Brecha en la red del Gobierno del Estado de EE.UU.: Se utilizaron los nombres de usuario de ex empleados
En una reciente revelación de la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA)una organización gubernamental estatal fue víctima de una brecha cibernética facilitada por el uso indebido de credenciales de ex empleados. El sitio brecha en la red del gobierno estatal de EE.UU. es un claro recordatorio de la persistente amenaza que supone el acceso desde dentro a la la seguridad de las redes de las administraciones públicas.
Noticias sobre filtraciones en la red de los gobiernos estatales
En filtración de datos del gobierno estatal se produjo cuando la cuenta de administrador de un antiguo empleado fue explotada para infiltrarse en el entorno de red de la organización. Aprovechando esta cuenta comprometida, el autor de la amenaza consiguió entrar a través de un punto de acceso a una red privada virtual (VPN) interna. La intención era camuflarse entre el tráfico legítimo, evadiendo la detección mientras accedía a recursos sensibles.
Causa raíz de la brecha en la red del Gobierno del Estado de EE.UU.
El sitio investigación sobre estadounidense tenía como objetivo descubrir el origen y el alcance del fallo de seguridad. Los investigadores sospechan que las credenciales del exempleado se obtuvieron a través de otra filtración de datos, lo que pone de manifiesto los riesgos asociados a la filtración de la información de la cuenta.
La cuenta de administrador comprometida no sólo proporcionaba acceso a un servidor SharePoint virtualizado, sino que también facilitaba la entrada a otras credenciales almacenadas en él, ampliando el riesgo de filtración. incidente de la violación de la red del gobierno del estado de EE.UU.a través de los entornos locales y de Azure Active Directory.
Escalada de privilegios y movimientos laterales
Las últimas noticias sobre brechas en la red de los gobiernos estatales ha suscitado preocupación por las medidas de ciberseguridad. Con privilegios administrativos obtenidos del servidor SharePoint, los atacantes navegaron a través de la infraestructura local de la víctima, ejecutando consultas contra los controladores de dominio. Afortunadamente, no hay pruebas que sugieran un movimiento lateral hacia la infraestructura en la nube de Azure, lo que limita el alcance de la brecha.
Respuesta a las violaciones de las redes gubernamentales
La filtración dio lugar a la exposición de información confidencial de hosts y usuarios, que posteriormente se comercializó en la red oscura para obtener posibles beneficios económicos. En respuesta, la organización tomó medidas inmediatas, restableciendo las contraseñas de los usuarios, desactivando las cuentas comprometidas y revocando los privilegios elevados.
Prevención en la Red del Gobierno Estatal
Este incidente subraya la importancia crítica de la ciberseguridad del gobierno estatal ciberseguridad de los gobiernos estatales, asegurando las cuentas privilegiadas e implementando controles de acceso robustos. La ausencia de autenticación multifactor (MFA) en las cuentas comprometidas subraya la necesidad de capas adicionales de seguridad. La aplicación del principio del mínimo privilegio y la segregación de las cuentas de administrador para entornos locales y en la nube pueden mitigar el riesgo de acceso no autorizado.
Hacer frente a las amenazas internas
El impacto de la violación de la red estatal pone de relieve la creciente tendencia de los actores de amenazas a explotar cuentas válidas, incluidas las de antiguos empleados, para vulnerar las defensas de las organizaciones. La gestión adecuada de las cuentas de Active Directory (AD), incluida la eliminación oportuna de las credenciales de antiguos empleados, es esencial para mitigar las amenazas internas.
Protección de Azure Active Directory
Las medidas estatales contra la violación de la red son cruciales para salvaguardar los datos sensibles y la infraestructura de las ciberamenazas. La configuración predeterminada de Azure Active Directory puede exponer inadvertidamente a las organizaciones a riesgos de seguridad. Permitir a los usuarios un control sin restricciones sobre las aplicaciones y conceder privilegios automáticos de Administrador Global puede facilitar el acceso no autorizado y el movimiento lateral dentro de la red. Las organizaciones deben revisar y ajustar estas configuraciones para minimizar la superficie de ataque.
Conclusión
La violación de la red de una organización gubernamental estatal subraya la persistente amenaza que supone el acceso a información privilegiada y la necesidad crítica de medidas de seguridad robustas. medidas de seguridad sólidas. Aprendiendo de este incidente y aplicando las mejores prácticas en materia de control de acceso y gestión de privilegios, las organizaciones pueden defenderse mejor contra las amenazas internas y salvaguardar los datos y la infraestructura sensibles.
Las fuentes de este artículo incluyen artículos en The Hacker News y Cyber Kendra.