Las secuelas de la violación de SolarWinds: las organizaciones deben estar más atentas


Los expertos en seguridad dicen que las organizaciones están y deben implementar una serie de cambios que van desde la forma en que examinan a los proveedores hasta el manejo de las actualizaciones de las aplicaciones.

«data-credit =» Imagen: Getty Images / iStockphoto «rel =» noopener noreferrer nofollow «>Concepto de violación de seguridad cibernética

Imagen: Getty Visuals / iStockphoto

Tal como lo ve Nick Fuchs, tras la violación masiva de SolarWinds, ha habido un lado positivo: una mayor comprensión del importante papel que la seguridad debe desempeñar en cualquier organización. No solo existe una «oportunidad obvia de aprender del evento», sino también una conciencia «sobre la importancia de priorizar los fundamentos de seguridad que penetran en todos los niveles de la organización», dijo Fuchs, director senior de infraestructura, seguridad, soporte y controles. en Springfield Clinic.

Si bien eso puede ralentizar el proceso de TI para incorporar una nueva aplicación, por ejemplo, Fuchs dice que permite a los profesionales de seguridad hacer referencia a esta advertencia sobre lo que sucede cuando los procesos adecuados no están en su lugar.

Fuchs y otros dijeron que la violación está impulsando a las organizaciones a reconsiderar la forma en que examinan a los proveedores y manejan las actualizaciones de aplicaciones.

Hay varios cambios que están realizando las organizaciones. Por ejemplo, los clientes de SolarWinds están contratando empresas de relaciones con inversores y servicios de pruebas de penetración, según Jon Oltsik, analista principal senior y miembro de ESG de Enterprise Method Team. «Los primeros buscan señales de compromisos, los segundos están probando controles», dijo.

Los directorios también están «preguntando activamente a los ejecutivos y CISO si son vulnerables a ataques similares, lo que hace que los CISO hagan un inventario de su computer software y evalúen las vulnerabilidades potenciales», agregó Oltsik.

Un cambio significativo es que las organizaciones están reconsiderando los requisitos de gestión de riesgos de los proveedores, dijo. «Algunas organizaciones no hacen nada en esta área y algunos piden a los proveedores que completen algún tipo de cuestionario de seguridad. Ahora, las organizaciones están considerando una seguridad de la cadena de suministro cibernético mucho más profunda».

VER: Política de respuesta a incidentes (TechRepublic Top quality)

Esto significa implementar medidas que incluyen auditar a los proveedores, exigir pruebas de penetración, monitorear los programas de seguridad y exigir que los proveedores cumplan con ciertas métricas, dijo Oltsik.

Además, están buscando controles de compensación como la segmentación de la pink, la autenticación de múltiples factores y la tecnología de engaño, dijo. «Si bien los presupuestos de 2021 ya están establecidos, espero mucho gasto».

La investigación ha revelado que los perpetradores pasaron meses dentro de los laboratorios de desarrollo de software program de SolarWinds antes de insertar código malicioso en las actualizaciones que la compañía luego envió a miles de clientes, según Krebs sobre seguridad. Lo más alarmante es que «los métodos insidiosos utilizados por los intrusos para subvertir la línea de desarrollo de application de la compañía podrían reutilizarse contra muchos otros proveedores importantes de software package», dijo el sitio.

Chris Stroud, gerente de tecnología del proveedor de atención médica Fantastic Plains Wellbeing, dijo que eran clientes de SolarWinds y la violación «realmente ha revelado que estábamos haciendo lo correcto con nuestro nuevo modelo de defensa en profundidad» porque incorpora capas de defensa.

«El objetivo de este modelo es crear un entorno tan inhóspito para ese actor que se supone que no debe estar allí», dijo Stroud. Su equipo de seguridad ha reestructurado la crimson del proveedor de atención médica con un nuevo marco que facilita ver cualquier intento exitoso de penetración o exfiltración de sus datos, dijo Stroud.

Ahora, hay un «mayor nivel de escrutinio», dijo. «SolarWinds realmente tenía un buen historial» y, según lo que Stroud ha leído, la infracción no fue noticeable para los clientes, «por lo que la investigación será bastante difícil. Será difícil confiar en las personas».

Good Plains ha implementado un proceso organizativo para examinar a los proveedores externos, «y parte de eso es analizar su ética durante el último año», dijo.

La organización de atención médica también ha migrado a uno de los competidores de SolarWinds y también está utilizando algunas herramientas de seguridad de cosecha propia, dijo Stroud. «Utilizábamos (SolarWinds) principalmente para realizar copias de seguridad de la configuración de purple y diagnósticos de aplicaciones, como pruebas de velocidad o alarmas internas para la utilización de la CPU en los servidores».

Al igual que Fuchs, Stroud dijo que la infracción «realmente ha abierto los ojos al equipo técnico o ajeno a TI que (una infracción) le puede pasar a cualquiera».

Un nuevo proceso de seguridad

Fuchs dijo que ver cómo se desarrolla la brecha de SolarWinds «definitivamente ha provocado algunos cambios en lo que estamos priorizando desde el punto de vista de la implementación del proceso y el proyecto».

Los funcionarios de TI ahora están mejorando el proceso de revisión de la seguridad de las aplicaciones.

«Las organizaciones generalmente no realizan una diligencia debida lo suficientemente profunda cuando implementan una nueva aplicación en sus entornos», dijo Fuchs. «Normalmente, hacemos preguntas a la capa superficial sobre lo que hace la aplicación y consideramos solo los requisitos de seguridad de la aplicación en lo que respecta a su implementación».

En el futuro, han priorizado la implementación de un proceso más estricto en torno a la incorporación que considera no solo los controles de seguridad de Springfield Clinic, sino también los mandatos que tienen los propios proveedores, dijo Fuchs.

Por ejemplo, ¿el proveedor tiene políticas y controles de seguridad internos iguales o más estrictos que los de Springfield Clinic? Además, ¿puede el proveedor proporcionar evidencia de que realmente los está siguiendo?

Otras preguntas del nuevo proceso de ASR que Fuchs dijo que creen que ayudará a mitigar el riesgo de eventos futuros son:

  • ¿El proveedor prueba regularmente la solidez de su capacidad de recuperación de ciberseguridad y proporciona evidencia del último escaneo de código fuente y / o penetración de aplicaciones?

  • ¿Tiene el proveedor cortafuegos de aplicaciones o segmentación de pink para restringir el acceso a programas de aplicación o código fuente del objeto?

  • ¿El proveedor cumple con políticas y / o regulaciones como SOC2, GDPR, CCPA, NIST, COBIT e ISO-27001/2? ¿Proporciona SOC / SOC2 actualizado? ¿Proporcionar evidencia de certificación actualizada?

  • ¿Tiene el proveedor un programa de concienciación sobre seguridad para los empleados?

«Mi esperanza es que comencemos a ver una adopción global de este tipo de requisitos que resultará en que los proveedores de tecnología se vean obligados a mantener su propia infraestructura y procesos internos a un nivel más alto de responsabilidad», dijo Fuchs.

Otros cambios incluyen la compra de una herramienta de gestión de acceso de proveedores. La esperanza es que fortalezca aún más los controles sobre el acceso de los proveedores en el entorno de la Clínica Springfield, dijo. La nueva herramienta permitirá a los funcionarios:

  • Hacer cumplir la aprobación de acceso: Las cuentas de proveedores requerirán que un empleado de Springfield Clinic autorice su acceso antes de poder iniciar sesión en el sistema.
  • Grabe toda su sesión: Lo que proporcionará una sesión grabada de toda su sesión remota para que se mantengan en un nivel más alto de responsabilidad.
  • Proporcionar detección automatizada de comportamiento: Si se configura correctamente, detectará si el proveedor está accediendo a sistemas a los que no debería tener acceso, o si hay un aumento repentino en el acceso a la cuenta o simplemente horas extrañas del día desde ubicaciones inesperadas.

La clínica también está utilizando configuraciones centrales para controlar / deshabilitar las actualizaciones automáticas «en todo el panorama de aplicaciones de la organización», dijo Fuchs. «Este es un buen equilibrio», agregó, «porque si va demasiado lejos al requerir actualizaciones administradas para cada aplicación … crea una tonelada de sobrecarga en el equipo para mantener y corre el riesgo de quedarse atrás en el mantenimiento del medio ambiente actualizado.»

Esto presenta otra dimensión de riesgo que resulta en una infraestructura / aplicaciones sin parches, señaló.

«Comenzar por priorizar las aplicaciones críticas / de alto riesgo en términos del tipo de datos y acceso en el entorno es, en mi opinión, el primer paso adecuado», dijo Fuchs. Debe ir seguido de la creación de un proceso y la designación de un equipo para administrar los que están en el proceso de actualización de la aplicación.

«En el caso de SolarWinds, esto se habría considerado una aplicación de riesgo crítico porque esencialmente toca cada pieza de infraestructura / application crítico en nuestro entorno», dijo.

Fuchs reconoció que no importa cuán sólido sea el proceso o la tecnología de una organización, existe un nivel inherente de confianza en los proveedores para hacer cumplir y administrar proactivamente los estándares de seguridad en sus propios entornos.

«Sin embargo, creo que al obtener el nivel adecuado de participación de la organización para priorizar y respaldar el fortalecimiento de los procesos … se reducirá colectivamente el riesgo de este tipo de eventos en nuestros propios entornos».

Ver también



Enlace a la noticia original