Protegiendo las Joyas de la Corona: Cómo DSPM y DDR Defienden el Red Teaming

A diferencia de las evaluaciones de vulnerabilidad genéricas, el red teaming opera como un adversario del mundo real, descubriendo puntos débiles en las defensas de seguridad y probando la capacidad de una organización para detectar, responder y recuperarse de un ataque. Y hablando de red teaming, en Forcepoint estamos contentos de ver que el equipo de red de CISA está intacto y sigue protegiendo a los socios federales e infraestructuras críticas.

Según el Informe de Costos de una Brecha de Datos de IBM de 2024, el costo promedio global de una brecha de datos alcanzó un récord de $4.88 millones en 2024, marcando un aumento del 10% respecto al año anterior. Vale la pena señalar que herramientas como el Data Security Posture Management (DSPM) y el Data Detection and Response (DDR) de Forcepoint pueden servir como un mecanismo de defensa efectivo y proteger estos objetivos de alto valor.

En esta publicación, discutiré los diferentes tipos de joyas de la corona, junto con cómo Forcepoint puede ayudar a su organización a descubrirlas y protegerlas.

Tipos de Joyas de la Corona y Cómo se Descubren

1. Datos Sensibles (PII, PHI, PCI, Propiedad Intelectual)

Ejemplos: Bases de datos de clientes, registros de salud de pacientes, detalles de tarjetas de crédito, secretos comerciales, algoritmos propietarios.

Tácticas de Descubrimiento del Red Team:

• OSINT (Inteligencia de Fuentes Abiertas): Búsqueda de credenciales expuestas, bases de datos filtradas o información interna.
• Phishing y Ingeniería Social: Engañar a los empleados para que revelen credenciales de acceso a datos sensibles.
• Configuraciones Incorrectas en la Nube: Identificación de buckets S3 expuestos públicamente, almacenamiento mal configurado o APIs no seguras.
• Escalada de Privilegios: Explotación de permisos débiles para moverse lateralmente y acceder a bases de datos sensibles.

2. Cuentas Administrativas y Privilegiadas

Ejemplos: Administradores de dominio de Active Directory, cuentas root, credenciales de administración en la nube, cuentas de servicio privilegiadas.

Tácticas de Descubrimiento del Red Team:

• Dumping de Credenciales: Uso de herramientas como Mimikatz para extraer hashes de contraseñas de endpoints comprometidos, desplegando herramientas troyanizadas para capturar credenciales de manera sigilosa para una mayor explotación.
• Kerberoasting: Apuntar a cuentas de servicio débilmente encriptadas para la escalada de privilegios.
• Ataques de Fuerza Bruta y Rociado de Contraseñas: Explotación de políticas de autenticación débiles para descifrar cuentas de alto valor.
• Secuestro de Sesiones: Interceptación o robo de tokens de autenticación para eludir los mecanismos de autenticación.

3. Infraestructura y Sistemas Críticos

Ejemplos: Bases de datos centrales, credenciales, sistemas de transacciones financieras, sistemas de control industrial (ICS), pipelines de DevOps.

Tácticas de Descubrimiento del Red Team:

• Enumeración de Redes: Mapeo de sistemas críticos usando herramientas de escaneo como Nmap.
• Credenciales Predeterminadas y Configuraciones Débiles: Explotación de sistemas que usan credenciales de administrador predeterminadas o carecen de autenticación multifactor (MFA).
• Explotación de Vulnerabilidades No Corregidas: Apuntar a sistemas heredados que ejecutan software desactualizado.
• Manipulación de Firmware: Compromiso de sistemas embebidos para obtener acceso persistente.

4. Repositorios de Código Fuente y Pipelines de DevOps

Ejemplos: Repositorios Git, pipelines CI/CD, claves API.

Tácticas de Descubrimiento del Red Team:

• Filtraciones de Repositorios de Código: Búsqueda de repositorios expuestos en GitHub, GitLab, Bitbucket.
• Explotaciones de Pipelines CI/CD: Inyección de código malicioso en los procesos de construcción y despliegue.
• Fallos en la Gestión de Secretos: Extracción de credenciales hardcoded o tokens API no protegidos.
• Envenenamiento de Dependencias: Inserción de dependencias maliciosas en las cadenas de suministro de software.

5. Herramientas de Comunicación y Colaboración

Ejemplos: Sistemas de correo electrónico, Google Drive, Slack, Teams, Confluence, SharePoint.

Tácticas de Descubrimiento del Red Team:

• Compromiso de Correo Electrónico Empresarial (BEC): Acceso a correos electrónicos ejecutivos mediante phishing.
• Escucha de Comunicaciones Internas: Extracción de discusiones sensibles o datos confidenciales.
• Controles de Acceso Mal Configurados: Identificación de unidades compartidas con permisos excesivos.
• Robo de Tokens de Sesión: Secuestro de tokens de autenticación para obtener acceso no autorizado.

Cómo DSPM y DDR Protegen las Joyas de la Corona

El software DSPM juega un papel crucial en la protección de las joyas de la corona al monitorear y asegurar continuamente los datos sensibles en entornos on-prem, en la nube e híbridos. Así es como DSPM neutraliza los vectores de ataque comúnmente explotados por los equipos rojos:

Combina Red Teaming, DSPM y DDR para una Seguridad Proactiva

El red teaming ayuda a las organizaciones a descubrir cómo los adversarios podrían apuntar a las joyas de la corona. Forcepoint DSPM y DDR aseguran que esos activos permanezcan protegidos mediante el descubrimiento proactivo, monitoreo y remediación. Nuestro producto Forcepoint DSPM ayuda a las organizaciones a descubrir, clasificar y priorizar datos no estructurados.

Al integrar los conocimientos del red teaming con las capacidades de DSPM, las organizaciones pueden construir una estrategia de seguridad resiliente que minimice el riesgo y fortalezca sus datos más valiosos contra amenazas del mundo real. Hable con un experto hoy mismo.