¿Las oficinas administrativas significan puertas traseras?


Guerra en Europa, un recordatorio para los centros de servicios compartidos y las operaciones de apuntalamiento para reexaminar la postura de seguridad de TI

Los líderes empresariales europeos, especialmente los CISO, CTO y directores de datos (CDO), se están adaptando al hecho de que la guerra en Ucrania es una guerra en Europa y tiene implicaciones globales. Las sanciones, la ayuda militar e incluso la entrada de refugiados son señales de que los operadores de centros de servicios compartidos (SSC) digitalmente intensivos y esquemas de off-shoring/near-shoring deben revisar sus planes de contingencia y su postura de seguridad de TI.

Si bien es mejor hacer un seguimiento periódico de este consejo, con guerra o sin ella, un conflicto sostenido en las fronteras de la UE debería aumentar la determinación de auditar su estrategia de seguridad de TI. Para las empresas e instituciones que operan en Europa Central y del Este (CEE), la necesidad de reevaluar la seguridad es un duro recordatorio de que los modelos de centros de servicios y de apuntalamiento pueden conllevar riesgos más allá de una alta exposición a amenazas cibernéticas que también incluyen amenazas geopolíticas.

Sin duda, CEE no es el único juego en la ciudad. Con respecto al alojamiento de SSC y operaciones de apuntalamiento, América Latina (Argentina, Brasil, México, Panamá, etc.) y la región de Asia Pacífico (India, Filipinas, Tailandia, etcetera.) también albergan un gran número de estas operaciones y comparten un conjunto de riesgos derivados de su intensa dependencia y/o soporte para procesos digitales/impulsados ​​por TI.

Sin embargo, con todos los ojos puestos en la guerra en Europa y especialmente en CEE, usemos esa región como nuestra lente.

Ubicación, ubicación, ubicación

Muchos países de ECO, incluidos la República Eslovaca, Polonia y la República Checa, han sido anfitriones de los lugares de trabajo para el modelo comercial de SSC durante más de 20 años, y Ucrania agregó su fuerza laboral calificada a la «fiesta» de apuntalamiento y SSC un poco más tarde. . En la actualidad, el modelo de negocio de apuntalamiento y SSC emplea al menos a 900.000 personas en toda la región CEE. Con Kyiv, Bratislava, Praga, Varsovia, Cluj y muchas otras ubicaciones que admiten telecomunicaciones, computer software, finanzas, recursos humanos, automatización y otros procesos comerciales, se ha realizado un esfuerzo appreciable para hacer que estos centros de TI sean resistentes.

Los atributos de la geografía, combinados con el recurso humano y las herramientas que utilizan, hacen que las operaciones de los SSC sean ciberobjetivos interesantes. Ahora, independientemente del esfuerzo requerido para construir y nutrir estos activos comerciales centrados en la productividad durante los más de 20 años de calma que hicieron que la región CEE fuera tan atractiva para los SSC, la guerra y sus aspectos cibernéticos plantean un nuevo desafío: entregar tanto seguridad como confianza.

En términos de seguridad, solo necesitamos consultar Informe DBIR de Verizon para ver qué industrias enfrentan las tasas más altas de ataques persistentes y dirigidos. ¿Y confiar? ¿Comprender si la seguridad de TI en las operaciones de SSC y deslocalización orientadas a servicios, ya sea operada por la sede central o como parte de una cadena de suministro, proporciona un toque suave para los actores malintencionados? Después de todo, muchas industrias detalladas en el informe y sus socios de la cadena de suministro aprovechan las oportunidades de apuntalamiento y SSC, incluso en CEE. Como tal, los operadores deben reevaluar los riesgos de TI y fortalecer las prácticas de seguridad electronic en todos los ámbitos.

Muchos CIO, CISO y su particular han comenzado a analizar Zero Rely on, un modelo de seguridad de TI diseñado para limitar la exposición al riesgo mediante la eliminación de accesos y privilegios innecesarios en sistemas de TI críticos. Los dividendos con respecto a la confianza cero radican en priorizar la restricción de los servicios disponibles para los usuarios en la crimson, en lugar de bloquear el acceso de forma retroactiva. Esto significa que no se otorga ningún acceso sin una autorización específica y proactiva. Si bien ese es solo un enfoque único, y es agresivo, tiene un puntaje alto para la proactividad.

COVID-19, guerra y cambios de comportamiento

Si podemos extraer datos sobre amenazas cibernéticas vinculadas a la pandemia de COVID-19 en curso (pico de 2020 de amenazas vinculadas a COVID-19) y el panorama de amenazas más amplio en 2020, 2021 y la primera mitad de 2022, entonces TI y los flujos de trabajo intensivos en datos utilizados para apuntalamiento y SSC dictan cuidado.

Por diseño, los SSC se enfocan en tareas o subtareas específicas que pueden aumentar la velocidad y/o la eficiencia de la entrega a un costo beneficio para la administración. Aquí “compartido” significa colaboración sin embargo, la colaboración también ofrece un amplio margen para los vectores de amenazas. Si bien veremos algunos detalles a continuación, podemos decir con confianza que el modelo de confianza cero ofrece muchas promesas para las operaciones de apuntalamiento y SSC.

Si bien los SSC en CEE y otras ubicaciones demuestran bien los beneficios que los modelos centrados en la colaboración y la productividad brindan a los negocios, a escala, sigue una intensificación del riesgo. Incluso antes de la guerra, algunos de estos riesgos ya se habían presentado en 2021, un mayor refinamiento y adopción de las plataformas de colaboración se convirtió en un facilitador clave de la revolución del trabajo desde el hogar desencadenada inicialmente por la pandemia. Entre las muchas plataformas, Microsoft Exchange Server experimentó uno de los impactos de seguridad de mayor escala cuando al menos 10 actores de amenazas persistentes avanzadas (APT) explotaron una serie de vulnerabilidades como parte de una cadena de ataque. Las vulnerabilidades permitieron a los atacantes apoderarse de cualquier servidor de Exchange accesible, incluso sin conocer ninguna credencial de cuenta válida.

Una semana después de que se declararan las vulnerabilidades, ESET detectó ataques webshell en más de 5000 servidores de correo electrónico. Con MS Trade entre las plataformas de colaboración más populares, el daño se extendió por todas partes. En los días y semanas siguientes, los intentos de ataque basados ​​en la explotación de esta vulnerabilidad llegaron en varias oleadas. Noteworthy y más temido entre los ataques fueron las campañas de ransomware por parte de algunos de los grupos criminales y APT más prolíficos.

Figura 1. Detecciones de ESET de intentos de ataque al servidor de Microsoft Exchange. Para más detalles, dirígete a Exploits de Microsoft Exchange: primer paso en la cadena de ransomware.

La colaboración puede significar muchas cosas: correos electrónicos, documentos compartidos, MS Groups, videollamadas, MS 365… y probablemente el uso de muchas plataformas en la nube. Una vez más, la escala del uso de herramientas, tanto dentro de una organización como a lo largo de la cadena de suministro (incluidas las organizaciones asociadas), abre esa gran superficie de amenazas. Todas las herramientas/plataformas digitales mencionadas aquí son las piedras angulares de muchas carteras de apuntalamiento y SSC.

Proteger y administrar todos los «bienes inmuebles» de TI que implican las plataformas y herramientas mencionadas requiere una gran cantidad de capacidad, tanto que muchas empresas y organizaciones han optado por subcontratar la seguridad a proveedores de servicios y seguridad administrados (MSSP + MSP), un modelo comercial de antigüedad equivalent a las SSC. Desafortunadamente, el mismo pegamento electronic que une a estas empresas y sus clientes también ha sido atacado.

La confianza es pegamento digital

Las relaciones virtuales, ya sean B2B, B2C o B2B2C, funcionan gracias a las relaciones de confianza que sustentan nuestra voluntad de descentralizar y/o externalizar procesos. Con respecto a las tareas y servicios de administración de TI y seguridad de TI, también hemos visto afectadas esas relaciones de confianza.

En julio de 2021, el software program de gestión de TI de Kaseya, popular entre los MSP/MSSP, sufrió un ataque a la cadena de suministro de una escala sin precedentes. Del mismo modo, otro jugador de MSP, Vientos solares, vio su plataforma Orion, que requiere un acceso altamente privilegiado para administrar los entornos de los clientes, bajo ataque Claramente, estos entornos a gran escala se han convertido en un vector de amenazas preferido de alto retorno de la inversión. Si bien los líderes del mercado, Kaseya y Photo voltaic Winds, experimentaron graves impactos comerciales y de reputación, sus clientes también se vieron muy afectados.

La digitalización acelerada, proporcionada por la pandemia, también arrojó luz sobre el papel clave que tuvo la transición world para trabajar desde casa en la seguridad. Esto quizás se exprese mejor por la gran cantidad de ataques en la interfaz práctica pero susceptible que a menudo united states of america el own en el hogar para conectarse con los servidores de la empresa: el Protocolo de escritorio remoto (RDP). El uso de RDP ha abierto numerosas «puertas traseras» en las empresas y ha sido atacado constantemente durante los últimos dos años. En diciembre de 2020, ESET registró un promedio de 14,3 millones de ataques por día solo en Alemania, Austria y Suiza esto corresponde a 166 ataques por segundo. Para el contexto, estos tres países tienen importantes inversiones en producción y operaciones de proximidad en CEE y mucho en juego. Si bien los ataques de RDP finalmente experimentaron disminuciones apreciables en 2022, las malas prácticas de seguridad administrativa y otros factores probablemente mantendrán a RPD entre las amenazas graves que enfrentan los SSC y las operaciones de apuntalamiento.

Figura 2. Tendencias de los intentos de conexión RDP en el primer trimestre de 2020-segundo trimestre de 2020, promedio móvil de siete días (fuente: Informe de amenazas de ESET Q2 2020).

Defensas digitales, grandes y pequeñas

El conjunto de herramientas para mantener seguras a las empresas, incluidos los SSC, claramente comienza con prácticas de gestión de TI maduras. Si bien muchas operaciones de SSC y apuntalamiento se beneficiaron de las políticas de actualización de software package y administración de parches de su sede, así como de la implementación de productos de detección de puntos finales, antes de la guerra en Ucrania, las prácticas de seguridad maduras idealmente entregadas / administradas por un centro de operaciones de seguridad (SOC) bien dotado de personal. ) el equipo ahora es crítico. Es posible que estas operaciones comerciales se hayan ubicado en la periferia de las operaciones de seguridad más amplias tanto en las empresas como en las PYMES más grandes, pero la necesidad de analizar más profundamente puesto last de Seguridad, servicios)y la visibilidad de las redes a través de herramientas de detección y respuesta extendidas y prácticas de seguridad por parte de los administradores y el individual de TI se ha vuelto más aguda.

Las preocupaciones sobre los ataques dirigidos, los actores internos maliciosos y las relaciones de «confianza» significan que los centros de servicio, particularmente los de CEE, deben evaluar su postura de seguridad y la madurez de sus prácticas de seguridad y auditar los riesgos internos y externos.

Al realizar auditorías a esta escala, las empresas deberán comprometerse en gran medida con los equipos de servicios de los proveedores existentes o, en muchos casos, desde la invasión de Ucrania, trasladarse rápidamente a puerto seguro con nuevos proveedores. Si bien los procesos de auditoría requieren recursos significativos, también garantizan fundamentalmente que el ahorro de costos, la eficiencia del proceso y la continuidad comercial del modelo de apuntalamiento puedan continuar.

Para operaciones más pequeñas, que no cuentan con un equipo SOC o no tienen el presupuesto para herramientas de detección y respuesta de punto ultimate o detección y respuesta administradas, todavía hay opciones significativas. Las soluciones de seguridad en la nube pueden ayudar a proteger las herramientas de colaboración vitales, incluidas Microsoft 365, OneDrive y Exchange On-line, e incluyen herramientas de sandbox en la nube potentes y fáciles de integrar que son efectivas contra amenazas nunca antes vistas.

Conclusión

Como tal, muchas de las peores amenazas para los negocios, ya sea a través de RDP, ransomware y otro malware a través de archivos habilitados para macros o correos electrónicos con archivos adjuntos maliciosos, pueden causar estragos a gran escala. Para las oficinas en cuestión, sus clientes o sedes centrales han optado por invertir y desarrollar una capacidad distribuida globalmente, por lo que los desafíos y las amenazas son en gran medida similares.

Con el conflicto abierto como un severo recordatorio, es basic proteger las inversiones y las capacidades mejoradas proporcionadas por los SSC, las operaciones de apuntalamiento y otros modelos comerciales orientados a la eficiencia. También recuerda la importante tinta derramada a nivel de la UE para impulsar un entorno de seguridad más autosuficiente en Europa.

El conflicto en Ucrania, como la pandemia anterior, está enviando señales claras sobre el papel fundamental que debe desempeñar lo digital en los negocios globales y en mantener un entorno económico estable y propicio. En algo very similar a la seguridad colectiva, si los SSC se convierten en un eslabón débil en los servicios empresariales y las cadenas de suministro europeos o globales, entonces los negocios globales serán más pobres por ello.



Enlace a la noticia authentic