Opinión

¿Qué nos enseña una enfermedad de las plantas sobre la seguridad de privilegios en el endpoint?

Principal Sales Engineer de CyberArk.

A principios del siglo XX, surgió en Estados Unidos una enfermedad vegetal, la roya vesicular del pino blanco, poco conocida hasta ese momento, que comenzó a devastar rápidamente bosques enteros. A medida que la enfermedad se iba propagando por todo el país, el gobierno intervino para proteger la tambaleante industria maderera y prohibió el cultivo y la venta de grosellas y pasas.

Como anfitriones, estas plantas de bayas portaban la enfermedad sin sufrir daños, de tal manera que eran casi como una plataforma de lanzamiento para el virus. La idea era que, al eliminar estas dos plantas, la roya ampollosa del pino blanco ya no podría reproducirse e infectar a los pinos más vulnerables.

Los ciberintrusos suelen seguir un conjunto secuencial de pasos para ejecutar sus ataques. Y aunque existen muchos métodos, comprometer las identidades y abusar de las credenciales privilegiadas es una táctica especialmente productiva.

Una vulnerabilidad de Control de aplicaciones de Windows Defender (WDAC), publicada recientemente, ilustra la eficacia de este enfoque. Un atacante puede explotar esta falla en particular (CVE-2020-0951), ejecutar comandos en el endpoint  y eludir el sistema WDAC, destinado a bloquear la ejecución de software malicioso. Pero primero, el adversario debe obtener acceso privilegiado para lanzar el ataque, lo que subraya la necesidad de hacer cumplir la seguridad de privilegios en el endpoint.

Cómo reducir significativamente el riesgo de ransomware y otros ataques al endpoints, sin generar fricción entre los usuarios

Las cuentas privilegiadas existen en todas partes dentro de una organización. De hecho, muchas credenciales privilegiadas son software, sistemas y servidores empresariales integrados o codificados. Dado que las cuentas privilegiadas no se pueden erradicar por completo y son muy necesarias para respaldar un ecosistema de TI saludable, ¿cómo pueden coexistir pacíficamente en entornos que están constantemente en riesgo de amenazas, como por ejemplo, la propagación de ransomware que se origina en el endpoint? Y además, ¿qué tienen que ver los hongos de los árboles con la ciberseguridad?

Veamos cómo las organizaciones pueden aplicar una lógica similar a la utilizada por los agricultores para erradicar la roya del pino blanco llevando a cabo estos sencillos pasos:

  • Administre de forma segura las plantas de grosella “anfitrionas” (en nuestro caso, cuentas de administrador locales privilegiadas), lo que dificultará que el óxido (el atacante) se abra camino hacia un pino blanco susceptible (red de TI), mientras hace cumplir políticas de privilegios mínimos para administradores de TI que tienen acceso completo.
     
  • Elimine la capacidad de las nuevas especies de plantas para “portar” el virus. En el ámbito digital esto equivale a eliminar los derechos administrativos de las cuentas de usuario habituales. Esta es una de las formas más efectivas de reducir la superficie de ataque de su endpoint. Si los usuarios finales requieren privilegios elevados para realizar ciertas tareas, como actualizar Windows o cambiar la configuración de la batería del portátil, la elevación automática de privilegios just-in-time puede otorgarles los privilegios que necesitan durante un período determinado y eliminarlos tan pronto como sea posible.
     
  • Supervise con cuidado las especies adicionales que podrían amenazar al bosque y pruébelas antes de que puedan propagarse. En nuestra analogía empresarial, si un usuario final inicia en su portátil una aplicación heredada, desconocida o no aprobada por la organización, la capacidad de analizar rápidamente el nivel de riesgo de la aplicación puede ayudar a identificar, bloquear y contener ataques en el endpoint. Todo ello sin obstaculizar la productividad del usuario final o sobrecargar a los equipos de soporte técnico de TI.
     
  •  Promueva la salud y el crecimiento de los árboles con profesionales experimentados, con herramientas para abordar problemas. Los vectores de ataque comunes, como navegadores, contienen contraseñas guardadas o aplicaciones "en la lista negra" que ponen en riesgo el árbol (el negocio). Además, debe podar la madera muerta (es decir, eliminar el exceso de derechos) y ayudar a todas las partes vivas del árbol (los usuarios) a trabajar conjuntamente, de manera segura y controlada.
     

Siguiendo estos sencillos pero efectivos consejos como parte de un enfoque de defensa en profundidad, las organizaciones pueden reducir significativamente el riesgo de ransomware y otros ataques al endpoints, sin generar fricción entre los usuarios.