SonicWall es el último proveedor de seguridad en divulgar …



La empresa de seguridad de red está investigando una campaña coordinada en la que los atacantes explotaron vulnerabilidades en los productos de SonicWall.

La empresa de seguridad de red SonicWall está investigando un ataque coordinado en el que los atacantes supuestamente explotaron vulnerabilidades en los productos de la compañía para violar su purple interna. Es el último de una serie de proveedores de seguridad que se ha convertido en el objetivo de los atacantes.

En un comunicado publicado el 22 de enero, los funcionarios de SonicWall escribieron que detectaron un ataque «por parte de actores de amenazas altamente sofisticados que explotaban probablemente vulnerabilidades de día cero en ciertos productos de acceso remoto seguro de SonicWall».

Al 23 de enero, la empresa Ha confirmado sus cortafuegos SonicWall, NetExtender VPN Consumer, Protected Cellular Access (SMA) serie 1000 y SonicWave Accessibility Points no se vieron afectados en el reciente ataque. La serie SMA 100, que se utiliza para proporcionar a los empleados acceso remoto a recursos internos, está bajo investigación, pero «se puede utilizar de forma segura en casos de uso de implementación comunes».

Los usuarios actuales de la serie SMA 100 pueden seguir utilizando NetExtender para acceso remoto, un caso de uso que la empresa ha determinado que no es prone de explotación. Se recomienda a los administradores de la serie SMA 100 que creen reglas de acceso específicas mientras se investiga la vulnerabilidad. SonicWall sugiere utilizando un firewall para permitir solo conexiones SSL-VPN al SMA desde direcciones IP conocidas, o para configurar el acceso a la lista blanca en el propio SMA. La compañía también insta a implementar la autenticación multifactor en todas las cuentas de SonicWall SMA, Firewall y MySonicWall.

Una tendencia preocupante
SonicWall es el último proveedor de seguridad de TI en confirmar una violación en las últimas semanas. Otros incluyen Microsoft, FireEye y Malwarebytes, todos los cuales revelaron ciberataques relacionados con la campaña de ataques masivos SolarWinds dirigida a las principales agencias y empresas del gobierno de EE. UU. Los atacantes también intentaron violar CrowdStrike sin embargo, sus esfuerzos no tuvieron éxito.

«Existe una tendencia innegable de que las empresas de seguridad revelen públicamente más infracciones durante los últimos meses», afirma Allie Mellen, analista de Forrester que cubre la seguridad y el riesgo. «Dicho esto, no me apresuraría a juzgar y asumiría que esto se debe a un aumento en los ataques dirigidos contra empresas de seguridad específicamente».

Ella sospecha que el aumento en los ataques reportados puede estar relacionado con que algunas empresas cambien su enfoque para la divulgación de violaciones. Con el tiempo, más empresas de seguridad han optado por hablar públicamente sobre los ataques que enfrentan, a veces debido al cumplimiento normativo, a veces para advertir a la comunidad de una nueva amenaza.

«Las divulgaciones que son oportunas, transparentes y técnicamente precisas pueden resultar en elogios y respeto de la comunidad y pueden ser una oportunidad para que las empresas destaquen sus prácticas de seguridad», dice Mellen.

Si bien las divulgaciones de violaciones son cada vez más comunes, vale la pena señalar que los proveedores de seguridad son un objetivo atractivo para los atacantes, señala Brandon Hoffman, CISO de Netenrich. Eso es una preocupación, dice, porque los profesionales de la seguridad necesitan herramientas en las que puedan depender para la detección y la defensa. Al apuntar a las herramientas destinadas a detectar ciberataques, los adversarios pueden obtener una ventaja.

Y no tienen que tener éxito para tener un impacto, señala.

«Hasta cierto punto, es menos importante que estos ataques tengan éxito, pero como mínimo erosionan la confianza en las herramientas», explica Hoffman. Queda por ver si esta erosión sirve como una distracción para las funciones clave de seguridad o obliga a los profesionales de la seguridad a reorientar sus esfuerzos.

El abuso de confianza es un tema recurrente en todas estas divulgaciones recientes de violaciones, dice Tim Wade, director técnico del equipo de CTO de Vectra. La confianza debe reevaluarse constantemente. Los proveedores han sido durante mucho tiempo objetivos lucrativos de los atacantes porque permiten una mayor actividad maliciosa y porque permiten a los atacantes eludir las medidas de seguridad heredadas para lograr sus objetivos.

Las infracciones de los proveedores ponen el foco en el riesgo de terceros
Divulgaciones como estas ponen a los equipos de seguridad en una posición difícil, dice Hoffman. Si bien la dependencia de herramientas seguras y funcionales es fundamental para su trabajo, las herramientas de seguridad son objetivos atractivos porque requieren un profundo nivel de confianza desde una perspectiva de integración.

Sugiere que las evaluaciones de riesgos de terceros deben «aumentarse con vigilancia». Una empresa puede necesitar realizar su propia validación de las herramientas de los proveedores fuera de un cuestionario de protocolos de seguridad, agrega. Las organizaciones carecen de una manera fácil de agilizar este proceso y realizar estas evaluaciones de manera efectiva, agrega.

«No puede tener seguridad hasta que tenga algún tipo de estándares fundamentales con los que todos estén de acuerdo y con los que operen», dice Tanner Johnson, analista senior de ciberseguridad en Omdia. Al igual que Hoffman, señala la necesidad de desarrollar estándares y protocolos más seguros para fortalecer la infraestructura de seguridad de la que dependen las empresas.

Johnson sugiere que las organizaciones diversifiquen sus carteras de seguridad para evitar el bloqueo de proveedores. Cada vez más proveedores prometen un «panel único» a través del cual los profesionales pueden gestionar sus necesidades de seguridad de información sin embargo, depender de un proveedor podría generar riesgos cuando se produzca una infracción. Si hay un compromiso, la empresa no tiene ningún proveedor que no sea parte del ataque.

«Invertir todos sus huevos en una canasta es conveniente pero no seguro», agrega.

Estas divulgaciones también deberían recordar a los profesionales de la seguridad que investiguen a los proveedores con los que trabajan, dice Mellen. Las revisiones de seguridad de terceros, incluida la evaluación de las pruebas de penetración de terceros y los plazos para remediar fallas, son esenciales para reducir el riesgo de terceros.

En cuanto a los proveedores, deben estar en contacto con los clientes «inmediatamente después de una infracción», agrega. Deben explicar claramente qué sucedió, qué producto o servicio se vio afectado, formas de mitigar los daños y un cronograma para la reparación. La forma en que responde el proveedor puede marcar una gran diferencia.

Kelly Sheridan es la editora de own de Darkish Reading, donde se enfoca en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original