Los días cero no van a desaparecer pronto y lo que los líderes deben saber



Pocas vulnerabilidades de seguridad son la fuente de más noches de insomnio para los profesionales de la seguridad que los ataques de día cero. Justo durante el fin de semana del Día de los Caídos, los investigadores descubrieron un nueva vulnerabilidad permitiendo a los piratas informáticos lograr la ejecución remota de código dentro de Microsoft Business. Apodando la amenaza en evolución como el exploit Follina, los investigadores dicen que todas las versiones de Office environment están en riesgo. Y debido a que los equipos azules no tienen tiempo para preparar o parchear sus sistemas para defenderse contra estas vulnerabilidades de program, los actores de amenazas astutos pueden aprovechar, tomándose su tiempo después de haber accedido al entorno de una organización para observar y filtrar datos mientras permanecen completamente ocultos.

Y aunque los actores de amenazas sofisticados y las naciones han explotado los días cero durante casi dos décadas, el año pasado se registró un aumento histórico en la cantidad de vulnerabilidades detectadas. Ambas cosas Google y mandante rastreó un número récord de días cero el año pasado, con la advertencia de que se están descubriendo más días cero porque las empresas de seguridad están mejorando para encontrarlos, no necesariamente porque los piratas informáticos estén descubriendo nuevas vulnerabilidades. Sin embargo, no todos los días cero son iguales. Algunos requieren técnicas sofisticadas y novedosas, como el ataque a SolarWinds, y otros explotan vulnerabilidades simples en programas de uso común como Windows. Afortunadamente, existen algunas estrategias básicas de higiene cibernética que pueden mantener a su organización lo suficientemente preparada para mitigar las vulnerabilidades de seguridad de día cero.

¿Cómo funcionan los días cero?

Por lo normal, lo que hará un día cero es obtener acceso a un entorno a través de una vulnerabilidad nunca antes vista, luego mapea sigilosamente el entorno y, cuando está listo, lanza el ataque. Es demasiado tarde para que un equipo de respuesta a incidentes evite daños mayores. Mantenerse alerta ante estos ataques lentos requiere un enfoque de seguridad que priorice la búsqueda de ciertas técnicas y comportamientos que un pirata informático o un grupo de amenazas conocido puedan usar, en lugar de buscar piezas específicas de malware. En otras palabras, asegúrese de que la tecnología con la que cuenta su organización sea suficiente para protegerse de lo desconocido. Es posible que muchos días cero nunca lleguen a un disco duro, por lo que apuntar las herramientas de detección de amenazas podría ser inútil.

Si bien puede sonar como un disco rayado, la aplicación de parches es parte integral de la protección contra vulnerabilidades. Tan pronto como se haga pública una prueba de concepto (PoC) en la Darkish Net o en foros más legítimos como GitHub, la mayoría de los proveedores desarrollarán un parche. Mantenerse al tanto de la orientación de organizaciones de la industria como (ISC)2 o autoridades federales como la Agencia de Seguridad de Infraestructura y Ciberseguridad es una buena manera de priorizar las vulnerabilidades que son más relevantes y más riesgosas para su organización.

Sin embargo, las vulnerabilidades de día cero son aquellas que el proveedor no sabe que existen y, por lo tanto, no hay ningún parche disponible. Es muy difícil defenderse de estos sin protecciones y detecciones que sean lo suficientemente amplias para identificar tácticas, técnicas y procedimientos. En algunos casos, las tecnologías de protección pueden usar detecciones de comportamiento para bloquear ciertas actividades, mientras que en otros casos, usar tecnologías de detección o experiencia humana en un centro de operaciones de seguridad es la única defensa.

Sobre todo, invertir en el elemento humano de la seguridad colocará a una organización en la mejor posición para limitar las pérdidas financieras y de datos en las que pueden incurrir los zero-day. Al colocar las manos en los teclados y desbloquear la visibilidad de todos los aspectos de un ecosistema, un equipo de seguridad puede detectar más fácilmente indicios de que un día cero podría estar dirigido contra ellos e implementar los parches necesarios. Por ejemplo, si un robotic que opera en los EE. UU. se conecta aleatoriamente a un servidor en Ucrania sin ningún otro comportamiento inusual, podría indicar que se ha aprovechado un día cero. Y si bien puede haber un acceso inicial a su robot o entorno a través de un día cero, tener una visión amplia de su ecosistema de seguridad de TI, junto con tecnologías como la inteligencia synthetic, puede alertar a un equipo de respuesta a incidentes para crear un parche para una vulnerabilidad. lo antes posible.

Afortunadamente, aunque se están descubriendo más días cero que nunca, todavía son relativamente raros en el mundo de la ciberseguridad. Hasta los últimos años, los exploits de día cero en su mayoría fueron identificados y mantenidos de cerca por los gobiernos nacionales, que querían guardarlos para implementarlos cuando fuera necesario. Pero la comercialización de grupos de piratería, incluidas las plataformas de ransomware como servicio, ha creado un ecosistema que incentiva la compra y venta de zero-days, a menudo con el respaldo de los recursos financieros o tecnológicos de un estado-nación.

Con atacantes tan capaces, prácticamente todas las empresas deberían estar preocupadas, desde las grandes empresas que sirven como objetivos finales para los piratas informáticos, hasta las empresas más pequeñas que pueden servir como trampolín en una secuencia de ataques. La constante de las operaciones de seguridad puede detectar y mitigar los actores de amenazas que acechan detrás de escena de un ecosistema de TI a través de un exploit de día cero, sin importar el origen. Por lo tanto, si bien la aplicación de parches es una preparación adecuada, la inversión en profesionales de seguridad capacitados, internos o subcontratados, es la mejor defensa contra los días cero.



Enlace a la noticia initial