Mejores prácticas de ciberseguridad tras el incidente de SolarWinds




por Víctor Ruiz, fundador de SILIKN

El 13 de diciembre de 2020, SolarWinds daba a conocer que había sido víctima de un ciberataque. Tras cientos de empresas que enfrentaron ataques cibernéticos en ese año, el incidente de SolarWinds hubiera pasado casi inadvertido, de no ser por un pequeño detalle: entre los clientes de SolarWinds se encuentran las grandes empresas de Estados Unidos (la mayoría dentro de la lista de empresas Fortune 500), así como organizaciones gubernamentales como la NASA, la fuerza aérea o el Pentágono.

SolarWinds es la empresa fabricante de Orion, un software que es usado por alrededor de 30,000 clientes y en una actualización lanzada en marzo aparentemente se introdujo un malware comprometiendo a dicha herramienta Orion, así como a toda la infraestructura de empresas que la utilizan. La vulnerabilidad se conoce como Sunburst o Solorigate y cuando está activa permite al atacante tener acceso a la cadena de suministro.

De acuerdo con la información proporcionada, SolarWinds señala que el ataque fue ejecutado por un Estado-nación, por su naturaleza y sofisticación. Las investigaciones de los analistas de seguridad indican que de más de 19,000 clientes (empresas y entidades públicas) tendrían instalada la actualización de Orion afectada por el ataque, de las cuales el 21.3% de las organizaciones están repartidos en países fuera de Estados Unidos como Canadá, México, Bélgica, Reino Unido, España e Israel y con un marcado incremento del número de víctimas y ubicaciones.

A pesar de las investigaciones aún se desconoce el alcance de este ataque y sus ramificaciones y ya que se involucra software de terceros y componentes de hardware que forman parte de los entornos tecnológicos empresariales de la actualidad, muchas más organizaciones pueden estar en riesgo.

¿Qué medidas podemos tomar en este momento?
Identificar y gestionar el acceso privilegiado para interrumpir la cadena de ataque, independientemente de si el atacante se infiltró en el entorno a través de la cadena de suministro o por otros medios.
Establecer un enfoque en la protección, con múltiples capas de seguridad: detección y respuesta de sistemas, antivirus de siguiente generación, acceso privilegiado y parches de aplicaciones y sistemas operativos.
Aplicar una estricta aplicación del privilegio mínimo y supervisión del robo de credenciales, para identificar más fácilmente comportamientos sospechosos.
Establecer políticas y procedimientos para la respuesta a incidentes y recuperación en caso de desastre.
Capacitar a todo el personal en temas de ciberseguridad que incluya los ciberataques más comunes.
Evaluar la seguridad de sus asociados, canales y proveedores.
Realizar pruebas de evaluación y diagnóstico de los sistemas de forma periódica para conocer los vectores de ataque y las vulnerabilidades de la organización.
Realizar simulacros de ciberataques.
Mantener todos los sistemas actualizados.

Adoptar una mentalidad defensiva en este momento representa realmente adoptar una mentalidad ofensiva y, sobre todo, proactiva que permite a las organizaciones tomar mejores decisiones y de una forma más rápida y efectiva contra cualquier incidente de seguridad cibernética.

Para más información visite: https://www.silikn.com/