Attivo Networks presenta un nuevo método para la protección de credenciales

Un ataque basado en credenciales se produce cuando un atacante roba credenciales, extiende los privilegios y compromete datos críticos. El robo de credenciales es la primera etapa de un ataque de movimiento lateral y detener el ataque tempranamente durante el proceso puede tener un impacto importante en el éxito y en los daños que ocasiona un atacante. De acuerdo con el Reporte de Investigación sobre Brechas de Datos 2021 de Verizon, las credenciales se mantienen entre los tipos de datos más buscados por los atacantes (60%).

Para ayudar a proteger las credenciales contra el robo y el mal uso, Attivo Networks dio a conocer una nueva solución. Como parte de su Suite Endpoint Detection Net (EDN), la funcionalidad ThreatStrike permite a las organizaciones ocultar las credenciales reales de las herramientas de los atacantes y ligarlas a sus aplicaciones. Además, la solución puede mostrar credenciales falsas que facilitan la recopilación de inteligencia de amenazas cuando se utilizan como carnada.

De acuerdo con Attivo Networks, ThreatStrike oculta y niega el acceso no autorizado las aplicaciones. “Por ejemplo, sólo Chrome tendrá acceso a su bóveda de credenciales, mientras que el resto de las aplicaciones no. La funcionalidad se lanza con soporte para 75 de las aplicaciones de Windows más populares a las que los atacantes tienen como objetivo, y se planea agregar más aplicaciones en el futuro”, dice el comunicado.

Con las credenciales productivas del punto final ahora ocultas, el atacante solo verá las credenciales señuelo que la solución ThreatStrike planta, y que por diseño aparecen como credenciales de producción populares de Windows, Mac y Linux. A medida que los ciberdelincuentes realicen el reconocimiento, estos señuelos aparecerán como cebos atractivos para que los atacantes dentro de la red los sustraigan.

La adición del ocultamiento de credenciales también se suma a la tecnología existente de “cloaking” u “ocultamiento” de la compañía. Actualmente, la empresa puede ocultar objetos de Active Directory, así como archivos, carpetas, recursos compartidos mapeados en la nube y en la red, así como unidades extraíbles. Esta tecnología es totalmente diferente de la tecnología tradicional de deception que entreteje objetos falsos con los reales, ya que la tecnología de cloaking oculta activos reales y pone en su lugar datos falsos.

La Suite Endpoint Detection Net (EDN) es un componente de la oferta de detección y respuesta de identidades (IDR) de Attivo Networks. De acuerdo con la compañía, ThreatStrike aborda las técnicas de ataque como se describe en la Táctica de “Acceso a Credenciales” dentro del MITRE ATT&CK, incluyendo: OS Credential Dumping (T1003), Credentials from Password Store (T1555), Unsecured Credentials (T1552), Steal or Forge Kerberos Tickets (T1558) y Steal Web Session Cookie (T1539).