SolarWinds Hack Lecciones aprendidas: Encontrar el siguiente …



El compromiso de la cadena de suministro de SolarWinds no será el último de este tipo. Tanto los proveedores como las empresas deben aprender y perfeccionar sus esfuerzos de detección para encontrar el próximo ataque de este tipo.

A pesar de que las investigaciones y el análisis del hackeo de SolarWinds recientemente descubierto continúan en curso, ya está claro que el alcance es extenso y el impacto complete probablemente resultará devastador.

En resumen, FireEye descubrió el mes pasado lo que describió como un «campaña de intrusión worldwide«perpetrado a través de actualizaciones maliciosas y troyanas al computer software de administración de red Orion de SolarWinds. Las últimas estimaciones indican que el computer software SolarWinds comprometido llegó a aproximadamente 18.000 empresas, agencias gubernamentales y otras entidades a nivel mundial.

Aún no está claro cuántas de esas víctimas sufrieron daños como resultado.

Las vulnerabilidades en la cadena de suministro de software program no son nuevas de acuerdo a Imperva, se han reportado más de 150,000 Vulnerabilidades o Exposiciones Comunes (CVE) en aplicaciones de application y bibliotecas desde el año 2000. Sin embargo, el incidente de SolarWinds ha servido para ilustrar claramente que las vulnerabilidades de la cadena de suministro representan un riesgo significativamente mayor de compromiso y potencial de daño. – de lo que la mayoría pensaba anteriormente.

Una propuesta aún más aterradora es la siguiente: si el producto insignia de SolarWinds podría verse comprometido y pasar desapercibido durante semanas o meses por miles de empresas, incluidas algunas de las principales firmas de ciberseguridad del mundo, ¿cuántos compromisos más de la cadena de suministro de software pueden estar ya en el aire? ahora, ¿esperando ser descubierto?

Una cadena de suministro &#39destroy chain&#39

Tanto las empresas como los proveedores deben tener en cuenta el riesgo de ataques a la cadena de suministro y realizar ajustes tanto estratégica como tácticamente. Las organizaciones deben esforzarse por crear una «cadena de muerte cibernética» para los compromisos de la cadena de suministro, creando así tantas oportunidades como sea posible para prevenir, interrumpir o al menos detectar rápidamente tales incidentes antes de que el program armado tenga la oportunidad de causar daños.

Omdia recomienda adoptar un enfoque programático a largo plazo para la seguridad de la cadena de suministro de software program. Dicho enfoque debe basarse en las mejores prácticas de gestión de riesgos sólidas, como Gestión de riesgos de la cadena de suministro cibernética del NIST (C-SCRM) Guia.

Sin embargo, hay tres áreas particularmente notables en las que las empresas tienen oportunidades de generar cambios positivos en el corto plazo.

Gobernanza de la cadena de suministro de software program

La mayoría de las organizaciones no tienen visibilidad ni handle prácticos sobre las prácticas de seguridad de sus proveedores de software program de terceros. Incluso si las empresas tuvieran los medios para perseguirlo, desde la perspectiva de los proveedores de program, brindar a los clientes (o cualquier persona) esa oportunidad a menudo presenta demasiado riesgo en sus propios procesos, al exponer el acceso al sistema o las tácticas de seguridad, sin mencionar los costos adicionales de hacerlo.

Dicho esto, las organizaciones deben buscar aprovechar su influencia como clientes para mejorar la gobernanza de la cadena de suministro de software program.

En la práctica, esto se ejecuta mediante la creación de un conjunto básico de mejores prácticas de seguridad de software program que sirven como requisitos básicos que cualquier proveedor de application debe cumplir antes de la compra.

Estos requisitos pueden ser más o menos detallados o técnicos según la categoría de proveedor o el tamaño de la empresa. Una vez más, las mejores prácticas de la industria deben ser el punto de partida para cualquier proveedor de application, incluidas, entre otras, prácticas específicas para el suministro de código, revisión de código (manual y automatizada), pruebas de seguridad de software package consistentes tanto antes como después del tiempo de ejecución, y detalles sobre sus prácticas para detectar inserciones de código anómalas o sin fuente como la que afectó a SolarWinds y que pueden pasar desapercibidas por las medidas de seguridad tradicionales.

Como parte de cualquier acuerdo de compra, se debe exigir a los proveedores que no solo se comprometan a cumplir con estas pautas, sino que también validen que lo están haciendo de manera continua. Algunas compras de alto valor también pueden requerir una indemnización para los clientes afectados o comprometidos en caso de un incidente de seguridad.

El ángulo de gobernanza es el eje aquí porque este enfoque requiere la aceptación de toda la empresa, desde la alta dirección hasta los grupos de TI y ciberseguridad, pasando por todos los gerentes de línea de negocio y otros tomadores de decisiones de program. No es tanto un regulate técnico como un regulate de gestión de riesgos empresariales.

Si bien el enfoque sin duda agregará tiempo, complejidad y costo al proceso de adquisición de computer software, una vez refinado puede convertirse en un proceso estandarizado que ayuda a garantizar que los fabricantes de software con prácticas de seguridad no documentadas o poco claras sean eliminados del proceso de compra.

Detección de amenazas basada en análisis de comportamiento

Es interesante notar que la detección inicial de FireEye del compromiso de SolarWinds no encontró un movimiento lateral complejo, ni siquiera una exfiltración de datos.

Lo que desencadenó la investigación más profunda de FireEye, según los informes, fue un inicio de sesión remoto inusual desde un dispositivo previamente desconocido con una dirección IP en una ubicación sospechosa. Fue solo después de una revisión adicional que FireEye descubrió la intrusión y finalmente la rastreó hasta SolarWinds.

Este escenario, ahora demasiado true para miles de empresas de todo el mundo, subraya la importancia, si no la necesidad, de tener el análisis de comportamiento como un componente clave de las arquitecturas de productos de ciberseguridad empresarial contemporáneas.

El análisis de comportamiento potencia la detección de amenazas no solo analizando la entrada de eventos en función de la actividad de los usuarios y dispositivos, sino también mediante el uso de aprendizaje automático, análisis estadístico y modelado de comportamiento para correlacionar y enriquecer los eventos.

La tecnología de análisis de comportamiento de clase mundial puede tener en cuenta una amplia variedad de puntos de datos, como grupos de pares, asociación de IP, direcciones de correo electrónico personales e identificadores cinéticos como la actividad del lector de insignias, para identificar una intrusión maliciosa uniendo media docena o más eventos que, por sí mismos, parecerían benignos.

En este caso, FireEye recibió una alerta porque sus sistemas de análisis pudieron correlacionar automáticamente el intento de inicio de sesión con las credenciales del usuario y probablemente otros factores, como la ubicación, la hora del día y el patrón standard de acceso al sistema por parte de ese usuario. Esta actividad anómala probablemente desencadenó una alerta de alta prioridad, lo que indica a los analistas de seguridad que el inicio de sesión en cuestión requería un mayor escrutinio.

Sin esta tecnología, este inicio de sesión malicioso y toda la actividad asociada con él probablemente se habría mezclado con cualquier otro inicio de sesión, como suele ser el caso en la mayoría de las empresas en la actualidad. La falta de tecnología de análisis de comportamiento ampliamente implementada es quizás una de las brechas más grandes y peligrosas en los programas de ciberseguridad empresarial en la actualidad, una brecha que los atacantes claramente están explotando.

Detección y prevención de exfiltración de datos

Cuando todo lo demás falla, una organización debe poder identificar rápidamente cuándo se extraen datos valiosos de sus puntos finales, servidores y redes, incluso de las formas más inusuales.

La mayoría de las empresas tienen registros de tráfico de pink extensos para aprovechar, pero el desafío es que el tráfico de comando y control a menudo se ofusca, además, los datos extraídos en sí mismos a menudo se cifran antes de salir de una organización, lo que hace que su contenido sea casi invisible. Esto es especialmente cierto cuando se trata de tráfico de aplicaciones.

De hecho, según los informes, los adversarios utilizaron el troyano integrado en SolarWinds para iniciar el proceso de exfiltración de comunicaciones y archivos confidenciales de algunas víctimas. Luego utilizó dominios establecidos que parecían legítimos para iniciar las operaciones de exfiltración.

Curiosamente, varios proveedores de seguridad han publicado informes que indican que, tras la revisión, sus diversas tecnologías de detección de intrusos detectaron la actividad, pero que la importancia de las alertas no se elevó a un nivel procesable.

Si bien el incidente de SolarWinds representó claramente un desafío de detección único, la lección es que las organizaciones no pueden asumir que el tráfico de purple saliente inusual es benigno, incluso cuando se origina en una aplicación confiable. Los proveedores deben ajustar sus algoritmos de detección para tener en cuenta la posibilidad muy serious de acciones maliciosas de aplicaciones confiables, y las empresas deben actualizar sus tácticas de monitoreo para detectar anomalías en las que normalmente no se habían concentrado mucho antes, como su software de administración de crimson.

Las mejores prácticas de seguridad de red tradicionales también pueden reducir la probabilidad de una exfiltración de datos al estilo SolarWinds, es decir, políticas de segmentación de crimson y firewall perimetral que restringen el tráfico de aplicaciones a dominios preaprobados.

Queda por ver si SolarWinds representa el comienzo de una ola de ataques de alto perfil a la cadena de suministro de software program. Independientemente, las empresas deberían aprender de este incidente y prepararse como si el próximo ataque a la cadena de suministro fuera solo cuestión de tiempo.

Eric Parizo es appropriate con Cybersecurity Accelerator de Omdia, su práctica de investigación que respalda a proveedores, proveedores de servicios y clientes empresariales en el área de ciberseguridad empresarial. Eric cubre las tendencias globales de ciberseguridad y los proveedores de primer nivel en América del Norte. Él ha sido … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia primary