Acceso No Autorizado a Almacenamiento: Controles SCF y Mitigaciones MITRE ATT&CK
Controles del Secure Control Framework (SCF) y mitigaciones MITRE ATT&CK para prevenir el acceso no autorizado a sistemas de almacenamiento. Clasificación de datos, menor privilegio, cifrado y monitoreo.
A.I.1 — Uso no autorizado de redes y sistemas informáticos
El acceso no autorizado a sistemas de almacenamiento es uno de los vectores de ataque más comunes y de mayor impacto en las organizaciones. La exfiltración de datos sensibles, la manipulación de información crítica o la destrucción de respaldos pueden comprometer la continuidad operacional y generar consecuencias legales significativas.
A continuación se detallan los controles del Secure Control Framework (SCF) y las mitigaciones de MITRE ATT&CK aplicables a este escenario.
Controles SCF primarios
ASSET-03: Clasificación de datos
Clasificación de datos según su sensibilidad para determinar los controles de acceso adecuados en sistemas de almacenamiento. Sin una clasificación clara, es imposible aplicar controles proporcionales al riesgo.
Acciones clave:
- Definir niveles de clasificación (público, interno, confidencial, restringido)
- Etiquetar los datos almacenados según su nivel
- Aplicar controles diferenciados por nivel de sensibilidad
IAM-05: Principio de menor privilegio
Implementación del principio de menor privilegio para sistemas de almacenamiento, limitando el acceso únicamente a los datos necesarios para cada rol.
Acciones clave:
- Revisar y reducir permisos de acceso a carpetas, volúmenes y buckets
- Eliminar accesos heredados o genéricos
- Implementar revisiones periódicas de privilegios
IAM-09: Verificación en dos pasos (MFA)
Verificación en dos pasos obligatoria para accesos a sistemas de almacenamiento críticos. Una sola capa de autenticación no es suficiente para proteger datos sensibles.
Acciones clave:
- Habilitar MFA para acceso a NAS, SAN, consolas de nube y backups
- Aplicar MFA en accesos administrativos y de servicio
- Monitorear accesos sin MFA como anomalía
ENC-03: Cifrado de datos en reposo
Cifrado de datos sensibles en reposo para mitigar el impacto de accesos no autorizados. Si un atacante logra acceso físico o lógico al almacenamiento, el cifrado es la última línea de defensa.
Acciones clave:
- Cifrar volúmenes, bases de datos y respaldos con algoritmos robustos (AES-256)
- Gestionar las llaves de cifrado de forma separada al almacenamiento
- Verificar que el cifrado esté activo y no solo configurado
Controles de protección y monitoreo
DLP-02: Prevención de fuga de datos
Prevención de extracción no autorizada de datos desde los sistemas de almacenamiento.
Acciones clave:
- Implementar controles DLP en endpoints y red
- Monitorear transferencias masivas de archivos
- Bloquear exportación de datos clasificados a dispositivos no autorizados
MON-04: Auditoría de accesos
Auditoría de accesos a recursos de almacenamiento crítico o sensible. Todo acceso debe quedar registrado y ser revisable.
Acciones clave:
- Habilitar logging de acceso en todos los sistemas de almacenamiento
- Configurar alertas para accesos fuera de horario o desde ubicaciones inusuales
- Revisar logs periódicamente con foco en patrones anómalos
LOG-06: Integridad de registros
Garantizar la integridad de los registros de acceso sin posibilidad de manipulación por parte de atacantes o insiders.
Acciones clave:
- Enviar logs a un SIEM o repositorio centralizado e inmutable
- Proteger los registros con controles de acceso estrictos
- Implementar firmas o hash para detectar alteraciones
Controles de cumplimiento
CIS-05-SCF: Configuraciones seguras por defecto
Aplicar configuraciones seguras por defecto en todos los sistemas de almacenamiento, eliminando servicios innecesarios, puertos abiertos y cuentas por defecto.
ISO-8.3-SCF e ISO-9.4-SCF
Cumplimiento de los controles de ISO 27001:2013 para gestión de activos de información y control de acceso a sistemas y aplicaciones.
Controles específicos de almacenamiento
STO-01: Segmentación de almacenamiento
Segmentación lógica y/o física de los sistemas de almacenamiento según la sensibilidad de los datos. Los datos confidenciales no deben residir en el mismo segmento que los datos públicos.
STO-04: Controles para NAS, SAN y nube
Controles específicos para cada tipo de almacenamiento:
| Tipo | Controles recomendados |
|---|---|
| NAS | Autenticación robusta, ACLs granulares, cifrado de volúmenes |
| SAN | Zoning, LUN masking, cifrado de fabric |
| Nube | IAM policies, cifrado con KMS, logging de acceso, versionado |
BKP-02: Protección de copias de seguridad
Protección de copias de seguridad contra accesos no autorizados. Los backups son un objetivo prioritario para atacantes de ransomware.
Acciones clave:
- Almacenar copias offline o en segmentos aislados (air-gapped)
- Cifrar los respaldos con llaves gestionadas de forma independiente
- Probar la restauración periódicamente
Mitigaciones MITRE ATT&CK
T1078-M: Prevención de uso de credenciales robadas
Prevención del uso de credenciales válidas comprometidas para acceder a sistemas de almacenamiento.
Mitigaciones:
- Rotación periódica de credenciales
- Detección de credenciales filtradas en fuentes abiertas
- Monitoreo de accesos desde ubicaciones o dispositivos nuevos
- Implementación de políticas de acceso condicional
T1083-M: Restricción de enumeración de archivos
Restricciones para evitar que un atacante pueda enumerar archivos y directorios en los sistemas de almacenamiento, reduciendo la capacidad de reconocimiento interno.
Mitigaciones:
- Limitar permisos de listado de directorios
- Monitorear consultas masivas a estructuras de archivos
- Implementar honeypots en rutas de almacenamiento sensibles
Resumen de controles
| Control | Dominio | Objetivo |
|---|---|---|
| ASSET-03 | Clasificación | Clasificar datos por sensibilidad |
| IAM-05 | Identidad | Menor privilegio en almacenamiento |
| IAM-09 | Identidad | MFA para accesos críticos |
| ENC-03 | Cifrado | Datos cifrados en reposo |
| DLP-02 | Protección | Prevenir fuga de datos |
| MON-04 | Monitoreo | Auditar accesos a almacenamiento |
| LOG-06 | Logging | Integridad de registros |
| STO-01 | Almacenamiento | Segmentación por sensibilidad |
| STO-04 | Almacenamiento | Controles por tipo (NAS/SAN/nube) |
| BKP-02 | Respaldo | Proteger copias de seguridad |
| T1078-M | MITRE | Prevenir uso de credenciales robadas |
| T1083-M | MITRE | Restringir enumeración de archivos |
Fuente: Análisis basado en el Secure Control Framework (SCF) y MITRE ATT&CK. Para la taxonomía completa de controles, consulte TTPSEC SpA.