Hoy en día, más organizaciones están entendiendo y adoptando un enfoque de ciberseguridad que prioriza y potencia la autenticación e identidad en la prevención, donde la seguridad de la red y otros controles tradicionales, dan paso a la gestión de identidades y accesos, lo factor fundamental para la ciberseguridad, los resultados comerciales y la continuidad operacional. Es por ello que la gestión de identidades y acceso tiene un papel cada vez mayor en las estrategias de ciberseguridad, donde las prácticas evolucionan para centrarse más en la higiene fundamental y el fortalecimiento de los sistemas para mejorar la resiliencia.
Es por ello, que los CISO, así como los equipos de ciberseguridad en su totalidad, puedan ir fortaleciendo su estructura de autenticación e identidad y aprovechar la detección y respuesta ante amenazas de identidad, para así garantizar que las capacidades de control de identidad estén mejor posicionadas para respaldar la amplitud del programa de seguridad general.
“Un buen sistema de autenticación debe permitir a un usuario demostrar quien dice ser de forma simple, sin que eso signifique que otros puedan suplantar a la persona. Para ello, el mejor enfoque es utilizar más de una forma de validación, lo que se conoce como «Autenticación Multifactor» (MFA, por sus siglas en inglés)”, señala Eduardo Riveros, analista del CSIRT de Gobierno. El experto señala que la Autenticación Multifactor requiere contar al menos con 2 de los siguientes tipos de autenticadores: «Algo que solo el usuario sabe (pines y contraseñas), algo que solo el usuario tiene (tarjetas de coordenadas, tokens bancarios, un smartphone o tarjetas de acceso), o bien, algo que es parte solo el usuario (biometría).
El experto del CSIRT de Gobierno, explica que existe otro camino: entregarle al usuario herramientas para poder gestionar mejor sus métodos de autentificación. “Si las empresas facilitan a sus empleados herramientas como gestores de contraseñas y tokens físicos de acceso, y los capacitan en su buen uso (usar contraseñas aleatorias, elegir una contraseña maestra segura, complementar el inicio de sesión con MFA, mantener el token de acceso desconectado si no se usa), detectaremos una gran cantidad de intentos de acceso no autorizados debido al reúso, predictibilidad o robo de credenciales”, explica Riveros.
¿En qué están fallando las organizaciones en la configuración y manejo de sistemas de autenticación?
Eduardo Riveros nos entrega detalles muy útiles para mejorar y tener en consideración para una mejora continua en cuanto a sistemas de autenticación.
1-. Uso de credenciales por defecto predecibles o dependientes de datos públicos de los empleados (fecha de nacimiento, RUT, números contiguos, etc.).
2-. Supuestos débiles sobre los recursos de la organización. “Una URL accesible desde internet no es secreta por solamente haber sido compartida con empleados y un servicio no es privado solo porque quien lo mantiene lo publica solo en la intranet, ya que ambas cosas dependen de supuestos que pueden cambiar fácilmente por factores ajenos a quien mantiene el sistema (URL puede ser detectada por crawlers automáticos o una red interna mal particionada puede extenderse a usuarios externos)”, explica Riveros.
3-. Considerar un solo nivel de confianza en toda su infraestructura. Riveros indica que es importante que las organizaciones definan distintos niveles de confianza para distintos tipos de usuarios, otorguen solo los mínimos privilegios requeridos y validen siempre en caso de duda si el usuario es quien dice ser (con MFA por ejemplo).
4-. Solicitar el cambio de contraseñas de forma periódica. “Estudios muestran que el uso de un gestor de contraseñas genera mayor seguridad que el cambio periódico de contraseñas recordables de parte de usuarios, quienes terminan escribiendo contraseñas bastante predecibles para un atacante u olvidando la última contraseña usada, sobrecargando las mesas de ayuda TI de las organizaciones”, indica el experto.
5-. No limpiar accesos y credenciales en desuso. Existen casos recientes de organizaciones vulneradas por atacantes que ingresaron usando credenciales de exempleados o de servicios legacy que ya no se estaban usando. “Es importante realizar una buena mantención de los accesos existentes a nuestros sistemas para evitar vulneraciones de este tipo”, finaliza Riveros.
No dejemos fuera el papel de los logs: ¿su mala gestión puede llegar a ser un dolor de cabeza para una organización?
Recordemos, que los logs son la evidencia directa de las acciones realizadas en un incidente de ciberseguridad. Permiten determinar las vías de acceso, modificaciones, alteraciones y la información exfiltrada en un escenario de ciberataque.
“Los logs permiten determinar aspectos tales como indicadores de compromiso, vías técnicas de intrusión y exfiltración, y en general, toda la cadena de ataque. Una mala gestión de logs dificultaría las acciones de remediación, la detección temprana de incidentes, e incluso podrían impedir totalmente el seguimiento de un compromiso activo”, explica Kevin Anguita, analista del CSIRT de Gobierno.
Por otro lado, en cuanto a las tecnologías asociadas a logs, Carlos Silva, analista del CSIRT de Gobierno, señala que más que enfocarse en las tecnologías o herramientas en la gestión de logs, hay que preguntarse para qué utilizaremos los logs, si se almacenarán log de sistema, de aplicaciones, seguridad, eventos, servidor, acceso, auditoria, errores o depuración.
“¿De donde recolectaremos estos logs, de equipos computacionales, sistemas o hardware? Son varias preguntas que se deben hacer antes de pensar qué herramienta o tecnología utilizar. Lo primero es tener un sistema básico de recolector de log que no dependa de ninguna tecnología propietaria de alguna marca o herramienta, de esa manera es factible almacenar grandes cantidades”, señala Anguita.
Anguita señala que, si el foco son los equipos de ciberseguridad o forense, se debe tener un enfoque global, por ejemplo, si existen indicios de que un atacante modificó una base de datos, no solo se requieren los logs de acceso, sino también los logs de seguridad, de aplicaciones, de red y de la misma base de datos. “De la misma manera que protegemos nuestros respaldos ante posibles ataques, debemos cuidar los logs protegiéndolos de accesos no autorizados con una estrategia que considere almacenamiento e infraestructura”, puntualiza Anguita.
Contar con logs útiles y correctamente gestionados: siga estos consejos
“A menudo, después de un incidente, nos damos cuenta de que no habíamos configurado o priorizado bien las fuentes de logs, y nos encontramos diciendo cosas como: «Deberíamos haber estado capturando los logs de tal herramienta» o «Deberíamos haber conectado esa fuente a nuestro SIEM». Muchas veces caemos en el error de pensar que mientras más logs recolectemos, mejor, pero eso solo nos lleva a llenar el SIEM con registros innecesarios, como logs de firewalls que jamás vamos a revisar”, indica Manuel Varela, analista del CSIRT de Gobierno
Para evitar esto y asegurar de que los logs sean útiles, lo más importante es priorizar. Enfocarse en las fuentes de datos que realmente ayuden a detectar incidentes. Varela nos detalla algunas de las principales fuentes que deberíamos priorizar (siguiendo este orden):
1-. Antivirus/EDR (en servidores y estaciones de trabajo): son fundamentales para identificar amenazas activas en la red.
2-. Registros de Windows y Sysmon: resultan muy valiosos para rastrear eventos y detectar actividades sospechosas en sistemas Windows.
3-. Registros de plataformas Cloud: se si cuentan con servicios en la nube, se requiere visibilidad total de estos entornos.
4-. Filtros de navegación o proxy: permiten detectar tráfico web malicioso o no deseado.
5-. IDP/NIDS y perfiles de seguridad de NGFW: añaden otra capa de visibilidad sobre tráfico sospechoso y amenazas.
6-. DNS: los registros DNS son clave para rastrear conexiones hacia dominios maliciosos.
7-. Linux (Auditd): en entornos Linux, estos logs son esenciales para auditar accesos y eventos importantes.
8-. Filtros de correo: ayudan a identificar correos potencialmente peligrosos.
9-. Firewalls tradicionales: si bien no siempre son los más útiles para investigaciones profundas, siguen siendo importantes.