ESET Latinoamérica analiza los diez vectores de acceso inicial más utilizados por actores maliciosos para lograr acceder a redes de una organización y brinda recomendaciones para minimizar los riesgos.
Foto: ESET.
Centroamérica. Agencias de ciberseguridad han elaborado un reporte con las debilidades que más comúnmente son explotadas por atacantes en su intento de acceder a los sistemas de una organización.
ESET, compañía líder en detección proactiva de amenazas, analiza los diez vectores de acceso inicial más utilizados por actores maliciosos y brinda recomendaciones para minimizar los riesgos.
Con respecto a las fallas de seguridad en los controles de seguridad, configuraciones débiles o inseguras y malas prácticas que explotan los cibercriminales, las diez más comunes son el no habilitar la autenticación multifactor: la autenticación multifactor es clave para prevenir el secuestro de cuentas.
Asignar accesos y permisos correctamente: La incorrecta gestión de accesos y permisos puede permitir que alguien interno lleve adelante acciones que suponen algún riesgo para la organización por tener accesos y permisos innecesarios a información sensible.
Uso de software desactualizado: en muchos casos los atacantes rápidamente tienen acceso a exploits a pocos días de que se dé a conocer la existencia de una vulnerabilidad; pero muchas organizaciones utilizan software desactualizado expuesto a vulnerabilidades de larga data.
Uso de las credenciales de acceso que vienen por defecto: mantener el mismo nombre de usuario y contraseña que vienen por defecto en software y hardware es un riesgo muy elevado, ya que ofrece a los atacantes una forma fácil de acceder remotamente a los sistemas a través de estas soluciones.
Falta de controles en servicios de acceso remoto: los atacantes, como grupos de ransomware, suelen aprovechar configuraciones inseguras o vulnerabilidades sin parchear en soluciones para el acceso remoto a las redes de una organización, como las soluciones VPN.
Uso de contraseñas débiles: los actores de amenazas utilizan distintos métodos para obtener credenciales de acceso válidas y aprovecharlas para obtener acceso inicial a los sistemas de una organización.
Servicios en la nube sin protección: el crecimiento de la demanda y adopción de servicios en la nube, sobre todo con el trabajo remoto e híbrido, también atrajo el interés de los actores de amenazas que buscan la forma de aprovechar errores de configuración y vulnerabilidades en esta superficie de ataque para el robo de información.
Servicios expuestos a internet mal configurados o puertos abiertos: se utilizan herramientas para descubrir puertos abiertos de servicios expuestos a Internet que pueden permitir acceder a la red de una organización, como pueden ser servicios RDP o el protocolo Server Message Block (SMB).
Error al detectar un correo de phishing: la falta de capacitación puede elevar el riesgo de que los empleados puedan no ser capaces de detectar un correo de phishing malicioso y esto deriva en mayores probabilidades de que la organización se convierta en víctima.
Respuesta pobre de productos de seguridad instalados: Muchas veces los actores de amenazas logran evadir los controles de seguridad que establecen los productos de seguridad instalados en el equipo comprometido y de esta manera logran llevar adelante sus ataques de manera efectiva sin ser detectados, par lo cual se usan droppers o fileless malware.
Para minimizar posibilidades de acceso se sugiere adoptar el modelo de seguridad zero trust, limitar la posibilidad de que se pueda acceder remotamente a una cuenta de administrador, controlar los permisos y accesos asignados a los diferentes datos y servicios, establecer cambios de contraseña
También puede gestionar procesos de entrada y salida de empleados y cambios de posición internos, verificar que ningún equipo tiene el puerto RDP abierto, implementar la autenticación multifactor, modificar o inhabilitar nombres de usuario y contraseñas que vienen por defecto, monitorear el uso de credenciales comprometidas en los sistemas internos, gestión centralizada de logs, uso de soluciones antimalware.