Por qué son importantes los enlaces más débiles



Los recientes compromisos de FireEye y SolarWinds refuerzan el hecho de que se deben comprender los riesgos, se deben implementar controles y se debe tener cuidado en cada oportunidad.

Hace unos días, FireEye hizo un anuncio sorprendente: su crimson había sido violada por atacantes respaldados por el gobierno ruso. Ahora sabemos que hay aún más víctimas. SolarWinds, un conocido proveedor de herramientas para administrar redes y sistemas de TI, aparece para ser el vector en el que solían entrar los atacantes respaldados por el estado. Su lista de clientes es un quién es quién de las principales corporaciones, que reclaman más de 400 de las Fortune 500, sin mencionar una extensa lista de agencias gubernamentales de EE. UU.

Ahora se informa que el gobierno de EE. UU. violado por los mismos atacantes, y FireEye ha declarado que está viendo ataques contra «gobierno, consultoría, tecnología, telecomunicaciones y entidades extractivas en América del Norte, Europa, Asia y Medio Oriente». El alcance del ataque aún está lejos de ser claro, y la lista de esas víctimas conocidas está creciendo constantemente. Para el gobierno de los EE. UU., La lista se ha expandido a varios departamentos, incluidos los de Estado, Defensa, Seguridad Nacional, Tesoro y Comercio, con un posible impacto en otros lugares, incluidos algunos vitales para la seguridad nacional, como la Administración de Seguridad Nacional y Las Alamos Nacional. Laboratorio.

En un movimiento poco común, la Agencia de Seguridad de Infraestructura y Ciberseguridad lanzó un directiva de emergencia para apagar los sistemas SolarWinds Orion inmediatamente. Este es un movimiento para proteger estas importantes redes, aunque viene con sus propios problemas, perdiendo el monitoreo y los servicios provistos. Durante un incidente como este, una línea de visión clara del tráfico de la purple, los registros y la actividad del sistema es critical para determinar el impacto Al aprovechar estos sistemas en el ataque, los actores maliciosos han agravado el problema para los potencialmente afectados.

SolarWinds cuenta con una lista de clientes de más de 300.000 entidades, aunque se basa en una Presentación de la Comisión de Bolsa y Valores, alrededor de 33,000 de esos clientes están usando el conjunto de productos Orion afectado y 18,000 de ellos pueden haber sido afectados. Si bien 18,000 posiblemente impactados es mucho mejor que 300,000, aún es difícil exagerar los posibles efectos de este ataque. El valor de la información que puede haber sido robada es incalculable y los resultados de este ataque podrían sentirse durante años.

Si bien hay mucho que aprender, algunas cosas ya se están aclarando, incluido el mecanismo que usaron los atacantes para lanzar sus ataques: insertar código malicioso en una actualización de la aplicación. Los ataques a la cadena de suministro de program han sido una preocupación importante y se han utilizado en el pasado para gran efecto. La elaboración de una actualización maliciosa, especialmente una que incluya la firma de código adecuada, es complicada y, a menudo, requiere un acceso profundo a los sistemas de desarrollo del proveedor.

Máquinas de desarrollo, sistemas de gestión de regulate de código fuente, servidores de compilación o incluso sitios que los desarrolladores descargar herramientas from puede verse comprometida, dando al atacante un punto de entrada para inyectar código malicioso. Con demasiada frecuencia, estos son los eslabones más débiles de la cadena y los atacantes siempre se centrarán en los eslabones débiles. No es necesario dedicar tiempo y esfuerzo a atacar los objetivos difíciles cuando hay opciones más fáciles disponibles Los atacantes, especialmente aquellos que trabajan para operaciones respaldadas por el estado, también tienen fechas límite.

Debido a la naturaleza del desarrollo de software program, estos sistemas a menudo no tienen el nivel de monitoreo, controles de acceso y refuerzo de seguridad que tienen otros sistemas en una crimson. Si bien esto facilita la resolución de problemas para los desarrolladores, también hace que sea más fácil para los atacantes ingresar y pasar desapercibidos mientras exploran e insertan sus puertas traseras.

Si bien los detalles de cómo los atacantes pudieron hacer puertas traseras a las actualizaciones de software package entregadas a los clientes son escasos, han surgido algunas cosas: el ataque parece haber comenzado con el correo electrónico de SolarWinds y los atacantes recolectando información confidencial Luego, los atacantes comprometieron los sistemas de compilación utilizados para los productos Orion, lo que les permitiría inyectar el código malicioso en el producto sin agregarlo al sistema de administración de código fuente.

A su vez, comprometer el sistema de construcción de SolarWinds permitió ataques contra sus clientes, como FireEye los datos robados a FireEye y otras víctimas podrían potencialmente aprovecharse para atacar a otros, o incluso crear nuevas puertas traseras y actualizaciones maliciosas. Una infracción conduce a otra y puede dar lugar a más. Ataques como este pueden tener un efecto dominó que perdura y se propaga sorprendentemente lejos.

Por ejemplo, tan recientemente como a principios de este año, un cambio malicioso realizado en un solo archivo, SolarWinds.Orion.Core.BusinessLayer.dll, distribuido como una revisión de la aplicación afectó a innumerables empresas y agencias de todo el mundo.

Siempre hay muchas lecciones que se pueden aprender de eventos como este y, a medida que la historia se aclare en los días y semanas venideros, es probable que se expongan más oportunidades de aprender. Una lección clara que la comunidad ha estado discutiendo durante años: los ataques a la cadena de suministro pueden tener un impacto realmente masivo y deben considerarse cuidadosamente.

Para una empresa que lanza software program que se utiliza en las redes de sus clientes, asegurarse de que no les bring about daño es un deber sagrado. Si bien Hipócrates puede haber usado o no la frase exacta «primero, no hacer daño», sigue siendo una consideración importante para todos aquellos que han depositado su confianza en ellos, médicos o de otro tipo. Existe el deber moral de proteger a los clientes y debe tomarse en serio. Esto no es para culpar a nadie involucrado (que no sean los atacantes), sino que pretende ser un recordatorio de la importancia de encontrar los eslabones débiles y solucionarlos.

Cualquier dispositivo, sistema, aplicación o servicio que pueda resultar en la adición de código malicioso a una versión de software debe ser monitoreado, asegurado y tratado cuidadosamente con el mayor cuidado para minimizar el riesgo para los clientes. Confiar, por ejemplo, en que un servidor de compilación funcione y sea seguro sin las precauciones adecuadas puede provocar un desastre. Confiar, por ejemplo, en que la computadora portátil de un desarrollador está libre de influencias malintencionadas puede provocar un desastre. Confiar en los sistemas de desarrollo sin aplicar los controles de seguridad adecuados pone a todos en riesgo.

Si bien la seguridad perfecta es un objetivo imposible, se deben comprender los riesgos, se deben establecer controles y se debe tener cuidado en cada oportunidad para proporcionar el computer software más seguro posible.

Adam Caudill es ingeniero de seguridad principal en 1Password y tiene 20 años de experiencia en investigación, seguridad y desarrollo de application. Las principales áreas de enfoque de Adam incluyen seguridad de aplicaciones, comunicaciones seguras y criptografía. También es un blogger activo, orador … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original