Imagen: Estudio fotográfico de Shutterstock/AVC

A pesar de toda su importancia para los negocios modernos, Internet sigue siendo el Lejano Oeste que siempre fue. Ahora, una nueva generación de ataques cibernéticos va más allá del phishing tradicional o la propagación de malware, con el objetivo de conectar aplicaciones maliciosas a sus servicios en la nube. Una vez que inician sesión con credenciales legítimas, desvían datos valiosos o obtienen acceso a sus sistemas financieros. Y debido a que los usuarios les han otorgado acceso, son muy difíciles de detener una vez que están dentro de su red.

Índice
  • Cuidado con el phishing de consentimiento
  • Código de certificación con cumplimiento de aplicaciones
  • Gobernanza agregada con Microsoft Cloud App Security
  • Cuidado con el phishing de consentimiento

    Parte del éxito del ataque se debió al hecho de que entrenamos a nuestros usuarios para que hicieran clic en "sí" en las pantallas de consentimiento de permisos de la aplicación. Inicialmente, una forma valiosa de proteger los sistemas, las pantallas de consentimiento se han convertido en un ruido de fondo y hacemos clic en ellas para continuar con nuestro trabajo. Estos nuevos ataques de phishing de consentimiento aprovechan la popular arquitectura del protocolo de autorización OAuth 2.0 para delegar permisos a la cuenta de un usuario, usándolos en su nombre.

    De esta forma, el atacante utiliza el servicio de autenticación de Microsoft, no uno falso, para obtener tokens de autorización que luego pueden usarse en cualquier momento para acceder a los datos. Cuantos más privilegios tenga un usuario, mejor, abriendo el acceso a sus datos y API. Ha habido un crecimiento significativo en este vector de ataque durante el último año, con el robo de datos sin que el atacante necesite saber ninguna contraseña. Una vez en su red, la aplicación atacante puede permanecer inactiva durante meses, actuando como una amenaza persistente que busca objetivos para la próxima generación de phishing.

    El Attackware está diseñado para parecer inofensivo e inocente, imitando aplicaciones comunes o actualizaciones de configuración. Una vez lanzados, brindan a los usuarios un diálogo de consentimiento familiar de clic rápido. La aplicación a menudo toma permisos más amplios de lo que podría esperar, esperando que nadie lea la ventana emergente.

    Entonces, ¿cómo puede evitar que las aplicaciones maliciosas utilicen el phishing de consentimiento? Puede impedir que los usuarios descarguen todas las aplicaciones o puede implementar un conjunto de herramientas de cumplimiento para encontrar y administrar aplicaciones sospechosas.

    VER: Cómo ver quién está tratando de entrar en su Office 365 y qué está tratando de piratear (TechRepublic)

    Código de certificación con cumplimiento de aplicaciones

    Una opción es el nuevo programa de cumplimiento de aplicaciones de Microsoft 365. Es una forma de identificar a los editores de aplicaciones confiables, con tres niveles de verificación: verificación del editor, atestación del editor y certificación de Microsoft 365.

    La verificación del editor es el nivel más bajo, diseñado para demostrar que el editor de la aplicación es un socio verificado de Microsoft y que su cuenta está asociada con su aplicación. Las aplicaciones que pasan este nivel de verificación usan OAuth 2.0 y OpenID Connect para trabajar con Microsoft Graph. También deben estar registrados en Azure AD como multiinquilino.

    Esto es lo primero que debe verificar antes de permitir que se ejecuten aplicaciones externas en su red. Este es un nivel básico de confianza que las aplicaciones deben cumplir para acceder a su entorno de Microsoft 365. Sin embargo, no debe permitir que impida que los usuarios descarguen otras aplicaciones; es más una forma de proporcionar un bloqueo adicional en su puerta de datos. Los usuarios aún podrán usar aplicaciones que pueden acceder a datos en sus PC, por lo que no debe pensar en esto como una forma de evitar mantener la seguridad de los puntos finales que usa.

    La atestación del editor es el siguiente nivel. Aquí, los proveedores proporcionan una lista con formato coherente de información de seguridad y cumplimiento sobre sus aplicaciones. Deben proporcionar estos datos para todas las aplicaciones web integradas con Microsoft 365, así como para las aplicaciones que se integran con el conjunto principal de aplicaciones de Office 365. Es importante tener en cuenta que no hay verificación de estos datos, por lo que deberá determinar por sí mismo si confía en un editor y desea otorgar acceso a sus aplicaciones a su entorno de Microsoft 365.

    Si desea una garantía adicional, puede encontrar aplicaciones certificadas por Microsoft mediante su Servicio de certificación de Microsoft 365. Esto amplía la certificación y agrega una revisión por parte de un evaluador externo.

    VER: Windows 10: Listas de comandos de voz para reconocimiento de voz y dictado (PDF gratis) (República Tecnológica)

    Gobernanza agregada con Microsoft Cloud App Security

    Encontrar aplicaciones verificadas es solo una parte de la solución. La otra son las extensiones de gobierno de aplicaciones lanzadas recientemente por Microsoft para su servicio Microsoft Cloud App Security. Esto se integra con sus herramientas de Azure Active Directory y Microsoft 365, aplicando nuevas políticas a su arrendatario. Estos incluyen la reputación de la aplicación OAuth, la detección de phishing OAuth y la gobernanza de la aplicación OAuth. MCAS es un complemento para la mayoría de las suscripciones de Office 365 y Microsoft 365, que requiere una licencia adicional a menos que esté usando un arrendatario de Microsoft 365 E5.

    Deberá configurar los roles de gobierno de aplicaciones apropiados y asignarlos a las cuentas antes de habilitar el servicio. Cuando se ejecuta, proporciona una auditoría de todas las aplicaciones OAuth que usan las API de Microsoft Graph. Dado que estos son los que probablemente usarán las aplicaciones maliciosas, puede brindarle una descripción general rápida de las aplicaciones no deseadas, así como herramientas útiles que solicitan demasiados permisos. Algunas funciones se basan en el aprendizaje automático y requieren hasta 90 días de telemetría, por lo que es posible que no obtenga todos los datos que necesita en la primera ejecución.

    Las alertas ayudan a identificar problemas urgentes y puede explorar aplicaciones para obtener información sobre ellas y lo que están usando. Los filtros pueden refinar las consultas y puede guardar estas consultas para usarlas en el futuro. A continuación, puede deshabilitar rápidamente las aplicaciones no deseadas desde el panel, eliminar permisos y bloquear el acceso a las API de Microsoft Graph. Los detalles de una aplicación le permiten ver si está certificada y ver la información del editor, así como a qué datos (y cuántos) ha accedido, y qué carga y descarga.

    VER:

    Boletín de Ciberseguridad

    Fortalezca las defensas de seguridad de TI de su organización manteniéndose actualizado con las últimas noticias, soluciones y mejores prácticas de ciberseguridad.

    Se entrega los martes y jueves