¿Qué es un ataque basado en credenciales?
El robo de credenciales, la primera etapa de un ataque basado en credenciales, es el proceso de robo de credenciales. Los atacantes suelen utilizar el phishing para el robo de credenciales, ya que es una táctica bastante barata y extremadamente eficaz. La eficacia del phishing de credenciales se basa en la interacción humana en un intento de engañar a los empleados, a diferencia del malware y los exploits, que se apoyan en las debilidades de las defensas de seguridad.
El robo de credenciales corporativas suele ser un esfuerzo dirigido. Los atacantes rastrean sitios de redes sociales como LinkedIn, en busca de usuarios específicos cuyas credenciales les permitan acceder a datos e información críticos. Los correos electrónicos y sitios web de phishing utilizados en el robo de credenciales de empresas son mucho más sofisticados que los utilizados para el robo de credenciales de consumidores. Los atacantes ponen un gran esfuerzo en hacer que estos correos electrónicos y sitios web parezcan casi idénticos a las aplicaciones y comunicaciones corporativas legítimas.
Es en esta fase de ataques basados en credenciales donde la formación en materia de concienciación sobre seguridad desempeña un papel como primera línea de defensa. Por desgracia, no hay garantías de que los empleados identifiquen un intento de phishing el 100% de las veces. Para minimizar el robo de credenciales, las credenciales corporativas deben limitarse a las aplicaciones aprobadas y debe bloquearse su uso en aplicaciones y sitios poco probables o desconocidos. Los productos de seguridad deben ser capaces de bloquear las credenciales corporativas para que nunca salgan de la red de la organización e impedir que se envíen a sitios maliciosos.
¿Qué es el abuso de credenciales?
El abuso de credenciales, el final de un ataque basado en credenciales, es el uso real de contraseñas comprometidas para autenticar aplicaciones y robar datos.
Una vez que un atacante se hace con las credenciales y contraseñas de los usuarios, puede venderlas en el subsuelo de la ciberdelincuencia o utilizarlas para comprometer la red de una organización, saltándose todas las medidas de seguridad para mantener al adversario fuera, moverse lateralmente dentro de la red y robar datos.
En un entorno no segmentado, un atacante puede moverse libremente por la red de una organización. Si el entorno está segregado y ofrece visibilidad de los usuarios y las aplicaciones, se pueden establecer medidas de seguridad para evitar que un atacante se desplace lateralmente y acceda a los datos críticos.
Una vez que un atacante tiene las credenciales para operar como un usuario válido, hay muy poco que se pueda hacer para identificar a un intruso y validar si ese usuario es realmente la persona que sus credenciales dicen que es. Las organizaciones suelen implementar la autenticación multifactor dentro de las aplicaciones para exigir a los usuarios que validen su identidad más de una vez. Sin embargo, hacer esto para cada aplicación individual utilizada dentro de la organización no es escalable. La implementación de la autenticación multifactor basada en políticas en la capa de red, es decir, en el cortafuegos, proporcionará la escala necesaria y la facilidad de uso para el usuario final.
La Palo Alto Networks Next-Generation Security Platform detiene el ciclo de vida de los ataques basados en credenciales en múltiples lugares, desde el robo de credenciales hasta el abuso de las credenciales robadas. Las capacidades de prevención combinadas del Cortafuegos de nueva generación, Threat Prevention, WildFire y URL Filtering detienen los ataques conocidos y desconocidos utilizados para el robo y abuso de credenciales, mientras que GlobalProtect amplía las protecciones de la plataforma a las plantillas móviles y proporciona medidas adicionales para identificar a los usuarios y dispositivos que acceden a las aplicaciones.
