Ah, la semana antes de las vacaciones. Un gran momento para tomar un respiro después de un año difícil, salir temprano, hacer algunas compras en línea, pasar tiempo con la familia.
No en el mundo de la tecnología de seguridad empresarial, al menos no esta semana, y tal vez no por un
«La semana literalmente ha explotado», dijo Alex Gounares, fundador y director ejecutivo de la empresa de tecnología de seguridad Polyverse, con sede en Bellevue, Washington. “Es difícil exagerar el impacto de la violación de SolarWinds. Se ha escrito mucho sobre el impacto inmediato, pero lo que es aún más preocupante es el daño que está por venir. Los atacantes han tenido meses de acceso ilimitado a los clientes de SolarWinds, ¿qué más hicieron? ¿Cuántas puertas traseras más están instaladas ahora en todas esas organizaciones? ”
Esas son solo algunas de las preguntas sin respuesta y las implicaciones de gran alcance de la violación de SolarWinds, en la que los piratas informáticos que se creía que estaban conectados al gobierno ruso se infiltraron en los sistemas informáticos de las empresas. y agencias gubernamentales de EE. UU. al insertar de manera ilícita malware en las actualizaciones de software para un producto de administración de infraestructura de TI ampliamente utilizado.
Descubierto el 8 de diciembre, el ataque ha estado ocurriendo bajo el radar desde marzo, según la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. .
La escala y la sofisticación del ataque son «asombrosas», dijo Michael Hamilton, cofundador y director de seguridad de la información de CI Security de Seattle. «Lo que he aprendido es que las tácticas utilizadas por los actores del estado-nación ahora se están implementando de manera muy amplia en el gobierno y la comunidad empresarial, y los guantes realmente se han desprendido».
SolarWinds, con sede en Austin, Texas, dijo sobre Es posible que 18.000 clientes hayan instalado el software comprometido.
“Lo que sucedió con SolarWinds es indicativo de cuán increíblemente sofisticados se han vuelto los ciberataques y cuán trascendentales son sus efectos una vez que se ha infiltrado un sistema”, dijo Eugenio Pace, CEO y cofundador de tecnología de autenticación empresa Auth0. «Probablemente no sepamos el alcance total del daño por un tiempo, desafortunadamente. Este tipo de ataque solo demuestra que siempre habrá un nivel de sofisticación y amplitud que puede afectar incluso a las empresas más preparadas «.
Auth0 no es un cliente de SolarWinds en sí mismo, señaló Pace, pero no obstante, ha estado tomando precauciones y activamente monitoreo de amenazas en nombre de sus clientes.
Las nuevas empresas de seguridad han estado trabajando muchas horas para ayudar a sus clientes comerciales a detectar la presencia del código malicioso en sus sistemas.
“Esta pieza de malware en particular es difícil de detectar. Permanece inactivo durante largos períodos de tiempo ”, dijo Jesse Rothstein, cofundador y director de tecnología de ExtraHop, empresa de seguridad de red con sede en Seattle. “No genera mucha actividad. … Esta es una de las razones por las que me preocupa que apenas estamos empezando a comprender las implicaciones de este ataque ”.
Otro desafío es la naturaleza subrepticia del ataque por la puerta trasera.
“Puedo decirles sin lugar a dudas que esta puerta trasera se instaló y estaba abierta de par en par en un gran número de organizaciones”, dijo Rothstein. “Lo que es difícil de decir es, ¿alguien entró por esa puerta trasera? ¿Y alguien salió por la puerta trasera con objetos de valor? … Y no sabemos si dejaron otras puertas abiertas, o si establecen persistencia a través de otros mecanismos ”.
Complicado por la nube
La aceleración de la computación en la nube y las aplicaciones de software como servicio dentro de las empresas ha complicó aún más el proceso de detección de ataques.
“Con todo llamando a casa y aprovechando la computación en la nube, es aún más difícil determinar si es el comportamiento deseado o si es un comportamiento malicioso o nefasto”, dijo Rothstein. «Existe una línea muy fina entre cargar datos en su plataforma de inteligencia empresarial alojada en SaaS y exfiltrar datos confidenciales a un atacante».
Además del desafío, el código malicioso se insertó en una actualización de software SolarWinds que se firmó digitalmente, que Rothstein dijo el miércoles que indicó que el servidor utilizado para construir la actualización estaba comprometido. Esto fue posteriormente confirmado a través de un análisis de ReversingLabs.
«Eso es muy preocupante», dijo Rothstein. “Como vendedor de software y como proveedor, le diré que una de las cosas que más me paranoico es la integridad del sistema de compilación y la integridad de la cadena de suministro”.
Después de la noticia del El ataque SolarWinds estalló durante el fin de semana, ExtraHop emitió una actualización a través de su fuente de inteligencia de amenazas para ayudar a los clientes a detectar la actividad en sus redes que podría estar asociada con el ataque. Además, su equipo de investigación analizó la lista inicial de dominios que se cree que se utilizaron en el ataque e identificó una lista mucho más grande, alrededor de 550 direcciones IP únicas, utilizando sus herramientas patentadas e inteligencia de código abierto.
Microsoft tomó medidas contra uno de los dominios clave de esta semana. Sin embargo, el CEO de Polyverse, Gounares, él mismo un veterano de la compañía Redmond, puso eso en perspectiva con otra analogía. «Microsoft debería ser aplaudido por su rápida respuesta, pero es como que una tubería congelada se rompa en su casa», dijo. «Sí, es muy importante reparar la tubería (¡así que gracias Microsoft!), Pero ¿qué pasa con todos los daños causados por el agua en las paredes, los pisos y otros lugares que no se pueden ver?»
Demanda 'masiva' de seguridad tecnología
Si bien las nuevas empresas de seguridad tecnológica tienen cuidado de no ser vistas como capitalizando el incidente, en muchos casos la situación demuestra la necesidad de los tipos de tecnologías y servicios que ofrecen.
Rothstein de ExtraHop, por ejemplo, señaló que La detección de red, la especialidad de ExtraHop, es una de las mejores formas de detectar signos de piratería, debido a la forma en que el código malicioso permanece inactivo. El progreso en esta área es una de las cosas que finalmente le da cierto optimismo frente a nuevas amenazas como la brecha de SolarWinds. La aplicación de la ciencia de datos y el aprendizaje automático para analizar grandes conjuntos de datos y tráfico de red en busca de comportamientos sospechosos «es un gran avance, y obtiene grandes recompensas».
Gounares citó la importancia de que las empresas tengan un control completo de sus pila de software, que es el foco del producto insignia de Polyverse, para defenderse de los ataques que llegan a través de la cadena de suministro de software, como fue el caso del hack de SolarWinds.
En una nota de investigación el jueves, el analista de Wedbush Dan Ives dijo que los ataques destacan un mercado direccionable total “masivo” para la ciberseguridad. “Creemos que existe una oportunidad de crecimiento de $ 200 mil millones de dólares en seguridad en la nube 'disponible' durante los próximos cinco años para aquellos proveedores que tienen los conjuntos de soluciones para proteger las implementaciones críticas de la nube y trabajar sin problemas con cargas de trabajo locales y públicas / híbridas a través de un conjunto de soluciones unificadas y profundas ”, escribió Ives.
La concentración de empresas de tecnología empresarial en el área de Seattle, junto con la presencia de los gigantes de la nube Amazon Web Services y Microsoft Azure, ha convertido a la comunidad tecnológica de la región en un semillero de nuevas empresas de ciberseguridad
Beyond SolarWinds
Una conclusión clave es que el ataque marca una nueva era, y es solo el comienzo. [19659003] “Las mayores implicaciones para la seguridad de TI son que este evento está pasando de un enfoque de espionaje a uno criminal”, dijo Hamilton, de CI Security. “No existe una línea clara entre el estado y los actores criminales en ciertos países, y la persistencia obtenida en las redes que usan SolarWinds puede pasar al crimen organizado. Traducción: las empresas afectadas pueden ser extorsionadas con ransomware pronto «.
El ataque actual no solo no ha terminado, dijo Gounares, sino que seguramente tampoco es el último de este tipo.
» Estamos atentos al próximo ataque. Los atacantes detrás de la brecha de SolarWinds eran absolutamente sofisticados y de clase mundial, pero cuando se profundiza en los detalles técnicos, lo que es notable es lo fácil que fue la mecánica técnica real «, dijo Gounares.
» Creo que habrá mucho de ataques estilo imitación en los próximos meses y años ”, dijo. “Otras organizaciones estatales-nación capaces se envalentonarán con este ataque y decidirán hacer el suyo propio, y otros malos actores observarán los detalles técnicos y se darán cuenta de que también pueden hacerlo”.
Deja una respuesta