sus sistemas y redes con el fin de reducir su superficie de ataque.
Mapear su superficie de ataque significa mantener una lista actualizada de todos sus activos, sus versiones, implementaciones y enclavamiento en todo su sistema de información. Esta acción no es muy compleja de realizar. Herramientas como shodan o censys facilitan este proceso. Solo para elementos no enumerados o desconocidos, como herramientas utilizadas por sus empleados, posibles fugas de documentos confidenciales o contraseñas, puede valer la pena recurrir a un tercero especializado para realizar una auditoría de reconocimiento para elaborar un mapa exhaustivo de su superficie de ataque con el objetivo de reducirla.
Para reducir su superficie de ataque tras su identificación, las acciones para reforzar sus sistemas y redes pueden ser las siguientes (lista no exhaustiva):
- Cambiar las contraseñas predeterminadas de todos sus servicios y dispositivos conectados a la red
- Desinstalar o eliminar aplicaciones, servicios y entornos no utilizados
- Monitoreo técnico y tecnológico de nuevas versiones y vulnerabilidades descubiertas en componentes o servicios de terceros utilizados
- Implementación del principio de privilegios mínimos en la administración de derechos de acceso a servidores, aplicaciones, bases de datos, etc.
- Segmentación de la red mediante la partición de sistemas y aplicaciones críticos
- Implementación de un sistema de autenticación multifactor en sus aplicaciones y sistemas críticos
Falta de Segmentación de red interna y Ataques Pivotantes
La mayoría de las redes se configuran como redes planas, con cada servidor y estación de trabajo ejecutándose en la misma red de área local (LAN), de modo que cada aplicación y sistema de la red todo lo demás.
Desde el punto de vista de la seguridad, este tipo de práctica debe evitarse, ya que la mayoría de estos sistemas no necesitan interactuar entre sí. Además, si una red plana es atacada (por un atacante o malware) y una máquina está comprometida, todo el sistema de información también está en riesgo. De hecho, estos ataques utilizan un método llamado «pivoting», que consiste en usar una entidad comprometida para acceder a otros elementos y moverse libremente en la red.
Por lo tanto, la segmentación de red es una medida de seguridad esencial, ya que, incluso si no permite evitar ataques, sigue siendo una de las principales formas de reducir el impacto de un ataque exitoso. El principio es simple. Como su nombre indica, implica dividir una red de computadoras en segmentos de red más pequeños que están aislados unos de otros dentro de redes de área local virtual (VLAN). Esto permite que aplicaciones, servidores y estaciones de trabajo se agrupen en sub-particiones de red de acuerdo con sus problemas y prioridades de seguridad, y especialmente de acuerdo con la criticidad de estos sistemas. El filtrado de IP y los cortafuegos facilitan la partición de áreas.
El uso de Wi-Fi también puede proporcionar un punto de entrada para un ataque de TI. En primer lugar, es esencial distinguir las conexiones Wi-Fi de los terminales personales o de visitantes de las de los terminales de la organización (generalmente con Wi-Fi para invitados), y luego filtrar y restringir los flujos de estaciones que se conectan a la red Wi-Fi. Para hacer esto, se pueden configurar varias redes Wi-Fi (cada una obviamente dividida) dentro de su organización para restringir el acceso a ciertos recursos críticos, asegurando que solo los elementos necesarios sean accedidos por los diversos grupos de usuarios dentro de su empresa.
Un ejemplo concreto de pruebas de segmentación realizadas durante una prueba de penetración de caja gris en una red interna. Como las pruebas se realizaron en caja gris, el pentester a cargo de la auditoría tuvo acceso al Wi-Fi de invitados para probar la segmentación de la red:
- Durante las pruebas, la red estaba bien dividida, excepto por una impresora disponible dentro de la red: el pentester, al igual que todos los visitantes de las instalaciones de la empresa cliente, era capaz de imprimir documentos
- Sin embargo, la interfaz de administración de la impresora también era accesible a través de las credenciales predeterminadas
- Si esta vulnerabilidad hubiera sido explotada por un atacante malicioso, podría haber utilizado la impresora como vector de ataque para comprometer la red interna.
- Por lo tanto, la recomendación del pentester fue restringir el acceso a la impresora solo al personal de la empresa y cambiar las credenciales de inicio de sesión para la interfaz de administración
Por lo tanto, la segmentación de la arquitectura de red limita las consecuencias de una intrusión a un perímetro delimitado del sistema de información. En el caso de un ciberataque, el movimiento lateral del atacante o el malware sería imposible, evitando así la propagación. Además, con múltiples subredes que actúan como redes pequeñas por derecho propio, permite a los administradores controlar mejor el flujo de tráfico entre cada una de ellas y, por lo tanto, detectar más fácilmente eventos inusuales.
Sin embargo, es importante realizar pruebas para verificar que la segmentación configurada para aislar sus sistemas y aplicaciones críticos entre sí sea robusta. Un pentest de red interna es la forma más efectiva de hacer esto. Durante las pruebas de penetración, los pentesters se centran en los controles de segmentación, tanto desde fuera de la red como desde dentro de la red, para identificar vulnerabilidades potenciales (fallas técnicas, fallas de configuración o implementación) que podrían permitir el acceso a sistemas, aplicaciones y datos críticos.
Una prueba de penetración interna garantiza que los sistemas y aplicaciones críticos no se comuniquen con redes menos seguras. El objetivo de estas pruebas es confirmar que la segmentación funciona según lo previsto y que no hay lagunas que puedan ser explotadas por un atacante o malware.
Falta de cifrado de comunicaciones, Rastreo y Ataques Man In The Middle
Algunas redes internas están configuradas para que la información se transmita en texto claro, es decir, sin cifrar. Esta información puede ser ID de cuenta y contraseñas asociadas, datos confidenciales (personales, bancarios, etc.).), documentos arquitectónicos y otra información crítica, etc. Esta práctica aumenta en gran medida el riesgo de que su sistema de información se vea comprometido por atacantes externos (que hayan obtenido acceso a su red) y empleados malintencionados. El riesgo es aún mayor para las redes Wi-Fi, ya que las comunicaciones se pueden interceptar en todo el perímetro cubierto por el punto de acceso.
Si una máquina de la red se ve comprometida, un atacante puede recuperar toda la información de transmisión mediante el uso de software que intercepta el tráfico de red, como wireshark. Este proceso se conoce como’olfatear’.
Para aumentar el impacto de la inhalación, el atacante se coloca en un» Hombre en el Medio » (MitM). Los ataques Man in the Middle, también conocidos como ataques de espionaje, consisten en que un atacante se mete en una transacción de información entre dos máquinas o servidores, utilizando herramientas como Ettercap. Una vez en el Hombre en la posición intermedia, el atacante lanza Wireshark para escuchar el tráfico y exfiltrar información y datos confidenciales.
Una carcasa de hormigón encontrada durante una prueba de penetración de caja gris en una red interna:
- Mapeo de la red con Nmap
- Descubrimiento de un servidor de archivos que se comunica con smbv2
- Man En el Medio entre este servidor y todas las máquinas de la red luego use wireshark para interceptar y analizar las comunicaciones entrantes de smb
- Acceso sin cifrar a los archivos intercambiados entre las máquinas de usuario y el servidor (facturas, contratos, nóminas, documentos estratégicos, etc.)
Dada la magnitud de los riesgos de los ataques de detección y de Man In the Middle, es necesario el cifrado de la información que circula en la red. Cifrar datos significa hacerlos ininteligibles sin una clave de descifrado. La medida de seguridad más común es agregar una capa de cifrado a los protocolos existentes (http, rtp, ftp, etc.).) utilizando el protocolo SSL (https, sftp, srtp, etc.). En el caso específico descrito anteriormente, la recomendación de corrección hecha después de las pruebas fue el uso de smbv3, es decir, smbv2 junto con el protocolo SSL, que permite el cifrado y, por lo tanto, garantiza la confidencialidad de las comunicaciones.
Administración de acceso e identidad
Con respecto a los ataques a la función de autenticación, incluidos los ataques de fuerza bruta o la pulverización de contraseñas, y la escalada de privilegios, ya hemos detallado los mecanismos en nuestro artículo anterior sobre vulnerabilidades comunes de aplicaciones web. Por lo tanto, puede hacer referencia a él, ya que se aplica a todas las entidades de su infraestructura de red a las que se puede acceder a través de un sistema de autenticación. Además, volveremos a los ataques de Active Directory en un artículo dedicado.
Falta de registro y monitoreo
La falta de registro y monitoreo es un defecto técnico y organizativo que permite a los atacantes mantener su posición en una red el mayor tiempo posible.
Al igual que con la segmentación de red, es importante especificar que las buenas prácticas de registro y Monitoreo no garantizan la máxima protección contra ataques, pero siguen siendo una buena forma de detectar eventos e intrusiones inusuales y, por lo tanto, de reducir su impacto. ¿Cuáles son los principios y mecanismos principales?
La mayoría de los elementos implicados en la comunicación dentro de una red (intercambio de información, intercambio de datos, etc.) conserve información al respecto. De hecho, todos los sistemas y aplicaciones que ejecutan «registran» todos los eventos que ocurren. Del mismo modo, los enrutadores, proxies y firewalls, así como los puntos de acceso, realizan un seguimiento de cada paquete. Esta información es gestionada por el sistema de las máquinas a las que pertenece cada una de estas entidades. Se almacena, durante un cierto período de tiempo, en archivos dedicados, comúnmente llamados «registros».
Un atacante eficiente siempre borra sus pistas después de comprometer una o más máquinas en una red. Esto es para ocultar su presencia de los ojos del administrador de la red comprometida y para mantener su posición el mayor tiempo posible en las máquinas comprometidas. Por lo tanto, una buena gestión de registros es muy útil para detectar intrusiones rápidamente y reaccionar de manera efectiva.
Para facilitar la gestión y explotación de los logs, deben estar centralizados en el área del servidor interno para facilitar la administración. Luego, es necesario implementar programas (agentes) para monitorear y sincronizar todos los eventos enumerados en sus archivos de registro en otras máquinas.
Esto es importante porque, en caso de que una máquina se vea comprometida, es probable que el atacante destruya los registros. Centralizar, sincronizar y duplicar registros asegurará que siempre tenga una copia.
Fallas humanas y Ataques de Ingeniería Social
Más allá de fallas técnicas, problemas de configuración o implementación, la vulnerabilidad que más a menudo explotan los atacantes para comprometer un sistema de información sigue siendo humana. Los empleados de su empresa siguen siendo el eslabón más débil en su ciberseguridad, los atacantes lo saben y las noticias de ciberataques exitosos lo demuestran.
Un informe de IBM sobre estadísticas de ataques de phishing muestra que el coste medio de una filtración de datos en 2018 fue de 3,9 millones de dólares. Y en su Informe de delitos en Internet de 2019, el FBI estimó que los ataques BEC (Business Email Compromise – ataques en los que los estafadores se hacen pasar por ejecutivos de empresas o proveedores para engañar a los empleados para que transfieran pagos a cuentas bancarias controladas por los atacantes) habrían costado a las empresas de todo el mundo alrededor de €1,6 mil millones.
El principio de los ataques de ingeniería social es simple, y su implementación no requiere mucho conocimiento técnico en la mayoría de los casos. Consiste en un atacante que confía en recursos psicológicos humanos y luego utiliza habilidades sociales para obtener o comprometer información sobre una empresa o sus sistemas de TI (aplicaciones, infraestructura externa, red interna, todo o parte del sistema de información para reanudar).
El correo electrónico sigue siendo el vector de ataque principal. Usando phishing, spear phishing (phishing en un grupo restringido de personas), junto con vishing (ataques telefónicos), los atacantes saben cómo explotar nuestra curiosidad natural, nuestro sentido del deber, nuestra conciencia profesional, nuestro afecto por las gangas, para persuadirnos de hacer clic en un enlace o descargar un archivo adjunto. Con clones de interfaz o malware, todavía logran:
- Malversar grandes cantidades de dinero
- Obtener identificaciones de usuario y contraseñas
- Robar, destruir o alterar datos críticos
- Paralizar todo su sistema de información
En los últimos años, ha habido muchos ejemplos de ataques exitosos de ingeniería social contra pequeñas, medianas y grandes empresas. Y las consecuencias son a menudo devastadoras e irreversibles. Sin embargo, hay formas sencillas de limitar el impacto de los ataques de ingeniería social.
- En primer lugar, piensa e implementa una estrategia de seguridad adaptada a tus retos y amenazas. El cifrado de todos sus sistemas, la segmentación de su red, la gestión rigurosa del acceso y las identidades, la reducción de la superficie de ataque, son todas formas de contrarrestar los ataques o reducir su impacto.
- Y, sobre todo, pruebe la robustez de sus sistemas con pruebas de penetración en su infraestructura externa o su red interna. Las pruebas de penetración siguen siendo la mejor manera de probar la seguridad de sus sistemas contra atacantes externos e internos. El principio es simple: identificar vulnerabilidades potenciales y corregirlas rápidamente antes de que sean explotadas por atacantes. Las pruebas de penetración de infraestructura externa permiten buscar vulnerabilidades en componentes de SI abiertos al exterior. El pentesting de red interna consiste en mapear la red antes de realizar pruebas de seguridad sobre los elementos identificados: servidores, Wi-Fi, equipos de red, estaciones de trabajo, etc. El informe emitido después de las pruebas permite comprender los mecanismos de las vulnerabilidades descubiertas para reproducirlas y corregirlas.
- Luego, realice pruebas de ingeniería social, ya sea internamente o a través de un tercero especializado. Esto le permite evaluar el comportamiento de sus empleados cuando se enfrentan a correos electrónicos, llamadas o intrusiones físicas aparentemente inofensivas en sus instalaciones (por ejemplo, para el depósito de llaves USB atrapadas), pero con un impacto dramático si son el resultado de hackers malvados, a diferencia de los buenos hackers que somos. Los resultados de estas pruebas se pueden utilizar para optimizar el conocimiento de sus equipos.
- Por último, debe crear conciencia y capacitar continuamente a todos sus empleados, porque la ciberseguridad debe ser el negocio de todos. Puedes organizar reuniones de equipo de sensibilización o realizar cursos de formación, impartidos por tus equipos especializados en materia de ciberseguridad. También hay cursos de capacitación de terceros para crear conciencia sobre los ataques de ingeniería social. Estos cursos de capacitación no técnicos facilitan la comprensión de los mecanismos de los ciberataques a través de phishing, vishing, clones de interfaz, ransomware y las mejores prácticas y posturas a adoptar para evitar morder el anzuelo.
Contáctenos para cualquier pregunta relacionada con un proyecto de capacitación o pruebas de penetración en su infraestructura externa, su red interna o pruebas de ingeniería social. Discutiremos sus necesidades y le proporcionaremos una intervención adaptada a sus desafíos de seguridad y sus limitaciones, ya sean presupuestarias u organizativas.
