Proveedor de MSP crea un equipo rojo como objetivo de los atacantes …



NinjaRMM, que proporciona herramientas para proveedores de servicios administrados, tiene como objetivo crear una capacidad de equipo rojo después de años de ataques contra MSP.

Los profesionales de la seguridad tienen una gran demanda, pero el proveedor de software package de gestión de puntos finales NinjaRMM está dispuesto a pagar una prima para crear un equipo rojo interno con el objetivo de ayudar a la empresa a prevenir ataques, anunciaron los funcionarios el lunes.

Si bien la organización de 200 personas ya trabaja con un proveedor de servicios de seguridad administrados 24×7 y una empresa de evaluación de riesgos para mantener su postura de seguridad y detectar problemas, un equipo rojo es el siguiente paso lógico para mejorar la seguridad al ponerse la capa de un atacante, dice Lewis. Huynh, director de seguridad de la empresa. En lugar de reemplazar las funciones de mantenimiento de seguridad de sus proveedores existentes, un equipo rojo interno le dará a NinjaRMM la capacidad de verificar los controles de seguridad y buscar amenazas.

La compañía planea contratar hasta tres personas para el equipo rojo, dice.

«El equipo rojo es otra oportunidad para proporcionar una capa de defensa que ayude a atrapar lo que de otro modo no sería atrapado», dice Huynh. «Básicamente queremos tener la oportunidad de ir tras nuestro propio código y nuestro propio entorno y hacer el tipo de ejercicio que alguien haría en el exterior para hackearnos, y al hacerlo, la esperanza es descubrir algo que no ha sido posible». visto.»

No muchas pequeñas empresas necesitan sus propios equipos rojos, pero NinjaRMM brinda servicios a proveedores de servicios administrados, una industria que se ha convertido en la favorita de los atacantes durante los últimos tres años. En 2019, por ejemplo, miles de clientes de proveedores de servicios administrados que usaban un complemento susceptible para la herramienta Kaseya VSA RMM se infectaron con el ransomware GandCrab. Unos meses más tarde, 22 departamentos del gobierno area y organizaciones municipales se vieron afectados por un ataque de ransomware coordinado que había difundido a través de un proveedor de servicios gestionados.

Estos ataques llevaron a la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del Departamento de Seguridad Nacional de EE. UU. A emitir una alerta e informar a los proveedores de servicios administrados sobre atacantes sofisticados que apuntan a la industria.

«El uso de un MSP aumenta significativamente la huella de la infraestructura empresarial digital de una organización y su número de cuentas privilegiadas, creando una mayor superficie de ataque para los ciberdelincuentes y los actores del estado-nación», dijo CISA. en la alerta actualizada el pasado mes de junio. «Mediante el uso de credenciales MSP legítimas comprometidas … los actores APT pueden moverse bidireccionalmente entre un MSP y las redes compartidas de sus clientes. El movimiento bidireccional entre redes permite a los actores APT ofuscar fácilmente las medidas de detección y mantener una presencia en las redes de las víctimas».

Estos eventos han tenido un impacto dramático en los planes de seguridad de NinjaRMM. La compañía con sede en San Francisco se fundó en 2013 y comenzó a reforzar la seguridad contratando a Huynh en 2019. Llegó cuando las fuerzas del orden comenzaron a advertir a los MSP sobre la creciente amenaza. No mucho después, la pandemia de COVID-19 golpeó y obligó a muchos departamentos de TI a concentrarse en la gestión de trabajadores remotos, lo que contribuyó al crecimiento de NinjaRMM.

Tras el incidente de SolarWinds y la distribución de malware a través del software program de gestión de purple de esa empresa, incluso proyectos de seguridad en segundo plano, como el propuesta costosa de crear un equipo rojo interno – se movieron a un primer plano, dice Huynh. Al igual que la violación de SolarWinds, un solo compromiso de un MSP puede provocar una infección masiva de todos los clientes.

«Cuando ocurrió (SolarWinds), cambió la mentalidad de muchas personas que no se habían preocupado por la seguridad», dice. «Las personas dentro de la empresa, que tradicionalmente eran mostradores de frijoles, de repente estaban dispuestas a abrir sus talonarios de cheques, porque querían asegurarse de que estábamos haciendo todo lo posible para estar seguros».

El equipo rojo de NinjaRMM se centrará en tres áreas de seguridad: atacar la red, atacar el código y atacar a los empleados de la empresa. Su objetivo es verificar que los controles de seguridad funcionan según lo previsto y si las vulnerabilidades no detectadas pueden dejar a la empresa expuesta a un ataque. A menudo, los errores más simples pueden provocar una infracción, dice Huynh.

«Mientras reuníamos estos controles, sabíamos dónde apuntar la implementación y el cambio, porque los incidentes de ransomware resaltaban problemas clave en los que la gente no pensaba», dice. «Lo que demostró es un principio básico de seguridad que la gente comprende, pero que no siempre sigue: mantener el program y los controladores actualizados».

El cambio de los empleados al trabajo remoto durante la pandemia destacó la importancia de poder gestionar de forma remota los sistemas y los puntos finales, mientras que SolarWinds subrayó que incluso las pequeñas fallas pueden tener impactos descomunales, dice Huynh.

«Para todos, lo que hizo SolarWinds fue mostrar lo fácil que es aprovechar la cadena de suministro», dice. «Para nosotros, lo que significó fue que las cosas que ya estábamos (planeando) hacer se movieron hacia arriba y otras cosas, como el equipo rojo, se volvieron a poner sobre la mesa».

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Dark Looking through, MIT&#39s Technological innovation Evaluate, Common Science y Wired Information. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first