¿Qué es el análisis de la ruta de ataque?

El Análisis de la ruta de ataque (APA) identifica las posibles rutas que los atacantes podrían explotar para infiltrarse en su red o sistema. 

Mediante las correlaciones de rutas de ataque, puede comprender mejor cómo se combinan las vulnerabilidades, los errores de configuración y los permisos asociados a los activos y las identidades de su red para crear situaciones hipotéticas de explotación.

Este abordaje de ciberseguridad frecuentemente utiliza gráficos de ataque para ilustrar las conexiones entre los recursos puestos en riesgo y su posible impacto en los activos críticos. En su forma más simple, el APA le ayuda a hacer lo siguiente:

• Comprender la relación entre los activos, las identidades y los riesgos que los atacantes pueden explotar para poner en riesgo "las joyas de la corona".
• Identificar riesgos, técnicas o puntos de estrangulamiento específicos dentro de una ruta de ataque que los atacantes pueden utilizar para romper la cadena de ataque e interrumpir una o más rutas de ataque. 
• Recomendar parches, cambios de configuración o acciones específicos que se pueden utilizar para mitigar el riesgo.

Para superar en astucia a los atacantes, hay que pensar como ellos. El APA es importante porque le ayuda a ver la secuencia de pasos que un atacante podría seguir para poner en riesgo los sistemas. Destaca los puntos en los que los agentes maliciosos podrían obtener acceso dentro de su superficie de ataque, moverse lateralmente, escalar privilegios y lograr un resultado previsto, como interrumpir los servicios, filtrar datos confidenciales o pedir un rescate por una red o los datos. 

Con la información del APA, los equipos de seguridad pueden tomar medidas proactivas para actuar con decisión y reforzar las defensas de ciberseguridad.

• Una superficie de ataque incluye todas las formas en que un atacante podría explotar los activos digitales, desde sistemas externos hasta identidades y vulnerabilidades. Esta varía en función del tamaño, la industria y la pila tecnológica de la organización.
• Los vectores de ataque son técnicas que los atacantes podrían utilizar para explotar una vulnerabilidad, un error de configuración o un exceso de permisos de la superficie de ataque, como vulnerabilidades de software sin parches, errores de configuración, malware, identidades puestas en riesgo, entre otros.
• Las rutas de ataque son relaciones entre activos, identidades y riesgos que un atacante puede explotar en una secuencia para entrar, moverse lateralmente y lograr el resultado previsto.

El Análisis de la ruta de ataque se alinea estrechamente con el marco MITRE ATT&CK, que categoriza las tácticas, las técnicas y los procedimientos (TTP) de los adversarios. El APA complementa este marco con las siguientes medidas:

• Identificación de TTP que el marco MITRE ATT&CK describe y que los atacantes pueden explotar en su entorno.
• Identificación de combinaciones de TTP que un atacante puede explotar.
• Presentación de informes sobre las estrategias de mitigación de las técnicas de alta prioridad.

Mediante la integración del APA con el marco MITRE ATT&CK, puede cerrar la brecha entre el modelado teórico de amenazas y las medidas de seguridad procesables.

1. Utilice las rutas de ataque para demostrar de forma visual el impacto potencial, y confirmar y priorizar la gestión de parches u otras necesidades de mitigación.
2. Rastree y mitigue rápidamente las filtraciones de datos activas con una visión detallada de las deficiencias que conducen a los activos críticos.
3. Identifique activos y conexiones no autorizados que puedan poner en riesgo la integridad de los entornos aislados. 
4. Identifique configuraciones, privilegios y vulnerabilidades riesgosos que puedan poner en riesgo aplicaciones, sistemas e identidades de misión crítica. 
5. Comunique los riesgos en términos comprensibles para los ejecutivos y los miembros de la junta directiva, en lugar de hacerlo por volumen de riesgos individuales.
6. Impida que los atacantes accedan a los sistemas y datos críticos para garantizar la continuidad del negocio.
7. Identifique y aborde las rutas de ataque que podrían dar lugar a infracciones normativas para garantizar el cumplimiento de estándares tales como SOC 2 y RGPD.

• Identifique automáticamente todos los activos y las identidades de su red, incluyendo los recursos no gestionados o de TI oculta.
• Actualice y evalúe periódicamente la superficie de ataque para detectar nuevas vulnerabilidades o cambios en la red.
• Proporcione correlaciones claras de las posibles rutas de ataque (visualización de rutas de ataque) para mostrar cómo los atacantes pueden explotar las vulnerabilidades en secuencia.
• Evalúe la gravedad de las vulnerabilidades y el posible impacto para priorizar la corrección con base en el riesgo y la criticidad de los activos.
• Trabaje sin complicaciones con las herramientas y los marcos de seguridad existentes para lograr una estrategia de defensa unificada.
• Acceda a representaciones visuales claras e intuitivas de las rutas de ataque y los puntos de estrangulamiento (visualización de gráficos de ataque).
• Identifique y asigne de forma automática todos los activos, incluyendo los recursos de TI oculta y en la nube.
• Dé seguimiento constante a los cambios en su entorno para identificar nuevos riesgos y rutas de ataque en tiempo real.
• Obtenga información procesable y orientación de corrección paso a paso para abordar los riesgos.
• Obtenga una correlación clara y en tiempo real de la ruta del ataque con detalles sobre el origen, el objetivo y la gravedad.
• Destaque áreas en las que se cruzan varias rutas de ataque para enfocarse en la mitigación.
• Reciba soporte para entornos dinámicos de nube e híbridos.
• Notifique a los equipos los riesgos críticos y las recomendaciones de medidas de corrección.

• Las rutas de ataque de escalación de credenciales y privilegios se enfocan en la forma en que los atacantes pueden escalar privilegios utilizando credenciales robadas, mecanismos de autenticación deficientes o permisos mal configurados. Técnicas tales como Pass-the-Hash, Kerberoasting y las cuentas con exceso de privilegios permiten que los adversarios obtengan niveles de acceso superiores, lo que frecuentemente pone en riesgo a todo el dominio.
• Las rutas de ataque de movimiento lateral permiten que los atacantes se desplacen por una red tras el acceso inicial. Valiéndose de una delegación mal configurada, ataques de retransmisión SMB y directivas de grupo deficientes, los atacantes pasan de cuentas o máquinas con pocos privilegios a activos más críticos, tales como controladores de dominio o bases de datos confidenciales.
• Los atacantes explotan vulnerabilidades de software sin parches o deficiencias en el sistema para poder acceder sin permiso, y así aprovechan las rutas de explotación de vulnerabilidades. Los atacantes se dirigen a CVE críticas, puntos de entrada de ransomware y entornos híbridos de Active Directory (AD) mal configurados para ejecutar códigos, escalar privilegios o moverse lateralmente dentro de una red.
• Las deficiencias en la seguridad de la red y los errores de configuración crean rutas de ataque basadas en la red y los errores de configuración que pueden permitir el acceso no autorizado o la escalación de privilegios. Los atacantes se aprovechan de recursos compartidos de red sin protección, interfaces de administración expuestas (RDP, SSH) y relaciones de confianza de dominio deficientes, que pueden crear puntos de apoyo para ataques posteriores.
• Las rutas de puesta en riesgo de dominios se centran en obtener el control de Active Directory para manipular los mecanismos de autenticación y autorización. Los atacantes explotan los ataques DC Sync, DC Shadow y Golden Ticket para suplantar la identidad de usuarios con privilegios y conservar el acceso continuo para apoderarse de todo el dominio.
• Los atacantes pueden explotar las rutas de ataque híbridas y en la nube, como entornos en la nube mal configurados, políticas de gestión de identidades y acceso (IAM), buckets de almacenamiento expuestos y mecanismos de federación de identidades débiles para poner en riesgo los recursos basados en la nube. Con el secuestro de tokens de OAuth o el abuso de la confianza híbrida de Active Directory, los atacantes pueden moverse entre entornos en la nube y locales sin ser detectados.

Con la incorporación del APA a su programa de seguridad, puede mejorar la higiene cibernética si hace lo siguiente:

• Anticipar y mitigar de manera proactiva las posibles amenazas antes de que se materialicen.
• Implementar medidas de seguridad de defensa específicas precisamente donde más se necesitan.
• Concentrarse en las vulnerabilidades de mayor riesgo para optimizar la asignación de recursos de seguridad.
• Mejorar la respuesta ante incidentes mediante la detección, el análisis y la respuesta a los incidentes de seguridad.
• Abordar y priorizar las vulnerabilidades que forman parte de rutas de ataque de mayor riesgo para optimizar los esfuerzos de gestión y corrección de vulnerabilidades.
• Utilizar representaciones visuales de rutas de ataque para comprender y comunicar mejor los riesgos a las partes interesadas técnicas y no técnicas.
• Utilizar la inteligencia de amenazas para priorizar la corrección de las vulnerabilidades más críticas que representan una amenaza directa para sus valiosos activos.
• Respaldar el cumplimiento al demostrar el control sobre los riesgos y vulnerabilidades de seguridad.

El Análisis de la ruta de ataque también ofrece beneficios para la gestión de vulnerabilidades:

• La correlación de rutas de ataque puede ayudarle a descubrir y priorizar las vulnerabilidades más críticas.
• Apoya las evaluaciones proactivas de riesgos.
• Se concentra en las vulnerabilidades de las rutas de ataque activas para reducir el desperdicio de esfuerzos y recursos.
• Ayuda a aumentar la visibilidad de la superficie de ataque al revelar los riesgos interconectados.
• Permite la gestión proactiva de riesgo para respaldar las iniciativas de cumplimiento.

Las herramientas de Análisis de la ruta de ataque automatizado funcionan mediante las siguientes acciones:

• Visualización de las relaciones entre activos, identidades y vulnerabilidades.
• Identificación de combinaciones tóxicas y superposición peligrosa entre configuraciones y permisos.
• Simulación de escenarios de ataque anticipando los movimientos de los atacantes con base en tácticas y técnicas conocidas.

Cuando elija una herramienta de APA, hágase las siguientes preguntas:

• ¿La herramienta puede evaluar todas las posibles rutas de ataque en toda la red con cobertura en varios dominios?
• ¿Cuenta con representaciones visuales intuitivas, fáciles de usar y claras de las rutas de ataque?
• ¿Puede adaptarse y escalar según las necesidades de negocios y la arquitectura de red en evolución?
• ¿Se integra sin problemas con las herramientas y flujos de trabajo de seguridad existentes?
• ¿El proveedor ofrece actualizaciones periódicas para abordar las amenazas y vulnerabilidades emergentes?

1. Defina el alcance y la detección: fije los límites del análisis e identifique los activos críticos (por ejemplo, activos de TI, bases de datos, cuentas privilegiadas, controladores de dominio) para comprender la disposición de la red. Su objetivo es determinar posibles superficies de ataque, tales como servicios expuestos a Internet, recursos en la nube mal configurados u otros controles de seguridad.
2. Agregue y correlacione datos para asignar relaciones entre usuarios, controladores de dominio, sistemas y vulnerabilidades. De este modo se descubren vectores de ataque ocultos, tales como credenciales poco seguras que se utilizan en varios sistemas o vulnerabilidades sin parches que pueden dar lugar a una escalación de privilegios.
3. Utilice la representación y la visualización con gráficos para saber cómo un atacante podría moverse por su entorno explotando vulnerabilidades, escalando privilegios, moviéndose lateralmente o aprovechando errores de configuración.
4. Priorice la corrección: cuando haya identificado las posibles rutas de ataque, clasifíquelas con base en factores de riesgo tales como la explotabilidad (facilidad de ataque), la priorización de los puntos de estrangulamiento, el impacto (consecuencias para el negocio) y la probabilidad (técnicas de ataque del mundo real utilizadas en MITRE ATT&CK). Las rutas más críticas, como las que conducen al acceso del administrador del dominio o a activos críticos para el negocio, deben tener la máxima prioridad.

En el marco del CTEM, APA realiza las siguientes acciones:

• Identifica las exposiciones trazando posibles rutas de ataque.
• Destaca las vulnerabilidades más críticas que podrían conducir a brechas significativas para que pueda priorizar la mitigación.
• Proporciona información para elaborar estrategias de defensa proactivas que refuercen su postura de seguridad general y mejoren su resiliencia.

El APA admite medidas de seguridad reactiva y proactiva:

• Seguridad reactiva: ayuda en la respuesta ante incidentes mediante el seguimiento de los pasos del ataque, la comprensión de su progresión y la identificación de los activos puestos en riesgo.
• Seguridad proactiva: ayuda a los equipos a anticipar posibles vectores de ataque e implementar medidas de defensa para evitar la explotación.

Obtenga más información sobre cómo Attack Path Analysis (Análisis de la ruta de ataque) a través de plataformas de gestión de exposición como Tenable One puede ayudarle a abordar la complejidad de la superficie de ataque moderna. Los entornos complejos de la actualidad, que van más allá de la TI tradicional e incluyen componentes como microservicios, aplicaciones web, servicios de identidad, tecnología operativa (OT) y mucho más, requieren un conjunto diverso de herramientas para evaluar las vulnerabilidades. Una plataforma robusta le ayudará a anticipar, priorizar y proporcionar información procesable.