En el panorama en constante evolución de la ciberseguridad, es crucial comprender a los actores involucrados para una detección y mitigación efectivas de las amenazas. Ya sea un individuo malintencionado, un grupo coordinado o incluso robots automatizados, estas entidades, a menudo denominadas actores, desempeñan un papel importante a la hora de determinar la postura de seguridad de una organización. Como líder de seguridad, es esencial profundizar en las complejidades de estos actores, en particular sus identificadores (ID de actor) dentro de la API y el tráfico web, y cómo las anomalías en estos ID pueden ser fundamentales para detectar ataques de apropiación de cuentas (ATO Account Takeover).
Comprender a los actores de la ciberseguridad
Los actores en ciberseguridad se refieren a entidades que interactúan con sistemas, redes o aplicaciones, con diversas intenciones que van desde benignas hasta maliciosas. Pueden incluir piratas informáticos individuales, grupos cibercriminales organizados, personas internas con intenciones maliciosas o incluso usuarios legítimos que inadvertidamente adoptan comportamientos riesgosos. Comprender las motivaciones, métodos y características de estos actores es fundamental para desarrollar estrategias de seguridad efectivas.
Actor: ID en API y tráfico web
Los ID de actor sirven como identificadores únicos asociados con entidades que interactúan con sistemas o aplicaciones. En el contexto de la API y el tráfico web, estos ID se manifiestan de diversas formas según los mecanismos y protocolos de autenticación utilizados. Ejemplos de ID de actor incluyen:
Claves API: En las interacciones API, los actores a menudo se autentican mediante claves API. Estas claves identifican de forma única la entidad que accede a la API y normalmente están integradas en las solicitudes, por ejemplo: http://api.myorg.org/data/2.5/search?q=value1&APPID=API_KEY
Sesiones de usuario: en el tráfico web, las sesiones de usuario se utilizan comúnmente para rastrear e identificar actores. Los ID de sesión o tokens se generan tras la autenticación y persisten durante toda la interacción del usuario con la aplicación, por ejemplo: Cookie: session_id=<SESSION_ID> user_id=1234
Agentes de usuario: los agentes de usuario presentes en los encabezados HTTP brindan información sobre el cliente que realiza la solicitud, incluido el tipo de dispositivo, el navegador y el sistema operativo. Si bien no son ID de actores directos, los agentes de usuario pueden ayudar a identificar actividades sospechosas, por ejemplo: User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/96.0.4664.110 Safari/ 537.36
Comprender las anomalías de los actores
Las anomalías de actores representan un cambio de paradigma en la ciberseguridad, centrándose en identificar comportamientos anormales exhibidos por entidades o actores específicos dentro de un sistema. Estos actores se identifican de forma única mediante varios parámetros, como direcciones IP de origen y tokens web JSON (JWT). Al monitorear y analizar el comportamiento asociado con estos identificadores, los sistemas de seguridad pueden detectar desviaciones de los patrones esperados, señalando posibles riesgos de seguridad.
Identificar un comportamiento anormal
Imagina un escenario en el que un atacante intenta explotar vulnerabilidades utilizando credenciales robadas. Con las anomalías de actor, el comportamiento anormal, como el uso del mismo JWT desde varias IP en un corto período de tiempo, puede marcarse como sospechoso. Este monitoreo y análisis en tiempo real permite a las organizaciones detectar y mitigar las amenazas antes de que escale, mejorando la postura general de ciberseguridad.
Una vez que comprendamos qué son los actores y las anomalías de los actores, profundicemos en uno de los vectores de ataque más comunes: la adquisición de cuentas (ATO), y expliquemos cómo los actores y las anomalías de los actores ayudan a detectar y mitigar este ataque.
Detección de ataques Account takeover (ATO)
Los ataques Account Takeover ((ATO) implican acceso no autorizado a cuentas de usuarios, a menudo como resultado del robo de credenciales o la explotación de vulnerabilidades. Comprender las técnicas empleadas en los ataques ATO es crucial para una detección y mitigación efectivas. A continuación se muestra un ejemplo de cómo podría desarrollarse un ataque ATO:
Credential Stuffing: El atacante utiliza listas de credenciales robadas obtenidas de violaciones de datos anteriores y las prueba sistemáticamente en varias cuentas en diferentes plataformas, explotando las tendencias de los usuarios a reutilizar contraseñas.
Ataques de fuerza bruta: utilizando herramientas automatizadas, el atacante lanza ataques de fuerza bruta, intentando sistemáticamente diferentes combinaciones de nombre de usuario y contraseña hasta encontrar uno válido.
Una vez que comprendamos qué son los actores y las anomalías de los actores, profundicemos en uno de los vectores de ataque más comunes: la adquisición de cuentas (ATO), y expliquemos cómo los actores y las anomalías de los actores ayudan a detectar y mitigar este ataque.
Anomalías y correlación en las identificaciones de actores para la detección de ACCOUNT TAKEOVER (ATO)
La detección de ataques de apropiación de cuentas (ATO) requiere un buen ojo para detectar anomalías y correlaciones en los ID de los actores, que sirven como identificadores únicos asociados con entidades que interactúan con sistemas o aplicaciones. Al monitorear y analizar estos identificadores, los sistemas de seguridad pueden identificar patrones sospechosos que indiquen una posible actividad de la ATO. Exploremos algunas anomalías y correlaciones clave junto con ejemplos de ID de actores:
1. Ubicaciones geográficas inusuales:
Anomalía: inicios de sesión repentinos desde ubicaciones o regiones geográficamente distantes no asociadas con el comportamiento típico del usuario.
ID de actor de ejemplo: direcciones IP de origen asociadas con intentos de inicio de sesión.
Escenario de ejemplo: un usuario normalmente inicia sesión desde Nueva York pero de repente intenta acceder a su cuenta desde Rusia en cuestión de minutos. Este cambio anormal en la ubicación geográfica levanta sospechas y justifica una mayor investigación.
2. Patrones de acceso anormales
Anomalía: secuencias inusuales de inicio y cierre de sesión, múltiples intentos fallidos de inicio de sesión o acceso durante horarios no estándar.
Ejemplo de ID de actor: ID de sesión de usuario o marcas de tiempo asociadas con eventos de inicio/cierre de sesión.
Escenario de ejemplo: una cuenta experimenta una repentina afluencia de intentos de inicio de sesión durante las primeras horas de la mañana, cuando el usuario legítimo normalmente no accede al sistema. Además, estos intentos de inicio de sesión van seguidos de cierres de sesión inmediatos, lo que sugiere una actividad de bot automatizada en lugar de un comportamiento genuino del usuario.
3. Firmas de usuario-agente que no coinciden
Anomalía: firmas de usuario-agente inconsistentes entre sesiones o dispositivos.
ID de actor de ejemplo: cadenas de agente de usuario presentes en encabezados HTTP.
Escenario de ejemplo: un usuario inicia sesión desde una combinación de dispositivo y navegador que normalmente no está asociada con su cuenta. Por ejemplo, un cambio repentino del uso de una computadora de escritorio Windows con Chrome a una computadora portátil macOS con Safari en un corto período de tiempo podría indicar un posible acceso no autorizado.
4. Acceso simultáneo desde múltiples IP
Anomalía: inicios de sesión simultáneos desde múltiples direcciones IP, especialmente si están geográficamente distantes.
ID de actor de ejemplo: direcciones IP de origen asociadas con intentos de inicio de sesión simultáneos.
Escenario de ejemplo: se accede a una cuenta simultáneamente desde dos países diferentes en cuestión de segundos, lo que sugiere que se comparte la cuenta o se compromete. Este acceso simultáneo desde ubicaciones dispares es muy sospechoso e indicativo de una posible actividad de la ATO.
Al monitorear y analizar estas anomalías y correlacionarlas con las identificaciones de los actores, las organizaciones pueden detectar y mitigar de manera proactiva los ataques ATO antes de que ocurran daños importantes. Aprovechar el análisis del comportamiento puede mejorar aún más la eficacia de los mecanismos de detección de ATO al identificar desviaciones sutiles del comportamiento normal.
En conclusión, comprender a los actores involucrados en la ciberseguridad y sus identificadores dentro de las API y el tráfico web es esencial para detectar y mitigar los ataques ATO. Al identificar anomalías y correlaciones en las identificaciones de los actores, las organizaciones pueden fortalecer sus defensas y protegerse contra la amenaza siempre presente de la apropiación de cuentas. A medida que el panorama de amenazas continúa evolucionando, el perfeccionamiento y la innovación continuos en los mecanismos de detección de ATO son imprescindibles para adelantarse a los adversarios y proteger los datos confidenciales de los usuarios.
Autor: Tomer Rozentzvaig
