Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Reporte CISO 2019 PDF
Reporte CISO 2019 PDF
Para la preparación de este informe de investigación sobre la visión de los CISO, nos basamos en las experiencias de
profesionales de seguridad y expertos técnicos que han estado al frente de las iniciativas para resolver vulneraciones.
El informe brinda una visión interna sobre las lecciones aprendidas a partir de varias vulneraciones de datos de alto
perfil. Además, describe un marco de trabajo comprobado para aplicar un intenso sprint de aproximadamente 30 días
con el objetivo de implementar un conjunto de controles clave en torno a las credenciales privilegiadas.
ÍNDICE
INTRODUCCIÓN .............................................................................................................................................................................................................................. 3
Destacamos los aportes de nuestros
HALLAZGO CLAVE: LOS ATACANTES EXPLOTARON LAS VULNERABILIDADES CON LAS CREDENCIALES contribuidores invitados:
DE ADMINISTRADOR DE WINDOWS............................................................................................................................................................................... 4
HALLAZGO CLAVE: LOS ATACANTES USARON UNA RUTA PRIVILEGIADA PARA LLEGAR HASTA LOS Asesores y expertos técnicos que han trabajado con
ACTIVOS CRÍTICOS ........................................................................................................................................................................................................................ 5 importantes organizaciones tras una vulneración:
APÉNDICE 1: PREGUNTAS FRECUENTES PARA LOS DIRECTORES EJECUTIVOS O LA JUNTA DIRECTIVA ............. 15 *D
ebido a las limitaciones legales, estos ejecutivos han
contribuido a este informe de investigación sin que se
APÉNDICE 2: BIOGRAFÍAS DE LOS PANELISTAS DE “LA VISIÓN DE LOS CISO” ........................................................................... 17 indiquen sus atribuciones.
2
LA VISIÓN DE LOS CISO SOBRE LA
RÁPIDA REDUCCIÓN DE RIESGOS
INTRODUCCIÓN
Para confeccionar este informe de investigación sobre la visión de los CISO, nos basamos §§ Agudice su conocimiento sobre las técnicas
de ataques que explotan las credenciales
en las experiencias de profesionales de seguridad y expertos técnicos que han estado al
de administrador de Windows
frente de las iniciativas para resolver vulneraciones. El informe brinda una visión interna
§§ Explique estas técnicas a las partes interesadas
sobre las lecciones aprendidas a partir de varias vulneraciones de datos de alto perfil.
§§ Evalúe sus riesgos: ¿Cuál es el nivel de susceptibilidad
Durante los últimos 24 meses, muchos ataques exitosos usaron credenciales privilegiadas de su organización?
pirateadas. En el caso de los incidentes que analizamos, los atacantes pudieron obtener §§ Analice sus controles existentes: ¿Cómo logran estar
las credenciales de administrador de dominio para Windows mediante la explotación de a la altura de las prácticas recomendadas?
las vulnerabilidades habituales que se encuentran en la mayoría de los entornos de TI §§ Dé prioridad a la implementación de nuevos controles:
empresariales. ¿Qué se debe hacer primero?
§§ Obtenga el respaldo de los directores ejecutivos
Estas técnicas de ataque resultan bastante fáciles de perpetrar gracias a la proliferación de y convenza a los administradores de TI
kits de herramientas para crear malware. Se han estado utilizando para lograr un completo
apoderamiento de la red y una exfiltración masiva de datos.
3
LA VISIÓN DE LOS CISO SOBRE LA
RÁPIDA REDUCCIÓN DE RIESGOS
Si bien desde hace mucho tiempo las credenciales privilegiadas son propensas a resultar afectadas, las Debido a que las numerosas
vulnerabilidades relacionadas con las credenciales administrativas usadas para administrar estaciones de trabajo,
servidores y controladores de dominio en el entorno Windows se han tornado muy graves. Los atacantes han implementaciones existentes de
aprendido a aprovechar la forma en que las máquinas de Windows almacenan en memoria las credenciales Active Directory Domain Services
privilegiadas, y esto se combina con la manera en que las organizaciones habitualmente administran las credenciales
privilegiadas en el entorno Windows.
han estado funcionando durante
En los incidentes que analizamos, tras la intrusión inicial mediante suplantación de identidad, los atacantes pudieron
años bajo el riesgo del robo de
usar las credenciales extraídas para moverse de una máquina a la otra en la red. Según el informe M-Trends para credenciales, las organizaciones
2016 de Mandiant, enfocarse en cuentas con un nivel alto de privilegio y extraer las credenciales de la memoria deben suponer la existencia de
se ha convertido en una tarea “casi trivial” en la mayoría de los entornos Windows debido a la disponibilidad
generalizada de los kits de herramientas. En promedio, Mandiant Red Team puede obtener acceso a las vulneraciones y la posibilidad
credenciales de administrador de dominio en un plazo de tres días luego de concretar el acceso inicial a un entorno. muy concreta de poder tener
Estas técnicas no solo funcionan rápidamente, sino que también pueden brindarles a los atacantes niveles compromisos de seguridad sin
de control sin precedentes. detectar en las credenciales de
Uno de los más peligrosos es el ataque Golden Ticket, mediante el cual un intruso compromete la seguridad de administrador empresariales
un controlador de dominio y roba la clave secreta que se utiliza para cifrar y firmar los tickets de Kerberos. Con
esta clave maestra, el atacante puede obtener de manera discreta cualquier privilegio para acceder al lugar que o a nivel de dominio.
desee. De esta forma, efectivamente poseerá la red corporativa, lo que incluye todos los activos críticos y todos
los sistemas de seguridad vinculados al dominio. — MICROSOFT,
“CÓMO MITIGAR LOS ATAQUES PASS-THE-HASH
Microsoft ha reconocido los riesgos del robo de credenciales asociados con el entorno Windows y está trabajando
Y OTROS TIPOS DE ROBOS DE CREDENCIALES,
para reforzar dicho entorno a fin de evitar estas técnicas de extracción de credenciales. No obstante, pasarán varios
años hasta que se lancen por completo todas las actualizaciones y éstas se implementen en las organizaciones. VERSIÓN 2”, 2014
§§ Tener a personal de soporte técnico de TI que use cuentas de administrador de dominio cuando soluciona
problemas en estaciones de trabajo y servidores
§§ Otorgar a los administradores de TI acceso a las cuentas de administrador de dominio “por si acaso”
§§ Configurar nuevas estaciones de trabajo con imágenes clonadas, lo que hará que tengan la misma
contraseña local de administrador
§§ Usar una Group Policy de AD para rotar una contraseña de administración que se utiliza en todas las máquinas
§§ Permitir que las cuentas que se usan en aplicaciones tengan privilegios de administrador de dominio
4
LA VISIÓN DE LOS CISO SOBRE LA
RÁPIDA REDUCCIÓN DE RIESGOS
En el caso de los incidentes que estudiamos, el punto de apoyo inicial se obtuvo mediante un ataque
de suplantación de identidad contra los usuarios; se usó un archivo adjunto malicioso que luego descargó
malware en la estación de trabajo. En los entornos Windows, independientemente del método de intrusión
inicial, existe una ruta privilegiada bien definida que los atacantes usan para expandir el alcance de su ataque
y que les permite moverse desde una única estación de trabajo comprometida hacia los activos críticos que
contienen datos valiosos.
Los motivos difieren. Los atacantes podrían estar explorando el entorno para ver lo que pueden encontrar;
por ejemplo, información financiera en una estación de trabajo confidencial o números de tarjetas de crédito
en un servidor de base de datos. O bien, pueden ser más ambiciosos y pretender llegar a el controlador de
dominio, lo que les permitiría acceder a todos los activos críticos.
Intrusión inicial, Robar la Usar la contraseña. Robar el hash para Usar el hash. Usar el hash. Usar el hash.
a menudo mediante contraseña de No encontrar nada. una contraseña de No encontrar nada. No encontrar nada. Encontrar datos
suplantación de administrador. Continuar. administrador con Continuar. Continuar. confidenciales.
identidad. acceso general. Robar datos
confidenciales.
5
LA VISIÓN DE LOS CISO SOBRE LA
RÁPIDA REDUCCIÓN DE RIESGOS
Cómo se mueven los atacantes hacia los activos más valiosos — JIM CONNELLY,
Mediante las técnicas de robo de credenciales que se describieron más arriba para moverse de forma lateral, VICEPRESIDENTE Y CISO, LOCKHEED MARTIN
un atacante también puede escalar sus privilegios para obtener acceso a máquinas y cuentas más valiosas.
Por ejemplo, un atacante puede moverse de la primera estación de trabajo a otra con la credencial robada.
Si en esta segunda estación, el usuario utiliza la misma cuenta para un acceso de administrador a un servidor,
el atacante podrá acceder a ese servidor. El atacante puede continuar el proceso de robo de credenciales
para moverse de servidor en servidor. Cuando encuentre un hash para una contraseña de administrador de
servidores, el atacante podrá obtener acceso general a varios servidores y, finalmente, llegar a una base de
datos de clientes (Figura 2).
Intrusión inicial, Robar la contraseña Robar la contraseña Usar la contraseña. Robar el hash para Usar el hash. Usar el hash. Usar el hash.
a menudo mediante de administrador. de administrador No encontrar nada. una contraseña de No encontrar nada. No encontrar nada. Encontrar datos
suplantación de utilizada para Continuar. administrador con Continuar. Continuar. confidenciales.
identidad. un servidor. acceso general. Robar datos
confidenciales.
6
LA VISIÓN DE LOS CISO SOBRE LA
RÁPIDA REDUCCIÓN DE RIESGOS
Con las mismas técnicas, un atacante también puede moverse desde el servidor hasta el controlador de
dominio. Una vez que el controlador de dominio ha sido comprometida, el atacante puede lograr un ataque
Golden Ticket, mediante el cual puede actuar como si fuese la autoridad de autenticación y obtener acceso
a todos los activos en la red, lo que incluye los sistemas de seguridad y los sistemas que no son de Windows
y que se integraron en Active Directory (Figura 3).
Las prácticas habituales que dejan a las organizaciones completamente desprotegidas ante los ataques
Pass-the-Hash y técnicas similares incluyen:
• Permitir que los usuarios usen cuentas con privilegios administrativos en sus propias estaciones de trabajo
• Usar la misma contraseña de administrador para todas las cuentas locales de administrador
• No imponer de manera uniforme la rotación de contraseñas o políticas de unicidad para las cuentas de
administrador de TI
• Configurar cuentas de administrador de dominio que se utilizarán para iniciar sesión en las controladoras
de dominio, así como en los servidores y las estaciones de trabajo
• Permitir que las cuentas de administrador se usen para tareas diarias, como leer correo electrónico
y navegar en Internet
SERVIDORES CRÍTICOS
Intrusión inicial, Robar la Robar la contraseña Usar la contraseña. Robar el hash para
a menudo mediante contraseña de de administrador No encontrar nada. una contraseña de Generar tickets para todos SISTEMAS DE SEGURIDAD
suplantación de administrador. utilizada para un Continuar. administrador con los activos del dominio.
acceso general. Obtener acceso a TODOS
identidad. servidor.
los activos críticos.
7
LA VISIÓN DE LOS CISO SOBRE LA
RÁPIDA REDUCCIÓN DE RIESGOS
PRÁCTICAS RECOMENDADAS
En el caso de los incidentes donde los atacantes utilizaron con éxito la ruta privilegiada para llegar a los Resumen de prácticas recomendadas
activos críticos, nuestra pregunta fue: “¿Qué prácticas habrían ayudado a evitar la vulneración?”. Se identificaron
§§ Limitar la exposición de las credenciales privilegiadas
las siguientes sugerencias. Estas estrategias conforman la estructura subyacente para el marco de trabajo
sobre controles (páginas 10 a 12). §§ Aplicar contraseñas seguras y almacenarlas en una
bóveda cifrada
§§ Minimizar la cantidad de cuentas de administrador
Limitar la exposición de las credenciales privilegiadas
§§ Aumentar la supervisión a fin de evitar el robo
Es importante restringir los posibles puntos de contacto entre las credenciales administrativas y los atacantes. de credenciales privilegiadas
En particular, si logra instalarse malware en una estación de trabajo, asegúrese de que no pueda obtener autoridad
de administrador local, propagarse a otras máquinas o revelar cuentas de administrador de dominio o servidores.
• Cree límites dentro de su estructura de identidad para aplicar la segregación de controles:
–– Las cuentas de administrador de dominio solo deben usarse para administrar controladores de dominio, no
servidores ni estaciones de trabajo
–– Las cuentas de administrador de servidores solo deben usarse para administrar servidores, no estaciones de trabajo
–– Las cuentas de administrador de estaciones de trabajo solo deben usarse para administrar estaciones de trabajo
• Use las cuentas de administrador solo para tareas administrativas y no para actividades diarias
• Proporcione cuentas de administrador de dominio solo a aquellas personas que inequívocamente las necesiten
como parte de su trabajo habitual
• Asegúrese de que las cuentas que se usan en aplicaciones y servicios tengan los mínimos privilegios posibles:
–– Quite los privilegios de administrador de las cuentas de aplicaciones que puedan requerir la refactorización de
esas aplicaciones; por lo general, las aplicaciones nunca necesitaron este nivel de privilegio, a pesar de que a
veces están programadas o configuradas de esta forma para comodidad del desarrollador
• No conceda acceso de administrador a los activos confidenciales desde las estaciones de trabajo conectadas a
Internet:
–– Use un servidor de acceso directo o una estación de trabajo dedicada con derechos de administración que no
se conecten a Internet
• No les proporcione a los empleados (por ejemplo, desarrolladores de software) derechos locales de administrador
para las estaciones de trabajo:
–– Quite sus cuentas del grupo local de administradores y use herramientas a fin de ofrecer privilegios elevados
temporales para que puedan realizarse tareas ocasionales que requieran derechos de administrador
8
LA VISIÓN DE LOS CISO SOBRE LA
RÁPIDA REDUCCIÓN DE RIESGOS
ADMIN
• Exija autenticación de varios factores cuando los usuarios y las aplicaciones accedan a las contraseñas en la bóveda
Este es un marco de trabajo para una iniciativa rápida cuyo objetivo consiste en ayudar a cerrar la ruta La mentalidad de sprint
privilegiada en entornos Windows. Busca garantizar que cuando un atacante comprometa una estación ¿Con qué rapidez puede implementarse un nuevo
de trabajo, le resultará muy difícil moverse más allá de ese lugar y, si lo hace, será detectado. conjunto de controles de seguridad en toda la empresa?
Depende del sentido de urgencia de la organización.
La intención es trabajar a un ritmo acelerado para implementar controles críticos en un breve período
Como consecuencia de una vulneración, la organización
de tiempo; por ejemplo, 30 días. Para lograr esta meta, las organizaciones han adoptado una mentalidad
se alinea internamente, se acelera la toma de decisiones,
de sprint (ver barra lateral). La cantidad real de tiempo necesario para un sprint variará según el tamaño los resultados inmediatos adquieren prioridad sobre la
de la organización, su complejidad, madurez y cultura. burocracia y se hace posible un progreso extraordinario
Aunque el marco de trabajo se enfoca en controles específicos en torno a las cuentas administrativas de en materia de seguridad en un breve período.
Windows para proteger estos entornos, las organizaciones deben, en paralelo, implementar otros controles De forma inevitable, todos los sobrevivientes a vulneraciones
críticos, como parches en el sistema operativo, parches en las aplicaciones y creación de una lista blanca desearían haber realizado a tiempo esa mejora repentina
de aplicaciones. en el progreso a fin de evitar el daño, lo cual constituye
el propósito del sprint proactivo de 30 días.
Controles recomendados
La siguiente tabla describe el conjunto de controles recomendados e indica qué controles implementar
primero y qué hacer después de que ya ha aplicado los primeros controles.
Priorización
La priorización sugerida se basa en llevar a cabo esfuerzos para realizar lo siguiente: Incluso si los CISO no pueden
implementar todos los controles
• Identificar las cuentas rápidamente: Encuentre las cuentas administrativas en Windows
en 30 días, la intención es obvia.
–– Para una iniciativa rápida, la idea es no dedicar mucho tiempo al análisis por adelantado, ya que
las cuentas son relativamente fáciles de identificar dentro de Active Directory (AD) y los grupos
Tiene que priorizar el marco de
de administradores locales. trabajo se fragmenta: “Comencemos
• Dar prioridad a las cuentas con más alto nivel de riesgo: Implemente los controles primero en las cuentas
por aquí. Hagamos primero esto”.
más importantes Es completamente válido, ya sea
–– Cuentas de administrador de dominio y cuentas de administrador con acceso a una gran cantidad
que se trate de 30, 60 o 180 días.
de máquinas, sobre todo servidores, así como cuentas de aplicaciones que usan los privilegios del
administrador de dominio. — STEVE GLYNN, CISO,
ANZ BANKING GROUP LIMITED
• Sea realista en cuanto a abordar el volumen de cuentas: Trabaje rápidamente para aplicar algunos controles
y haga mejoras con el tiempo
–– Por ejemplo, de manera ideal, las cuentas para los usuarios de estaciones de trabajo no deben tener
privilegios administrativos, pero los sobrevivientes a vulneraciones aseguran que esta es una de las
prácticas más difíciles de implementar y mantener debido al enorme volumen de estaciones de trabajo.
10
LA VISIÓN DE LOS CISO SOBRE LA
RÁPIDA REDUCCIÓN DE RIESGOS
Controles recomendados PRIMERO: Aborde estas cuentas en primer lugar LUEGO: Aborde estas cuentas a continuación
Pretenda implementar los controles para estas cuentas Según la organización, estos controles pueden
en un breve período de tiempo; por ejemplo, 30 días. requerir más tiempo.
• Vuelva a configurar las cuentas para aplicar Cuentas de administrador de dominio (solo deben usarse
la segregación de controles para iniciar sesión en las controladoras de dominio)
Cuentas de administrador de servidores (solo deben
usarse para iniciar sesión en los servidores)
Cuentas de administrador de estaciones de trabajo (solo
deben usarse para iniciar sesión en las estaciones de trabajo)
• Conserve las contraseñas de administrador Cuentas de administrador de dominio Cuentas de administrador locales de estaciones
en una bóveda de trabajo
Cuentas de administrador de servidores
–– Automatice la rotación y selección de
contraseñas (p. ej., contraseñas únicas)
–– Supervise el uso de las contraseñas
• Exija autenticación de varios factores cuando Todas las cuentas para las cuales las contraseñas se
se acceda a las contraseñas en la bóveda guardaron en una bóveda Como las contraseñas están
almacenadas en una bóveda, las organizaciones
continuarán implementando la autenticación de varios
factores (MFA) con el transcurso del tiempo.
• Distribuya al azar las contraseñas para las Cuentas de administrador locales de estaciones de trabajo
cuentas administrativas a fin de que sean únicas
11
LA VISIÓN DE LOS CISO SOBRE LA
RÁPIDA REDUCCIÓN DE RIESGOS
Controles recomendados PRIMERO: Aborde estas cuentas en primer lugar LUEGO: Aborde estas cuentas a continuación
Pretenda implementar los controles para estas cuentas Según la organización, estos controles pueden
en un breve período de tiempo; por ejemplo, 30 días. requerir más tiempo.
• Quite a los usuarios finales los privilegios de Cuentas de administrador locales de estaciones
administrador para las estaciones de trabajo de trabajo
–– Proporcione privilegios elevados Las cuentas de usuario final deben quitarse del
temporales cuando sea necesario grupo local de administradores. Si los usuarios
necesitan realizar tareas en sus estaciones
que trabajo, las cuales requieren privilegios
de administrador, solo proporcione privilegios
elevados temporales para llevar a cabo las
actividades específicas.
Notas de la tabla:
• Cuentas de administrador de dominio: Cuentas en AD que se usan para administrar dominios y controladores de dominio
–– Por ejemplo, administradores empresariales y administradores de dominio
• Cuentas de administrador de servidores: Cuentas en AD que se usan para administrar servidores
–– Por ejemplo, cuentas utilizadas por el personal del centro de datos para dar mantenimiento a varios servidores
• Cuentas de administrador de estaciones de trabajo: Cuentas en AD que se usan para administrar una gran cantidad de estaciones de trabajo
–– Por ejemplo, cuentas utilizadas por soporte técnico y otro personal para brindar asistencia técnica
• Cuentas de administrador locales de estaciones de trabajo: Cuentas en el grupo local de administradores en cada estación de trabajo
–– Por ejemplo, cuentas utilizadas para realizar actividades administrativas en estaciones de trabajo individuales
• Cuentas de aplicaciones: Cuentas que no pertenecen a usuarios y que se usan en aplicaciones para ejecutar sistemas o procesos
–– Por ejemplo, cuentas utilizadas para realizar respaldos o instalaciones de software
12
LA VISIÓN DE LOS CISO SOBRE LA
RÁPIDA REDUCCIÓN DE RIESGOS
Al inicio del sprint, deberá conformar un equipo y haber seleccionado las tecnologías para bóvedas de
Implementar controles de seguridad
contraseñas, autenticación de varios factores y detección. Un pequeño equipo puede aplicar los controles
en torno a las cuentas privilegiadas más importantes con bastante rapidez. En un caso, como consecuencia en medio de un ataque informático
de una vulneración, un equipo de tan solo ocho miembros que trabajaba con un asesor de seguridad es como colocar refuerzos a las
almacenó en bóveda las cuentas de administrador para 20 dominios y 6500 servidores en cuatro semanas. ventanas de su casa en medio de
Si hacemos una comparación con la implementación de controles en un entorno hostil tras una vulneración, un huracán. Es mucho más fácil
es probable que, si realiza el trabajo de manera proactiva, el avance será relativamente fluido.
implementar los controles a fin de
proteger las credenciales privilegiadas
DESPUÉS DEL SPRINT de alto riesgo ahora que recuperarse
de una vulneración más adelante.
Por lo general, las organizaciones emergen de un sprint con una lista de tareas pendientes que abarca los
siguientes puntos. — JOHN GELINNE, DIRECTOR GENERAL,
ASESORÍA DE SERVICIOS DE RIESGOS
Agregar controles a más cuentas: Para obtener cobertura más allá de las cuentas de Windows, comprenda
INFORMÁTICOS, DELOITTE & TOUCHE
el alcance de todas las cuentas privilegiadas. Estas cuentas existen para una amplia gama de tecnologías,
como bases de datos de Oracle, computadoras Unix y Apple, dispositivos de almacenamiento NAS y SAN,
cualquier dispositivo con una dirección IP, hipervisores y servicios operativos en entornos virtualizados,
y servicios en la nube.
Aumentar la profundidad de los controles: Analice mejorar los controles para supervisar el uso de cuentas.
Por ejemplo, para las cuentas más confidenciales, agregue una grabación en video de las sesiones
privilegiadas o analítica sobre el comportamiento de los usuarios.
Cómo medir el progreso
Ejemplos de métricas útiles:
Continuar con la refactorización de aplicaciones: Las aplicaciones, sobre todo las heredadas, a menudo
están diseñadas para solicitar privilegios de administrador y tienen contraseñas integradas de formas que §§ Use pruebas de penetración para medir
dificultan la rotación de contraseñas. En general, asegúrese de que a todas las aplicaciones se les otorgue la cantidad de tiempo que los atacantes
la cantidad mínima necesaria de privilegios y use las contraseñas de manera segura. Para abordar estos necesitan para comprometer las cuentas
problemas, normalmente es necesario volver a configurar o escribir las aplicaciones. Esto incluye no solo de gran valor antes y después de la
las aplicaciones desarrolladas por la empresa, sino también las aplicaciones de terceros. En algunos casos, implementación de los controles.
las organizaciones deberán trabajar con los proveedores para realizar modificaciones.
§§ Escanee la red mediante herramientas
Formalizar el programa: Establezca procesos para mantener y respaldar los nuevos controles y analice automáticas que identifiquen a las cuentas
preguntas como: “¿Cuáles son los procesos para agregar nuevos activos al sistema y cancelar el que necesitan una mejor protección.
aprovisionamiento de los obsoletos?”. Asegúrese de que los procesos puedan estar a la altura de los Luego de la implementación de los controles,
cambios en la empresa y, a menudo, controle que se cumplan esos objetivos comerciales y de seguridad. escanee la red una vez más para mostrar
Los CISO y sus equipos de seguridad pueden emplear el impulso del sprint para llevar a cabo la transición la reducción en las cuentas vulnerables.
a un programa empresarial más amplio, lo cual puede ser una iniciativa de varios años. El informe
sobre la visión de los CISO titulado El acto de balanceo: La visión de los CISO sobre cómo mejorar
los controles de acceso privilegiado ofrece sugerencias de pares en tres áreas clave:
• Las decisiones estratégicas que los CISO y sus equipos deberán tomar
• Las conversaciones que los CISO deben impulsar en toda la organización
• Los componentes esenciales para lograr un programa exitoso
13
LA VISIÓN DE LOS CISO SOBRE LA
RÁPIDA REDUCCIÓN DE RIESGOS
CONCLUSIÓN
Los atacantes han perfeccionado el uso de la ruta privilegiada en Windows para Para acceder a otros informes
llegar a los activos críticos y robar datos confidenciales. Sin los controles adecuados sobre la visión de los CISO, visite
para proteger las cuentas administrativas, las organizaciones quedan expuestas. www.cyberark.com/cisoview
El marco de trabajo para sprint ofrece una iniciativa rápida para implementar un
conjunto de controles con el objetivo de cerrar la ruta privilegiada.
14
LA VISIÓN DE LOS CISO SOBRE LA
RÁPIDA REDUCCIÓN DE RIESGOS
Está sección de preguntas frecuentes está diseñada para ayudar a los ejecutivos o la junta directiva a comprender los riesgos
y el plan de mitigación.
El riesgo de estos ataques está aumentando. Los atacantes tienen acceso a kits de herramientas ampliamente disponibles que
les permiten crear de manera fácil métodos adaptados para realizar los ataques. Microsoft recomienda implementar mejores
controles a fin de reducir el riesgo.
Según la investigación que analizó estas importantes vulneraciones de datos, conocemos las mejoras que se necesitan en
nuestros controles de seguridad. En un esfuerzo intensivo que durará aproximadamente 30 días, implementaremos controles
que les dificultarán mucho más a los atacantes la posibilidad de llevar a cabo estos tipos de ataques contra nuestra empresa.
2. ¿Por qué las credenciales privilegiadas son una prioridad en comparación con
otros objetivos de seguridad?
Las credenciales privilegiadas les brindan a los adversarios niveles muy altos de acceso a los sistemas informáticos. Por lo
general, se trata de contraseñas que utilizan los empleados, como los administradores de TI, para operar y administrar los
recursos informáticos en toda la empresa.
Con las credenciales privilegiadas, un atacante puede acceder a propiedad intelectual, secretos comerciales e información
de clientes. El atacante también puede desactivar cualquier tecnología de seguridad, como el cifrado de datos, los firewalls
y los sistemas de detección, que la organización haya implementado.
3. ¿Cuáles son las técnicas que están usando los atacantes para robar las
credenciales privilegiadas?
Un primer paso muy conocido en la mayoría de estos ataques es la suplantación de identidad. Se engaña a los usuarios para
que hagan clic en un vínculo o abran un archivo adjunto en un correo electrónico, que luego descarga malware en la estación
de trabajo. Los estudios demuestran que las tasas de éxito a nivel mundial para estos ataques de hecho han aumentado,
a pesar de los grandes esfuerzos, como la capacitación de usuarios para detectar la suplantación de identidad.
Una vez que el malware se descarga en una estación de trabajo, los atacantes logran entrar en el entorno Windows y
pueden aprovechar la forma en que las máquinas de Windows almacenan las credenciales. Windows almacena los “hash”
de contraseña (es decir, codificaciones de longitud fija de las contraseñas) en la memoria de la computadora para todos los
usuarios que han iniciado sesión recientemente en esa máquina. Al robar el hash para una contraseña de administración,
los atacantes pueden obtener acceso a varias máquinas. Luego, buscan en la memoria de cada máquina otros hash de
contraseña que, a su vez, les proporcionarán acceso a máquinas más valiosas, como servidores de bases de datos o,
15
LA VISIÓN DE LOS CISO SOBRE LA
RÁPIDA REDUCCIÓN DE RIESGOS
el premio mayor, el controlador de dominio que se utiliza para administrar el acceso a todos los recursos informáticos. Una vez
que llegan al controlador de dominio, pueden crear “tickets” para iniciar sesión en cualquier activo crítico de la red, desactivar
sistemas de seguridad y tomar todo el control de los sistemas informáticos.
• Selección y rotación automática de contraseñas únicas y complejas para todas las cuentas de administrador
–– Limita la capacidad de los atacantes para comprometer varias máquinas en caso de que conozcan una contraseña
• Segregación de las cuentas que se usan para administrar controladores de dominio, servidores y estaciones de trabajo
–– Reduce la capacidad de los atacantes para usar una credencial robada en diferentes tipos de máquinas
• Utilización de una bóveda de contraseñas, lo que automáticamente aplica las políticas de contraseñas y permite la supervisión
de las actividades administrativas a fin de detectar el robo de credenciales
–– La bóveda digital es a prueba de manipulación y usa cifrado de nivel militar para almacenar las contraseñas
• Utilización de una autenticación de dos factores para que los usuarios autorizados accedan a las credenciales en la bóveda
Esta estrategia se alinea con las recomendaciones de Microsoft para evitar el robo de credenciales en entornos empresariales
de Windows.
Adoptar una “mentalidad de sprint” es uno de los factores más importantes para poder lograr una rápida reducción de riesgos.
Estamos tratando de lograr el mismo sentido de urgencia y progreso que a menudo se aplica tras las vulneraciones reales,
sin la presión general de tener que resolver una vulneración. Algunos se resistirán a los cambios que deben hacerse; por ejemplo,
deberán renunciar a derechos de acceso o tendrán que seguir nuevos procesos. El apoyo de los directivos de la empresa
es crucial para avanzar con rapidez.
16
LA VISIÓN DE LOS CISO SOBRE LA
RÁPIDA REDUCCIÓN DE RIESGOS
Panel de “La visión de los CISO”: Principales ejecutivos de seguridad de las empresas del grupo Global 1000
17
LA VISIÓN DE LOS CISO SOBRE LA
RÁPIDA REDUCCIÓN DE RIESGOS
Panel de “La visión de los CISO”: Principales ejecutivos de seguridad de las empresas del grupo Global 1000 (CONTINUACIÓN)
Gary Harbison
Gerente General de Seguridad Informática (CISO), Monsanto Company Munawar Valiji
Director de Seguridad Informática (CISO), News UK
Gary Harbison dirige la Oficina de Seguridad Informática que se centra
en administrar las amenazas informáticas y los riesgos de Monsanto Munawar Valiji es el CISO Regional de News Corp y es responsable
a nivel global y le brinda a la empresa soluciones pragmáticas de de la estrategia de seguridad para News UK, Dow Jones, Wall Street
seguridad. En sus cargos anteriores, se enfocó en el ámbito de la Journal y HarperCollins Publishers en el Reino Unido y EMEA, lo que
seguridad informática, lo que incluyó funciones técnicas, de arquitectura, estrategia incluye diseñar, crear y mantener plataformas de seguridad que sean muy
y liderazgo en varias empresas del grupo Global Fortune 500 y en el Departamento seguras y puedan mantenerse con facilidad. Antes, fue Director de Seguridad Informática
de Defensa. Gary es Profesor Adjunto de la Maestría en Seguridad Informática de para Financial Times. La vasta experiencia de Munawar en seguridad informática incluye
Washington University. cargos senior técnicos, de asesoría y administración en Morse Computers, Deloitte,
Citi Bank, JPMorgan Chase, National Australia Bank y Sun Microsystems.
Kathy Orner
Vicepresidenta senior y Gerente General de Seguridad Informática
(CISO), Carlson Wagonlit Travel Mike Wilson
Kathy Orner es responsable a nivel mundial de gobernanza, riesgo Vicepresidente senior y Gerente General de Seguridad Informática
y cumplimiento de seguridad informática; ingeniería y operaciones (CISO), McKesson
de seguridad; seguridad física; auditorías y cumplimiento de TI. Mike Wilson lidera la administración de riesgo de TI y seguridad.
Antes, fue VP de Servicios Empresariales y CISO para Carlson. Su vasta experiencia Su experiencia en administración de riesgo y TI abarca varios países
en liderazgo de TI incluye cargos de CISO en United Health Group y Blue Cross and e industrias, lo que incluye servicios financieros, así como productos
Blue Shield of Minnesota. En la actualidad, se desempeña en la Junta de Asesores de consumo y para el cuidado de la salud y su distribución. Antes de trabajar en
de la organización Payment Card Industry (PCI). McKesson, Mike formaba parte de una organización global de servicios profesionales.
Mike respalda el liderazgo de opinión y las organizaciones de la industria, entre ellas,
NH-ISAC, Cloud Security Alliance y CSO Bay Area Council.
18
LA VISIÓN DE LOS CISO SOBRE LA
RÁPIDA REDUCCIÓN DE RIESGOS
John Gelinne
Director General, Asesoría de Servicios de Riesgos Informáticos,
Deloitte & Touche
Debido a las limitaciones legales, estos ejecutivos han contribuido a este informe
de investigación sin que se indiquen sus atribuciones.
19
ACERCA DE LA INICIATIVA DE LA INDUSTRIA “LA VISIÓN DE LOS CISO”