Durante años, la ciberseguridad ha seguido un modelo familiar: bloquear el malware, detener el ataque. Ahora, los atacantes pasan a lo que sigue.
Los actores de amenazas ahora usan malware con menos frecuencia en favor de lo que ya está dentro de su entorno, incluido el abuso de herramientas confiables, archivos binarios nativos y utilidades de administración legítimas para moverse lateralmente, escalar privilegios y persistir sin generar alarmas. La mayoría de las organizaciones no ven este riesgo hasta que el daño ya está hecho.
Para ayudar a visualizar este desafío, considere realizar una evaluación de la superficie de ataque interno gratuita: una forma guiada y sencilla de ver dónde las herramientas confiables pueden estar trabajando en su contra.
Ahora, veamos cómo opera este riesgo dentro de su entorno y tres razones por las que los atacantes prefieren usar sus propias herramientas en su contra.
1. La mayoría de los ataques ya no parecen ataques
Los actores de amenazas prefieren ataques que no parezcan ataques.
Un análisis reciente de más de 700.000 incidentes de alta gravedad muestra un cambio claro: El 84% de los ataques ahora abusan de herramientas legítimas para evadir la detección. Ésta es la esencia de Vivir de la Tierra (LOTL).
En lugar de soltar cargas útiles que activan alertas, los atacantes utilizan herramientas integradas como PowerShell, WMIC y Certutil, las mismas herramientas en las que su equipo de TI confía todos los días. Estas acciones se mezclan con las operaciones normales, lo que hace extremadamente difícil distinguir entre uso legítimo e intención maliciosa.
El resultado es un peligroso punto ciego. Los equipos de seguridad ya no solo buscan “archivos malos”. Están tratando de interpretar el comportamiento, a menudo en tiempo real, bajo presión y sin un contexto completo.
Y cuando algo parece claramente mal, el atacante ya está muy dentro del entorno.
2. Su superficie de ataque es mayor de lo que cree y, en su mayor parte, no está administrada
Los atacantes buscan herramientas no administradas que usted ya tenga.
Considere un sistema Windows 11 limpio.
Fuera de la caja, incluye cientos de binarios nativos – muchos de los cuales pueden ser objeto de abuso para ataques LOTL. Estas herramientas son confiables de forma predeterminada, están integradas en el sistema operativo y, a menudo, son necesarias para tareas legítimas o funcionalidad de aplicaciones.
Eso crea algunos desafíos fundamentales.
- No puedes simplemente bloquearlos sin interrumpir los flujos de trabajo.
- No es posible monitorearlos fácilmente sin generar ruido.
- En la mayoría de los casos, no sabes hasta qué punto son accesibles en toda tu organización.
Los análisis muestran que hasta el 95% del acceso a herramientas riesgosas es innecesario. Un factor es el acceso incontrolado a estas herramientas; otra es permitirles realizar todas las funciones de las que son capaces, incluidas funciones que rara vez utiliza la TI pero que los atacantes utilizan con frecuencia.
Cada permiso innecesario se convierte en una ruta de ataque potencial. Y cuando los atacantes no necesitan introducir nada nuevo, tus defensas ya están en desventaja.
3. La detección por sí sola no puede seguir el ritmo
La detección es tan fuerte que los atacantes buscan alternativas.
EDR y XDR son fundamentales y muy eficaces para detectar malware y amenazas que se destacan de la actividad normal. Sin embargo, la detección se está convirtiendo cada vez más en un ejercicio de interpretación a medida que los actores de amenazas abusan de herramientas legítimas para mezclarse. ¿Es legítimo ese comando de PowerShell? ¿Se espera la ejecución de ese proceso?
Ahora agregue velocidad.
Los ataques modernos, cada vez más asistidos por IA, se mueven más rápido de lo que los equipos pueden investigar. Cuando se confirma el comportamiento sospechoso, es posible que ya se haya establecido el movimiento lateral y la persistencia. Por eso ya no basta con confiar únicamente en la detección.
Lo que le falta a la mayoría de los equipos: visibilidad de la superficie de ataque interna
Si comprender el alcance de su superficie de ataque interna parece algo que debe investigar, tiene razón. Pero la mayoría de los equipos carecen del tiempo o los recursos para mapear los detalles.
- ¿A qué herramientas se puede acceder en toda la organización?
- ¿Dónde el acceso es excesivo o innecesario?
- ¿Cómo se traducen esos patrones de acceso en rutas de ataque reales?
Incluso cuando el riesgo se entiende conceptualmente, demostrarlo y priorizarlo es difícil. Por eso este problema persiste.
De reactivo a proactivo: comience con conocimiento
Cerrar esta brecha no comienza con agregar otra herramienta. Comienza con comprender su verdadero riesgo.
El Bitdefender Evaluación gratuita de la superficie de ataque interno le proporcionará una vista clara, basada en datos, de cuán expuesto está debido a sus herramientas confiables, para que pueda ver claramente el alcance de su superficie de ataque interna. Esta evaluación guiada se centra en identificar el acceso innecesario, descubrir riesgos reales y proporcionar recomendaciones priorizadas, sin interrumpir a sus usuarios ni agregarle gastos operativos.
Vea su entorno como lo hacen los atacantes
Los ataques LOTL se están convirtiendo en la opción predeterminada. Esto significa que el riesgo más importante es el que ya existe en su entorno, y cuanto antes comprenda cómo los atacantes pueden moverse a través de sus sistemas utilizando herramientas confiables, antes podrá reducir esas vías y evitar un ataque exitoso.
