Compromised Credentials: Everything You Need to Know

La vulneración de credenciales ocurre cuando los atacantes roban y emplean las claves de acceso de una cuenta legítima. Representa un riesgo importante para cualquier recurso conectado a una cuenta que de otro modo sería confiable y brinda a los atacantes un punto de apoyo para desencadenar ataques a largo plazo y altamente complejos.

En un ataque, se pueden conectar varias instancias de violación de credenciales a medida que el actor malicioso pasa de una cuenta de nivel inferior a una administrativa.

Detectar una violación de credenciales es la única forma de detener un ataque con anticipación.

Solicite una demostración Más información

¿Cómo se ven comprometidas las credenciales?

Definamos completamente las credenciales: la mayoría de las personas suponen que son solo la combinación de contraseña y nombre de usuario en la que normalmente se basaban la mayoría de los servicios, pero el mundo de las credenciales está cambiando rápidamente.

La biometría y las claves de acceso sin contraseña son cada vez más populares, y el auge de la autenticación de múltiples factores (MFA) nos dio una lista cada vez mayor de opciones para proteger sus cuentas y datos.

Esto ofrece a los atacantes formas nuevas y emocionantes de robar esas credenciales.

Ataques conductuales

Tradicionalmente, las formas más exitosas de obtener emails y contraseñas fueron otras violaciones de datos (que pueden proporcionar emails y alguna que otra contraseña en texto plano) y ataques de phishing .

El éxito del robo de credenciales por violación de datos depende en gran medida de:

  • Mal hábito del usuario final de reutilizar contraseñas
  • No se pudieron cambiar las credenciales administrativas

Los emails de phishing llevan a las víctimas a una página de inicio de sesión falsa. Idénticas a sus contrapartes legítimas, estas pantallas de inicio de sesión falsas enviarían las credenciales a la propia base de datos del atacante. Si bien ambos siguen siendo desenfrenados, las defensas de phishing de las organizaciones están ralentizando la tasa de robo de credenciales de phishing. 

En su lugar se produjeron avances en los keyloggers y los ataques de fuerza bruta.

Ataques técnicos

Los keyloggers existen desde hace mucho tiempo: una vez instalados, rastrean las entradas de teclas de un usuario y las envían a un servidor C2. No solo se recopilan contraseñas: también se pueden robar recursos confidenciales y comunicaciones internas. Los ataques de fuerza bruta solían ser un bot que ingresaba manualmente cualquier combinación potencial de letras y números ( relleno de credenciales ) con la esperanza de ingresar ciegamente la combinación correcta.

Sin embargo, al igual que los keyloggers, los ataques de fuerza bruta evolucionaron…

Kerberoasting es un ejemplo de fuerza bruta inteligente: el protocolo Kerberos es empleado por el servicio de autenticación de Windows para garantizar que el usuario tenga permitido el acceso al servidor que está aplicar. Si un usuario tiene la clave de acceso del tiquete Kerberos, se le concede acceso al servidor.

(Independientemente de si tienen el email o la contraseña de una cuenta subyacente).

En los ataques de Kerberoasting, un atacante roba estos tiquetes cifrados y, a continuación, ejecuta las claves de cifrado con ataques de fuerza bruta o basados en diccionarios. Necesitan una base inicial de licencias para aplicar tiquetes Kerberos , lo que significa que el Kerberoasting generalmente comienza después de que se comprometió una cuenta de nivel inferior.

Esto hace que Kerberoasting sea una opción popular para la escalada de privilegios.

Cómo detectar credenciales comprometidas

Para detectar credenciales comprometidas, las organizaciones emplean sistemas de análisis de comportamiento y entidades de usuarios (UEBA) para monitorear la actividad de los usuarios e identificar comportamientos inusuales que puedan indicar amenazas a la seguridad.

Las soluciones de UEBA recopilan y analizan datos de fuentes como:

  • Red Dispositivo
  • SISTEMAS OPERATIVOS
  • Aplicaciones

Lo hacen para establecer una línea de base para el comportamiento típico del usuario a lo largo del tiempo. Cuando la actividad se desvía de estos patrones establecido, puede ser una señal de un posible compromiso de credenciales o cuentas.

Las plataformas de gestión de eventos e información de seguridad (SIEM) también desempeñan un papel clave en la detección de cuentas comprometidas. Al recopilar y analizar registros de seguridad de toda la organización, las herramientas SIEM correlacionan eventos para señalar comportamientos sospechosos, como:

  • Intentos de inicio de sesión inusuales
  • Anomalías de localización
  • Escaladas de privilegios no autorizadas

(lo que podría indicar una violación de seguridad.)

El monitoreo continuo de las cuentas de usuario y las actividades de autenticación es esencial para identificar tempranamente posibles riesgos, lo que permite a las organizaciones responder rápidamente para mitigar los riesgos.

Detenga el compromiso de credenciales con Check Point Harmony

Check Point Harmony evita la reutilización de contraseñas y detecta el robo de credenciales mediante la combinación de restricciones basadas en políticas con la detección avanzada de anomalías.

La política de acceso seguro al navegador de Check Point permite a los administradores evitar la reutilización de contraseñas, definiendo dominios corporativos específicos donde se prohíbe la reutilización de contraseñas. Una vez que estos dominios protegidos se configuran y sincronizan con la extensión del navegador del usuario, el sistema capturará y almacenará localmente una versión en hash de la contraseña (usando SHA-256 con HMAC) cuando un usuario ingresa credenciales para uno de estos dominios designados.

Al almacenar este hash de contraseña, la extensión puede detectar si la misma contraseña se reutiliza en un dominio diferente y no protegido.

Si se detecta la reutilización de la contraseña, el sistema inicia una respuesta preconfigurada, como:

  • Registrando el incidente
  • Alertar al usuario

Este enfoque permite proteger los dominios fuera de Active Directory.

Para detectar credenciales comprometidas, Check Point emplea un motor de detección de anomalías que identifica patrones de actividad inusuales en usuarios legítimos. El sistema crea perfiles de usuario basados en tiempos de inicio de sesión, ubicaciones, transferencias de datos y comportamiento del email para establecer una base de comportamiento típico.

Si comienza a surgir una desviación significativa, cada acción anómala se analiza y evalúa según su gravedad: los eventos “críticos” señalan una alta probabilidad de compromiso de la cuenta y requieren una investigación inmediata, lo que los coloca en la cima de los flujos de trabajo de los equipos de seguridad.

No son sólo los sistemas analíticos los que están automatizados… 

El sistema de email y colaboración deHarmony puede iniciar alertas basadas en una inspección de los emails recientes del usuario de las últimas horas. Su motor antiphishing evalúa de cerca cualquier posible enlace o email de phishing, y si la inspección revela comunicaciones de alto riesgo, el motor puede poner en cuarentena cualquier email o acción adicional.

Si necesita las capacidades que ofrece esto pero no tiene la mano de obra, eche un vistazo a los servicios de gestión de riesgos externos de Check Point.

Este enfoque integral, que combina la prevención de reutilización de contraseñas y la detección de anomalías sofisticadas, ayuda a proteger las credenciales y permite una respuesta rápida a cualquier incidente de seguridad detectado. Si le preocupan las actividades dentro de su red corporativa, póngase en contacto con un experto en seguridad hoy mismo.

Comenzar

Prevención de la adquisición de cuentas

Harmony Browse

Harmony Email & Collaboration

ThreatCloud

Temas relacionados

¿Qué es el relleno de credenciales?

¿Qué es la seguridad de web?

¿Qué es el filtrado web?

¿Qué es el filtrado de URL?

x
  Comentarios
Este sitio web utiliza cookies para optimizar su funcionalidad y para fines de análisis y marketing. Al seguir usando este sitio web, usted acepta el uso de cookies. Para obtener más información, lea nuestro Aviso de cookies.
Aceptar