Lo que ataca el SolarWinds …



La infiltración de múltiples capas involucró herramientas maliciosas personalizadas, puertas traseras y código encubierto, mucho más allá de las habilidades de los niños de script.

Si alguna vez hubo algo que arruinará la Navidad en la industria de la ciberseguridad, es una violación de datos devastadora que está en camino de convertirse en el mayor evento de ciberespionaje que afectan al gobierno de los EE. UU. en los registros.

El ataque SolarWinds tiene un gran alcance, ya que los actores de amenazas inicialmente violaron el computer software. ya a mediados de 2019. Este atraco de meses de duración fue descubierto en diciembre de 2020 después de que el esquema se usó para infiltrarse en la prominente firma de ciberseguridad, FireEye, y la pesadilla se deshizo a partir de ahí. El alcance total de la violación aún se está investigando, pero las áreas clave de infiltración incluyen los Departamentos de Estado, Seguridad Nacional, Comercio y Tesoro de EE. UU., Además de los Institutos Nacionales de Salud.

Este incidente va a tener réplicas continuas, pero la pura sofisticación es fascinante. A nivel técnico, es una infiltración de múltiples capas que involucra herramientas maliciosas personalizadas, puertas traseras y código encubierto, mucho más allá de la habilidad de los script kiddies que a menudo vemos explotar errores más obvios.

Lavado de código en su Mejor Peor
CrowdStrike ha hecho más de su genial trabajo en la ingeniería inversa del exploit, y detallando los hallazgos para que todos lo vean. Ahora ha salido a la luz que SolarWinds fue víctima de una violación de la infraestructura, lo que permitió la inyección de código malicioso en las actualizaciones del sistema, lo que resultó en al menos cuatro herramientas de malware separadas que abrieron un acceso sin precedentes para los actores de amenazas.

El método fue encubierto, lo que permite una precisión estratégica que parece sacada de una novela de Jason Bourne. Ganó tiempo para husmear, planificar y atacar a las víctimas fuera de la crimson de SolarWinds exactamente cuando querían, en un ataque integral a la cadena de suministro. Y todo se llevó a cabo con un código que parecía completamente benigno.

Los ciberataques son a menudo el resultado de errores simples, pero costosos. Una vez descubiertos, los errores son bastante obvios Piense en una crimson mal configurada, contraseñas almacenadas en texto plano o computer software sin parches que es vulnerable a exploits conocidos. En este caso, el código no se destacó en absoluto, y no solo para los desarrolladores e ingenieros de seguridad. Una gran cantidad de tecnología de seguridad compleja y costosa tampoco pudo detectarlo.

Herramientas prácticamente inútiles
Los profesionales de la seguridad reciben ayuda en su búsqueda para salvaguardar enormes cantidades de datos, software e infraestructura de la empresa, mediante una pila de tecnología que se adapta a las necesidades de seguridad de la empresa. Esto generalmente toma la forma de componentes como firewalls de purple, pruebas de penetración automatizadas, herramientas de monitoreo y escaneo, y estas últimas absorben mucho tiempo en el proceso de desarrollo de software package. Estas herramientas pueden girar rápidamente y volverse rebeldes de administrar y ejecutar, y muchas empresas utilizan más de 300 productos y servicios diferentes.

SolarWinds tendría una gran variedad de herramientas para encontrar y resaltar errores de seguridad en el código, intentos de acceso no autorizado a la purple, compromiso potencial en cualquier parte de la infraestructura e incluso detectar señales de evasión de detección. No tiene precedentes que estos actores de amenazas fueran capaces de inyectar código malicioso que no fue descubierto ni siquiera por la pila de seguridad más avanzada.

El refuerzo de la infraestructura, especialmente el control de acceso, es un componente basic de las mejores prácticas de ciberseguridad normal, pero si un atacante puede explotar silenciosamente una pequeña ventana de oportunidad, entonces una pink puede verse comprometida de la misma manera que una vulnerabilidad en el software independiente.

Esta brecha es un recordatorio de que, en standard, cualquier empresa que depende en gran medida de las herramientas únicamente para proteger su infraestructura de purple y su computer software está asumiendo un riesgo enorme. No siempre es suficiente proteger el código todo lo que se almacena, se ejecuta y se compila debe estar igualmente reforzado. El estado ideal es un equilibrio de herramientas y personas, ejecutando una estrategia sólida que profundiza en la evaluación y reducción de la superficie de ataque potencial.

Beneficios de la conciencia de seguridad entre equipos
La brecha de SolarWinds ya ha comenzado a tener un impacto significativo en las operaciones de seguridad, especialmente a nivel gubernamental. Los expertos están promocionando que esto podría remodelar las prácticas de ciberseguridad para siempre.

Una infraestructura cada vez más electronic impulsa nuestras vidas y, si bien puede ser vulnerable a ataques si no se gestiona meticulosamente, nuestra estrategia standard es defectuosa. No tenemos suficiente personal en lo que respecta a la experiencia en seguridad, pero no estamos haciendo mucho para cerrar la brecha. La conciencia de seguridad impulsada por los seres humanos es un elemento infrautilizado de la ciberseguridad, al igual que hacer de la prevención más que de la reacción una prioridad.

La seguridad de la infraestructura es una tarea compleja con muchas partes móviles, pero, de manera equivalent a cómo se posicionan en la creación de software, los desarrolladores pueden ser un activo para reducir el riesgo estructural si están debidamente capacitados y son conscientes de la seguridad.

El modelado de amenazas rara vez explica los ataques a la cadena de suministro, a pesar de que este tipo de ataque es destacado ya en 2012 como un riesgo clave que es difícil de prevenir con las técnicas actuales, y deja a muchas empresas mal preparadas. Los desarrolladores de computer software podrían desempeñar un papel absolutamente importante en la prevención, y comienza con garantizar que estén capacitados y puedan evaluar la integridad de su código desde adentro hacia afuera. ¿Han construido el mecanismo de actualización de forma segura? ¿El software se ejecuta con conectividad innecesaria que podría permitir un compromiso malicioso más fácil?

Cuando seguridad es sinónimo de calidad de software package, es fácil ver el inmenso valor que un ingeniero consciente de la seguridad puede aportar.

Pieter Danhieux es un experto en seguridad reconocido a nivel mundial, con más de 12 años de experiencia como consultor de seguridad y 8 años como teacher principal de SANS enseñando técnicas ofensivas sobre cómo apuntar y evaluar organizaciones, sistemas e individuos para la seguridad … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic