Errores de red que son …



Los ataques que involucran un dispositivo no administrado y ningún malware exponen brechas en la ciberseguridad que deben abordarse.

Cualquiera que haya visto una película de espías reconocerá la premisa detrás de la búsqueda de errores. En los viejos tiempos, estos errores eran dispositivos de escucha en una habitación o conectados a un auricular de teléfono. Luego evolucionaron a cámaras ocultas.

Los recientes desarrollos tecnológicos significan que este nivel de espionaje ya no es algo solo para las películas de espías y las agencias de inteligencia. Un dispositivo Raspberry Pi de $ 30 podría usarse trivialmente para este propósito exacto. La strategy es very simple: ingrese a un banco o tienda minorista como un cliente promedio y conecte rápidamente una computadora del tamaño de un pulgar a una toma de corriente o de purple. Por supuesto, es incluso menos possible que lo atrapen si soborna o persuade a un infiltrado para que lo planta.

¿Quién dejó entrar a los espías?
Recientemente, detectamos un dispositivo Raspberry Pi que apareció repentinamente en la red de uno de nuestros clientes de servicios financieros. Si eso no fuera lo suficientemente preocupante, el dispositivo en cuestión se estaba comunicando usando la herramienta de acceso remoto (RAT) TeamViewer.

Como puede haber adivinado, no hay malware involucrado en este incidente, por lo que el resto de la extensa pila de seguridad del cliente no pudo ser molestado. Esto parecía un dispositivo interno aleatorio que se comunicaba con una serie de destinos externos con una reputación estelar.

¿Cómo y por qué pensamos que esto period interesante? Habla del valor de la caza de amenazas. Para un humano habilidoso, algunas cosas se destacan. Este period el único dispositivo de este tipo en la purple, y parecía comunicarse a través de TeamViewer mucho más que cualquier otra cosa. Dados los estrictos requisitos reglamentarios que deben cumplir las organizaciones de servicios financieros, este dispositivo simplemente no encajaba.

De hecho, la plataforma mostró automáticamente otra información que sería relevante para cualquier investigación. Por ejemplo, notamos que muchas de las actividades fueron extremadamente duraderas, lo que apuntaba fuertemente a que se trataba de un túnel.

¿Qué podrían hacer los adversarios con este tipo de acceso? Para empezar, simplemente podrían monitorear el tráfico interno de forma pasiva y cargar los datos. Y todos sabemos lo blando que puede ser el inside de las redes con el flujo de datos. La RAT también les da a los adversarios una puerta trasera sin restricciones a la pink desde donde pueden expandirse lateralmente más profundamente y apuntar a las joyas de la corona de la organización en cuestión. Esto es especialmente cierto porque herramientas como TeamViewer encuentran formas innovadoras de eludir los controles, como los firewalls, que están diseñados para construir un perímetro fuerte alrededor de esa pink interna blanda.

La investigación continúa
Estamos en un momento sin precedentes en el que las organizaciones se enfrentan a desafíos monumentales, incluidos sus resultados finales. Esto a menudo puede filtrarse y resultar en empleados descontentos que quieren vengarse. Pero también puede abrir la puerta a adversarios que pagarán a los empleados para que roben propiedad intelectual. Les da a estos adversarios un nivel de separación y negación de que ellos plantaron el error.

Por supuesto, podría ser algo menos siniestro pero quizás igualmente peligroso: solo un empleado obligado a trabajar desde casa pero que busca acceder a la red de forma remota.

El otro aspecto a considerar en la mayoría de las oficinas, y especialmente en las instituciones financieras de consumo y los minoristas, donde los extraños que entran y salen no es infrecuente, ¡colocar uno de estos dispositivos no requiere las habilidades de James Bond! Con todo, este es un caso clásico de amenaza interna, incluso si el perpetrador no es una persona interna.

Para minimizar los escenarios de ataque de un interno descontento, las empresas deben dar prioridad a lo siguiente:

  • Promover una gran cultura empresarial con énfasis en hacer que todos los empleados se sientan satisfechos con (y responsables) de su empresa. Los empleados felices no se convierten en amenazas internas.
  • La capacitación en concientización sobre seguridad y los procedimientos de denuncia de delitos cibernéticos también ayudan enormemente. Por ejemplo, recientemente se le ofreció 1 millón de dólares a un empleado de Tesla para instalar malware en la pink de la empresa. El informante no solo no cayó en esta trampa, sino que, de hecho, trabajó con Tesla y la policía para detener al perpetrador.
  • Monitoreo de nuevos dispositivos que ingresan a la red, especialmente aquellos con patrones de comunicación sospechosos o atípicos. Esto debería ser una parte standard de la metodología de búsqueda de amenazas de la organización.
  • Seguridad física (especialmente cuando tiene una presencia física minorista o de otro cliente), incluida la grabación de online video y los guardias de seguridad, por ejemplo.

Independientemente del motivo, el hecho de que este ataque involucre tanto un dispositivo no administrado como ningún malware expone lagunas en la visibilidad de la ciberseguridad que deben abordarse.

David Pearson ha estado analizando el tráfico de la pink durante más de una década, habiendo utilizado Wireshark desde que period Ethereal. Ha pasado la mayor parte de su carrera profesional comprendiendo cómo funcionan las redes y las aplicaciones, actualmente como investigador principal de amenazas de Awake … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial