3 tipos de ataques de red a tener en cuenta

3 tipos de ataques de red a tener en cuenta

La ciberseguridad se está convirtiendo en un término más común en la industria actual. Se transmite en reuniones ejecutivas junto con información financiera y estrategias de marketing proyectadas. Dentro del léxico de la ciberseguridad, existen algunos métodos de ataque que se repiten lo suficiente como para convertirse en parte de una “lengua común”. Estos términos son independientes de la infraestructura; realmente no importa el tipo de infraestructura que tenga. Si los datos de su organización tienen valor, un delincuente quiere obtenerlos.

Ataques de reconocimiento

Los ataques de reconocimiento se centran en la recopilación de conocimientos generales. Estos esfuerzos se derivan tanto del reconocimiento físico como de un poco de investigación digital. Las características de esta recopilación de información pueden ser cualquier cosa, desde sondear la red hasta ingeniería social y vigilancia física. Algunos ejemplos comunes de ataques de reconocimiento incluyen rastreo de paquetes, barridos de ping, escaneo de puertos, phishing, ingeniería social y consultas de información de Internet. Vale la pena señalar que estos ataques también se pueden prevenir. Estos pueden examinarse más a fondo dividiéndolos en dos categorías: lógicos y físicos.

reconocimiento lógico se refiere a todo lo que se hace en el ámbito digital y no requiere un elemento de interacción humana para lograrlo. Los barridos de ping y los escaneos de puertos, por ejemplo, son dos métodos para descubrir si el sistema objetivo existe y qué está buscando en la red. Un ejemplo de un retorno en un escaneo de puerto sería descubrir que un servidor tenía habilitado telnet (un servicio de acceso remoto) recibiendo una respuesta afirmativa en el puerto 23. Tal respuesta alerta a un atacante para saber que puede intentar una explotación orientada hacia ese servicio telnet. . Además, las consultas de información a través de Internet, incluido el aprovechamiento de los servicios públicos de información, como las consultas «Whois», hacen que la recopilación de información sea mucho más fácil. Por supuesto, una consulta de Whois existe para un propósito legítimo, pero los delincuentes explotan esto para sus propios fines maliciosos.

reconocimiento físico se apoya más en los esfuerzos necesarios para que el atacante obtenga acceso a la organización en persona. La observación de las ubicaciones de las cámaras de seguridad, las actividades de los guardias, los tipos de mecanismos de bloqueo de puertas y los patrones de vida, todos caen en la categoría de reconocimiento físico. En este punto, el atacante va a un extremo para obtener acceso a la estructura de información de la organización, pero aún existe la amenaza. Este tipo de reconocimiento todavía se enfoca solo en la recopilación de información de cualquier fuente disponible. Esto es importante cuando se evalúan los elementos de disuasión, porque si el topógrafo no puede acceder fácilmente a la información, puede devaluar el esfuerzo de recopilación por completo o forzarlos a un ámbito más lógico. Cualquiera de estas opciones del topógrafo sería beneficiosa para el equipo de la red, ya que lleva el reconocimiento a una atmósfera más controlable.

Relacionado:  SASE ciberseguridad: Protección en línea y su relación

Solución

Cuando una empresa se registra con un host de dominio, tiene la obligación de divulgar cierta información sobre su organización. Sin embargo, como control administrativo, gran parte de esa información puede ocultarse a la vista del público. Además, limitar la información presentada en los carteles puede proteger aún más a la organización. Además, es importante que el líder de seguridad de la información de una organización haga cumplir los controles técnicos sobre los datos apagando los puertos no utilizados e innecesarios y teniendo cortafuegos.

Capacitar a todo el personal sobre los peligros de las actividades maliciosas es posiblemente la mejor medida preventiva contra el reconocimiento. Además, una empresa debe utilizar los servicios de evaluadores de seguridad acreditados, incluidos los evaluadores de penetración y los ejercicios del equipo rojo. Hacerlo puede informar en gran medida al líder de seguridad de la información de una organización sobre las deficiencias existentes. La mayoría de los equipos rojos logran acceder por cualquier medio necesario, y esto realmente puede resaltar las capacidades de un atacante. Asegúrese de realizar también auditorías tanto de la información lógica como de la seguridad física en el lugar. Si se utilizan insignias de seguridad, los registros de acceso deben revisarse periódicamente para confirmar que el personal sigue las pautas de los acuerdos de acceso.

Ataques de acceso

Los ataques de acceso requieren capacidades de intrusión. Estos pueden consistir en algo tan simple como obtener las credenciales del titular de una cuenta o conectar hardware externo directamente a la infraestructura de la red. La sofisticación de estos ataques va igual de lejos. A menudo, estos ataques de acceso se pueden comparar con el reconocimiento por ser lógicos o físicos, lógicos a través de Internet y físicos que generalmente se inclinan más hacia la ingeniería social.

Acceso lógico Los ataques, como la explotación a través de ataques de fuerza bruta o la prueba de contraseñas en la red utilizando «tablas de arco iris» o los ataques de diccionario, tienden a crear una gran cantidad de tráfico en la red y pueden detectarse fácilmente. Es por esta razón que la mayoría de los ataques de acceso lógico generalmente se intentan solo después de que se hayan obtenido suficientes credenciales o reconocimiento. También hay una tendencia a apoyarse en el lado pasivo del ataque. Por ejemplo, ataques man-in-the-middle para recopilar más información antes de levantar demasiadas sospechas.

Relacionado:  Por dónde empezar en ciberseguridad: mejores recursos para aprender desde cero

Acceso físico es el acceso a la infraestructura en sí o el acceso a las personas. La ingeniería social es muy peligrosa y difícil de defender simplemente por su insidiosa efectividad. El tipo más fácil de ataque de ingeniería social implica el envío de correos electrónicos de phishing diseñados para atrapar a alguien como un punto de ventaja que permite que un atacante comience a maniobrar estratégicamente en la empresa. Esto puede suceder de varias maneras, pero podría incluir a alguien interno de la empresa que abre un correo electrónico que contiene una aplicación maliciosa que ayuda al atacante a lograr el acceso. Incluso lo mejor de la ciberseguridad puede ser objeto de este tipo de ataques simplemente porque juegan con la humanidad tal como existe, y no somos seres perfectos.

Solución

La protección contra este tipo de ataque realmente se reduce al fortalecimiento de la red. La mayoría de las empresas están limitadas a las capacidades de sus equipos, por lo que si su enrutador es vulnerable a un ataque, entonces el mejor curso de acción es conocer el tipo de ataque, buscarlo y establecer reglas en su red IDS/IPS para bloquearlo. Actualice el firmware y el software dentro de los activos de la empresa y asegúrese de que los parches estén actualizados.

Los pasos adicionales incluyen el monitoreo de la actividad de cualquier ataque de reconocimiento reconocido recientemente. Si los atacantes están investigando su organización, existe una mayor posibilidad de futuros intentos de ataque. Una respuesta fácil aquí es usar equipos de pruebas de penetración para auditar el perfil de seguridad actual de la organización. La principal diferencia entre las pruebas de penetración y las pruebas de equipo rojo es el enfoque del equipo. Un equipo de prueba de penetración quiere conocer todas las vulnerabilidades, mientras que un equipo rojo quiere saber si hay alguna.

Ataques de denegación de servicio

Denegación de servicio (DoS) significa que el intercambio de información se ha impedido debido a alguna forma de interferencia. Esto puede ocurrir por un desastre natural, como una falla eléctrica o una avalancha de paquetes que obstruyen la capacidad de funcionamiento de la red. La ironía de esos dos ejemplos es que ambos pueden ser maliciosos y un incidente real. Si bien la falla de energía es muy evidente, imagine una empresa que se jacta de un nuevo evento anunciado, luego, el día del evento, los servidores no pueden manejar el tráfico de red entrante y provocan una falla. Afortunadamente, ambos pueden prevenirse en su mayoría con la implementación adecuada de medidas de protección.

Para lograr una denegación de servicio maliciosa contra toda una red, el atacante generalmente también necesita una gran potencia informática en el lado atacante. Esto se puede lograr utilizando una colección de dispositivos en red que pueden o no ser conscientes de su participación. Esto se denominaría botnet, y puede provocar una devastación rápida en el tráfico de la red sin previo aviso a través de un proceso llamado ataque de denegación de servicio distribuido (DDoS). Esencialmente, todas las computadoras vinculadas generan paquetes en la red simultáneamente. Un recurso informático moderno típico solo puede realizar una acción a la vez, por lo que inundar la red con estos paquetes genera la necesidad de responder, y si la red no puede mantenerse al día con las respuestas, simplemente no puede funcionar.

Relacionado:  Cumbre de ciberseguridad en Santa Cruz de León - Noticias

Otro tipo de ataque DoS tiene como objetivo bloquear por completo un sistema. Esta falla total puede causar daños temporales o permanentes a una red. El propósito es dejar la red inoperable.

Solución

Las defensas DoS y DDoS caminan en paralelo con la ideología de protección de acceso. Las medidas preventivas incluyen maximizar la asignación de ancho de banda y el aislamiento de la red según los tipos de tráfico. Si los servidores web de una organización son atacados, aislarlos en una zona desmilitarizada (DMZ) protegerá los dispositivos de administración de red de back-end, así como otros servidores que tienen presencia pública, como los servidores de correo. Una DMZ combinada con privilegios y roles limitados puede ser una poderosa táctica de defensa.

En el mundo moderno basado en la nube, podría ser beneficioso para una empresa con recursos limitados buscar alojamiento de terceros. Permitir que un proveedor de servicios en la nube administre los servicios de presentación de datos ofrece un pequeño respiro debido al control y la protección que tienen en varios niveles en los modelos de la nube.

Conclusión

Un principio estándar de seguridad es que todos los sistemas son vulnerables al ciberdelito. Sin embargo, el conocimiento es poder. Cuando sepa dónde se encuentran sus debilidades explotables, puede comenzar a concentrar sus esfuerzos en esas áreas. Pruebe su red para la explotación y capacite a su personal. Una vez que esté seguro de la postura de seguridad de la organización, continúe examinando otras áreas de preparación de la seguridad de la organización, incluida la planificación de contingencias y los métodos de copia de seguridad y recuperación. La preparación de un líder de información no tiene fin, así que controle con frecuencia el estado de la organización y manténgase alerta.

El lenguaje común de la ciberseguridad ahora es parte de la taxonomía de los negocios. Sin embargo, siempre hay algo más que simplemente «hablar por hablar». Haga del léxico una realidad en su organización.

Publicaciones Similares