El nuevo nombre de moda en los ataques de ransomware es Lapsus$. Si no ha oído hablar de ellos antes, probablemente haya oído hablar de algunas de las empresas a las que han atacado, como Nvidia, Samsung, Okta y Microsoft, por nombrar sólo algunas. Para los no informados, Lapsus$ es un grupo de piratas informáticos que se centra en el robo de datos y la extorsión. El grupo ataca principalmente a corporaciones, y ha acumulado una serie bastante desconcertante de bajas notables a nivel mundial.
A menudo, LAPSUS$ abusaba de las debilidades humanas dentro de las empresas, como su departamento informático o de atención al cliente. En otros casos, compraban tokens de inicio de sesión ya pirateados en mercados de la web oscura. Normalmente, algunos profesionales de la ciberseguridad pueden considerar que se trata de amenazas de bajo nivel. La realidad es que la sofisticación no es la única métrica que hace a un hacker más amenazador; también lo es su audacia.
Figura 1: Skyhigh Security: Detecciones de anomalías que señalan actividad sospechosa
Desde el empleo de tácticas de ingeniería social y el intercambio de tarjetas SIM, hasta astutos ataques de phishing y la captación abierta de empleados internos, los operadores de Lapsus$ aprovechan los recursos ofrecidos para hacerse un hueco en la red corporativa a través de los populares medios de VPN e Infraestructura de Escritorio Virtual (VDI).
Esto pone de relieve el hecho de que si hay seres humanos que trabajan para usted, es vulnerable a la ingeniería social. Nadie debe ser tratado como incorruptible. La implicación inmediata para los recursos en la nube es que debe reducir los permisos de acceso de las personas al mínimo que realmente necesiten para realizar su trabajo. Dado que la nube suele almacenar recursos muy sensibles, proporcionar a cualquiera que pueda ser objeto de una infracción (¡prácticamente todo el mundo!) permisos excesivos puede provocar una exposición injustificada de las joyas de la corona de la organización.
¿Cómo se produjeron estas infracciones?
Utilizando predominantemente técnicas de ingeniería social y manipulación a gran escala, el grupo Lapsus$ ha acumulado una imponente lista de víctimas en todo el mundo. Curiosamente, los incidentes comparten un enfoque común; todos ellos implicaban el uso de credenciales válidas, abusando en última instancia de los permisos que se habían concedido a esa identidad. Estos ataques son un recordatorio flagrante de que la autenticación (¿quién es usted?) y la autorización (¿qué puede hacer?) son fundamentales para la postura de seguridad. Los principios de mínimo privilegio y confianza cero nunca han sido tan aplicables.
¿Qué se puede hacer?
A pesar de sus mejores esfuerzos para la autenticación y la autorización, todavía puede producirse una brecha a manos de personas internas motivadas.
Esto plantea la pregunta: "¿Cómo determinar si las acciones de una entidad autorizada y de confianza son maliciosas?". Los conjuntos de permisos tienen la desagradable costumbre de arrastrarse y crecer con el tiempo.
Figura 2: Skyhigh Security: Puntuación del riesgo de los usuarios que destaca las posibles amenazas internas
Como parte de un enfoque Zero Trust Network Access (ZTNA), se anima a las organizaciones a que segmenten sus redes, evalúen la postura de sus dispositivos solicitantes y proporcionen acceso contextual a las aplicaciones y los recursos (utilizando las capacidades DLP y Remote Browser Isolation ).
En el malhadado caso de una amenaza interna, las detecciones basadas en anomalías y las capacidades de análisis del comportamiento pueden ayudar a detectar y mitigar comportamientos anómalos y potencialmente peligrosos mediante la creación de una línea de base de "actividad normal" para ese contexto específico, con el fin último de resaltar cualquier anomalía o desviación para que se tomen medidas rápidas.
Figura 3: Skyhigh Security: Atributos de riesgo del usuario y ponderaciones de la actividad
Pero, por supuesto, la seguridad es algo más que un conjunto de controles técnicos. Los profesionales de la seguridad deben revisar los permisos, procesos y procedimientos utilizados por sus partes interesadas y entidades de confianza, tanto internas como de terceros. Los ataques mencionados han impulsado al mundo de la seguridad a prestar atención a estos fundamentos.