Cómo evitar caer víctima de un estilo SolarWinds …



Una postura de seguridad multicapa y de confianza cero brinda una mejor oportunidad de defenderse de los atacantes sofisticados de la cadena de suministro antes de que sea demasiado tarde.

2020 terminó con impactantes noticias sobre ciberseguridad: un ataque masivo a la cadena de suministro que involucran a SolarWinds, Microsoft, VMware y otros. Los piratas informáticos pasaron desapercibidos durante casi un año y afectaron a muchos objetivos sensibles, desde departamentos federales de Estados Unidos hasta empresas del sector privado, incluidas empresas de seguridad.

Este es el ataque a la cadena de suministro más sofisticado que jamás hayamos visto. Los expertos descubrirán el daño durante meses, tal vez incluso años, por venir. Y aunque es posible que nunca sepamos su alcance completo, estoy seguro de una cosa: no será la última vez que presenciamos este estilo de ataque.

¿Estamos entrando en una era de confianza cero?
A medida que surge nueva información, muchas organizaciones están renovando el enfoque en sus prácticas de ciberseguridad. Se preguntan: ¿Qué controles podemos implementar para protegernos contra el próximo ataque a la cadena de suministro?

Los piratas informáticos de SolarWinds comenzaron con pequeñas brechas, se infiltraron en entornos cada vez más sensibles y finalmente alcanzaron un amplio punto de acceso para implementar malware: las actualizaciones de computer software oficiales de las que dependen las organizaciones para su seguridad. Como resultado, es posible que estemos entrando en una period de confianza cero donde no se puede confiar implícitamente en nada, ni siquiera en programas conocidos. Incluso el director del Centro Nacional de Contrainteligencia y Seguridad de EE. UU. discutiendo confianza cero.

En la práctica, un enfoque de confianza cero puede ser un desafío para las organizaciones. Dicho esto, hay dos formas de lograr un progreso real hacia la confianza cero: implementar medidas de seguridad fundamentales y capas de defensas.

Las organizaciones pueden implementar varios controles inmediatamente para hacer esto. Así es como podría verse.

1. Auditoría de directorios activos y cambios
Muchas organizaciones han implementado procesos alrededor de Energetic Listing (Ad), monitoreando, registrando y auditando continuamente todo lo que sucede en sus sistemas. Estas medidas de seguridad pueden ayudar a detectar el mal comportamiento, prepararse para auditorías e investigar incidentes futuros. Al asegurarse de que un grupo de gobierno revise los cambios importantes, las organizaciones se mantienen al tanto de quién realiza cambios, o solicita cambios, en sus sistemas. El efecto neto es que es más fácil detectar y detener a un pirata informático.

2. Implementar SIEM y gestión de registros
La información del sistema mencionada anteriormente debe incorporarse a una plataforma de gestión de eventos e información de seguridad (SIEM) para el registro y las alertas. Los programas SIEM son vitales para detectar incidentes. Si bien el registro parece un consejo básico, la verdad es que no todas las organizaciones mantienen registros o, si lo hacen, los supervisan de cerca. Pero cuando se monitorean regularmente para detectar anomalías, como cambios en la actividad de la pink, tamaño de la carga útil o movimiento de datos, los registros pueden exponer comportamientos inseguros, usuarios no autorizados u otros riesgos.

Un solo tronco puede no significar nada. Pero varios signos sospechosos marcados por un SIEM pueden indicar que está sucediendo algo malicioso (o accidental pero peligroso).

3. Ajuste su DLP
Las herramientas de prevención de pérdida de datos (DLP) son bien conocidas, pero muchas organizaciones no las utilizan por completo. Los DLP son sensibles y pueden enviar falsos positivos, lo que provoca fatiga de las alertas. Y debido a que los DLP pueden ser costosos y laboriosos de administrar, algunas organizaciones no los usan en absoluto.

Sin embargo, si se configura y administra correctamente, un DLP puede auditar incluso software package o agentes confiables al monitorear la actividad, como cuántos archivos se escriben o qué se crea en la memoria. La clave es enfocar su DLP en un conjunto básico de tareas en lugar de un alcance amplio.

Por supuesto, un DLP puede no siempre atrapar a los piratas informáticos. Pero cuando se combina con otras medidas de ciberseguridad, es una de las mejores herramientas para brindar visibilidad y limitar el impacto de una infracción.

4. Realice pruebas de penetración regulares
Los piratas informáticos de SolarWinds se apoderaron de un entorno de desarrollo. Ahora, picture si las pruebas de penetración hubieran identificado ese entorno como vulnerable. El ataque podría haberse evitado en la etapa de inicio de sesión.

Las organizaciones deben realizar pruebas de penetración periódicas para comprender sus vulnerabilidades desde la perspectiva de una amenaza. Este no es un esfuerzo de «uno y hecho» Recomiendo realizar pruebas trimestrales. Monitorear continuamente las amenazas, comprender sus debilidades y remediar las vulnerabilidades son algunas de las mejores formas de prevenir cualquier tipo de ciberataque, no solo los ataques a la cadena de suministro. (Divulgación completa: mi empleador ofrece servicios de pruebas de penetración. Pero mi firme convicción en las pruebas y evaluaciones regulares como una mejor práctica se basa en más de 20 años de experiencia en ciberseguridad).

SolarWinds 2.: solo una cuestión de tiempo
El hack de SolarWinds fue uno de los peores de todos los tiempos. Las organizaciones y los gobiernos de todo el mundo deberían comprender ahora que, al igual que la llamada proverbial que proviene del inside de la casa, los ataques pueden perpetrarse a través de application y proveedores confiables.

Si bien los pasos anteriores son áreas críticas de defensa, cualquiera de ellos por sí solo no detendrá a un atacante. Mientras que otro ataque a la cadena de suministro al estilo SolarWinds será suceda en el futuro, las organizaciones preparadas tienen más posibilidades de defenderse de los atacantes antes de que las cosas empeoren. Los hackers se vuelven más sofisticados cada día y es una batalla constante mantenerse al día. Es por eso que las organizaciones deben adoptar un enfoque de varios niveles inspirado en una postura de seguridad de confianza cero.

Joseph Cortese es un líder consumado en ciberseguridad con una experiencia única y extensa en DevOps, ciberseguridad y exploración de día cero. Es un hacker ético certificado de dispositivos móviles, integrados, inalámbricos y habilitados para la net y tiene más de 12 años de experiencia cibernética especializada … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique