Tecnologías de seguridad

Brechas en la defensa de la red corporativa: el control de acceso

Garantizar el funcionamiento ininterrumpido de los sistemas de importancia crítica y al mismo tiempo reducir los riesgos de ataques contra la red corporativa son las principales tareas del departamento TI de cualquier compañía. Una de las estrategias más efectivas para realizar estas tareas es poner límites a los privilegios de los usuarios de los sistemas informáticos.

Desde el punto de vista de la seguridad informática, los sistemas de importancia crítica poseen dos cualidades fundamentales, la integridad y disponibilidad, de las cuales depende su funcionamiento ininterrumpido. Para proteger la red corporativa contra los ataques, es necesario reducir la “superficie de ataque” (attack surface), minimizando la cantidad de dispositivos y servicios de red accesibles desde fuera de la red corporativa y garantizando la defensa de los sistemas y servicios de red que necesitan este acceso (servicios web, portales, enrutadores, estaciones de trabajo, etc.). En particular, los equipos de los usuarios (en la red corporativa) conectados a Internet son el principal vector de ataque contra la red corporativa.

Formalmente, para proteger los sistemas de importancia crítica contra modificaciones no sancionadas y reducir la posibilidad de ataques contra la red corporativa hace falta:

  • determinar qué objetos (equipos, sistemas, aplicaciones de negocios, documentos de valor, etc.) de la red corporativa necesitan protección;
  • describir los procesos de negocio de la compañía y de conformidad con los mismos determinar el nivel de acceso a los objetos de la protección;
  • cerciorarse de que cada sujeto (usuario o aplicación corporativa) tenga una sola cuenta de acceso al sistema;
  • limitar al máximo el acceso de los sujetos a los objetos, es decir, limitar los privilegios de los sujetos en los procesos de negocios;
  • asegurarse de que todas las operaciones de los sujetos sobre los objetos se registren en logs, y que éstos se guarden un lugar seguro.

En la práctica, en la red corporativa ocurre lo siguiente:

  • todos los documentos corporativos se guardan de forma centralizada, en directorios comunes en uno de los servidores de la compañía (por ejemplo, en un servidor que cumple el papel de Document Controller)
  • el acceso a los sistemas de importancia crítica está prohibido a todos, excepto a los administradores: cualquier administrador, en caso de fallos, puede entrar al sistema de forma remota para hacer reparaciones rápidas
  • a veces los administradores usan una sola cuenta “común” de acceso
  • las cuentas de acceso de todos los empleados comunes y corrientes tienen sólo los reducidos privilegios propios de un “usuario común”, pero pueden sin dificultad obtener los privilegios de administrador local

Técnicamente, proteger los sistemas de importancia crítica es mucho más fácil que proteger las estaciones de trabajo, ya que en los primeros los procesos de negocios cambian con poca frecuencia, su reglamento de implementación casi no cambia y por eso se lo puede elaborar tomando en cuenta los detalles más mínimos. Por otra parte, el entorno de trabajo de los usuarios es caótico, los procesos cambian con extrema rapidez, y junto con ellos cambian las exigencias de seguridad. Como si esto fuera poco, muchos usuarios tienen una actitud excéptica e incluso negativa ante cualquier tipo de limitación, incluso si no afecta a los procesos de negocios. Por esta razón la protección tradicional de los usuarios se basa en el principio “es mejor dejar pasar software peligroso que bloquear algo necesario”.

El año pasado la compañía Avecto llevó a cabo una investigación sobre las vulnerabilidades conocidas del software de Microsoft y llegó a la conclusión de que “la renuncia al uso de privilegios de administrador local permite reducir los riesgos de explotación del 92% de las vulnerabilidades críticas del software de Microsoft”. La conclusión parece bastante lógica, pero hay que destacar que la compañía Avecto no realizó una verificación real de las vulnerabilidades, sino que analizó los datos del Boletín de Vulnerabilidades Microsoft 2013. De todos modos es evidente que el software malicioso ejecutado sin privilegios de administrador local no puede instalar drivers, crear o modificar ficheros en los catálogos protegidos (%systemdrive%, %windir%, %programfiles%, etc.), modificar la configuración del sistema (por ejemplo, escribir en la rama HKLM del registro) y sobre todo, no puede usar las funciones privilegiadas del API.

Pero en realidad la ausencia de privilegios de administrador local no es un obstáculo serio ni para el software malicioso, ni para los hackers que han logrado penetrar a la red corporativa. En primer lugar, en cualquier sistema se puede encontrar decenas de vulnerabilidades que permiten obtener los privilegios necesarios, hasta incluso los privilegios de nivel de núcleo. En segundo lugar, existen amenazas que sólo necesitan los privilegios de usuario común para concretarse. En el esquema de abajo se muestran los posibles vectores de ataque que no necesitan privilegios de administrador. Y son justo el tema que queremos abordar.

Ataques locales

Un delincuente que disponga sólo de los privilegios de un usuario normal tendrá acceso irrestricto a la memoria de todos los procesos que funcionen bajo la cuenta de acceso del usuario. Esto es suficiente para incrustar código malicioso en los procesos, con el objetivo de obtener acceso remoto al sistema (backdoor), interceptar pulsaciones de teclas (keylogger), modificar el contenido del navegador de Internet, etc.

Como la mayoría de los antivirus controlan los intentos de incrustación de código desconocido en los procesos, los delincuentes suelen usar trucos más sutiles. Así, un método alternativo de implementación de un backdoor o un keylogger en el proceso de, por ejemplo, un navegador es el uso de plugins y extensiones. Para cargar un plugin son suficientes los privilegios de un usuario común, y el plugin puede hacer casi todo lo que hace un código troyano, por ejemplo administrar el navegador a distancia, registrar en un log los datos ingresados en el navegador y su tráfico, interactuar con los servicios web y modificar el contenido de las páginas (phishing).

A los delincuentes también les interesan las aplicaciones comunes de ofimática (por ejemplo, los programas de correo y de mensajería instantánea) que se pueden usar para lanzar ataques contra otros usuarios en la red (entre ellos phishing e ingeniería social). El delincuente puede obtener acceso a programas como Outlook, The Bat, Lync, Skype, etc. no sólo incrustando código en los procesos correspondientes, sino también mediante el API y los servicios locales de estas aplicaciones.

Es evidente que no sólo las aplicaciones, sino también los datos almacenados en el ordenador pueden representar gran valor para el delincuente. Además de documentos corporativos, los delincuentes con frecuencia buscan ficheros de diferentes aplicaciones que contengan contraseñas, datos cifrados, llaves digitales (SSH, PGP y otros). Si en el equipo del usuario hay códigos fuente, el delincuente puede tratar de incrustarles código malicioso.

Ataques de dominio

Como las cuentas de acceso de la mayoría de los usuarios son de dominio, los mecanismos de autorización en el dominio (Windows Authentication) le proporcionan al usuario acceso a diversos servicios de red en la red corporativa. šCon frecuencia el acceso se proporciona de forma automática, sin verificación adicional del login y la contraseña. Como resultado, si el usuario infectado tiene privilegios de acceso a alguna base de datos corporativa, el delincuente puede usarla con facilidad.

Con la ayuda de la autorización en el dominio el delincuente también tiene acceso a todas las carpetas y discos de red accesibles al usuario, a los recursos de intranet y a veces acceso a otras estaciones de trabajo en el mismo segmento de la red.

Además de las carpetas y bases de datos de red, en la red corporativa no es raro encontrar diferentes servicios de red, como acceso remoto, FTP, SSH, TFS, GIT, SVN, etc. Incluso si para ingresar a estos servicios se usan datos de acceso que no son del dominio, el delincuente puede usarlos cuando el usuario está trabajando (es decir, durante la sesión activa).

Protección

Es casi imposible garantizar un alto nivel de seguridad en las estaciones de trabajo negándoles a los usuarios los privilegios de administrador. Incluso la instalación de software antivirus en la estación sólo aumenta su protección, pero no resuelve todos sus problemas. šLa tecnología de Control de Aplicaciones puede ayudar a alcanzar un alto nivel de seguridad, y consta de tres elementos clave:

  1. Modo “Prohibido por defecto” (Default Deny), que permite instalar y ejecutar sólo el software aprobado por el administrador. No es obligatorio que el administrador ponga cada aplicación en la lista de permitidas (hash). Y es que tiene a su disposición una gran variedad de instrumentos genéricos que permiten agregar de forma dinámica a la lista de permitidas todo el software firmado por uno u otro certificado, creado por determinados fabricantes, recibido de una fuente fiable o que esté presente en la lista de admitidos de algún proveedor de software de defensa.
  2. El modo de control de aplicaciones fiables permite limitar el funcionamiento del software permitido, haciendo que ejecute sólo aquellas funciones que debe ejecutar. Por ejemplo, para su funcionamiento normal un navegador debe tener la posibilidad de crear conexiones de red, pero no es necesario que lea o escriba en la memoria de otros procesos, que se conecte a bases de datos en la red o que guarde ficheros en las carpetas de red.
  3. El control de instalación de actualizaciones, que permite actualizar sin interrupción el software de las estaciones de trabajo (en el modo de “Prohibido por defecto”), reduciendo al mismo tiempo el riesgo de que los mecanismos de actualización se usen para introducir infecciones.

Además de todo lo enumerado, los productos en concreto que contienen la tecnología Control de Aplicaciones pueden proporcionar diferentes funciones útiles basadas en ésta. En particular, inventariado, control de software instalado desde la red, recopilación de logs de sucesos (que pueden ser útiles durante la investigación de incidentes), etc.

La combinación de tecnologías permite, por una parte, dar al usuario todo lo que necesita para trabajar e incluso para divertirse, y si mañana necesita alguna cosa más, puede obtenerla sin ninguna dificultad. Por otra parte, las posibilidades del delincuente que ha obtenido acceso al sistema protegido están muy limitadas. Sin duda, este es el balance “ideal” entre flexibilidad y seguridad en la protección de la red corporativa.

Brechas en la defensa de la red corporativa: el control de acceso

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada