Después de la violación de DISA, los expertos dicen que las agencias estadounidenses deben detener el movimiento lateral de los piratas informáticos


Según los expertos en ciberseguridad, los atacantes no deberían haber podido eliminar datos confidenciales como los números de la Seguridad Social de las redes militares.

Lo que los líderes empresariales pueden aprender sobre ciberseguridad a través del hack de OPM
John P. Carlin, ex fiscal general adjunto de seguridad nacional, habló con TechRepublic sobre el papel que juegan los líderes empresariales en un incidente de seguridad.

Los expertos en seguridad cibernética tienen muchas preguntas para el Departamento de Defensa de los EE. UU. Después de que se anunció que la información personal, incluidos los números de la Seguridad Social, de 200,000 personas había sido "comprometido en una violación de datos en un sistema alojado por la Agencia de Sistemas de Información de Defensa ".

La semana pasada, decenas de oficiales militares y personas afiliadas a departamentos militares comenzaron publicación en redes sociales sobre una carta enviada el 11 de febrero por el Departamento de Defensa que decía que la agencia se encargaba de manejar comunicaciones seguras para el presidente Donald Trump, el vicepresidente Mike Pence, su personal, el Servicio Secreto de los EE. UU., el presidente del Estado Mayor Conjunto y otros Miembros de alto rango de las Fuerzas Armadas habían sido pirateados en mayo o junio de 2019.

En una oracion lanzado a varios medios de noticias diferentes, El portavoz del Departamento de Defensa, Chuck Prichard, dijo que DISA comenzó a emitir cartas a las personas cuya información pudo haber sido comprometida, pero que "no había evidencia que sugiriera que alguna de la PII potencialmente comprometida fue mal utilizada".

El director de riesgos y director de información de DISA, Roger Greenwell, escribió en la carta que se proporcionarán servicios de monitoreo de crédito a los afectados y que las personas también pueden colocar alertas de fraude con las compañías de informes de crédito. Pero se ha publicado poca información sobre la violación real y se han planteado preguntas sobre por qué tomó tanto tiempo enviar las cartas teniendo en cuenta que la violación ocurrió al menos en junio.

DISA fue creado en respuesta a otro incumplimiento masivo del gobierno de la Oficina de Administración de Personal de EE. UU. en 2014 y 2015, lo que llevó a la publicación de datos pertenecientes a más de 21 millones de empleados gubernamentales actuales y anteriores.

TechRepublic habló con expertos en ciberseguridad sobre lo que pudo haber sucedido y lo que otras agencias gubernamentales podrían hacer para prevenir violaciones igualmente dañinas.

VER: Informe especial: una estrategia ganadora para la ciberseguridad (PDF gratuito) (TechRepublic Premium)

Vigilancia y sistemas de seguridad modernos requeridos

Joe Lareau, ingeniero de seguridad senior de Exabeam, dijo que a medida que las tensiones políticas en todo el mundo continúan aumentando, las agencias gubernamentales deben estar atentas y crear sistemas de seguridad modernos que puedan manejar una variedad de ataques.

"Recomendamos construir y usar 'defensa en profundidad': múltiples capas de controles que involucran personal, procedimientos, seguridad técnica y física para todos los aspectos del programa de seguridad. Como parte de esto, estas entidades también deberían considerar la utilización de tecnologías de análisis de comportamiento en el red, que rastrea y aprende el comportamiento de referencia de los usuarios e inmediatamente notifica a los analistas de seguridad sobre el comportamiento anómalo que podría ser indicativo de una violación o infiltración ".

Muchos otros expertos en seguridad sugirieron sistemas similares que podrían monitorear partes de la red y notificar a los equipos de seguridad cuando hubiera actividad sospechosa.

Además de las actualizaciones generales del sistema, Rosa Smothers, vicepresidenta senior de operaciones cibernéticas de KnowBe4, dijo que las agencias gubernamentales debían mejorar en la defensa contra los vectores de ataque que los adversarios utilizan habitualmente, incluida la ingeniería social y el rociado de contraseñas.

Todas las empresas, pero especialmente las agencias gubernamentales, deben capacitar a los usuarios para detectar e informar intentos de ingeniería social, como el phishing, y asegurarse de que los usuarios no reutilicen contraseñas conocidas infringidas y de uso común. Smothers agregó que la información confidencial, como los números de la Seguridad Social, deberían haberse cifrado independientemente de dónde se almacenara dentro de la red DISA.

"Es un signo de interrogación cómo la información de identificación personal de los empleados de DISA está en riesgo: esa información debe estar envuelta en una encriptación fuerte, encriptada tanto en reposo como en movimiento. Una vez que ocurren estas infracciones y los datos personales están en libertad, las mejores compañías pueden hacer por su personal es, como mínimo, proporcionar monitoreo de crédito gratuito y aprovechar las compañías de seguridad cibernética que pueden alertar cuando la información del personal como los números de la Seguridad Social se encuentran en la Dark Web ", dijo Smothers.

Poner información confidencial en el bloqueo

Tal Zamir, CTO y fundador de Hysolate, se hizo eco de los comentarios de Smothers, diciendo que la información confidencial debía aislarse en servidores bloqueados y que debían establecerse requisitos estrictos de acceso. En algunos casos, agregó Zamir, solo se debe acceder a ese tipo de información a través de estaciones de trabajo de acceso privilegiado dedicadas.

Zamir señaló que ha habido un aumento significativo en los ataques contra el gobierno y las agencias de defensa no solo en los EE. UU. Sino a nivel mundial. Si un estado-nación estuvo detrás del ataque DISA, a diferencia de los cibercriminales regulares, podría ser mucho más impactante que el robo de datos o los ataques de pérdida monetaria debido al daño potencial a largo plazo.

Según Ilia Kolochenko, fundadora y directora ejecutiva de la compañía de seguridad ImmuniWeb, se debe llevar a cabo una investigación en profundidad con urgencia para determinar si otros sistemas o dispositivos se han visto afectados fuera del sistema que aloja los datos de los empleados que se han violado.

"Con frecuencia, los atacantes de estado-nación comienzan sus ataques rompiendo el enlace más débil accesible desde Internet y luego se propagan silenciosamente a todos los demás sistemas interconectados en una serie de ataques encadenados. Peor aún, el acceso a los datos personales del personal de la agencia facilita enormemente un amplio espectro de sofisticados ataques de spear phishing y robo de identidad capaces de eludir prácticamente cualquier capa moderna de defensa ", dijo Kolochenko.

"La línea de tiempo de divulgación actual parece ser inadmisiblemente prolongada dado que la violación supuestamente ocurrió hace casi un año. Esto puede ser un indicador de la sofisticación del ataque, y lo que se ha informado hasta ahora puede ser la punta del iceberg".

Marcus Fowler, director de amenazas estratégicas de la empresa de seguridad Darktrace, dijo que existe una expectativa creciente del público de que, ya sea que usted sea MGM Hotels o DISA, tiene la obligación de reconocer una violación y las personas en un de manera que no mostró nada más que un intento de hacer que las víctimas estén más seguras, en lugar del control de daños para la marca.

Otro aspecto del hackeo de DISA que fue preocupante fue la asistencia brindada a los afectados. Ray Kelly, arquitecto principal de soluciones y alianzas para WhiteHat Security, se preguntó cómo el Departamento de Defensa planeaba reparar el daño causado a las víctimas cuyos números de Seguridad Social fueron robados.

La Oficina de Administración de Personal de EE. UU. Todavía está pagando por los servicios de monitoreo de crédito para aquellos afectados por la violación de 2014. La agencia gubernamental renovó el contrato de monitoreo de crédito de 18 meses en febrero de 2019 a un costo de alrededor de $ 400 millones. Si bien esa violación fue mucho mayor, el costo de los servicios de monitoreo de crédito potencialmente permanentes para millones de personas comenzará a ser oneroso a medida que ocurran más violaciones.

Un panorama de amenazas de ciberseguridad en evolución

Fowler, un ex ejecutivo de la CIA, dijo que la violación de DISA representaba problemas más holísticos que las agencias gubernamentales tienen con la ciberseguridad a medida que el panorama de amenazas continúa evolucionando.

"Las personas constantemente subestiman la frecuencia con la que necesitan pensar en evolucionar su enfoque de la ciberseguridad. El gobierno federal considera que la ciberseguridad es muy similar a la que ven el antiterrorismo o el ejército. Muy centrados en comprender a los actores de amenazas y en lo que están haciendo en lugar de evolucionar para pensar sobre la seguridad desde una perspectiva interna. Deben pensar cómo entienden su propio entorno digital y cómo lo protegen adecuadamente en lugar de tratar de defenderlo de las cosas que intentan predecir ", dijo Fowler.

Las agencias gubernamentales deberían ser mucho más conscientes de la detección de anomalías, los comportamientos predictivos y la aplicación de las tendencias normales del entorno digital, señaló Fowler, y agregó que en este punto, los sistemas de seguridad del gobierno deberían ser lo suficientemente sofisticados como para predecir qué datos deberían moverse hacia dónde y cómo deberían ser moverse dentro del sistema de una organización.

Los sistemas de seguridad deberían poder saber que la información como los números de la Seguridad Social no deberían moverse a ninguna parte, y mucho menos fuera de la red por completo, dijo. La inteligencia artificial y el aprendizaje automático son herramientas clave que muchos sistemas de ciberseguridad utilizan para detectar cuándo hay actividad inusual dentro de un servidor específico o parte de la red.

Los funcionarios de DISA dijeron que la violación ocurrió en algún momento de mayo o junio de 2019, lo que significa que la filtración de datos ocurrió durante un período de tiempo. Este tipo de actividad mostró que el sistema de seguridad no estaba mirando el movimiento lateral de este a oeste de los atacantes dentro de la red.

Una oportunidad para la inteligencia artificial.

La inteligencia artificial y el aprendizaje automático ayudan a los equipos de seguridad a comprender su entorno digital, les dan una mayor visibilidad en toda una red y son mejores para detectar anomalías que el ojo humano no puede detectar.

"En algún momento, algo en su red empujó los datos a un nodo eterno que es totalmente exclusivo de su entorno digital. La IA podría haber dicho 'Esto nunca ha sucedido antes. Debe ver esto como una posible violación de nuestro comportamiento normal ". La IA podrá comprender que algo está ocurriendo e identificar las respuestas que pueden ocurrir para interrumpirlo en segundos, proporcionando al equipo de seguridad más tiempo para responder a lo que está sucediendo ", dijo Fowler.

"Si AI está observando un solo servidor todo el día y toda la noche, aprendiendo las minucias de 0s y 1s, todo lo que tiene que hacer es mirar eso y hacer cumplir eso. Se vuelve muy difícil para un atacante. Estamos en una situación muy difícil. punto único donde la IA para la defensa está más avanzada que la IA para la ofensiva, pero eso está a la vuelta de la esquina y eso realmente se convertirá en un verdadero desafío para aquellas industrias que permanecen atrapadas en ese espacio tradicional de firmas, comportamientos y perímetros en lugar de romper el moldearlo y pensar en la ciberseguridad de manera diferente ".

Ver también

Concepto de violación de datos

wildpixel, Getty Images / iStockphoto





Enlace a la noticia original