Parte del mundo de la tecnología de la información cree que hay algunos sistemas que simplemente no necesitan seguridad endpoint. La mentalidad proviene de una larga historia (en el mundo de InfoTech) de seguridad de endpoint diseñada para detener malware, en caso de que de alguna manera llegue a ese sistema. Por lo tanto, si el sistema estaba aislado, se restauraba fácilmente, no era importante o “siempre somos muy cuidadosos”, no se requería protección.
Algunos consideran que los ordenadores de los usuarios son menos importantes que los servidores, por lo que solo protegen los servidores. En realidad, según el Sophos 2021 Active Adversary Playbook, el 54% de los ataques involucraron sistemas desprotegidos.
Tanto la seguridad de los endpoints como la forma en que funcionan los ataques han cambiado drásticamente en los últimos años. Los ciberdelincuentes han desarrollado tácticas sofisticadas de “living off the land” y lo que se consideraban técnicas de amenazas persistentes avanzadas (APT) ahora son utilizadas incluso por ciberdelincuentes menos sofisticados.
En respuesta, la seguridad de los endpoints ha evolucionado y ahora detecta y previene comportamientos maliciosos al tiempo que brinda visibilidad detallada, contexto y herramientas de búsqueda de amenazas. Esta evolución de la protección se pierde si no se implementa. Los sistemas desprotegidos son puntos ciegos.
Los sistemas sin acceso directo a Internet necesitan protección
Entonces, ¿cómo puede un ciberdelincuente atacar un sistema desprotegido que no tiene acceso directo a Internet?
Por lo general, lanzan ataques desde un sistema que está conectado como intermediario utilizando un troyano o stager a través de un canal de comando y control en el puerto 443 (es difícil identificar el tráfico cifrado anómalo). No es tan importante si se trata de un servidor o un sistema de un usuario: todos ejecutan un conjunto similar de recursos básicos. El adversario puede acceder a los sistemas de la misma manera que lo haría un usuario.
Hagamos una lista de técnicas disponibles para atacar un sistema a través de la LAN (enlaces a MITRE ATT&CK):
- T1047 – Instrumentación de Administración Windows (WMI)
- 1 – Protocolo de escritorio remoto
- 2 – Recursos compartidos administrativos
- 3 – Modelo de Objetos de Componentes Distribuidos
- 4 – Secure Shell (SSH)
- 6 – Gestión remota de Windows
- 5 – VNC, ScreenConnect, TeamViewer y otras herramientas de administración remota de terceros
Con tantas opciones disponibles para los ciberdelincuentes, necesitamos la visibilidad y la protección que brinda la implementación de la protección de endpoints en todos los sistemas posibles, incluso en aquellos sin acceso directo a Internet.
Eliminar los puntos ciegos mediante la implementación de protección de endpoints en todas partes significa que los atacantes tienen menos lugares para esconderse. Eso es importante porque si los adversarios pueden esconderse en los sistemas, pueden pasar desapercibidos durante días, semanas o incluso meses, recopilando información silenciosamente sobre el entorno, usuarios, redes, aplicaciones y datos. Encontrarán los sistemas desprotegidos como sistemas al final de su vida útil, servidores Linux, hipervisores y aplicaciones desatendidas y sin parches y luego seguirán investigando hasta que estén listos para el ataque final.
La mayoría de las veces, el procedimiento operativo estándar es deshabilitar la seguridad del endpoint (lo que pueden hacer porque han obtenido privilegios elevados, o incluso a nivel del sistema), exfiltrar y luego eliminar las copias de seguridad e implementar el ransomware que escojan.
Sophos Rapid Response se creó recientemente para hacer frente a un incidente que involucró un sistema desprotegido. Este caso es un excelente ejemplo de por qué, en retrospectiva, la protección de endpoints debería haberse implementado en todas partes.
Sophos
Specialist Systems Engineer for Sophos Managed Threat Response and Rapid Response
