Por qué todos deben tomarse en serio la última directiva CISA

Las agencias gubernamentales publican constantemente avisos y pautas. Por lo general, solo son relevantes para los ministerios gubernamentales, lo que significa que nadie más les presta atención. Es fácil ver por qué asumiría que la directiva CISA simplemente no se aplica a su organización.

Pero en el caso de la última directiva CISA, eso sería un error. En este artículo, explicamos por qué, incluso si pertenece al sector privado o no gubernamental, debería examinar más de cerca CISA 22-01.

Describiremos por qué CISA se vio obligada a emitir esta directiva y por qué esta acción decisiva tiene consecuencias para todas las organizaciones, dentro y fuera del gobierno. Por supuesto, resolver problemas de ciberseguridad no es tan fácil como presionar un interruptor, así que siga leyendo para descubrir cómo puede resolver el problema principal detrás de la directiva CISA.

Bien, entonces, ¿qué es exactamente la directiva CISA?

Demos un paso atrás para tener algo de contexto. Como cualquier organización que usa tecnología, las agencias gubernamentales de los Estados Unidos (agencias federales) están constantemente bajo ciberataques por parte de actores malintencionados, desde delincuentes comunes hasta estados hostiles.

Como resultado, el Departamento de Seguridad Nacional de EE. UU. Ha establecido CISA, la Agencia e Infraestructura de Seguridad Cibernética, para ayudar a coordinar la seguridad cibernética para las agencias federales.

CISA dice que actúa como jefe de operaciones de seguridad cibernética federal y defiende las redes del gobierno federal. Pero cada agencia tiene sus propias operaciones y equipos de tecnología que no están bajo el control directo de CISA, y existen pautas de CISA.

La directriz CISA tiene como objetivo alentar a los equipos técnicos de las agencias federales a tomar ciertas medidas que CISA considere necesarias para garantizar operaciones seguras de ciberseguridad. Las pautas generalmente abordan vulnerabilidades específicas de alto riesgo, pero algunas pautas son más generales, como BD 18-01, que establece pasos específicos que las agencias deben tomar para mejorar la seguridad del correo electrónico.

¿Qué dice BD 22-01?

La Directiva operativa vinculante 22-01 es una de las directivas más amplias; de hecho, es muy amplia y cubre más de trescientas vulnerabilidades. Es un movimiento dramático para CISA, no es solo otro mensaje de comunicación común.

A través de esta directiva, CISA proporciona una lista de vulnerabilidades que se explotan con mayor frecuencia en una gama más amplia de decenas de miles de vulnerabilidades conocidas. Algunas de estas vulnerabilidades son relativamente antiguas.

En este catálogo de vulnerabilidades, cada elemento especifica una fecha fija en la que las agencias federales deben corregir la vulnerabilidad. Dentro de la propia Directiva, hay más directrices y calendarios detallados, incluido el establecimiento de un proceso para la revisión periódica de la lista anexa a la BD 22-01, lo que significa que esta lista se ampliará en el futuro.

Ejemplos de vulnerabilidades en la lista

Veamos algunos ejemplos de vulnerabilidades en esta lista. CISA resumió lo que dice son las vulnerabilidades más graves y más explotadas, en otras palabras, las vulnerabilidades que tienen más probabilidades de provocar daños si no se abordan.

La lista cubre una gama realmente amplia, desde la infraestructura hasta las aplicaciones, incluidas las aplicaciones móviles, e incluso cubre algunas de las soluciones de seguridad más confiables. Incluye proveedores como Microsoft, SAP y TrendMicro, así como soluciones de tecnología de código abierto populares, como Linux y Apache.

Un ejemplo de una vulnerabilidad en la lista se refiere al servidor HTTP Apache, donde muchas versiones 2.4 se ven afectadas por una vulnerabilidad: CVE-2019-0211. Permite a los atacantes lanzar un ataque ejecutando código en un proceso menos privilegiado que manipula el marcador y permite que código arbitrario se ejecute con los privilegios del proceso principal.

Otro ejemplo es Atlassian Confluence, una popular herramienta de colaboración. Aquí, los atacantes pueden lanzar un ataque de ejecución de código remoto insertando código macro en el conector de widgets de Atlassian. La vulnerabilidad es nuevamente reportada por CISA porque la organización determinó que fue comúnmente explotada.

¡Sí! Esta Directiva CISA también se aplica a usted …

Bueno, las pautas de CISA no se pueden hacer cumplir en equipos de tecnología fuera del gobierno federal de EE. UU., Pero eso no significa que no haya nada que aprender.

Para empezar, dé un paso atrás y piense en los argumentos de CISA antes de simplemente rechazar su última directiva. Sabemos que los ciberataques son una cuestión de rutina y que los costos son enormes, ya sea que opere en un entorno estatal o federal, o como una empresa privada.

CISA publicó esta lista solo como último recurso. La agencia estaba tan indignada que los atacantes a menudo interferían con los objetivos del gobierno que se sintió obligado a emitir una directiva vinculante que enumerara las vulnerabilidades que debían abordarse. Lo hizo simplemente porque es común que las vulnerabilidades conocidas no se solucionen.

Esta vulnerabilidad no se limita a los servicios gubernamentales; cualquier entorno tecnológico puede verse afectado.

Y aquí está el truco: al igual que un entorno tecnológico gubernamental, su dispositivo tecnológico puede estar lleno de vulnerabilidades que deben solucionarse. Una lista CISA sería un gran lugar para comenzar a arreglar las cosas.

Y no se trata solo de vulnerabilidades potencialmente explotables.

Si lee la directiva detenidamente, se trata de vulnerabilidades, actualmente, explotadas en la naturaleza, lo que significa que el código de explotación es fácilmente accesible para todos o se distribuye en los rincones menos picantes de Internet. De cualquier manera, ya no son solo amenazas hipotéticas.

Informe oculto de CISA

No es que usted, o los equipos de tecnología del gobierno, sean descuidados o ignorantes. Es solo una cuestión de realidad práctica. Y, en la práctica, los equipos técnicos no pueden solucionar las vulnerabilidades de forma coherente. Las vulnerabilidades grandes, obvias y conocidas, como las enumeradas en la directiva CISA, pueden estar a la espera de que un atacante las aproveche, simplemente porque nunca han sido reparadas por equipos técnicos.

Hay varias razones por las que esto sucede, y la negligencia rara vez es una de ellas. La falta de recursos es probablemente una de las principales causas, ya que los equipos de tecnología son simplemente demasiado ajustados para probar, reparar y mitigar de otra manera.

Las correcciones también son disruptivas: las correcciones urgentes pueden convertirse rápidamente en menos presión ante el rechazo de las partes interesadas. Por lo tanto, la directiva CISA en realidad dice que la realidad práctica es que existe un océano de vulnerabilidades que simplemente no se abordan y que conducen a exploits exitosos.

Y en respuesta, CISA ha creado lo que podría llamarse una lista de emergencia simplemente por el nivel de desesperación del ciberdelito. En otras palabras, la situación es insostenible y la directiva CISA es un parche de emergencia, una forma de intentar cauterizar el daño.

Reducir las intrusiones y también aumentar la seguridad

Comenzar a abordar las vulnerabilidades más críticas y explotadas es una respuesta obvia, y la lista CISA debe lograrlo. Cerrar es dedicar más recursos al problema; dedicar más tiempo a solucionar las vulnerabilidades es un buen paso.

Pero estos pasos obvios golpean rápidamente la pared: reparar y parchear causarán interrupciones, y encontrar el camino a seguir es un desafío. Y sin encontrar una manera de superar estos efectos disruptivos, la situación puede seguir empeorando hasta el punto en que necesitemos acciones como la directiva CISA. La solución es rediseñar las operaciones de seguridad.

¿Qué pueden hacer los equipos técnicos? Requiere reelaboración al por mayor de una manera que minimice las interrupciones relacionadas con las reparaciones. Por ejemplo, la redundancia y la alta disponibilidad pueden ayudar a mitigar algunos de los peores efectos de la gestión de vulnerabilidades.

También ayuda a utilizar las tecnologías de seguridad más avanzadas. Los escáneres de vulnerabilidades pueden resaltar los problemas más urgentes y ayudar a identificar las prioridades. TuxCare Live Patch es otra gran herramienta, porque Live Patch elimina por completo la necesidad de reiniciar, lo que significa que las interrupciones del parche pueden eliminarse virtualmente.

Y eso es lo que realmente significa la directiva CISA …

Ya sea que esté en el gobierno o en el sector privado, debe repensar porque las vulnerabilidades se están acumulando muy rápidamente. La directiva CISA destaca lo mal que han sucedido las cosas. Sin embargo, simplemente aplicar una gran cantidad de parche no funcionará; se recuperará y pronto volverá a la misma situación en la que estaba.

Así que tome el CISA como una señal de advertencia. Sí, asegúrese de utilizar cualquiera de los software y servicios de la lista y corríjalos en consecuencia. Pero lo más importante es pensar en cómo puede mejorar sus SecOps, asegurándose de responder mejor a las vulnerabilidades con menos interrupciones. Repare más rápido con menos interferencia.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática