Qué podemos aprender del Hackeo de Solarwinds

Noticias de DAASEL Corporación Jurídica

¿Qué podemos aprender del ciberataque a Solarwinds?

DC CIBER

Aún están surgiendo detalles sobre el alcance total y la escala del ciberataque que tuvo como objetivo al proveedor de software SolarWinds y comprometió los sistemas de varias de las empresas públicas y agencias gubernamentales más grandes de EE. UU., Pero las lecciones que imparte sobre dónde aún acechan las vulnerabilidades en el tercer La cadena de suministro de los proveedores de fiestas no se puede comprender lo suficientemente pronto.

La noticia del ciberataque, que se sospecha fue perpetrado por piratas informáticos rusos, llegó el 8 de diciembre, cuando la empresa de seguridad cibernética FireEye reveló que había sido pirateado por “un atacante altamente sofisticado patrocinado por el estado”. Los piratas informáticos “operaron clandestinamente, utilizando métodos que contrarrestan las herramientas de seguridad y el examen forense. Utilizaron una combinación novedosa de técnicas que no habíamos visto nosotros o nuestros socios en el pasado ”, dijo FireEye.

El ciberataque se remonta al proveedor de software de administración de red de terceros SolarWinds, en el que los piratas informáticos implantaron un código malicioso dentro de una actualización de software a los productos SolarWinds Orion, lo que permitió a los piratas informáticos afianzarse en la red y obtener credenciales elevadas, según el análisis de Microsoft de el ataque. Una vez implantado, el software se conecta a un servidor controlado por los piratas informáticos, lo que les permite lanzar más ataques contra los clientes de SolarWinds y robar sus datos.

Entre sus más de 300.000 clientes, SolarWinds dijo en una presentación regulatoria del 14 de diciembre que cree que “menos de 18.000” clientes pueden haber instalado los productos Orion que contenían esta vulnerabilidad. En esa misma presentación regulatoria, SolarWinds dijo que sus herramientas de productividad de oficina y correo electrónico de Microsoft Office 365 también se habían visto comprometidas.

La vulnerabilidad se instaló en las actualizaciones publicadas por primera vez en marzo, pero un documento de la agencia federal indica que los piratas informáticos se infiltraron en el sistema hace un año. La escala potencial de la infracción es alarmante, dado que los clientes de SolarWinds incluyen 425 de las 500 empresas de Fortune, 10 de las principales empresas de telecomunicaciones de EE. UU., Las cinco principales firmas de contabilidad de EE. UU., Cientos de universidades y colegios, y varias agencias de defensa federales.

El ciberataque de SolarWinds está lejos de ser un incidente aislado. Según su Informe de Defensa Digital 2020 , Microsoft dijo que “entregó más de 13.000 notificaciones a clientes atacados por estados nacionales durante los últimos dos años y ha observado un rápido aumento en la sofisticación y las capacidades de seguridad operativa. La reciente divulgación de FireEye es coherente con los ataques que hemos observado “.

Los sistemas de las agencias federales de EE. UU. También se vieron comprometidos en el ataque, lo que obligó a la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del Departamento de Seguridad Nacional de EE. UU. A emitir una directiva de emergencia ordenando a todas las agencias federales que desconecten inmediatamente los productos Orion afectados de sus redes. En el sector privado, los que son particularmente vulnerables son los contratistas de defensa, las empresas de tecnología, las telecomunicaciones, los bancos y más.

Contramedidas de seguridad cibernética
La proliferación de ataques cibernéticos de estados nacionales como este, y el hecho de que los piratas informáticos solo se están volviendo más sofisticados en los métodos que utilizan, resalta una necesidad crítica para el sector privado y los gobiernos de compartir la actividad de amenazas entre sí, ciber -dicen los expertos en seguridad. Como dijo Microsoft, “Requiere que los responsables de la formulación de políticas, la comunidad empresarial, las agencias gubernamentales y, en última instancia, las personas marquen una diferencia real, solo podemos tener un impacto significativo a través de la información compartida y las asociaciones”.

Aparte de la necesidad de mejores técnicas de intercambio de información entre el sector público y el privado, “Respondiendo a la pregunta, ‘¿qué podríamos haber hecho de otra manera?’ es algo difícil de alcanzar en este momento ”, dice Dan Petro, investigador principal de Bishop Fox, una consultora de seguridad cibernética. Es probable que esto resulte en un mayor escrutinio de los proveedores externos, dice.

“Quizás una mayor visibilidad de lo que las empresas hacen realmente para mantener la seguridad podría ser algo en lo que insistimos después de este tipo de eventos”, agrega Petro. Dicho esto, nada indica negligencia por parte de SolarWinds. Hasta que sepamos más sobre la intrusión inicial, es difícil concluir qué podría haberse hecho de manera diferente, dice.

Dicho esto, el ataque cibernético SolarWinds sirve como una advertencia terrible sobre la necesidad de estar constantemente alerta sobre las amenazas que acechan en lo profundo de la cadena de suministro de proveedores externos, y que comienza con la higiene básica de seguridad cibernética. Como mínimo, las empresas deben asegurarse de tomar las siguientes medidas para fortalecer sus propias prácticas de ciberseguridad:

Reúna los hechos de inmediato. FireEye , Microsoft, SolarWinds y CISA han compartido información para que los profesionales de la industria de la seguridad la utilicen para encontrar y mitigar la actividad maliciosa potencial relacionada con el ciberataque de SolarWinds. FireEye, por ejemplo, dijo que ha desarrollado más de 300 contramedidas para que sus clientes y la comunidad de seguridad en general las utilicen para minimizar el impacto potencial.

Reevalúe su higiene de ciberseguridad. Las empresas de todos los tamaños deben “asegurarse de que comprenden dónde se encuentran sus datos, si los datos están clasificados, si se implementan los controles de acceso adecuados y si se implementan herramientas sólidas para la auditoría y la detección de anomalías”, dice Kunal Anand, director oficial de tecnología en Imperva. “Los equipos de seguridad necesitan saber dónde están sus datos en todo momento en todos los entornos, cómo se utilizan y quién tiene acceso a ellos para poder aplicar los controles adecuados”.

No ignore las fiestas Nth. “El riesgo de la cadena de suministro de software está lejos de ser un concepto nuevo”, dice Anand. “Durante la última década, hemos visto muchos casos de lo que sucede cuando la cadena de suministro es manipulada y posteriormente contaminada. Lo que hace que este problema sea insoluble es que todas las empresas, ya sea que lo reconozcan o no, dependen de una cadena de suministro de software tanto para aplicaciones propias como de terceros “.

Como ilustra el hack de SolarWinds, no es solo la aplicación de terceros la que puede representar una amenaza cibernética para las empresas. “Son todos los componentes que se utilizan para entregar, ejecutar y verificar la función de la aplicación, incluidos los servicios y componentes que interactúan con ella”, dice Anand.

En esencia, el ciberataque de SolarWinds arroja luz sobre las partes más profundas de la cadena de suministro de proveedores externos que las empresas suelen ignorar en términos de debida diligencia. “Una empresa puede tener los mejores controles de seguridad del mundo, pero eso no significa que los proveedores de su cadena de suministro de software los tengan”, dice Anand. El ciberataque de SolarWinds destaca la importancia de tener una supervisión adecuada no solo sobre los proveedores de primer nivel, sino también sobre los proveedores de los proveedores, las denominadas partes Nth.

Aproveche la tecnología. Para descubrir vulnerabilidades y amenazas cibernéticas que están incrustadas en las capas más profundas de la cadena de suministro de proveedores externos y mitigar ataques como los métodos encubiertos utilizados en el ataque SolarWinds, las empresas deben aprovechar el poder de la inteligencia artificial, dice Jennifer Bisceglie. , Director ejecutivo de la empresa de análisis de la cadena de suministro Interos. Es decir, las empresas necesitan aprovechar las herramientas que permiten una “resiliencia operativa con visión de futuro”, dice, donde se traza la cadena de suministro de terceros más grande y extendida hasta las N-ésimas partes en tiempo real y se monitorean continuamente. proveedores. Tales capacidades simplemente no son factibles a escala mediante procesos manuales impulsados ​​por humanos, dice Bisceglie.

Aunque no existe una solución milagrosa para prevenir por completo ciberataques sofisticados en los estados nacionales como los que victimizaron a SolarWinds y sus clientes, aumentar el intercambio de información entre los sectores público y privado y adoptar tecnologías de inteligencia artificial que pueden mapear y monitorear todo el tercio El ecosistema de la cadena de suministro de las partes en tiempo real, además de seguir las mejores prácticas en el espacio de la seguridad cibernética, como la última guía del Instituto Nacional de Estándares y Tecnología (NIST), es un buen punto de partida. Además, este documento del NIST proporciona una lista útil de preguntas de seguridad cibernética para determinar el nivel de vulnerabilidad de las prácticas de seguridad cibernética de sus proveedores.

“El riesgo de la cadena de suministro de software está lejos de ser un concepto nuevo. Durante la última década, hemos visto muchos casos de lo que sucede cuando la cadena de suministro es manipulada y posteriormente contaminada. Lo que hace que este problema sea insoluble es que todas las empresas, ya sea que lo reconozcan o no, dependen de una cadena de suministro de software tanto para aplicaciones propias como de terceros “.

Kunal Anand, director de tecnología de Imperva

Asesoría en Ciberseguridad

DC CIBER.- Expertos en CIBERSEGURIDADDC CIBER

Le ayudamos a minimizar los riesgos y vulnerabilidades de su empresa en CIBERSEGURIDAD – Asesores en seguridad cibernética

Conseguir el conocimiento y las capacidades organizativas necesarias para poder gestionar la ciberseguridad en la organización. Esta fase supone las bases para las demás.
• Desarrollo normativo, Plan Director y SGSI
• Definición de controles, indicadores y cuadros de mando
• Auditorías de cumplimiento (GDPR, ENS, PIC, …)
• Análisis y gestión de riesgos

Implementar las contramedidas y salvaguardas que aseguren los servicios corporativos. Se trata de tener la capacidad de limitar o de contener el impacto de un suceso o evento de ciberseguridad.
• Asesoramiento en la incorporación de nuevas tecnologías
• Implantación de soluciones tecnológicas de Ciberseguridad
• Fabricación de soluciones y servicios propios

Identificar la ocurrencia de un suceso o evento de ciberseguridad, a tiempo.
Diagnósticos especializados (hackings, código fuente, …)
• Gestión de vulnerabilidades
Red team
• Infraestructuras de monitorización continua
• GMV SOC´s

Medidas de actuación ante un suceso o evento de ciberseguridad para tratar de contener el impacto.
GMV-CERT
SERVICIOS PROACTIVOS:
– Assessments
– Gestión de la configuración
– Inteligencia
SERVICIOS REACTIVOS:
– Gestión de incidencias
– Análisis forense

Enfocado a la recuperación y resiliencia, minimizando el factor tiempo.
Definición y ejecución de:
• BIA
• Plan de Continuidad de Negocio
• Pruebas

Póngase en contacto con nosotros y consúltenos todas sus dudas y preguntas sin compromiso

Contactar
Contactar

Contáctenos por WhatsApp

Puede iniciar una conversación con nosotros a través de WhatsApp pulsando en este botón

Información Sobre CIBERSEGURIDAD

Noticias de DAASEL Corporación Jurídica

Suscripción a DC News

Suscríbase de forma gratuita al newsletter de DAASEL Corporación Jurídica

Noticias de DAASEL Corporación Jurídica