Llegamos a ustedes gracias a:



Reportajes y análisis

SolarWinds: 5 puntos clave para los administradores de seguridad

[17/03/2021] El director general de FireEye, Kevin Mandia, testificó recientemente ante un subcomité del Senado de los Estados Unidos sobre el ataque a SolarWinds. Tómese el tiempo para escuchar la presentación, especialmente la escalofriante descripción de Mandia de cómo los atacantes fueron tras los tokens de identidad de Microsoft Windows y las credenciales válidas de FireEye. La única razón por la que detectaron la intrusión fue porque los atacantes apuntaron a una herramienta que también estaba siendo utilizada por una empresa de pruebas de penetración.

Estos son los puntos que, en mi opinión, son clave en lo que respecta a los ataques a la cadena de suministro, y que los administradores de seguridad y TI deberían extraer de esta audiencia.

Las víctimas potenciales de los ataques a la cadena de suministro carecen de acceso a las herramientas adecuadas

Brad Smith, de Microsoft, dijo en su testimonio que solo vieron el comportamiento de los atacantes cuando entraron en los servicios en la nube. Los atacantes se dirigieron a las computadoras locales, por lo que Microsoft no pudo ver los ataques.

Esto señala un problema con muchas de las mejores herramientas de seguridad de Microsoft. Aunque están disponibles incluso para las computadoras locales, se encuentran detrás del plan de licencias E5 más caro de Microsoft. Si los clientes de Microsoft tuvieran activado Microsoft Defender Advanced Threat Protection (ATP), Microsoft habría visto esos datos clave mucho antes.

Smith indicó que la necesidad de contar con una tecnología moderna era un mandato clave al que todas las organizaciones deben aspirar. Dio a entender que pasar a la nube hace que los sistemas y servicios sean más defendibles de este tipo de ataques. No estoy de acuerdo con Smith sobre el paso a la nube. No es la única respuesta, pero añadir servicios clave de seguridad en la nube es posible y nos permite estar mejor informados. Soy un fan de Microsoft Defender ATP, que guarda pruebas forenses en las estaciones de trabajo, y proporciona una revisión casi en tiempo real de las actividades inusuales en sus estaciones de trabajo y servicios en la nube.

Es necesario compartir más información

Smith señaló el problema de compartir la información y mantener nuestra información de seguridad en silos. Afirmó que es necesario poner en marcha leyes que obliguen a divulgar y compartir más información. Señaló que a veces los distintos departamentos del gobierno no pueden compartir información debido a los mandatos de privacidad y otras razones.

Los sistemas de autenticación pueden ser explotados

George Kurtz, presidente/director general y cofundador de CrowdStrike, dijo que el atacante se aprovechó de las debilidades sistémicas de la arquitectura de autenticación de Microsoft. Pudo moverse lateralmente dentro de la red, así como entre los servicios locales y en la nube, creando credenciales falsas, haciéndose pasar por usuarios legítimos y eludiendo la autenticación multifactor (MFA). El actor de la amenaza utilizó direcciones IP únicas para desplegar servidores de mando y control. Los atacantes no suelen utilizar direcciones únicas, por lo que es más fácil establecer correlaciones entre los tipos de ataques.

El límite de la empresa ya no está en nuestro firewall. Las tecnologías de seguridad tradicionales y las técnicas de autenticación heredadas son ahora nuestra mayor debilidad. Los atacantes se aprovecharon de las limitaciones del servicio de federación de Active Directory. El ataque de SAML dorado les permitió saltar de los sistemas locales a los sistemas en la nube, eludiendo efectivamente la MFA. Los usuarios y administradores deben acostumbrarse a la reautenticación y a establecer permisos para cada dispositivo.

Es necesario actualizar las políticas y prácticas relativas a las amenazas de la cadena de suministro

Lo que esto demuestra es que las organizaciones son vulnerables a los ataques de la cadena de suministro, y es necesario hacer más para proteger el software instalado en sus sistemas. No dé por sentada la revisión del código y del proveedor. Confíe y verifique las aplicaciones que instala en sus sistemas.

Kurtz ofreció este consejo:

  • Mejore la búsqueda de amenazas para entender mejor cómo entran los atacantes en las redes.
  • Recuerde que cada segundo cuenta para impedir que los atacantes completen sus objetivos.
  • Revise los procesos de seguridad para asegurarse de que existe la capacidad de aprendizaje automático para aprender de los eventos que se producen en el entorno.
  • Mejore la autenticación de la identidad a medida que los empleados se desplazan para trabajar desde cualquier lugar.

Las organizaciones más pequeñas serán el objetivo

Los atacantes suelen dirigirse a organizaciones más pequeñas para infiltrarse en una organización más grande. Esto es parte del problema de la cadena de suministro: los atacantes saben que pueden ir a por la fruta más fácil para entrar en organizaciones más grandes a través de herramientas de acceso remoto utilizadas por consultores o software de monitorización como SolarWinds. Los atacantes también son capaces de desactivar las herramientas de seguridad, ya sean de CrowdStrike, FireEye o Microsoft.

Próximos pasos

Escuche la presentación. Piense en cómo configura actualmente su red y cómo podría identificar si ha sido objeto de un ataque a la cadena de suministro. Pregunte a los proveedores que le proporcionan herramientas de acceso remoto u otras aplicaciones clave cómo protegen su propio proceso de codificación y cómo revisan sus procesos. Pregúntese si podría identificar si un atacante utilizará sus propias credenciales, o si podría determinar si sus herramientas defensivas estuvieran desactivadas en sus sistemas. ¿Se alertaría si de repente Sysmon u otra herramienta de registro de eventos estuviera deshabilitada? Revise cómo habrías reaccionado y cómo podría haber identificado si era el objetivo.