Como categoría de seguridad relativamente nueva, muchos operadores y ejecutivos de seguridad que he conocido nos han preguntado “¿Cuáles son estas herramientas de validación de seguridad automatizada (ASV)?” Hemos cubierto eso bastante extensamente en el pasado, por lo que hoy, en lugar de cubrir el “¿Qué es ASV?” Quería abordar el “¿Por qué ASV?”. pregunta. En este artículo, cubriremos algunos casos de uso comunes y conceptos erróneos sobre cómo las personas hacen mal uso y malinterpretan las herramientas ASV a diario (porque eso es mucho más divertido). Para empezar, no hay lugar para empezar como el principio.
Las herramientas de validación de seguridad automatizadas están diseñadas para proporcionar una evaluación continua y en tiempo real de las defensas de ciberseguridad de una organización. Estas herramientas son continuas y utilizan la explotación para validar defensas como EDR, NDR y WAF. Son más profundos que los escáneres de vulnerabilidades porque utilizan tácticas y técnicas que verá en las pruebas de penetración manuales. Los escáneres de vulnerabilidades no transmitirán hashes ni combinarán vulnerabilidades para futuros ataques, que es donde brillan los ASV. Su finalidad está en el nombre: “validar” las defensas. Cuando se abordan problemas o brechas, debemos validar que realmente se hayan solucionado.
¿Por qué se necesita ASV?
Y eso nos lleva a la demostración parte de esto, y nuestro maestro para esto es Esopo, el narrador griego que vivió alrededor del año 600 a.C. Escribió una historia llamada El niño que gritó lobo que sé que has escuchado antes, pero la compartiré nuevamente en caso de que necesites un repaso:
La fábula cuenta la historia de un pastorcillo que sigue engañando al pueblo haciéndoles creer que ha visto un lobo. ¿Lo motivó la atención, el miedo o una vista terrible? No sé. El caso es que agita repetidamente las manos en el aire y grita “¡Lobo!” cuando no hay ningún lobo a la vista. Hace esto con tanta frecuencia que insensibiliza a la gente del pueblo a sus llamadas, de modo que cuando realmente hay un lobo, el pueblo no le cree y se come al pastor. Es una historia muy conmovedora, como la mayoría de los cuentos griegos.
El administrador del sistema que lloró remediado
En la ciberseguridad moderna, el falso positivo equivale al “lloro del lobo”. Un problema de práctica común, donde las amenazas reciben alertas a pesar de no tener ninguna posibilidad de ser explotadas. Pero cambiemos el alcance de esta historia porque lo único peor que un falso positivo es un falso negativo.
Imagínese, si en lugar de “llorar lobo” cuando no había ningún lobo, el niño dijera “todo está claro”, sin darse cuenta de que el lobo se esconde entre las ovejas. Esto es un falso negativo, no recibir una alerta cuando prevalece una amenaza. Una vez que el niño colocó las trampas, se convenció de que ya no había una amenaza, pero no validó que las trampas realmente funcionaran para bloquear al lobo. Entonces, la versión modificada de Crying Wolf era más o menos así:
“Ah, pensé que teníamos un lobo acechando. Yo me encargaré de ello”, dice el niño.
Entonces el pastor sigue las instrucciones: coloca trampas para lobos, compra una herramienta de seguridad para matar lobos e incluso coloca un objeto de política de grupo (GPO) para sacar al lobo de su campo. Luego se dirige al pueblo orgulloso de su trabajo.
“Me dijeron que había un lobo, así que lo cuidé”, les cuenta a sus amigos pastores mientras toma una cerveza en la taberna local.
Mientras tanto, la realidad es que el lobo es capaz de esquivar las trampas, pasar por alto la herramienta para matar lobos mal configurada y establecer nuevas políticas a nivel de aplicación para que no le importe el GPO. Captura un conjunto de credenciales de administrador de dominio (DA) de la ciudad, las transmite, se declara alcalde y luego somete a la ciudad a un ataque de ransomware. Antes de que se den cuenta, la ciudad le debe 2 Bitcoin a algún lobo, o perderán sus ovejas y un camión lleno de PII.
Lo que hizo el pastorcillo se llama falso negativo. Pensó que no había ningún lobo y vivía con una falsa sensación de seguridad cuando la amenaza nunca era realmente neutralizada. Y ahora es tendencia en Twitter por las razones equivocadas.
¡Es hora de escenarios de la vida real!
Los lobos rara vez representan una amenaza para la seguridad de la información, pero ¿sabes quién lo es? Ese mal actor con una puerta trasera, un punto de apoyo en su red, escuchando en busca de credenciales. Todo esto es posible gracias a sus muy buenos amigos, los protocolos de resolución de nombres heredados.
Los ataques de envenenamiento por resolución de nombres son un error difícil de eliminar en lo que respecta a la remediación. Si su DNS está configurado incorrectamente (lo cual es sorprendentemente común) y no ha desactivado los protocolos LLMNR, NetBIOS NS y mDNS utilizados en ataques de intermediario a través de GPO, scripts de inicio o los suyos propios. salsa especial, entonces podrías tener algún problema. Y donde el lobo podría haberse servido un vaso de leche, su atacante se servirá datos confidenciales.
Si un atacante husmea las credenciales y usted no tiene habilitada la firma SMB y requerido en todas las máquinas unidas a su dominio (si se pregunta si lo hace, probablemente no lo haga), entonces ese atacante puede transmitir el hash. Esto obtendrá acceso a la máquina unida al dominio sin siquiera descifrar el hash capturado.
¡Ay!
Ahora su amigable pentester de la aldea encuentra este problema y le dice al administrador del sistema, también conocido como nuestro pastor, que haga una de las correcciones antes mencionadas para evitar toda esta serie de ataques. Él soluciona esto lo mejor que puede. Instalan los GPO, obtienen las herramientas sofisticadas, hacen TODAS las cosas. ¿Pero se ha visto al lobo muerto? ¿SABEMOS que la amenaza ha sido solucionada?
A través de un conjunto de casos de esquina dignos de un montaje, el atacante aún puede entrar, porque casi siempre habrá casos de esquina. Tendrá un servidor Linux que no está unido a un dominio, una aplicación que ignora GPO y transmite sus credenciales de todos modos. Peor aún (*escalofríos*), una herramienta de descubrimiento de activos que utiliza enumeración autenticada que confía en la red en general y envía credenciales de DA a todos.
Falsas alarmas rectificadas
Por eso los dioses cibernéticos nos dieron el ASV, porque ASV es el leñador de la ciudad con un trabajo secundario como un fantasma de lobo. Se comportará como un lobo. Rastreará las credenciales, capturará el hash y lo transmitirá a la máquina unida al dominio para que el administrador del sistema pueda encontrar el único servidor molesto que no está unido al dominio y no escucha el GPO.
Llevémoslo todo a casa. Hay algunas cosas que simplemente tienen sentido. No llamarías muerto a un lobo antes de haberlo visto y, sin duda, no llamarías algo remediado antes de validarlo. Por lo tanto, no se convierta en “el administrador del sistema que lloró por la solución”.
Este artículo fue escrito por Joe Nay, arquitecto de soluciones de Pentera.
Para obtener más información, visite pentera.io.