El ataque masivo a SolarWinds ha suscitado preocupaciones importantes debido al compromiso de una sola empresa que afecta a varias otras empresas afiliadas. Los atacantes han reconocido que para escalar sus operaciones de ataque, es más fácil apuntar a empresas que ya tienen acceso masivo a las redes de otros clientes. En lugar de atacar una empresa a la vez, tiene sentido infiltrarse en las empresas, encadenar el ataque masivo a miles de clientes y luego utilizar el sistema para controlar la red de ataque. Esta no es de ninguna manera una estrategia nueva, sigue siendo una estrategia muy efectiva que es difícil de detener.
La violación de FireEye por parte de piratas informáticos de los estados nacionales fue causada por actualizaciones maliciosas de un producto de monitoreo de red ampliamente utilizado (SolarWinds) que afecta a organizaciones gubernamentales y empresas. Los piratas informáticos comprometieron la infraestructura de SolarWinds y utilizaron este acceso para crear actualizaciones maliciosas y distribuirlas a múltiples usuarios de software.
¿Qué tan masivo fue el ataque SolarWinds? Los clientes de SolarWinds incluyeron 425 o US Fortune 500. Esto subraya el impacto significativo de los ataques a la cadena de suministro en las organizaciones, muchas de las cuales desconocen la amenaza o la necesidad de defenderse contra ellos. Destaca que se deben tomar medidas para gestionar la seguridad de los proveedores siempre que sea posible.
Pixabay
Seguridad del proveedor
No se puede negar que el ataque SolarWinds plantea problemas de seguridad de los proveedores. Es importante asegurarse de que los proveedores estén adecuadamente seleccionados y tengan el mismo o mejor nivel de seguridad que su empresa. Toda organización necesita establecer una base de seguridad. Muchas empresas establecen una línea de base basada en un marco como ISO 27001 o NIST 800-53 / 171, ya que esto facilita la comparación de los controles técnicos y administrativos y la medición de la madurez de la seguridad.
No siempre es posible garantizar que los proveedores se adhieran a las mismas condiciones generales de la empresa. Sin embargo, la empresa debe continuar garantizando el alto nivel de seguridad que espera su junta directiva. Si no se puede garantizar el cumplimiento de un determinado marco en tales circunstancias, es aconsejable defender al proveedor y sus servicios. El aislamiento o espacio de aire creado ofrece así a la empresa el nivel de protección requerido.
Creando la situación de seguridad para la ciberresiliencia
A menudo se plantea la pregunta de si un ataque tan grande como este, patrocinado por un estado nacional que empresas como FireEye y Microsoft tienen dificultades para detectar y detener, se puede controlar y qué posibilidades tiene la empresa de defenderlo. un ataque efectivo?
Estos tipos de ataques son dirigidos y muy difíciles de detectar. La mejor contramedida para contrarrestar estos ataques es utilizar capas de defensa. Al utilizar una estrategia de defensa en capas (que crea múltiples obstáculos), una organización puede dificultar el éxito del atacante. Si bien estos ataques son difíciles de detectar y detener, la respuesta nunca debería ser no hacer nada en absoluto.
Cuanto mejor sea la resistencia cibernética de la empresa, más difícil será para los atacantes poner en peligro el medio ambiente y no ser detectados. Las empresas pueden seguir los siguientes pasos para mejorar la seguridad y la resistencia.
1. Detección continua
Lo primero a considerar es lo que la organización necesita defender. Es importante identificar los activos que desea proteger, incluidos los dispositivos o los datos, y mantenerlos seguros para que estén debidamente protegidos y defendidos.
Una prueba de penetración o un escaneo de vulnerabilidades no va lo suficientemente lejos: es una instantánea y un punto en el tiempo que es insuficiente para ataques sostenidos como el ataque SolarWinds. El desafío con ataques como SolarWinds es comprometer un complemento confiable y potencialmente superar este tipo de análisis. Una plataforma de prueba sólida y continua detectaría conexiones salientes y exfiltraciones, así como troyanos distantes como SolarWinds.
Sin embargo, un desafío con la detección continua es la necesidad de tener "ojos en el vidrio". Las personas que tienen la experiencia y comprenden lo que buscan y buscan deben observar y analizar. Las organizaciones deben adquirir la experiencia necesaria para implementar de forma segura esta función en la empresa.
2. Observe los datos y las conexiones que salen del alcance.
Hoy en día, el tráfico de la red atraviesa muchas redes. Independientemente de esto, algunos caminos son muy transitados y necesarios para la operación diaria típica. Estos patrones pueden reconocerse y usarse un patrón para defender la organización. Todas las aplicaciones son parte de la generación de tráfico y la introducción de un módulo explotado como SolarWinds provocaría una anomalía notable. Sin embargo, si no se supervisa, puede pasar desapercibido. Ataques como este no son fáciles de detectar. Esto se evidencia por el hecho de que solo un puñado de proveedores pudieron detectar la violación de SolarWinds.
También es importante pensar en los puntos finales como una extensión del alcance. Estos también deben ser monitoreados, especialmente porque muchos dispositivos son remotos y aún tienen acceso a la red y los recursos corporativos. Esto puede provocar infecciones e intervenciones.
3. Espacio de aire y aislamiento
El uso de espacios de aire para defender equipos, datos y cualquier elemento que pueda dañar el medio ambiente es un mecanismo de defensa adecuado. Los espacios de aire son una medida de seguridad que se utiliza para garantizar que una red informática esté físicamente aislada de las redes inseguras.
Podría verse como un foso alrededor de un castillo. El foso es un obstáculo. En términos simples, desde las torres sobre un foso, puedes ver a los atacantes que intentan superar el foso para acceder al castillo. Sin embargo, desde la perspectiva del ataque SolarWinds, los atacantes se infiltrarían a través de alguien que ya tiene acceso a los muros interiores del castillo. Esto significa que incluso los proveedores más confiables deben ser examinados. Por lo tanto, utilizar la estrategia Zero Trust también sería beneficioso en este caso.
4. Gestión de cuentas privilegiadas
Por ejemplo, suponga que cualquier sistema, persona, aplicación o dispositivo tiene mayores privilegios y puede administrarse o decidirse por dónde fluyen los datos o permite el acceso. En este caso, las credenciales deben administrarse de forma segura.
Las cuentas de servicio y los canales de devolución son los caminos precisos que buscan los atacantes, y cualquier herramienta que se pueda utilizar para administrar el medio ambiente es un objetivo. El ataque SolarWinds es una lección de la que se debe aprender y las empresas deben asegurarse de que sus defensas estén elevadas. Las herramientas adecuadas también deben implementarse y monitorearse adecuadamente para detectar vulnerabilidades de seguridad.
5. Endurecimiento del sistema
Actualmente, los fabricantes de dispositivos están haciendo esfuerzos para lanzar dispositivos reforzados de forma predeterminada. Sin embargo, esto no siempre funciona tan bien como se esperaba. Por lo tanto, se recomienda considerar el endurecimiento del sistema como una técnica para proteger mejor el medio ambiente. Garantizar que todas las herramientas y software innecesarios se eliminen de las computadoras y que los dispositivos, servidores y servicios solo se utilicen para los fines previstos es clave para una postura de seguridad más estable.
Muchas personas confunden flexibilidad con seguridad sólida, aunque no siempre se requiere flexibilidad para hacer un trabajo de manera segura. Por ejemplo, si necesita un dispositivo para navegar por Internet, para el trabajo de oficina y solo para almacenar datos en la red de la empresa. En tal caso, no hay ninguna razón por la que todas las demás funciones no se puedan eliminar de este dispositivo, dejando solo la función deseada en una interfaz restringida con autenticación fuerte. Esto puede crear una barrera que podría ser frustrante para el atacante y, en algunos casos, demasiado difícil de vigilar para un atacante. Esto puede desviar la atención de un atacante y concentrarse en un punto más débil.
Es necesario encontrar un equilibrio pragmático, pero no es fácil. Como resultado, muchos evitan el ejercicio, pero no hacer nada podría llevar a un compromiso. Vale la pena tomarse el tiempo para fortalecer su entorno y crear una cultura de seguridad para que pueda defenderse de este tipo de ataques. Si vale la pena proteger el activo, la práctica vale la pena el esfuerzo.
6. Revisión del proveedor
Revisar a los proveedores, aunque es difícil, es un paso fundamental. Hoy en día, los proveedores a menudo reciben cuestionarios de seguridad de sus clientes y responden todas las preguntas de manera positiva para mantener el negocio en marcha y desarrollar una percepción positiva para sus clientes. La auditoría a menudo encontró que los proveedores reaccionan de tal manera que sus clientes quedan expuestos. Pocos tienen las protecciones necesarias para mantener seguros a sus clientes y el motivo es que la ciberseguridad no es fácil. Además, los ataques pueden penetrar desde cualquier lugar y a través de cualquier cosa.
Consecuencias de los ataques de SolarWinds: análisis de riesgos
Un paso en la dirección correcta sería revisar al proveedor de una manera estructurada y trabajar con el proveedor para comprender adecuadamente su postura y madurez de seguridad. Es importante tener cierto nivel de honestidad y ser realista. Una vez que se conoce esto, el riesgo se puede evaluar de manera más eficaz. De manera realista, la organización puede aceptar el riesgo de acuerdo con su apetito por el riesgo o mitigarlo implementando capas de defensa según sea necesario. Algunos riesgos pueden ser aceptables, pero otros no. Debido a esto, las empresas necesitan tener una visión en profundidad de cómo abordar cada problema o riesgo.
Imagen destacada: Shutterstock
El impacto posterior al ataque de los ataques de SolarWinds: la gestión de su riesgo de seguridad se vio por primera vez en TechGenix.
Comentarios
Publicar un comentario