Cómo evitar los errores cometidos en la violación de datos de la ONU


Al caer presa de un pirata informático porque se olvidó de parchear adecuadamente sus sistemas, las Naciones Unidas tampoco divulgaron públicamente el pirateo. Así es como su organización puede evitar los mismos errores.

Video: ¿Qué sucede en el gobierno cuando se identifica una amenaza de ciberseguridad?
Paul Rosen, ex jefe de personal del Departamento de Seguridad Nacional y socio de Crowell & Moring, detalla las lecciones que las empresas y los reguladores deberían aprender de las violaciones de datos del gobierno.

En julio de 2019, las Naciones Unidas fueron víctimas de una violación de datos, según un informe confidencial de la ONU obtenido por El nuevo humanitario. Apuntando a las redes de la ONU en Ginebra y Viena, el atacante pudo comprometer cuentas y datos en docenas de servidores, lo que provocó que un alto funcionario de TI de la ONU lo llamara un "colapso importante", dijo el Nuevo Humanitario.

Atrapados en el ciberataque había servidores en las oficinas de derechos humanos de la ONU y el departamento de recursos humanos, ya que se violaron algunas cuentas de administrador, dijo el Nuevo Humanitario. Se pidió a los empleados de la ONU que cambiaran sus contraseñas, pero no se les informó sobre la violación. La ONU también decidió no revelar públicamente lo que había sucedido.

El hacker se infiltró en los servidores de la ONU aprovechando una vulnerabilidad en Microsoft SharePoint. Pero Microsoft había publicado un parche para esa vulnerabilidad en febrero y abril de 2019, varios meses antes de que ocurriera el ataque.

VER: Los 10 ciberataques más importantes de la década (PDF gratuito) (TechRepublic)

en un declaración compartida en su sitio web, la ONU reconoció que los hackers habían accedido a varios de sus servidores. Sin embargo, la ONU dijo que los servidores en cuestión eran sistemas de desarrollo autónomos que no contenían datos confidenciales ni información confidencial.

"Los hackers lograron acceder a nuestro Directorio de usuarios activos, que contiene las ID de usuario para nuestro personal y dispositivos", dijo la ONU. "Sin embargo, no lograron acceder a las contraseñas. Tampoco obtuvieron acceso a otras partes del sistema. Una vez que nos dimos cuenta del ataque, tomamos medidas para cerrar los servidores de desarrollo afectados".

En una sesión informativa el miércoles, el portavoz de la ONU Stephane Dujarric De La Riviere respondió a las preguntas de los periodistas sobre el incidente.

"Este ataque en particular sobre el que informaron sus colegas no es un evento histórico", dijo Dujarric. "Estas cosas … los intentos de atacar la infraestructura de TI de la ONU ocurren a menudo. La atribución de cualquier ataque de TI es … sigue siendo muy confusa e incierta. Por lo tanto, no podemos identificar a ningún atacante potencial específico, pero fue, de todos cuentas, un ataque con recursos ".

Un reportero preguntó por qué la ONU no pudo revelar el ataque planteando la siguiente pregunta:

"Pero, ¿por qué la ONU encubrió este ataque? Dado que se trataba de un hackeo de computadoras que transportaban datos sensibles de derechos humanos y humanitarios, datos que podrían involucrar a organizaciones asociadas y agencias de ayuda, ¿no necesitaban saber que usted había sido pirateado?

En respuesta, Dujarric trató de explicar la razón detrás de no compartir públicamente la información:

"No era … como dije, estamos bajo constante … como cualquiera, ya sabes, allí … se hacen intentos regularmente. El servidor en Ginebra al que te refieres era parte de un entorno de desarrollo y contenía datos de prueba no sensibles. de dos servidores de desarrollo utilizados para la aplicación web. Se notificó a las personas que debían ser notificadas ".

VER: Política de gestión de parches (TechRepublic Premium)

Aunque el pirata informático golpeó solo los servidores de desarrollo y puede no haber comprometido la información confidencial, el ataque señala dos errores o pasos en falso cometidos por la ONU. Primero, la organización no pudo parchar adecuadamente sus sistemas y servidores antes de tiempo. Estos pueden haber sido servidores de desarrollo, pero claramente eran accesibles para intentos de piratería externa, lo que significa que deberían haber sido parcheados adecuadamente.

En segundo lugar, la ONU no reveló la violación, incluso protegiendo la información de sus propios empleados. Aunque la organización dijo que informó a las personas necesarias, un ataque de esta naturaleza podría haber afectado a personas no solo dentro sino fuera de la ONU.

Los expertos en seguridad ofrecen consejos

Mientras que la ONU lidia con la revelación de este ataque, el asunto sirve como una advertencia a otras organizaciones sobre cómo prevenir y tratar las violaciones de datos. Para profundizar en el ataque y las posibles lecciones aprendidas, TechRepublic mantuvo una conversación por correo electrónico con el Dr. Richard Gold, jefe de ingeniería de seguridad de Digital Shadows, un proveedor de soluciones de protección de riesgo digital con sede en San Francisco; y Rui Lopes, director de ingeniería y soporte técnico de Panda Security.

TechRepublic: ¿Cómo pudo el hacker obtener acceso a los servidores de la ONU? Sé que fue a través de una falla en SharePoint, pero ¿puedes explicar exactamente cómo se explotó la falla?

Oro: La falla era una falla de Ejecución Remota de Código (RCE) que, cuando se explota con éxito, permitiría a un atacante ejecutar su propio código, por ejemplo, malware, en el servidor de la ONU.

Lopes: Sabemos lo que ahora es de dominio público. Se aprovechó una vulnerabilidad para comprometer las implementaciones de SharePoint en un sitio europeo, desde el cual era posible el movimiento lateral dentro de la mayor parte de la red de la ONU con la escalada de privilegios.

TechRepublic: ¿Tiene alguna idea de por qué la ONU no pudo parchear adecuadamente estos servidores?

Oro: Se cree que la falla de SharePoint ya estaba parchada (los ataques se informaron en julio de 2019, la vulnerabilidad se parchó en febrero-abril de 2019). La falta de inversión en servicios de TI generalmente conduce a una mala higiene de la seguridad, también conocida como "deuda de seguridad", donde los parches no se han aplicado y no se han realizado configuraciones seguras.

Lopes: El aparente culpable, el Vulnerabilidad CVE-2019-0604, fue parcheado por Microsoft en febrero de 2019. Obviamente, algo falló en la estrategia de gestión de parches de punto final de la ONU, que no es una tarea trivial, por supuesto.

TechRepublic: ¿Tiene alguna idea de por qué la ONU mantuvo en secreto esta violación de datos?

Oro: El secreto a menudo se mantiene por temor a alertar a los atacantes, crear pánico entre el personal y, a veces, por vergüenza.

Lopes: Es probable que la ONU se haya preocupado por ataques adicionales, imitadores si revelaron la violación, especialmente si su red no se endureció en un grado adecuado. Además, es fácil imaginar un escenario en el que los datos que se extrajeron fueron tan sensibles que pueden dañar las relaciones diplomáticas mundiales o debilitar la posición de la ONU en el escenario mundial.

TechRepublic: ¿Qué consejo tiene para las organizaciones en cuanto a protegerse contra infracciones como esta?

Oro: Si bien el parcheo oportuno es de suma importancia, la arquitectura de seguridad de una organización no debería ser una vulnerabilidad lejos del compromiso total. Defensa en profundidad, es decir, también se requieren múltiples controles de seguridad parcialmente superpuestos, monitoreo / registro de seguridad y un proceso de Respuesta a Incidentes (IR) robusto y bien probado.

Lopes: Las organizaciones grandes y pequeñas deben tener una postura sólida de protección de punto final en 2020, incluido el monitoreo y control del acceso a datos, así como capacidades de búsqueda de amenazas para detectar comportamientos maliciosos en su red. Los días de la ciberseguridad simplista y reactiva están en el pasado.

TechRepublic: ¿Y qué consejo tiene para las empresas sobre las mejores prácticas para revelar violaciones de datos?

Oro: La honestidad y la transparencia son esenciales para mantener la confianza. También se requieren actualizaciones y divulgaciones oportunas.

Lopes: Siempre que sea posible, la transparencia es lo mejor. Trabaje con sus autoridades locales para determinar el mejor curso de acción al darse cuenta de la actividad maliciosa en su red, y una vez que se haya remediado la amenaza, coordine una respuesta que se centre en el impacto para los usuarios finales y el público. Para asegurarse de contar con los procesos adecuados para manejar un incidente de seguridad, es importante que todas las empresas tengan un plan de respuesta a incidentes completo y actualizado.

Ver también

<a href = "https://tr4.cbsistatic.com/hub/i/r/2017/11/08/838a0b07-6707-4771-ab6a-9e2b5191778b/resize/770x/c09ec8f69f6557f2ccf484badbbf2cae/istock-599477738.jpg" target = "_ blank" data-component = "modalEnlargeImage" data-headline = "

"data-credit =" Imagen: Getty Images / iStockphoto "rel =" noopener noreferrer nofollow ">istock-599477738.jpg

Imagen: Getty Images / iStockphoto



Enlace a la noticia original