En «El mayor riesgo de seguridad no es el malware, es lo que usted ya confía», planteé el simple argumento de que la actividad más peligrosa dentro de la mayoría de las organizaciones ya no parece un ataque. Es algo administrativo. PowerShell, WMIC, netsh, Certutil, MSBuild: las mismas utilidades confiables que los equipos de TI usan todos los días también son los kits de herramientas elegidos por los actores de amenazas modernos. Bitdefender analizó 700.000 incidentes de alta gravedad y descubrió que en el 84% de ellos se estaba abusando de herramientas legítimas.
La respuesta más común que escuchamos fue justa: «Lo sé». Entonces, ¿qué podemos hacer realmente al respecto?
La evaluación gratuita de la superficie de ataque interno de Bitdefender está diseñada para responder a esta pregunta. Es una iniciativa de 45 días y de bajo esfuerzo disponible para organizaciones con más de 250 empleados que transforma el problema abstracto de «vivir de la tierra» en una lista concreta y priorizada de usuarios, puntos finales y herramientas que se pueden quitar de forma segura a los atacantes sin interrumpir el negocio.
¿Por qué esto, por qué ahora?
Una instalación limpia de Windows 11 incluye 133 archivos binarios flotantes únicos en 987 instancias. La telemetría de Bitdefender Labs mostró que PowerShell estaba activo en el 73% de los puntos finales, muchos de los cuales fueron invocados silenciosamente por aplicaciones de terceros. Esto no es un problema de malware. Es un problema de exceso de derechos y no se puede solucionar aplicando un parche.
Gartner predice actualmente que la ciberseguridad preventiva representará el 50% del gasto en seguridad de TI para 2030, frente a menos del 5% en 2024, y que el 60% de las grandes empresas implementarán tecnología de reducción dinámica de la superficie de ataque (DASR) para 2030, frente a menos del 10% en 2025. La razón es mecánica. Cuando la mayoría de las intrusiones no contienen malware y el adversario se mueve en cuestión de minutos, resulta demasiado difícil «detectar y responder». ralentizar el ciclo. Primero debemos eliminar cualquier movimiento que pueda realizar un atacante.
Mecanismo de evaluación
Este compromiso aprovecha la tecnología proactiva de endurecimiento y reducción de la superficie de ataque de Bitdefender, GravityZone PHASR, en cuatro pasos durante aproximadamente 45 días y se ejecuta en paralelo con la pila de endpoints que ya está en ejecución.
Kickoff y aprendizaje activo. PHASR normalmente tarda 30 días en crear perfiles de comportamiento para cada par de máquinas y usuarios. Revisión del panel de Attack Surface. Verá una puntuación de exposición (0-100) y una lista priorizada de hallazgos en cinco categorías: binarios no residentes, herramientas de administración remota, herramientas de manipulación, criptomineros y herramientas de piratería. Cada categoría está asignada a usuarios y dispositivos específicos afectados. Sprint de reducción opcional. Aplique los controles manualmente o deje que el piloto automático de PHASR aplique los controles. Los usuarios pueden solicitar acceso a través de un flujo de trabajo de aprobación integrado con un solo clic. Revisión de reducción. En la sesión final, cuantificaremos cuánto se ha reducido la superficie y qué TI oculta y binarios no autorizados han surgido en el proceso.
Los clientes de acceso temprano informaron haber reducido su superficie de ataque en más del 30 % en los primeros 30 días, y algunos clientes informaron una reducción de casi el 70 % en su superficie de ataque al bloquear LOLBin y las herramientas remotas sin ningún gasto adicional de investigación ni interrupción para el usuario final.
Qué significa para las diferentes partes interesadas
Para CISO: cifras de exposición defendibles y disponibles para el comité asignadas a acciones reales utilizadas por los atacantes. Varía de una semana a otra. Para administradores de SOC y TI: no ocurren clases enteras de comportamiento sospechoso pero legítimo en endpoints que no los necesitan, lo que reduce la carga de trabajo de investigación y respuesta hasta en un 50 %. Para los responsables de la toma de decisiones empresariales: reducciones de superficie continuas y documentadas: lo que los reguladores, auditores y ciberaseguradores desean cada vez más.
Comience donde ya está el atacante.
El último artículo terminaba con el principio de que los riesgos más importantes ya no son externos o desconocidos, sino internos al medio ambiente. Esto termina con la práctica. Puede crear un mapa preciso y priorizado de estos riesgos en un plazo de 45 días de forma gratuita, sin cambiar su pila existente.
Si ejecuta un entorno con mucho Windows con 250 o más usuarios, solicite una evaluación interna de la superficie de ataque aquí. Seguirán produciéndose concesiones. Que se trate de una infracción depende casi por completo de hasta dónde pueda llegar un atacante después del compromiso. La forma más sencilla de acortar su lista es revisarla.
Source link
