Recomendaciones para proteger a su empresa de ciberataques nivel SolarWinds




por Víctor Ruiz, fundador de SILIKN y mentor del Centro de Ciberseguridad 05000

El 2020 fue un año complicado y esto no podría ser la excepción para el sector de ciberseguridad, pues justo antes de finalizar, se dio a conocer una noticia inquietante: el ataque masivo a la cadena de suministro que involucró a SolarWinds, una importante empresa tecnológica, fabricante de Orion, un software que es usado por alrededor de 33,000 clientes — entre los que se incluyen casi todas las empresas que integran la lista de Fortune 500 y organizaciones gubernamentales de Estados Unidos como la NASA, las fuerzas aéreas o el Pentágono — .

Los cibercriminales pasaron desapercibidos durante casi un año y afectaron a muchos objetivos sensibles, desde departamentos federales de Estados Unidos, hasta empresas del sector privado, incluidas empresas de seguridad.

Este es el ataque a la cadena de suministro más sofisticado que jamás hayamos visto. Los expertos descubrirán el daño durante meses, tal vez incluso años, por venir. Y aunque es posible que nunca sepamos su alcance completo, algo es seguro: no será la última vez que presenciemos este tipo de ataque.

Este ataque es preocupante ya que por la magnitud de SolarWinds quedó claro que cualquier organización en el mundo puede ser vulnerada, sin importar su sector, tamaño o ubicación.

A medida que se va dando a conocer más información sobre este tema, son muchas las organizaciones que preguntan ¿qué tipo de políticas, procedimientos, controles, herramientas, capacitación, podemos implementar para evitar ser víctima de un ataque de esta naturaleza?

Si bien no hay una respuesta total a estos cuestionamientos, sí existen algunos elementos que las empresas deben considerar y proteger — y que fueron descuidados por SolarWinds. Por ejemplo:

Los cibercriminales que atacaron SolarWinds comenzaron con pequeñas brechas, se infiltraron en entornos cada vez más sensibles y finalmente alcanzaron un amplio punto de acceso para implementar malware: las actualizaciones de software oficiales en las que las organizaciones confían para su seguridad.

Es posible que estemos entrando en una era de confianza cero en la que no se puede confiar implícitamente en nada, ni siquiera en los programas conocidos. En la práctica, un enfoque de confianza cero puede ser un desafío para las organizaciones. Dicho esto, hay dos formas de lograr un progreso real hacia la confianza cero: implementar medidas de seguridad fundamentales y poner defensas en capas.

Las organizaciones pueden implementar varios controles inmediatamente para hacer esto.

En primer lugar, muchas organizaciones han implementado procesos alrededor de Active Directory, monitoreando, registrando y auditando continuamente todo lo que sucede en sus sistemas. Estas medidas de seguridad pueden ayudar a detectar comportamientos sospechosos, prepararse para auditorías e investigar incidentes futuros. Al asegurarse de que el equipo de sistemas revise las modificaciones importantes, las organizaciones se mantienen al tanto de quién realiza o solicita cambios en sus sistemas. El hecho es que es más fácil detectar que detener a un cibercriminal.

En segundo lugar, la información del sistema debe incorporarse a una plataforma de gestión de eventos e información de seguridad para el registro y las alertas. Este tipo de programas son vitales para detectar incidentes. Si bien el registro parece un consejo básico, la verdad es que no todas las organizaciones mantienen registros o, si lo hacen, no los supervisan de cerca. Cuando se monitorean regularmente es posible detectar comportamientos inseguros, usuarios no autorizados u otros riesgos. Un solo movimiento sospechoso puede no significar nada. Pero varios signos pueden indicar que está sucediendo algo malicioso.

En tercer lugar, las políticas, procedimientos y herramientas de prevención de pérdida de datos son conocidas, pero muchas organizaciones no las utilizan por completo. Si se configuran y administran correctamente estas herramientas, es posible auditar incluso el software. Por supuesto, la prevención de pérdida de datos no siempre puede atrapar a los delincuentes informáticos. Pero cuando se combina con otras medidas de ciberseguridad, es una de las mejores herramientas para proporcionar visibilidad y limitar el impacto de una vulneración.

En cuarto lugar, los cibercriminales que atacaron SolarWinds se apoderaron de un entorno de desarrollo. Si las pruebas de penetración hubieran identificado ese entorno como vulnerable, el ataque podría haberse evitado en la etapa de inicio de sesión. Las organizaciones deben realizar pruebas de penetración periódicas para comprender sus vulnerabilidades desde la perspectiva de una amenaza y este no es una actividad que se haga solo una vez, sino que lo recomendable es hacer pruebas trimestrales, como mínimo. Monitorear continuamente las amenazas, comprender sus debilidades y remediar las vulnerabilidades son algunas de las mejores formas de prevenir cualquier tipo de ciberataque, no solo los ataques a la cadena de suministro.

El ataque a SolarWinds ha sido uno de los más dañinos. Las organizaciones y los gobiernos de todo el mundo deberían comprender ahora que los ataques pueden perpetrarse a través de software y proveedores confiables.

Si bien las sugerencias mencionadas son áreas críticas de ciberdefensa, cualquiera de ellas por sí solas no detendrán a un atacante. Si bien en el futuro ocurrirá otra vulneración a la cadena de suministro al estilo de SolarWinds, las organizaciones preparadas tienen más posibilidades de defenderse de los atacantes antes de que las cosas empeoren.

Debemos tener bien claro que los cibercriminales se vuelven más sofisticados cada día y esta es una batalla constante.

Para más información visite: https://www.silikn.com/