Ataque de isla en isla

Un ataque de isla en isla es una campaña de piratería en la que los actores de amenazas apuntan a los socios externos más vulnerables de una organización para socavar las defensas de ciberseguridad de la empresa objetivo y obtener acceso a su red. Un actor de amenazas es una entidad que es parcial o completamente responsable de un incidente que afecta, o tiene el potencial de afectar, el sistema de seguridad de una organización.

Los actores de amenazas que se dirigen a organizaciones grandes, incluso aquellas con defensas de ciberseguridad efectivas, harán todo lo posible para ingresar. Si la organización objetivo tiene prácticas sólidas de ciberseguridad, los atacantes utilizarán ataques de isla en isla y explotarán a los intermediarios de la empresa para penetrar en sistemas seguros.

Los ataques de isla en isla se han vuelto cada vez más populares. Los actores de amenazas están utilizando la técnica para comprometer los sistemas de red entre varias empresas y robar sus activos digitales. Las industrias más afectadas por los ataques de isla en isla incluyen finanzas, salud, manufactura y venta al por menor.

Ciberataques de isla en isla y acceso de terceros

El término salto de isla en isla proviene de la estrategia militar empleada por los Aliados en el teatro del Pacífico contra las potencias del Eje durante la Segunda Guerra Mundial. La estrategia consistía en hacer que los aliados se apoderaran de una isla y la usaran como punto de partida para el ataque y la toma de otra isla. La misión se puso en marcha por primera vez en agosto de 1942 en Guadalcanal en las Islas Salomón.

En ciberseguridad, los atacantes de isla en isla se dirigen a clientes y empresas más pequeñas que trabajan con la organización víctima, asumiendo que los sistemas de ciberdefensa de estas entidades menores no son tan extensos como el objetivo final.

De manera similar, si se sabe que una organización solicita alimentos del mismo sitio web, los actores de amenazas pueden realizar un ataque de abrevadero., Donde se dirigen a ese sitio, sabiendo que los miembros de la organización lo visitan, como una forma de obtener acceso a la red de la empresa.

¿Cómo funcionan?

Los ataques de isla en isla a menudo comienzan a través del phishing, donde los atacantes se disfrazan como una entidad confiable en un correo electrónico u otro canal de comunicación. Las marcas de confianza, como Facebook y el soporte de Apple, se utilizan a menudo en los ataques de phishing como primer paso.

Otro método común se conoce como salto de isla en red, en el que los atacantes se infiltran en una red y la utilizan para ingresar a una red afiliada. Por ejemplo, los atacantes apuntarán al proveedor de servicios de seguridad administrada (MSSP) de una organización para moverse a través de sus conexiones de red.

En otra técnica conocida como compromiso inverso del correo electrónico comercial, los atacantes se apoderan del servidor de correo de la empresa víctima y utilizan ataques de malware sin archivos desde allí. Los ataques de malware sin archivos utilizan aplicaciones que ya están instaladas y se cree que son seguras. Como tal, los ataques de malware sin archivos no necesitan instalar software o archivos maliciosos para iniciar un ataque. Los ataques de compromiso inverso del correo electrónico empresarial a menudo se dirigen al sector financiero.

¿Por qué los atacantes utilizan ataques de isla en isla?

Las principales motivaciones para los ataques de isla en isla incluyen actividades delictivas, como ransomware ataques y cryptojacking. Por ejemplo, en 2013, los piratas informáticos atacaron al socio de servicios de calefacción, ventilación y aire acondicionado (HVAC) del gigante minorista Target. Target sufrió una violación de seguridad masiva en la que se robaron los datos de pago de más de 40 millones de clientes.

Como fue el caso de Target, los atacantes se aprovechan de las empresas asociadas más pequeñas porque normalmente no pueden permitirse el mismo nivel de ciberseguridad que las organizaciones más grandes. Además, debido a que la empresa más grande ya confía en los sistemas más pequeños, es menos probable que se noten cuando están comprometidos, lo que facilita que el ataque se propague a la red de la organización.

Estrategias de defensa de isla en isla

Las estrategias de defensa de isla en isla incluyen las siguientes:

  • Evaluar los riesgos de terceros.
  • Cree un plan de respuesta a incidentes y un equipo que esté financiado y tenga las herramientas adecuadas para defender la red.
  • Exigir que los proveedores utilicen el mismo paquete de tecnología y MSSP preferido que la organización.
  • Tener un tercero de respuesta a incidentes en el anticipo.
  • Utilice la segmentación de red correcta para que los contratistas no tengan acceso a todos los servidores, solo al servidor en el que necesitan trabajar.
  • Utilice la autenticación multifactor (MFA).
  • Concéntrese en el movimiento lateral, en el que los atacantes se mueven a través de una red, buscando activos y datos clave, y el robo de credenciales.

¿Cuán desenfrenados son los ciberataques entre islas?

Según el Informe de amenazas de respuesta a incidentes globales de noviembre de 2019 de la empresa de ciberseguridad de VMware Carbon Black, el salto de isla en isla representa el 41% del total de ciberataques, un 5% más desde la primera mitad de 2019. El movimiento lateral es estable en el 67% de los ataques, muy por encima Promedios de 2018. En el mismo informe, Carbon Black descubrió que los atacantes están vendiendo acceso de isla en isla a sistemas comprometidos, a menudo sin que el objetivo se dé cuenta de que están expuestos.

El malware personalizado se utilizó en el 41% de los ataques, frente al 33% en el primer trimestre de 2019, según el informe. Los ataques aumentan rápidamente porque las personas que crean código de ataque personalizado lo venden en la web oscura. Una vez que se utiliza, el codificador, así como el comprador, pueden atacar a la empresa objetivo.

Cómo responder a un ciberataque de isla en isla

Las organizaciones que se han convertido en víctimas de ataques de isla en isla deben responder de la siguiente manera:

  1. Mire los registros de los sistemas afectados para ver la visibilidad. Identifique qué acceso se obtuvo. Una vez que un atacante gana un punto de apoyo inicial, ese acceso se puede utilizar para finalmente obtener acceso completo a la empresa a través de otros ataques, como un ataque de abrevadero.
  2. Evalúe el alcance del ataque y qué activos se llevaron.
  3. Supervise nuevas cuentas o cambios en los sistemas para ayudar a identificar cuándo una cuenta se ha visto comprometida y frustrar futuros ataques de isla en isla. Asegúrese de incluir a terceros de confianza que tengan acceso a la red empresarial o a los servicios en la nube. Además, incluya al proveedor de servicios para que pueda verificar sus registros y sistemas.