100 millones después: las lecciones de ciberseguridad que dejó el robo al Louvre

El robo: las ventanas que olvidaste asegurar

En los titulares recientes, el Louvre, un museo histórico que alberga más de 25 mil millones de dólares en artefactos, obras de arte y joyas históricas, sufrió un robo en el que los ladrones se llevaron bienes valorados en más de 100 millones de dólares. El museo cuenta con cámaras y cerraduras para evitar que ocurran robos. Aun así, los ladrones lograron escalar el museo con una escalera y luego cortar una ventana con herramientas eléctricas para entrar. Los guardias aparecieron, pero se retiraron después de que los ladrones los amenazaran con un armamento superior. 

Un último detalle: después de la investigación, se descubrió que la contraseña del sistema de vigilancia era “Louvre”. Afortunadamente, parece que esto no se explotó para llevar a cabo el robo exitoso.

No lo configures y lo olvides

Has implementado un EDR en tus endpoints, una pieza absolutamente crítica de la seguridad de los endpoints. Has cerrado una puerta crucial de la que dependen los adversarios para tomar el control de tus hosts y servidores. Tu EDR es similar al sistema de cámaras y cerraduras del Louvre. Cada día, estas cámaras y cerraduras evitan robos en el museo; funcionan sin fallas y a escala, 24/7. Tu EDR está diseñado para mantenerse al tanto de las últimas amenazas, pero los ladrones siguen innovando en sus tácticas.

El equipo de seguridad del Louvre depositó la misma confianza en su sistema de vigilancia hasta que los ladrones encontraron una ventana que no habían considerado. La contraseña no se explotó, pero aún así fue pura negligencia del equipo. ¿Y si te dijera que cada uno de tus hosts tiene algo igual de obvio que podría explotarse?

Nunca confíes, siempre verifica

Cuando se trata de adversarios que pueden elegir evitar las áreas donde tu EDR está observando, ¿qué opciones quedan? ¿Y si analizamos el hardening de los dispositivos bajo la lente de Zero Trust para aplicarlo a los endpoints y reducir la superficie de ataque?

Si aplicamos este concepto a las computadoras portátiles de los usuarios, ¿por qué es tan común que cada dispositivo se entregue con acceso completo a PowerShell? El acceso a PowerShell en tu dispositivo equivale a que la contraseña del equipo de seguridad del Louvre sea “Louvre”.

Un concepto central de Zero Trust enfatiza el principio del menor privilegio. El menor privilegio significa que tu equipo de marketing no debería tener permiso para acceder a la aplicación financiera y solo debería tener acceso a las aplicaciones específicas para sus funciones.

Considera una organización con 1,000 empleados. Tal vez solo 50 desarrolladores dependen de PowerShell a diario. Dado que PowerShell puede ocultarse detrás de un EDR y usarse como las “llaves del castillo”, el equipo de seguridad debería tener un entendimiento sólido de todos los dispositivos autorizados para ejecutarlo con privilegios de administrador.

¿Cómo asegura tu equipo de seguridad una visibilidad constante de quién tiene estos permisos, desactivarlos y mantenerlos desactivados?

Tu mayor superficie de ataque ya está instalada

Así como no querrías ciertos puertos abiertos en tu firewall, hay controles y herramientas que están activas de manera inherente en cada endpoint y que no deberían estar instaladas o habilitadas. Las grandes empresas pueden tener los recursos para trabajar con estáticas de Active Directory Group Policy y realizar un mapeo de marco adecuado para eliminar estos servicios innecesarios, pero muchas organizaciones pequeñas y medianas carecen de esos recursos.

Los atacantes están utilizando herramientas legítimas instaladas en los flujos de endpoints para tomar el control de los hosts. ¿Qué herramientas existentes están presentes en tu flota que tus usuarios no utilizan, pero que un adversario conocido ha explotado o le encantaría explotar en tu entorno?

Aquí tienes una pequeña muestra de herramientas, casi con certeza, ya instaladas:

• Por ejemplo, WinRAR para preparación de datos.
  
• Rclone para exfiltración de datos.
  
• Cloudflare para túneles.
  
• AnyDesk para persistencia.

Desviarse de la imagen maestra

Si el equipo de seguridad del Louvre hubiera mantenido una cadencia regular de escaneos de seguridad, podrían haber descubierto a los ladrones antes de que entraran por la ventana y también la contraseña débil.

Con Batuta, tendrás visibilidad en vivo de tu flota para detectar rápidamente desviaciones de tu imagen dorada orientada a la seguridad. La imagen dorada representa tu visión de las herramientas exactas que cada usuario debería, o no, tener en su flota. Además de garantizar que los controles de seguridad críticos estén configurados correctamente en todos los dispositivos adecuados.

Una vista macro de todos los activos, servidores y máquinas virtuales permite a los CISOs detectar una posible brecha mucho antes en la cadena de ataque. La limitación de servicios y funciones expuestas, junto con la visibilidad en tiempo real, permite una gestión integral de la flota. Además, Batuta puede simplificar la implementación de tu EDR y asegurar que sea coherente en todas tus herramientas y no pueda ser eludido. Este enfoque proporciona una defensa en profundidad sólida para que no dejes tu puerta o ventana ligeramente abierta.