.png)
¿Preparándose para exploits de día cero como MoveIt? Gana visibilidad de las aplicaciones
A principios de este año, miles de organizaciones se vieron afectadas por lo que se considera los hacks más grandes del año con la explotación de la herramienta de transferencia MOVEit de Progress Software.
La brecha ha impactado a organizaciones de todo el mundo, incluyendo a más de 60 millones de personas, y es probable que esas cifras sigan aumentando. De hecho, solo la semana pasada, otra organización estadounidense anunció que el ataque impactó 55 de sus prácticas de atención médica en más de 20 estados. Los actores de amenazas comprometieron la información confidencial de los pacientes, como números de Seguro Social, fechas de nacimiento y registros médicos.
Es justo decir que el daño ha sido extenso y ha afectado a todos los mercados verticales a nivel mundial, y el grupo de ransomware CLOP está en el centro de ello. Con una estimación $100 millones en ganancias para el grupo, es fácil ver por qué estas amenazas continúan ocurriendo.
En esta publicación, explicaré por qué la visibilidad integral de las aplicaciones es esencial para prepararse para exploits de día cero como MoveIt y cómo Illumio puede ayudar.
Las medidas de seguridad proactivas adquieren más tiempo durante un ataque
En un post anterior de mi colega Raghu Nandakumara sobre los ataques de MoveIt, brindó lecciones y recomendaciones sobre las consecuencias de esta violación. Una de estas recomendaciones fue obtener lo básico correcto, incluido el parcheo regular y limitar el acceso. No hace falta decir que estas mejores prácticas deben ser respetadas.
Pero, ¿qué pasa cuando no hay parche listo?
Tu moneda se convierte en tiempo — y aquellos que se han preparado para estos escenarios se encontrarán con bolsillos más profundos o, en este ejemplo, más tiempo. Una arquitectura resiliente construida en torno a la visibilidad ofrecerá tiempos de respuesta más rápidos y proporcionará la moneda necesaria para reducir el impacto.
La preparación y remediación de ataques requieren visibilidad completa de las aplicaciones
Las hazañas de día cero como MoveIt son inevitables en esta era moderna de la tecnología. La forma en que se prepara para estos eventos es fundamental para seguir siendo resiliente y garantizar la protección de sus datos.
A Mentalidad de confianza cero ahora deben considerarse obligatorios y, por lo tanto, todos los flujos de aplicación deben ser entendidos y evaluados.
La remediación sólo puede lograrse con éxito cuando se entiende la huella real de un ataque. Esto lleva a quizás la recomendación más crítica de Raghu: La visibilidad es clave.
3 formas en que Illumio proporciona visibilidad para prepararse para exploits de día cero
La interrupción en el comercio y las operaciones que ha causado la violación de MoveIT demuestra la extrema importancia de la visibilidad de las aplicaciones dentro de nuestro negocio.
Aquí hay tres formas en que Illumio hace que obtener una visibilidad completa sea fácil. Puede estar seguro de que MoveIt o un ataque como este será un incidente de seguridad menor en lugar de una catástrofe para su organización.
1. Vea el riesgo de seguridad con el mapeo de dependencia de aplicaciones
El uso del lenguaje de aplicaciones para identificar y clasificar su riesgo devuelve el control al negocio. Los exploits ocurren en la carga de trabajo en ataques como MoveIt, lo que hace que la visibilidad sea especialmente importante.
Desacoplar su seguridad de la red y anclarla al objetivo brinda a los equipos de seguridad la inteligencia necesaria para reducir el impacto de estas brechas graves. Aquí es donde el modelo de etiquetado de Illumio ayuda a las organizaciones a visualizar su riesgo y desarrollar resiliencia.
Herramientas como MOVEit pueden ser críticas para la cadena de suministro de su organización. Ya sea que se utilicen a través de servicios en la nube o se implementen en las instalaciones, Mapa de visibilidad basado en riesgos de Illumio brinda información sobre la huella de este tipo de aplicaciones, lo que permite que el negocio comprenda su exposición y erradique los puntos ciegos.
Después de todo, no puedes asegurar lo que no puedes ver.
Obtenga una demostración rápida de Mapa de dependencia de aplicaciones de Illumio abajo:
2. Comprenda rápidamente los flujos de comunicación en tiempo real con etiquetado centrado en las aplicaciones
La visibilidad centrada en las aplicaciones significa que puede consultar rápidamente su entorno para visualizar el riesgo mediante el etiquetado centrado en las aplicaciones de Illumio. Esta información permite a los equipos de seguridad e IR coordinar la mitigación, reducir la exposición y acelerar la velocidad de recuperación.
En el siguiente ejemplo del etiquetado centrado en aplicaciones de Illumino, una simple consulta contra la etiqueta de aplicación Finance como Source y la etiqueta MoveIT Gateway como Destino muestra flujos en tiempo real.
3. Tome medidas sobre el riesgo de seguridad con un modelo dinámico de política de Segmentación de Confianza Cero
Aprovechar las etiquetas de Illumio permite obtener información sobre qué aplicaciones y entornos consumen estos flujos.
Con esta información, los equipos de seguridad pueden tomar las medidas adecuadas en los recursos de mayor riesgo utilizando el modelo de políticas dinámicas de Illumio para aislar o poner en cuarentena los hosts infectados. Esto asegura que otros activos no se vean comprometidos.
En el ejemplo siguiente, Illumio Zero Trust Segmentation está bloqueando el flujo ascendente hacia el gateway MOVEIT.
En una brecha activa, Illumio se utiliza en paralelo a las herramientas de detección y respuesta, aprovechando la visibilidad y la segmentación para aislar activos infectados y restaurar líneas de negocio interrumpidas.
Cuando se integran en su entorno de seguridad, estas tareas se pueden automatizar mediante runbooks para ejecutar una serie de condiciones para reducir el impacto y acelerar el proceso de respuesta general, incluso si el atacante sigue presente.
¿Cuál es el futuro de MoveIt? Prepárese de manera proactiva con visibilidad
A finales de septiembre de 2023, se han descubierto más CVE (vulnerabilidades y exploits comunes) dentro de los módulos WS_FTP de Progress Software. Estos nuevos descubrimientos requieren una remediación inmediata ya que varios son críticos.
Un entorno de seguridad sólido requiere un enfoque integrado. La superposición de mapas de vulnerabilidades de Illumio avanza en la visibilidad basada en el riesgo para mostrar las posibles vías que los atacantes pueden explotar. La integración de administración de vulnerabilidades permite a los equipos de seguridad aplicar políticas de segmentación para controlar el impacto y proporcionar inteligencia procesable en la recuperación.
El análisis posterior a la violación puede ocurrir una vez que se entienden los análisis forenses, y luego se utiliza la segmentación para fortalecer aún más las aplicaciones críticas.
Es importante tener en cuenta que las recomendaciones de esta publicación se alinean con Modelo de Madurez de Confianza Cero de CISA. De hecho, van más allá de los controles tradicionales e iniciales recomendados para alinearse con los principios avanzados y óptimos. Adoptar estos controles nunca ha sido tan fácil con Illumino Zero Trust Segmentation.
¿Desea obtener más información sobre cómo obtener visibilidad end-to-end de las aplicaciones? Póngase en contacto con nosotros hoy para una consulta gratuita y una demostración.
_(1).webp)
