Durante la evaluación, el equipo rojo de CISA explotó un shell web existente previamente para obtener acceso inicial a la red de la organización. A partir de ahí, infiltraron la zona desmilitarizada (DMZ), se movieron lateralmente y, finalmente, comprometieron sistemas empresariales sensibles y el controlador de dominio de la organización. Aunque la organización detectó algo de actividad maliciosa temprana, no logró abordar la amenaza de manera oportuna, dejando expuestos sistemas críticos. El equipo rojo identificó deficiencias en la segmentación de la red y una excesiva dependencia en soluciones de detección y respuesta en el endpoint (EDR), que no lograron detectar varias cargas maliciosas.
La evaluación reveló debilidades sistémicas, incluyendo la falta de protecciones robustas a nivel de red, como cortafuegos y sistemas de prevención de intrusiones (IPS). Sistemas heredados, configuraciones inseguras y una gestión de identidades inadecuada fueron factores adicionales que permitieron al equipo rojo mantener la persistencia y escalar privilegios sin ser detectados durante períodos prolongados. También se destacó la necesidad de mejorar la formación y los recursos del personal, ya que muchos empleados carecían de la experiencia técnica necesaria para responder de manera efectiva a las amenazas cibernéticas.
Las decisiones de liderazgo agravaron aún más las vulnerabilidades, ya que la organización dio baja prioridad a abordar riesgos conocidos identificados por su equipo de ciberseguridad. Estas brechas subrayan la importancia de una gestión proactiva y la inversión en medidas de ciberseguridad para mitigar amenazas en evolución.
Para abordar estos problemas, CISA recomienda implementar una arquitectura de confianza cero, que incluya prácticas seguras de gestión de identidad y acceso, autenticación multifactor resistente a ataques de phishing (MFA) y monitoreo centralizado para detectar actividades anómalas. La capacitación regular para empleados, especialmente sobre amenazas de phishing, también es esencial para reducir el riesgo de compromiso de credenciales.
El aviso enfatiza alinear las medidas de ciberseguridad con los Objetivos de Rendimiento de Ciberseguridad Intersectoriales (CPGs) desarrollados por CISA y NIST. Estas directrices proporcionan una base para que las organizaciones se protejan contra amenazas comunes y mejoren las defensas de la red. Además, CISA recomienda modernizar la infraestructura para apoyar medidas defensivas avanzadas, como servicios en la nube seguros y monitoreo mejorado de endpoints, para combatir ataques cada vez más sofisticados.
Source: Industrial Cyber
La European Cyber Intelligence Foundation es un think tank sin fines de lucro especializado en inteligencia y ciberseguridad, que ofrece servicios de consultoría a entidades gubernamentales. Para mitigar posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net, o puedes intentarlo tú mismo usando check.website.