Número de teléfono : 13486085502
December 30, 2020
Más preocupantes para ésos responsables de cybersecurity en los centros de datos de la empresa, sin embargo, son los vendedores de la tecnología que permitieron el software comprometido de SolarWinds Orión en sus ambientes. Esos vendedores, por lo que sabemos, ahora incluyen Microsoft, Intel, Cisco, Nvidia, VMware, Belkin, y la empresa FireEye del cybersecurity, que era primera para descubrir el ataque.
“Pienso que el número [de vendedores comprometidos] va a crecer,” dije a Greg Touhill, que sirvieron como E.E.U.U. CISO federal debajo de presidente Barack Obama y quién ahora es presidente en el grupo federal de Appgate. “Pienso que vamos a encontrar, pues desenredamos el nudo detrás de esto, que SolarWinds no era la única víctima, y que FireEye no era la única víctima en su espacio.”
En conjunto, hasta 18.000 organizaciones pudieron haber transferido el troyano, según SolarWinds. El número de organizaciones apuntadas para los ataques que seguirían la infracción de SolarWinds es desconocido en este tiempo. Microsoft dijo que ha identificado más de 40 organizaciones en esa categoría pasada. No nombró ningunos de ellos sino dijo que el 44 por ciento era empresas de tecnología
Otros investigadores han estado investigando los detalles técnicos de los malware para identificar a más víctimas del segundo-orden.
Una lista publicada por la empresa TrueSec del cybersecurity incluye el hospital de Cisco, de Deloitte, del monte Sinaí, y varios otros hospitales, organizaciones médicas de otras clases, gobiernos locales, instituciones educativas, empresas eléctricas, e instituciones financieras.
Cisco y Deloitte están también en la lista juntaron por los investigadores del cybersecurity en Prevasio. Además, su lista incluye Ciena, Belkin, Nvidia, NCR, SAP, Intel, y el sentido de Digitaces.
El foco de los atacantes en vendedores de la empresa las TIC se está preocupando particularmente porque podría significar que la infracción de SolarWinds es apenas una de muchos, que comprometieron a otros vendedores de la tecnología la misma manera SolarWinds era. Podría haber aún más vectores del ataque de la cadena de suministro del detrás-canal, contra los cuales sea difícil de defender.
Los E.E.U.U. Cybersecurity y la agencia de seguridad de la infraestructura ha advertido que los atacantes pudieron haber utilizado otros puntos de acceso iniciales además de SolarWinds.
Por ejemplo, los atacantes han estado utilizando una vulnerabilidad del zero-day en los productos de la gestión del acceso y de la identidad de VMware para atacar sistemas del gobierno, según el NSA. VMware confirmó que fue notificado de la vulnerabilidad por el NSA y lanzó un remiendo a principios de este mes. VMware también confirmó que encontró casos del software comprometido de SolarWinds en su ambiente, pero dijo que no vio ninguna otra prueba de la explotación.
El ataque de VMware tenía otra cosa en común con SolarWinds. Los atacantes utilizaron propios canales de las comunicaciones de su software para evadir la detección. Según el NSA, la actividad de la explotación ocurrió dentro de un túnel TLS-cifrado asociado al interfaz en Internet de la gestión del software.
Cisco también ha confirmado que encontró casos del producto comprometido de SolarWinds Orión en su ambiente. “En este tiempo, no hay impacto sabido a los productos de Cisco, los servicios, o cualquier datos de empresa,” y sus redes de la cadena de suministro las TIC no han mostrado ninguna prueba del compromiso, la compañía dijo.
Pero eso no significa que no hay ninguna problemas más lejos encima de la cadena.
“Si los fabricantes de tercera persona de Cisco tienen redes de las TIC no asociadas al negocio de Cisco, Cisco no tiene visibilidad a esas redes,” la compañía dijo. “Cisco se está involucrando con activamente a vendedores evaluar cualquier impacto potencial a su negocio.”
Muchos de ataques de este año del alto-perfil, tales como la onda récord del ransomware, explotaron la buena voluntad de los usuarios de hacer clic en vínculos en correos electrónicos del phishing o credenciales robadas usadas para romperse en sistemas.
El canal del ataque de SolarWinds no implicó a ninguna usuarios comprometida para ganar el equilibrio inicial. En lugar, el ataque sucedió totalmente en el extremo trasero, con un proceso comprometido de la actualización de software. Un centro de datos que busca indicadores del compromiso en comportamientos sospechosos del usuario, transferencias directas del malware en los dispositivos del usuario, o en actividad inusual de la red no tendría nada encontrar – incluso durante los atacantes utilizaron la plataforma de SolarWinds Orión para explorar el ambiente.
De hecho, FireEye descubrió solamente la infracción cuando un atacante intentó utilizar las credenciales robadas para registrar un nuevo dispositivo para la autentificación de varios factores.
“Tenía el AMF no lo cogió, tenía el empleado no divulgó los credenciales robados, esto no habría sido descubierta,” Liz Miller, VP y el analista principal en la investigación de la constelación, dijeron. “Todavía estaría proporcionando puertas abiertas a cualquiera.”
Touhill de Appgate recomienda que los centros de datos que utilizan productos por SolarWinds, por Cisco, por VMware, o por otras compañías potencialmente comprometidas necesitan hechar una ojeada cuál es su exposición del riesgo potencial.
“Heche una ojeada esos vendedores que usted confía encendido,” él dijo la DCK. “Usted tiene que estar en la conversación con sus proveedores y ver si son mejores prácticas siguientes, como la comprobación de la integridad de su código y la comprobación de sus propios sistemas en varias ocasiones para saber si hay cualquier indicación del compromiso.”
Y eso no es una conversación de una sola vez, él añadió. “Uno-y-hecho no va a ser bastante bueno.”
Útil a los encargados de seguridad del centro de datos tras la infracción de SolarWinds es la cantidad de atención que el ataque ha recibido de investigadores de la seguridad.
“Conocemos cómo fue comprometido y qué a buscar,” a Ilia Kolochenko, el CEO en ImmuniWeb, una empresa del cybersecurity, dijo. “Solamente me siento confiado que SolarWinds no es la compañía más negligente en el mundo entero. Es razonable presumir que no son la única víctima.”
La diferencia es que nadie conoce lo que han cortado otros vendedores de las TIC, y cuáles son esos indicadores del compromiso.
ImmuniWeb investigó a cerca de 400 compañías importantes del cybersecurity y encontró recientemente que el 97 por ciento tenía los escapes de los datos u otros incidentes de la seguridad expuestos en la web oscura – así como 91 compañías con vulnerabilidades de seguridad explotables de la página web. En septiembre, cuando su informe fue publicado, el 26 por ciento de ésos todavía fue desmontado.
Los investigadores también encontraron más de 100.000 incidentes de alto riesgo, tales como credenciales de la clave, disponibles en la web oscura. “SolarWinds es probablemente apenas la punta del iceberg del compromiso de empresas de tecnología en el mundo entero,” Kolochenko dijo la DCK.
“Usted no puede confiar en cualquier persona, incluso su vendedor de la seguridad,” Holger Mueller, analista en la investigación de la constelación, dijo. La única solución es revisión del código. “Pero quién puede y quiere revisar el código fuente de los vendedores de la seguridad?”
Qué pudo emerger en respuesta es una nueva clase de vendedor – uno que proporciona las herramientas que comprueban el software de la seguridad para saber si hay malware, él dijo.
La infracción de SolarWinds ilustra otro problema hecho frente por la seguridad del centro de datos las TIC – esa necesita trabajar más de cerca con los equipos de las TIC más amplios.
Según una encuesta reciente del instituto de Ponemon en nombre de Devo, la falta de visibilidad en infraestructura de la seguridad de las TIC es la barrera superior a la eficacia de los centros de operaciones de la seguridad, identificada como problema por el 70 por ciento de profesionales de las TIC y de la seguridad. Y el 64 por ciento dice que los problemas del césped y las operaciones siloed son una barrera superior a la eficacia.
“Este ataque realmente debe ser una llamada de atención masiva para el TIC y los equipos de seguridad a ser lejos alineados,” Miller de Constellation's dijo.
La falta de visibilidad hace difícil detectar y responder a las amenazas. Según la encuesta sobre Ponemon, el 39 por ciento de organizaciones dijo que tomó, por término medio, los “meses o aún los años” a responder a un incidente de la seguridad.
“Éste es exactamente el caos y los atacantes siloed de los comportamientos, especialmente sofisticados, confían encendido,” Miller dijo la DCK.
La infracción de SolarWinds prueba de nuevo que cualquier persona puede ser cortada, de la mayoría de las agencias de estatal conscientes de la seguridad a la mayoría de los vendedores conscientes del cybersecurity de la seguridad.
Es relativamente fácil que los atacantes sofisticados permanezcan debajo del radar.
“Cuando he hecho combinar rojo, no pienso que me han cogido nunca hasta que haya ido a hacer una cierta acción realmente obvia o a hacer un cierto ruido,” dije David Wolpoff, el CTO y al cofundador en Randori, que se rompe en las redes de sociedades para una vida.
Eso no significa que los encargados de seguridad no debe intentar detectar infracciones.
“Por supuesto, no somos seguros,” Wolpoff dijo. “Nunca vamos a ser seguros. Pero estamos haciendo siempre estos equilibrios en vida, y cibernético es no diferente. ¿Cuánto riesgo está usted dispuesto a aceptar de sus socios y vendedores? Y si sale mal algo, cuál es su a prueba de averías?”
Por ejemplo, él dijo, cada profesional de la seguridad que él habla con dice que creen en la presunción del compromiso y de la defensa profundizados. “Pero por otra parte nadie va y toma esas medidas.”
Los centros de datos que todavía no se han movido al modelo de seguridad de la cero-confianza deben comenzar a hacer planes, varios expertos dijeron.
“Franco, pienso que muchas compañías consisten tarde en la ejecución de la confianza cero, y yo piensan que es uno de los primeros pasos,” dijeron a Touhill de Appgate.
“Si usted no ha adoptado ya una postura de la cero-confianza a través de su establecimiento de una red del centro de datos, ahora sea un rato excepcional de conseguir que en engranaje,” dijo a Miller.
Las reglas del juego han cambiado, dijeron a Mike Lloyd, CTO en RedSeal, una empresa del cybersecurity.
En el pasado, la pregunta que los encargados de seguridad del centro de datos se harían que era, “cómo reduzco el espacio oscuro que no puedo ver?” Ahora, tienen que pedirse que, “cómo contengo el daño causado por las cosas que utilizo para mirar mi propia red?”
“Esto es una perspectiva de vértigo-inducción,” dijo a Lloyd. “Si usted no puede confiar en su software de supervisión, cómo usted supervisa cualquier cosa?”
