Nueva investigación: Estudio del costo global del ransomware. Vea qué le están costando las infracciones.
Obtener el informe
Blog
/
Ciberresiliencia

Aprendizajes de MoveIT: Cómo las organizaciones pueden desarrollar resiliencia

Raghu Nandakumara
,
Director Senior, Mercadotecnia de Soluciones Industriales
June 14, 2023
23 min. lectura

Durante la semana pasada, la noticia ha estado dominada por los detalles del Violación de datos de MoveIT. El ataque masivo vio a los ciberdelincuentes explotar una vulnerabilidad en Aplicación de transferencia de archivos MOVEit — una herramienta utilizada por miles de organizaciones de todo el mundo para compartir archivos de forma segura con colegas o terceros. O eso pensaron... entonces, ¿qué salió mal?

¿Qué sabemos?

El ataque surgió porque los malos actores pudieron explotar una vulnerabilidad nueva y previamente desconocida en la herramienta de transferencia de archivos MOVEit, conocida como ataque de día cero. Esto llevó a que una instancia de MoveIt utilizada por Zellis, un proveedor de servicios de TI para departamentos de nómina y recursos humanos, se vea comprometida, junto con datos de sus clientes como la BBC, Boots, Aer Lingus y Ofcom. Y el ataque no se limita solo al Reino Unido; también se confirma que las organizaciones en Canadá y Estados Unidos se han visto afectadas.

El La banda de ransomware Clop se ha atribuido la responsabilidad del ataque y amenaza con publicar todos los datos robados de las organizaciones afectadas antes del 14 de junio a menos que las empresas paguen un rescate. Pero aparte de ser desalentado por las agencias de aplicación de la ley en todo el mundo, pagar rescates solo genera más ataques. Entonces, ¿qué pueden y deben hacer las organizaciones para protegerse de ataques similares en el futuro?

¿Qué podemos aprender?

El ataque es un buen recordatorio de los riesgos planteados por ambos cadena de suministro y cadena de suministro de software. Las organizaciones a menudo ponen demasiada confianza implícita en sus proveedores para salvaguardar y almacenar datos confidenciales cuando subcontratan sistemas o funciones como nómina. Pero si el proveedor es atacado, las organizaciones pueden verse rápidamente comprometidas indirectamente.

En este caso, Zellis claramente había desarrollado una dependencia del software MoveIT, un software con exposición de alto riesgo debido a su conexión a Internet. Sin embargo, los ataques de día cero se pueden introducir en cualquier momento a través de una actualización de software, y estos a menudo se aceptan a ciegas o automáticamente.

5 pasos para construir resiliencia contra ataques como MoveIt

Las pruebas rigurosas en todas las actualizaciones nunca serán factibles, por lo que las empresas deben desarrollar resiliencia y seguridad contra fallas para garantizar que cualquier vulnerabilidad no cause ningún daño significativo.

Los siguientes son los pasos clave que las organizaciones deben tomar para aumentar la resiliencia:

1. Asume siempre una violación

Lo primero que hay que aprender del ataque MoveIt es que ninguna organización es inmune a los ciberataques. El ransomware es ahora el tipo de ataque más común, por lo que debe adoptar un”asumir una violación” mentalidad en la que la atención se centra en la contención de brechas en lugar de la prevención para garantizar que el ransomware esté aislado en el punto de entrada.

2. Obtenga lo básico correcto

En segundo lugar, no descuidar lo básico. La mayor parte de la exposición al riesgo proviene de la mala higiene, el mal proceso y el error humano. Recuerde, los defensores necesitan tener razón el 100 por ciento de las veces, pero el atacante solo necesita hacerlo bien el 1 por ciento del tiempo para tener éxito, por lo que no hay lugar para el error.

Los ataques de día cero siempre han ocurrido, y siempre sucederán, pero demasiadas empresas aún no están entendiendo bien lo básico. La mejor manera de reducir el riesgo es a través de la práctica de una buena higiene de seguridad y un enfoque de defensa en profundidad, que como mínimo, significa parchear regularmente, limitar el acceso a sistemas y servicios con vulnerabilidades conocidas, e imponer una estrategia de mínimo privilegio.

3. La visibilidad es clave

Un paso crítico para desarrollar resiliencia es ganar visibilidad. La visibilidad le permite comprender cómo se ve su normal para que cuando ocurre una conexión inesperada, o nota que se transfiere un gran volumen inesperado de datos, pueda detectarlo utilizando tecnologías SIEM (Security Information and Event Management) existentes y tomar medidas.

La visibilidad también le permite comprender las dependencias asociadas con ese sistema y crear una imagen de “bien conocido”. Cualquier organización afectada por la brecha de MoveIT necesita tener visibilidad de todas las conexiones entrantes y salientes para las que MoveIt está instalado.

4. Implementar una estrategia de acceso con privilegios de menor privilegio

Para aquellas áreas donde tiene menos control, como su cadena de suministro de software, asegúrese de tener una buena segmentación del resto de su entorno. Implementar muy políticas restrictivas de listas de permisos que aseguran que la carga de trabajo tenga muy poco acceso al resto de su red y restrinjan cuánto pueden descubrir los atacantes sobre la red y moverse lateralmente.

En el caso de MoveIt específicamente, aplique allowlisting delante de la carga de trabajo de iMoveIt para restringir el acceso en la capa de aplicación y actividad.

5. Aplicaciones de alto valor de Ringfence

Tome medidas para proteger las aplicaciones de alto valor que manejan cualquier propiedad intelectual, datos financieros no públicos, documentos legales o información confidencial y personal. Ringfencing reduce el perímetro de seguridad de una subred o VLAN a una sola aplicación. Proporciona el mayor impacto con la menor cantidad de trabajo, requiriendo solo una línea de política de seguridad por aplicación para cerrar el 90 por ciento de la superficie de ataque potencial para el movimiento de tráfico este-oeste.

¿Cómo puede ayudar Illumio Zero Trust Segmentation (ZTS)?

Illumio ZTS hace que sea rápido y fácil ver sus vulnerabilidades y tomar medidas simples para proteger su organización. Si bien Illumio ZTS no puede prevenir un ataque a la cadena de suministro de software, puede ayudarle a obtener visibilidad de la superficie de ataque, determinar el comportamiento sospechoso, y contener la propagación de las infracciones.

Con Illumio ZTS puede:

  • Establezca cómo se ve el comportamiento “normal” o “esperado” desde y hacia cualquier carga de trabajo.
  • Identificar cualquier desviación de las normas aceptables (por ejemplo, un cambio en el volumen de conexiones o datos transferidos, o IPs o dominios nuevos e inusuales a los que se accede).
  • Aísle rápidamente las cargas de trabajo hasta que tenga confianza en su estado durante un ataque activo.
  • Restrinja proactivamente el acceso a y desde las cargas de trabajo para garantizar que no sea posible el acceso fuera de lo que ha sido autorizado por la política.
The Illumio Zero Trust Segmentation Platform

Creación de resiliencia frente a ataques de software y cadena de suministro

La hiperconectividad ha dado lugar a interdependencias tan ricas, densas y críticas que los atacantes saben que pueden aumentar la eficiencia y la rentabilidad al comprometer la cadena de suministro de software. Como resultado, las empresas necesitan controlar rápidamente su cadena de suministro de software o arriesgarse a infracciones similares.

Aún hoy, el 99 por ciento del esfuerzo y presupuesto en ciberseguridad se gasta en evitar que sucedan cosas malas (detección y remediación). Sin embargo, las empresas podrían triplicar su presupuesto de ciberseguridad y aún tener brechas.

Las organizaciones deben fortalecer proactivamente resiliencia asumiendo siempre la brecha y construyendo capacidades de contención para limitar la propagación de un ataque. Esto significa adoptar un enfoque basado en el riesgo centrado en comprender el flujo de datos a través de la superficie extendida de ataque de activos y separar las funciones clave dentro de la red para evitar que las brechas se propaguen para llegar a los activos críticos.

¿Quieres saber más? Póngase en contacto con nosotros hoy para una demostración y consulta gratuitas.

Temas relacionados

No se han encontrado artículos.

Artículos relacionados

Lo que 2024 nos enseñó sobre el impulso federal de confianza cero y lo que sigue en 2025
Ciberresiliencia

Lo que 2024 nos enseñó sobre el impulso federal de confianza cero y lo que sigue en 2025

Descubra las lecciones clave del impulso federal Zero Trust de 2024 y la información procesable para 2025.

Leer más
Nuestras historias favoritas de Zero Trust de julio de 2023
Ciberresiliencia

Nuestras historias favoritas de Zero Trust de julio de 2023

Estas son algunas de las mejores historias de Zero Trust y más información general sobre liderazgo de pensamiento en ciberseguridad del mes pasado.

Leer más
Por qué la seguridad tradicional en la nube está fallando y 5 estrategias para solucionarlo
Ciberresiliencia

Por qué la seguridad tradicional en la nube está fallando y 5 estrategias para solucionarlo

Descubra por qué las herramientas de seguridad tradicionales no pueden proporcionar la seguridad flexible y consistente que se necesita en la nube y cinco estrategias para construir una seguridad moderna en la nube.

Leer más
La segmentación de confianza cero de Illumio ofrece reducción de riesgos comprobable y ROI
Segmentación de confianza cero

La segmentación de confianza cero de Illumio ofrece reducción de riesgos comprobable y ROI

Lea cómo Illumio Zero Trust Segmentation ofrece un ROI del 111% basado en el nuevo estudio TEI de Forrester.

Leer más
Segmentación de confianza cero para maniquíes: una guía sencilla para detener la propagación de brechas
Segmentación de confianza cero

Segmentación de confianza cero para maniquíes: una guía sencilla para detener la propagación de brechas

Obtenga su copia gratuita de Zero Trust Segmentation for Dummies para obtener una guía sencilla para detener la propagación de ransomware y brechas.

Leer más
Cómo un bufete de abogados global detuvo un ataque de ransomware usando Illumio
Contención de Ransomware

Cómo un bufete de abogados global detuvo un ataque de ransomware usando Illumio

Cómo la defensa contra el ransomware de Illumio detuvo rápidamente un ataque a un bufete de abogados global, al tiempo que evitaba daños significativos a su sistema, reputación y clientes.

Leer más

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Más información