Nueva investigación: Estudio del costo global del ransomware. Vea qué le están costando las infracciones.
Obtener el informe
Blog
/
Segmentación de confianza cero

Brecha de SolarWinds: Impulsando un cambio de paradigma hacia la confianza cero

Raghu Nandakumara
,
Director Senior, Mercadotecnia de Soluciones Industriales
January 19, 2021
23 min. lectura

El compromiso de SolarWinds y sus continuas consecuencias han puesto de relieve la dificultad de controlar y validar cada punto de contacto que tiene una empresa con sus dependencias externas (ya sea ese proveedor, cliente o socio) y enfatiza aún más el viejo adagio de que “una cadena es tan fuerte como su eslabón más débil”.

La violación de Target de principios de la década de 2010 y la más reciente llamada 'Tolva de nubes'los ataques ya resaltaron los riesgos asociados con las cadenas de suministro, particularmente cuando los miembros de esa cadena tienen algún tipo de acceso directo a su red (es decir, relaciones de terceros que requieren acceso a la red). Por lo tanto, el reconocimiento de este riesgo ha dado lugar a un mayor enfoque en los controles de seguridad implementados en estos puntos de contacto de la red. Cuando se implementan adecuadamente, estos controles proporcionan una comprensión clara de dónde existen estos puntos de contacto, a qué permiten el acceso, el nivel de acceso y cómo se monitorea ese acceso. Desde una perspectiva de detección y respuesta, puede proporcionar un conjunto más obvio de indicadores a tener en cuenta debido a esta información 'de prior'.

En primer lugar, el compromiso de SolarWinds es alardeante porque atacó un punto de nuestras cadenas de suministro de tecnología que menos esperábamos (es decir, una actualización firmada por un proveedor de software en el que confiamos). Y, sin embargo, es uno que todos reconoceríamos como 'perfecto' en la oportunidad que ofrecía a los atacantes de puerta trasera.

Podemos argumentar que la probabilidad de éxito de un ataque es una función de las credenciales disponibles, el acceso a la red utilizable y las vulnerabilidades explotables. En este caso, comprometer un sistema con amplio acceso a la red y acceso altamente privilegiado a sistemas y servicios de directorio sería extremadamente alto en la lista de deseos de cualquier actor malintencionado. La plataforma Orion brindó esta oportunidad exacta.

La forma en que los atacantes lograron comprometer el proceso de validación y compilación de código de SolarWinds aún está bajo investigación, y sin duda todas las organizaciones que hacen su propio desarrollo estarán enormemente interesadas en cómo pueden mitigar los mismos riesgos.

Lo que es lo más importante ahora es lo que sigue siendo la exposición latente, ya que todavía se está revelando. El nivel y rango de acceso disponible significa que es difícil medir realmente a dónde han podido llegar y esconderse los atacantes. Sabemos que el uso de la actualización de Orión fue puramente para establecer una cabeza de playa (muy prominente) en las organizaciones objetivo, ya que ni el trofeo final ni una necesidad de persistencia de presencia o acceso.

Ante esto, el foco está mucho en la detección y respuesta continuadas. Y en este sentido, todos tenemos un papel crítico que desempeñar. El descubrimiento de este ataque a gran escala fue posible debido a que un proveedor experimentado de respuesta a incidentes y ciberseguridad (FireEy/ Mandiant) también se vio comprometido. Fueron, sin embargo, los primeros en la lista de víctimas en detectar el robo de datos después de la violación, divulgarlo públicamente, y luego proporcionar contramedidas iniciales. Quizás, este es uno de los linajes plateados en este episodio en curso.

Los proveedores de seguridad necesitan determinar, con carácter de urgencia, cómo las soluciones que brindamos se pueden utilizar mejor para detectar y luego limitar (o al menos retrasar) la propagación del ataque.
  • ¿Contamos con telemetría que Blue Teams pueda utilizar de manera efectiva para crear una imagen más precisa de la actividad dentro de una organización, proporcionando indicadores más claros de compromiso?
  • ¿Existen políticas que se puedan aplicar rápidamente que restrinjan el movimiento lateral?
  • ¿Pueden nuestras soluciones tecnológicas exponer, y potencialmente incluso mitigar, el riesgo que una aplicación crea para una organización, ya sea a través de la cantidad de conectividad, el uso de acceso privilegiado o la cantidad de vulnerabilidades en las cargas de trabajo?
  • ¿Podemos identificar rápidamente cuándo se utilizan credenciales comprometidas y evitar un mayor acceso?
  • ¿Existen correlaciones fáciles que se pueden extraer de múltiples soluciones de seguridad que identificarían los TTP nuevos y conocidos?
Y qué pasa con las posibles organizaciones objetivo: ¿qué necesitan hacer? Ahora, más que nunca, entender el riesgo cibernético asociado con cada activo es primordial.
  • ¿Pueden identificar rápidamente sus recursos más críticos?
  • ¿Qué tan bien entienden el modelo de acceso en torno a estos recursos?
  • ¿Pueden controlar la comunicación saliente hacia y desde estos servidores/cargas de trabajo? ¿Deberían existir las comunicaciones salientes para empezar?
  • ¿Existe monitoreo adecuado en cada capa (por ejemplo, dispositivo de usuario final, red, administración de identidad y acceso, aplicaciones, etc.) y se puede mejorar?
  • ¿Se pueden endurecer las políticas de acceso para acercarse a Cero Confianza/Privilegio mínimo?
  • ¿Se revisitarán las prácticas de desarrollo de software seguro para garantizar que sean lo más sólidas posible?

El infame paradigma de la “Doctrina del Choque” sugiere que para forzar un cambio transformador en un sistema, todo el sistema necesita ser impactado para darse cuenta de que tal cambio es necesario. Y si bien la atención se centrará, con razón, en la seguridad y el riesgo asociados con las cadenas de suministro, creo que la verdadera metamorfosis debe ser la siguiente:

Proveedores de tecnología debe ser capaces de educar a sus clientes sobre cómo las soluciones existentes que proporcionan pueden usarse para soportar funciones de detección y respuesta.

Clientes (es decir, organizaciones) debe centrarse en:

  • Identificar sus activos más críticos.
  • Monitorear activamente estos activos mediante una variedad de sensores para identificar indicadores de TTP maliciosos.
  • Comprender el modelo de acceso para estos activos y aplicar políticas de privilegios mínimos para protegerlos.

En muchos sentidos, la oportunidad que aquí se presenta es realmente el paradigma de partida de Cero Confianza: “Asume una violación y haga que sea realmente difícil hacerse dueño”.

Temas relacionados

No se han encontrado artículos.

Artículos relacionados

Cómo la experta en educación en ciberseguridad Kyla Guru está resolviendo la inseguridad cibernética
Segmentación de confianza cero

Cómo la experta en educación en ciberseguridad Kyla Guru está resolviendo la inseguridad cibernética

Nos sentamos con Kyla Guru, Fundadora y CEO de Bits N' Bytes Cybersecurity Education, para discutir sus avances innovadores en la educación en ciberseguridad accesible y sus pensamientos sobre hacer que el mundo digital sea más seguro para todos.

Leer más
Forrester: 3 puntos clave sobre el ROI de la segmentación de confianza cero de Illumio
Segmentación de confianza cero

Forrester: 3 puntos clave sobre el ROI de la segmentación de confianza cero de Illumio

Obtenga lo más destacado del reciente seminario web de Illumio con expertos de Forrester sobre el impacto económico total de la Segmentación de Confianza Cero de Illumio.

Leer más
Cómo la segmentación es benéfica para las empresas de IR y recuperación en la respuesta a incidentes
Segmentación de confianza cero

Cómo la segmentación es benéfica para las empresas de IR y recuperación en la respuesta a incidentes

Descubre cómo Illumino utiliza la Segmentación de Confianza Cero en las contrataciones de respuesta a incidentes para responder a brechas y entornos de restauración de forma segura.

Leer más
No se han encontrado artículos.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Más información