Los ataques cibernéticos siguen aumentando y evolucionando, pero, independientemente del grado de complejidad que utilicen los piratas informáticos para obtener acceso, afianzarse, encubrir su malware, ejecutar su carga útil o filtrar datos, su ataque comenzará con el reconocimiento. Harán todo lo posible para descubrir los activos expuestos y sondear la superficie de ataque de su objetivo en busca de brechas que puedan usarse como puntos de entrada.
Por lo tanto, la primera línea de defensa es limitar la información potencialmente útil disponible para un posible atacante tanto como sea posible. Como siempre, se debe tener en cuenta el tira y afloja entre la necesidad operativa y las preocupaciones de seguridad, lo que requiere una mejor comprensión del tipo de información que normalmente se aprovecha.
¿Qué información buscan los hackers durante el reconocimiento?
Al realizar un reconocimiento en una organización, los piratas informáticos, ya sean de sombrero blanco o negro, están «encajonando un porro». Para planificar su ataque, intentarán descubrir la mayor cantidad de información posible sobre:
Tu infraestructura
- Los tipos de tecnologías que utiliza : dado que no existe una tecnología perfecta, el primer paso de los piratas informáticos es conocer las que se utilizan para construir y administrar su infraestructura. Su objetivo es encontrar vulnerabilidades para penetrar en su infraestructura y protegerse de la detección. Los piratas informáticos pueden obtener información sobre sus tecnologías y cómo se utilizan al escuchar conversaciones en foros de tecnología. Los DevOps que participen en dichas discusiones deben abstenerse de divulgar su identidad real o información que pueda identificar a la organización.
- Sus servidores conectados a Internet : los servidores contienen la información vital de su organización. Los piratas informáticos intentarán encontrar vulnerabilidades que van desde servicios no utilizados o sin parches hasta puertos abiertos.
- Cualquier sistema utilizado como servidor en una red pública es un objetivo, por lo que los administradores del sistema deben estar más atentos a:
- Mantener todos los servicios actualizados
- Optar por protocolos seguros siempre que sea posible
- Limitar el tipo de red por máquina a un mínimo estricto, preferiblemente uno por máquina
- Supervisión de todos los servidores en busca de actividad sospechosa
- Su sistema operativo (SO) : cada sistema operativo tiene sus propias vulnerabilidades. Windows, Linux, Apple y otros sistemas operativos publican regularmente vulnerabilidades y parches recientemente descubiertos. Los atacantes cibernéticos explotan esta información disponible públicamente una vez que saben qué sistema operativo usa.
- Por ejemplo, una conversación en un foro donde Joe Blog, su contador, explica cómo usar una función en una hoja de cálculo de Excel de Windows 8 le dice al hacker que Joe Blog usa Windows y no ha actualizado su sistema operativo durante mucho tiempo.
- Este dato alienta al atacante cibernético a profundizar más, ya que, si un empleado con acceso a la información financiera de su organización puede trabajar en un punto final que rara vez se actualiza, la seguridad del punto final de los empleados es laxa.
- Su madurez de seguridad : los piratas informáticos son humanos y, como tales, tienden a ser perezosos. Un pirata informático en una misión de reconocimiento que descubre que está utilizando una plataforma XSPM ( Administración de postura de seguridad extendida) sabe que, incluso si hay un punto de entrada explotable, la escalada se verá obstaculizada en cada paso y lograr la acción maliciosa requerirá un nivel superior de planificación. Esto desalienta a la mayoría de los ciberatacantes potenciales.
Cartas credenciales
- Direcciones de correo electrónico : dado que la mente humana es el software más difícil de actualizar y parchear, el phishing sigue siendo el vector de penetración número uno para los piratas informáticos. Aunque algunas direcciones de correo electrónico, como información, soporte, ventas, etc., deben ser públicas, los piratas informáticos pueden aprovechar el correo electrónico personal de los empleados para enviar mensajes genéricos de phishing y phishing selectivo.
- Nombres de usuario y contraseñas : los centros comerciales de los piratas informáticos de Darknet están llenos de credenciales a la venta a precios ridículamente bajos, de ahí la recomendación de cambiar su contraseña con regularidad.
- Para el administrador del sistema y otros usuarios con acceso de alto privilegio, mantener una higiene de contraseña estelar y MFA. – es una necesidad absoluta ya que, si sus credenciales caen en manos de un pirata informático, todo el sistema podría verse comprometido irremediablemente.
¿Puedes detectar un hacker recon?
Prevenido está bien armado, por lo que podría ser una buena idea escuchar señales de actividad de reconocimiento hostil. La actividad de reconocimiento se puede clasificar en dos categorías:
- Reconocimiento activo: piratas informáticos que utilizan herramientas o spyware para acceder a su sistema. Esto debería activar alertas de herramientas de detección configuradas correctamente, informando a los equipos de información de seguridad que los piratas informáticos los están «encajonando».
- Esto debería impulsar el lanzamiento de un ejercicio de validación de seguridad para garantizar que las posibles brechas de seguridad se controlen adecuadamente y se programen para parches prioritarios.
- Reconocimiento pasivo : los piratas informáticos lo «acechan» al recopilar información disponible públicamente sobre los detalles tecnológicos de su infraestructura o direcciones de correo electrónico. Esto es, en efecto, indetectable.
¿Qué hace un hacker con la información recopilada durante el reconocimiento?
Los objetivos de los atacantes cibernéticos se dividen en cuatro categorías amplias:
- Robo : con mucho, la categoría más grande en términos de números, los ataques destinados a robar se pueden subdividir en más categorías que coincidan con el objetivo del robo:
- Datos : los datos son la moneda del siglo XXI y cualquier dato en la mano derecha se puede traducir en valor. Desde los detalles de la tarjeta de crédito hasta la información personal de los usuarios y los datos genéricos, como los hábitos de viaje, todos los datos pueden apropiarse indebidamente con fines comerciales, estratégicos o incluso militares.
- Propiedad intelectual : la propiedad intelectual ofrece una ventaja a muchas organizaciones y empresas. Los competidores, por ejemplo, tienen un interés inmediato en obtener esa información.
- Recursos informáticos : los recursos utilizados para impulsar su infraestructura son costosos y, por lo tanto, atractivos. Hoy en día, el uso principal de los recursos robados es la criptominería.
- Extorsión : mejor conocido como ransomware, el ransomware secuestra partes o toda la infraestructura, cifra los datos y requiere el pago en criptomonedas para descifrar los datos afectados. Extraer datos y amenazar con venderlos también forma parte de las amenazas de ransomware.
- Recopilación de información : un tipo de ataque sigiloso que puede pasar desapercibido durante períodos prolongados. Por lo general, estos son controlados por estados-nación, oponentes políticos o competidores comerciales.
- Destrucción / apoderamiento de la infraestructura: los ataques destinados a apoderarse o destruir suelen estar dirigidos por estados-nación que tienen como objetivo la infraestructura crítica, competidores particularmente agresivos o hacktivistas.
Dada la gama de daños que pueden resultar de un ataque cibernético, hacer que el reconocimiento sea lo más infructuoso o desalentador posible para detectar a los atacantes cibernéticos es una buena política. Esto explica la tendencia actual hacia una mejor gestión de la superficie de ataque (ASM).