A raíz del hackeo de SolarWinds, así es como deben responder las empresas

Hack de vientos solares

A lo largo de 2020, las empresas, en general, han estado muy ocupadas con los desafíos de TI. Tuvieron que apresurarse para adaptarse a un cambio repentino al trabajo remoto. Luego tuvieron que navegar por una rápida adopción de tecnologías de automatización.

Y a medida que el año llegaba a su fin, más empresas comenzaron a intentar reunir la infraestructura de seguridad necesaria para volver a una apariencia de normalidad en 2021.

Pero a fines de año, la noticia de una violación masiva del proveedor de software de monitoreo de TI SolarWinds introdujo una nueva complicación: la posibilidad de una ola de violaciones de datos secundarios y ataques cibernéticos. Y debido a que los productos de SolarWinds tienen presencia en tantas redes comerciales, el tamaño de la amenaza es enorme.

Sin embargo, hasta ahora, la mayor parte de la atención se ha prestado a grandes empresas como Microsoft y Cisco (y el gobierno de los EE. UU.), que fueron el objetivo principal de la violación de SolarWinds. De lo que nadie habla es del resto de los aproximadamente 18 000 clientes de SolarWinds que pueden haberse visto afectados. Para ellos, el tiempo corre para intentar evaluar su riesgo de ataque y tomar medidas para protegerse.

Y debido a que varias de las empresas afectadas no tienen los recursos de los grandes, es una tarea difícil en este momento.

Por lo tanto, lo mejor que pueden hacer muchas empresas para tomar medidas en este momento es hacer que sus redes sean un objetivo un poco más difícil, o al menos minimizar sus posibilidades de sufrir una brecha importante. Así es cómo:

Comience con los pasos básicos de seguridad

Lo primero que deben hacer las empresas es asegurarse de que sus redes sean internamente lo más seguras posible. Eso significa reconfigurar los activos de la red para que estén lo más aislados posible.

Un buen punto de partida es asegurarse de que todos los lagos de datos empresariales importantes sigan todas las prácticas recomendadas de seguridad y permanezcan separados entre sí desde el punto de vista operativo. Si lo hace, puede limitar la exfiltración de datos si los usuarios no autorizados obtienen acceso debido a una brecha de seguridad.

Pero eso es solo el comienzo. El siguiente paso es segmentar el hardware de la red en VLAN de seguridad lógica y erigir barreras de firewall para evitar las comunicaciones entre ellos (cuando sea posible). Luego, revise la configuración de seguridad de cada grupo y realice los ajustes necesarios. Incluso vale la pena fortalecer los sistemas de VoIP, ya que nunca se sabe qué parte de una red se utilizará como punto de entrada para un ataque más amplio.

Y por último, pero no menos importante, revise las prácticas y procedimientos de seguridad de los empleados. Esto es especialmente importante después de la implementación apresurada de las políticas de trabajo desde el hogar. Asegúrese de que todos los empleados operen de acuerdo con los estándares de seguridad establecidos y que no hayan adquirido malos hábitos de seguridad operativa. Por ejemplo, ¿alguien comenzó a usar una VPN de forma gratuita creyendo que estaba mejorando la seguridad de su red doméstica?

Si es así, deben detenerse y recibir capacitación para tomar mejores decisiones de seguridad mientras aún trabajan de forma remota.

Realizar una auditoría de seguridad limitada

Uno de los problemas a los que se enfrentan las empresas cuando intentan volver a protegerse después de una posible violación de la red es que no hay una manera fácil de saber qué cambiaron los atacantes, si es que cambiaron algo, después de obtener acceso. Sin duda, un examen forense largo y complejo es la única opción real. Pero eso puede llevar meses y puede costar una fortuna. Sin embargo, para las empresas más pequeñas que ni siquiera están seguras de que les haya ocurrido una infracción, existe un mejor enfoque.

Es tomar una muestra limitada de los sistemas potencialmente afectados y realizar una auditoría simple de limitación de riesgos. Comience con al menos dos computadoras o dispositivos representativos de cada unidad comercial o departamento. Luego, examine cada uno en busca de signos de un problema.

En general, buscaría:

  • Software de seguridad y antivirus deshabilitado o alterado
  • Eventos de registro del sistema inusuales
  • Conexiones de red salientes inexplicables
  • Faltan parches de seguridad o problemas con las actualizaciones automáticas de software
  • Instalaciones de software desconocidas o no aprobadas
  • Permisos del sistema de archivos alterados

Aunque una auditoría de este tipo no garantizará que haya algún problema con todos los dispositivos de su red, descubrirá signos de cualquier penetración importante que ya haya tenido lugar. Para la mayoría de las pequeñas y medianas empresas, eso debería ser suficiente en situaciones en las que no hay evidencia clara de un ataque activo en primer lugar.

Participar en medidas defensivas

Después de tratar con la red y sus usuarios, lo siguiente que debe hacer es implementar algunas medidas defensivas para ayudar con el monitoreo continuo y la detección de ataques. Un excelente lugar para comenzar es configurar un señuelo dentro de la red para brindarles a los posibles atacantes un objetivo irresistible. Esto no solo los mantiene ocupados persiguiendo un sistema que no es de misión crítica, sino que también sirve como un sistema de alerta temprana para los administradores cuando se produce un ataque real.

Hay una variedad de formas de lograr esto, que van desde imágenes de sistema preconstruidas hasta implementaciones personalizadas más sofisticadas. También hay soluciones en la nube disponibles para situaciones en las que el hardware local es inapropiado o indeseable. Lo importante es construir un sistema que monitoree el tipo exacto de comportamiento que indicaría un problema dentro de su entorno.

Sin embargo, una palabra de precaución. Aunque un honeypot está diseñado para ser un objetivo, eso no significa que deba dejarse completamente vulnerable. La idea es que sea un target atractivo, no fácil. Y es crucial asegurarse de que no se pueda utilizar como trampolín para un ataque mayor a los sistemas de producción reales.

Por esa razón, vale la pena contratar los servicios de un profesional capacitado en seguridad cibernética para ayudar a garantizar que el sistema no se convierta en una responsabilidad de seguridad en lugar de una valiosa medida defensiva.

No bajar la guardia

Después de seguir los pasos anteriores, no hay nada más que hacer que esperar y observar. Desafortunadamente, no hay mejor manera de mantener la seguridad de una red que permaneciendo siempre alerta. Y en una situación como la desatada por el hackeo de SolarWinds, las empresas y las organizaciones de TI, en general, se encuentran en una desventaja significativa.

Esto se debe a que se enfrentan a un enemigo que puede o no estar dentro de las puertas, lo que significa que no pueden recurrir a los típicos enfoques de seguridad de un jardín amurallado.

Entonces, a medida que avanza 2021, lo mejor que puede hacer cualquier empresa es poner en orden su casa de seguridad y tratar de limitar el daño si ya han sido violados.

En cualquier caso, vale la pena el esfuerzo porque el entorno de amenazas actual solo empeorará, no mejorará. Y el hackeo de SolarWinds, tan serio y amplio como es, no será la última gran crisis de seguridad que las empresas tendrán que enfrentar.

Por lo tanto, es hora de abrocharse el cinturón porque la nueva década será un gran viaje, en cuanto a la seguridad de la red, y valdrá la pena estar preparado para ello.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática