Autor: Rodrigo Irala, Senior Cybersecurity Engineer, Pentera  

Pentera, líder en la categoría de Validación de Seguridad Automatizada, permite a las organizaciones reducir su superficie de ataque externa e interna lanzando ataques reales y seguros para priorizar la remediacion en base al logro obtenido ejecutando cada vector de ataque. Con este nuevo módulo, Credential Exposure, monitorizamos continuamente las credenciales robadas y filtradas para validarlas contra ambas superficies de ataque con el fin de prevenir brechas de seguridad antes de que ocurran. 

La plataforma de Pentera surge con el objetivo de ayudar a las organizaciones a entender su superficie de ataque desde la perspectiva del atacante, centrandonos en encontrar los puntos débiles que pueden ser aprovechados por los actores maliciosos para poner comprometer nuestros áctivos críticos y en priorizar su remediación. 

Desde un punto de vista externo, lo primero que Pentera comprueba es que activos están expuestos de una manera automática, identificando aquellos que están publicados intencionadamente como un página web y también aquellos que por error estamos publicando  como un servicio RDP o SSH de un servidor interno. Se encuentran los puntos más atractivos para comprometer esos activos y servicios, como puede ser vulnerabilidades explotables o errores de configuración y se intentan explotar para validar si realmente esto supone un riesgo para nuestra organización. 

Con el nuevo modulo Credential Exposure dotamos de inteligencia de amenazas a la plataforma de Pentera lo que nos permitira tener visibilidad de las credenciales expuestas y validarlas contra nuestros activos para comprobar si alguna combinacion de usuario/contraseña sigue siendo válida y podría ser utilizada en un ataque. 

Cómo funciona 

Aprovechando diferentes fuentes de información de amenazas que se relacionan con los dominios en cuestión, se alimenta constantemente a la plataforma de Pentera con credenciales que hayan sido robadas y que estén expuestas para su posible compra y utilizacion por parte de los actores maliciosos. Por lo general, de cientos a miles por dominio.  

Normalmente, estas credenciales filtradas se publican en diferentes formatos, como puede ser el hash de la contraseña o en forma de conjuntos completos o parciales de nombre de usuario e inicio de sesión. 

Mapeo de Credenciales 

Pentera ordena, filtra y utiliza está información mapeando la superficie de ataque interna y externa para encontrar los puntos potenciales de compromiso y oportunidades para utilizar dichas credenciales incluyendo las interfaces de aplicaciones web, los activos en la nube, el perímetro y el Active Directory.  

En esta fase se intenta descifras las credenciales obtenidas en formato hash para su posterior uso. 

Validación de credenciales 

Pentera rellena o transmite las credenciales de forma proactiva mediante diversas técnicas para intentar obtener un punto de entrada validando cual de las mismas sigue activa y permitiendo progresar diferentes vectores de ataque.   

Notificación del filtrado

Se envían informes y notificaciones al equipo de seguridad para abordar y mitigar las filtraciones de credenciales a medida que se detecta un usuario y contraseña válidos en cualquiera de los activos. 

Ventajas: Ciberseguridad accionable 

Al contar con una plataforma para validar las superficies de ataque internas y externas, puedes unificar los esfuerzos, eliminando duplicados de información y acelerando los tiempos para mitigar el riesgo asociado a las credenciales, reduciendo el trabajo manual y el análisis de datos para correlar la informacion de inteligencia con las credenciales activas. 

Prioriza las credenciales filtradas en base al impacto real  

Esto nos permite centrarnos en el 1% de credenciales filtradas que realmente son explotables,  deteniendo los ataques incluso antes de que lleguen a producirse.