Llegamos a ustedes gracias a:



Reportajes y análisis

Cómo prepararse para la próxima amenaza estilo SolarWinds

[30/12/2020] La inserción de malware en el popular software de gestión de red Orion, de SolarWinds, hizo que el gobierno federal y las principales partes de las empresas estadounidenses se apresuraran para investigar y mitigar lo que podría ser la infracción más dañina en la historia de Estados Unidos. El malware, que la empresa de ciberseguridad FireEye (la primera víctima pública de la interferencia en la cadena de abastecimiento) denominó SUNBURST, es un backdoor que puede transferir y ejecutar archivos, perfilar sistemas, reiniciar máquinas y deshabilitar servicios del sistema.

Reuters reveló la historia de que un hacker extranjero había usado SUNBURST para monitorear el correo electrónico en los Departamentos de Tesorería y Comercio. Otras fuentes describieron más tarde al hacker extranjero como APT29, o el grupo de hackers Cozy Bear dirigido por la agencia de inteligencia rusa SVR. Los informes de prensa posteriores indicaron que el alcance de la infección de malware en todo el gobierno federal podría ser vasto e incluiría -solo de manera preliminar- al Departamento de Estado, los Institutos Nacionales de Salud, el Departamento de Seguridad Nacional (DHS, por sus siglas en inglés) y probablemente partes del Pentágono.

Chris Krebs, exdirector de la Cybersecurity and Infrastructure Security Agency (CISA) del DHS, afirmó en un tuit después de que se supo la noticia de la intrusión, "esto aún es temprano», lo que significa que probable pasen meses -posiblemente años- antes de que se conozca el verdadero alcance del daño. SolarWinds afirmó que hasta 18 mil de sus 300 mil clientes descargaron la actualización contaminada, aunque eso no significa que el adversario haya explotado a todas las organizaciones infectadas.

La CISA emitió una directiva de emergencia poco común pidiéndoles a todas las agencias federales que "revisen sus redes en busca de indicadores de intrusión y desconecte o apague los productos SolarWinds Orion de inmediato. El FBI, la CISA y la Oficina del Director de Inteligencia Nacional (ODNI, por sus siglas en inglés) emitieron una declaración conjunta reconociendo que establecieron un Cyber Unified Coordination Group (UCG) para montar una respuesta de todo el gobierno bajo la dirección del FBI.

El 17 de diciembre, la CISA emitió una alerta que detalla las tácticas y técnicas del actor de la amenaza. La alerta también ofrece los pasos que las organizaciones deben seguir para aplicar mitigaciones a las redes que utilizan el producto Orion. La alerta también establece que la CISA está investigando evidencia de vectores de acceso inicial adicionales, además de la plataforma SolarWinds Orion.

Es probable que se produzcan futuros ataques exitosos a nivel de SolarWinds

A medida que el gobierno federal y las empresas comienzan a comprender y mitigar los daños, surge la pregunta de si se podría haber hecho algo para evitar esta catástrofe. Un aparente fracaso por parte del gobierno federal es la actualización tardía de Einstein, su sistema de detección de miles de millones de dólares, que opera desde la CISA, y está diseñado para detectar malware en redes gubernamentales. Una recomendación del 2018 de la Government Accountability Office (GAO) pidió que se agreguen nuevas funciones al sistema que podrían haber ayudado a detectar SUNBURST antes.

"No hay forma de que, en el futuro, pueda evitar que suceda un acontecimiento como éste con una garantía del 100%, afirmó Michael Daniel, presidente y director ejecutivo de Cyber Threat Alliance y coordinador de ciberseguridad durante la presidencia de Obama. "Le comuniqué al presidente, varias veces que, si alguien entraba en su oficina y le prometía resolver el problema de la ciberseguridad, o tenía una garantía del 100%, debía echarlo porque era tonto o mentía, afirmó Daniel. "No se puede lograr el 100% de seguridad, especialmente contra un adversario que está respaldado por un estado-nación, y con los recursos de un estado-nación que está dispuesto a ser paciente y está dispuesto a gastar muchos recursos.

"Generalmente, estos tipos de ataques son muy difíciles de proteger, ya que SolarWinds ya es un proveedor de software de terceros confiable y utiliza prácticas como la firma de códigos, afirma Dave Kennedy, cofundador y jefe oficial de hacking en TrustedSec. "La mayoría de las organizaciones tratan el software de terceros como entidades de confianza y, desde una perspectiva de riesgo, la probabilidad siempre se percibió como baja en general.

A pesar de las dificultades para evitar y detectar ataques importantes como este, los expertos creen que las organizaciones pueden hacer más para minimizar el riesgo de estos.

Detección basada en el comportamiento

Kennedy afirma que la supervisión de la detección basada en el comportamiento, en torno a la actividad inusual del servidor, podría haber detectado el malware antes. "En el caso de SUNBURST, los servidores comenzaron a enviar señales a través de la resolución DNS a dominios que nunca había tenido. Este tipo de desviaciones deben identificarse e investigarse, afirma. "Desde la perspectiva de SolarWinds, esto debería haberse identificado mucho antes.

Dedicación a la higiene básica de la ciberseguridad

Daniel afirma que, por ejemplo, "mucho de esto se trata realmente de asegurarse de seguir los conceptos básicos y tener sus redes segmentadas adecuadamente, así como reducir al mínimo el uso del privilegio. Debe colocar muchos tipos diferentes de cables trampa para un adversario, de modo que incluso si pueden ingresar a la cadena de abastecimiento de esta manera, les resulte más difícil moverse una vez que ingresen a su red.

Kennedy está de acuerdo. "La segmentación de la red y los controles de acceso son igualmente importantes -como una supervisión sólida de la red- al igual que el cifrado de datos y los backups. También es importante auditar su red, evaluar sus responsabilidades, planificar contingencias y realizar pruebas periódicas de la red, agrega Kennedy.

Gestión adecuada de riesgos de la cadena de abastecimiento

Ya sea que la brecha de SolarWinds fuera o no un ataque a la cadena de abastecimiento, está claro que una solución para minimizar este tipo de amenaza en el futuro es la gestión adecuada de riesgos de la cadena de abastecimiento, algo que hacen pocas agencias federales, según un informe publicado esta semana por la GAO. Prácticamente ninguna de las 23 agencias civiles examinadas por la GAO había implementado las siete prácticas fundamentales seleccionadas para gestionar los riesgos de la cadena de abastecimiento de tecnología de la información y las comunicaciones (ICT, por sus siglas en inglés) recomendadas por el National Institute of Standards and Technology. Debido a las debilidades en la gestión de los riesgos de la cadena de abastecimiento, "las agencias corren un mayor riesgo de que los agentes malintencionados puedan aprovechar las vulnerabilidades en la cadena de abastecimiento de ICT.

Sobre cómo avanza el gobierno federal desde aquí, Daniel afirma que "van a tener que continuar con los esfuerzos de limpieza. Tendrán que continuar con la evaluación de daños para comprender qué fue lo que sucedió. Creo que, a partir de ahí, lo más recomendable es una revisión de estas agencias y observar sus prácticas de ciberseguridad».

Incluya ataques a la cadena de abastecimiento en sus modelos de amenazas

Kennedy piensa que "con el fin de garantizar la compartimentación del software y los servicios, las organizaciones realmente necesitan enfocarse en construir sus modelos de amenazas generales para incorporar ataques de cadena de abastecimiento de terceros y diseñar su arquitectura, infraestructura y acceso privilegiado alrededor de estos modelos. Una comprensión completa del ataque SolarWinds ayudaría a las organizaciones a evaluar adecuadamente los riesgos de sus modelos de amenazas, pero eso no sucederá pronto.

La mayoría de los expertos en ciberseguridad solo tienen una visión confusa de lo que ha sucedido. "Lo más preocupante es que aún no sabemos qué otros tipos de malware pueden haber instalado los atacantes después de la etapa inicial de intrusión. Si se tratara de herramientas personalizadas o de cero días, podría llevar más tiempo controlar esto, señala Kennedy.