Cómo proteger su organización tras el compromiso de SolarWinds


Ya sea que su organización use el software SolarWinds susceptible o si desea defenderse de exploits similares, aquí hay recomendaciones de cuatro fuentes.

Violación de seguridad, alerta de pirateo del sistema con un icono rojo de candado roto que muestra datos no seguros bajo ciberataque, acceso vulnerable, contraseña comprometida, infección de virus, red de Internet con código binario

Imagen: Getty Illustrations or photos / iStockphoto

Los piratas informáticos dirigidos por una nación-estado extranjera, supuestamente Rusia, lograron utilizar una vulnerabilidad en un programa de monitoreo de pink para lanzar ataques cibernéticos contra agencias gubernamentales de Estados Unidos y otras organizaciones. Los atacantes se aprovecharon de una falla en la forma en que se entregan las actualizaciones a la plataforma de monitoreo de redes Orion de SolarWinds.

VER: Política de formación y sensibilización sobre seguridad (TechRepublic Premium)

Debido a la infracción, los piratas informáticos pudieron supervisar el tráfico de correo electrónico interno en los departamentos del Tesoro y Comercio de Estados Unidos, según Reuters. La firma de seguridad FireEye, que a su vez fue el objetivo de una violación reciente patrocinada por el estado, dijo que las víctimas también incluían empresas gubernamentales, de consultoría, tecnología y telecomunicaciones, así como otras entidades en América del Norte, Europa, Asia y Oriente Medio. .

Sin embargo, la cantidad de organizaciones afectadas puede ser mayor de lo informado, ya que la plataforma SolarWinds Orion es un producto well-liked entre las agencias gubernamentales y las empresas Fortune 500.

SolarWinds informó que la falla afecta las compilaciones de la plataforma Orion para la versión 2019.4 HF 5, la versión 2020.2 sin revisión instalada y la versión 2020.2 HF 1. Si se explota, la vulnerabilidad podría permitir a un atacante poner en peligro el servidor en el que se ejecutan los productos Orion.

Recomendaciones de SolarWinds

En respuesta, SolarWinds emitió un aviso el miércoles con varias recomendaciones.

  1. Se insta a los clientes que ejecutan la versión 2020.2 de la plataforma Orion sin revisión o la versión 2020.2 HF 1 a actualizar a la versión 2020.2.1 HF 2 de la plataforma Orion lo antes posible para garantizar la seguridad de su entorno.
  2. Se insta a los clientes que ejecutan la versión 2019.4 HF 5 de Orion System a actualizar a la versión 2019.4 HF 6.
  3. Además, la versión de revisión 2020.2.1 HF 2 está disponible en la Portal del cliente de SolarWinds. SolarWinds aconseja a todos los clientes que actualicen a la versión 2020.2.1 HF 2, ya que esta versión de revisión reemplaza el componente comprometido y ofrece mejoras de seguridad adicionales.
  4. Antes de instalar la revisión, es posible que deba sincroniza tu licencia. Después de la sincronización, puede ejecutar el instalador para aplicar la corrección.
  5. Seguir estos pasos si no está seguro de qué versión de Orion ejecuta actualmente. Seguir estos pasos para verificar qué revisiones ha aplicado. Consultar estas preguntas frecuentes de SolarWinds para obtener más detalles sobre la vulnerabilidad.
  6. Las organizaciones que no pueden actualizar inmediatamente a la última versión de la plataforma Orion deben leer la página de SolarWinds en Configuración segura para la plataforma Orion.

Recomendaciones de Cycode

Para las organizaciones que quieren protegerse de exploits similares, la empresa de seguridad Cycode publicó un entrada de blog el martes ofreciendo lecciones aprendidas del incidente de SolarWinds. Entre otras recomendaciones, Cycode le aconseja que refuerce los controles de acceso de su infraestructura a través de los siguientes cinco pasos.

  1. Primero, haga un inventario de sus activos de infraestructura.
  2. Asegúrese de que todos sus servicios de canalización no sean de acceso público.
  3. Audite todos los sistemas para eliminar las credenciales predeterminadas.
  4. Luego, requiera MFA para todos los usuarios.
  5. Por último, haga cumplir las políticas de privilegios mínimos en todo el proceso.

Recomendaciones de Tempered Networks

Para ayudar a cualquier organización a reforzar sus defensas de seguridad, la empresa de seguridad Tempered Networks sugiere un enfoque de confianza cero.

«Las organizaciones deben comenzar a pensar en una metodología de seguridad que se base menos en el bloqueo de tráfico específico por política y avanzar activamente hacia un modelo de seguridad positiva de confianza cero que establezca explícitamente qué tráfico entre usuarios y hosts puede permitirse o incluirse en la lista blanca», dijo el director de tecnología de Tempered Networks Bryan Skene dijo en un aviso.

«También necesitan ser mucho más granulares en el diseño de redes, adoptando técnicas de microsegmentación que se pueden implementar a escala», agregó Skene. «Las implementaciones de seguridad de microsegmentación y de confianza cero limitan el daño interno y el compromiso cuando un atacante se afianza en la pink. Los puntos de acceso y las credenciales específicamente permitidos pueden evitar la propagación lateral del atacante o del código malicioso».

Skene también sugiere un enfoque de seguridad más simplificado.

«Quizás el mayor obstáculo para responder a un ataque como esta vulnerabilidad de SolarWinds es la complejidad y la escala de nuestra infraestructura de ciberseguridad existente», dijo Skene.

«Las capas de las políticas de seguridad existentes, distribuidas potencialmente a cientos de dispositivos en una gran organización, de diferentes proveedores y que proporcionan una gran variedad de servicios de seguridad, generalmente requieren semanas para actualizarse en el mejor de los casos», explicó. «Un almacén limpio, claro y centralizado de políticas de lista blanca para acceder a hosts y activos de red que de otro modo serían invisibles proporciona la infraestructura más avanzada y fácil de administrar para las organizaciones en el futuro».

Remedio FireEye

Por último, FireEye ya ha tomado sus propias medidas para intentar bloquear el malware genuine que se aprovechó de la falla SolarWinds Orion. Al identificar este malware con el nombre Sunburst, un portavoz de FireEye dijo que la empresa de seguridad pudo encontrar un interruptor de apagado para evitar que continúe funcionando.

Trabajando con GoDaddy y Microsoft, FireEye usó el interruptor de apagado para desactivar y deshabilitar las infecciones e implementaciones Sunburst nuevas y anteriores. Sin embargo, FireEye reconoció que los atacantes han podido establecer otros medios para acceder a las redes de víctimas más allá de la puerta trasera de Sunburst. Como tal, el interruptor de interrupción no eliminará a los culpables de dichas redes, pero les dificultará aprovechar las versiones distribuidas previamente de Sunburst.

Ver también



Enlace a la noticia authentic