Cerciorar los activos del gobierno australiano en 2020: Parte 1

Comprender la postura de ciberseguridad en todo el Commonwealth 

La Dirección de Señales de Australia (ASD) publicó recientemente el reporte The Commonwealth Cyber Security Posture in 2019 que destaca la cantidad y el tipo de incidentes a los que se respondió, así como algunos de los programas que se implementaron para ayudar a mejorar la seguridad de las entidades de la Commonwealth. Independientemente del discutible aumento de la presión política para una mayor transparencia en los departamentos individuales, los datos agregados y anónimos del reporte ilustran claramente la necesidad de una mejor protección de los datos de los ciudadanos. Con el reciente anuncio del Primer Ministro y el Ministro de Defensa sobre las organizaciones del sector gubernamental y privado atacadas por un actor cibernético sofisticado y solo se lograron pequeñas ganancias evolutivas en comparación con los criterios medidos actuales, elevar el listón puede necesitar un cambio revolucionario.

Aquí en Illumio, estamos orgullosos de ser parte de discusiones estratégicas y programas de seguridad que trabajan en Australia y Nueva Zelanda directamente con agencias y departamentos, así como con los integradores de sistemas de seguridad y proveedores de servicios gestionados, como Cirrus Networks, que a menudo son la sala de máquinas de estos equipos de TI.

A pesar de que la mayoría de las entidades ahora afirman que pueden identificar con precisión la cantidad de "eventos e incidentes de seguridad cibernética" que sufrieron por día o semana (a menudo cientos por día), el 73 por ciento de las entidades no corporativas de la Commonwealth informan solo niveles de madurez ad hoc o en desarrollo para las disciplinas de seguridad básicas en respuesta a tales amenazas.

Los reportes realizados durante los últimos siete años dejan bastante claro que, incluso con mejoras, nuestros sistemas del gobierno federal son vulnerables a las amenazas cibernéticas, y se requiere trabajo adicional para que las entidades de la Commonwealth alcancen una postura de ciberseguridadmadura y resistente que cumpla con el entorno de amenazas en evolución.

Como se informa en estos hallazgos, una amplia gama de incidentes y entornos de TI en evolución requieren una evaluación y un ajuste constantes de la seguridad. Continuar con un enfoque de solución puntual para proteger una agencia contra ataques requiere una gran cantidad de herramientas, habilidades y personal. En muchos casos, las organizaciones se beneficiarían de un enfoque arquitectónico más holístico de la resiliencia cibernética, como Zero Trust. Ganar un impulso significativo en los departamentos federales de EE. UU. no solo se centra en pensar en asumir y planear más allá de la infracción, inculcando principios de privilegio mínimo en las disciplinas de seguridad más amplias, sino que ayuda a través de una estrategia general a reducir el "gasto en profundidad" de herramientas y equipos aislados. Ganando un impulso significativo en los departamentos federales de EE. UU., Este enfoque no solo enfoca el pensamiento en asumir y planear más allá de una infracción, sino que inculca principios de mínimo privilegio en las disciplinas de seguridad más amplias para reducir el "gasto en profundidad" de herramientas y equipos aislados.

Como descubrió el mundo corporativo, los municipios deben centrar en estrategias de contención preventivas que reduzcan el impacto o el radio de explosión cuando se produzcan infracciones. Esto es particularmente importante a medida que los departamentos continúan elevando sus niveles de seguridad de referencia esperados y cuando hay evidencia de adversarios motivados y sofisticados que apuntan deliberadamente a Australia para obtener información sobre: capacidades de defensa; investigación australiana de vanguardia; propiedad intelectual valiosa; y la información personal y financiera de los residentes australianos y el personal del gobierno.

Un elemento que se destacó y que representa un hallazgo consistente en la mayoría de las compañías, agencias estatales y federales es que los organismos de la Commonwealth tienen una visibilidad inadecuada de sus sistemas de información y datos. Dado que la mayoría de los equipos de TI de las agencias necesitan y progresan en la modernización de sus tecnologías de centros de datos a través de enfoques como las redes definidas por software (SDN), la virtualización y la contenedorización en capas con plataformas de automatización y orquestación para lograr un desarrollo de aplicaciones más ágil, no es de extrañar que siga siendo exponencialmente más difícil para los equipos de operaciones y seguridad realizar un seguimiento del entorno dinámico de aplicaciones y los puntos ciegos de seguridad existentes.

Evitar que se ejecuten macros de Microsoft Office no examinadas y no confiables, el fortalecimiento de las aplicaciones en las estaciones de trabajo de los usuarios, la autenticación multifactor en las sesiones RDS y la aplicación de parches a los servidores orientados al sitio web son tácticas de higiene importantes, y es bueno ver una mejora notable en estas áreas. Sin embargo, esos son solo algunos de los muchos vectores de amenazas que emplean los atacantes, incluidos otros ataques de estilo copiar y pegar en vulnerabilidades conocidas, así como otras amenazas de día cero que continúan encontrar y explotando. Prevenir el daño de las infracciones cuando ocurren (e inevitablemente lo harán) requiere comprender cómo ese atacante podría mover lateralmente desde el punto de apoyo establecido, independientemente de cómo lo estableció, a los sistemas que gestionan datos confidenciales dentro de los cientos y miles de servidores que ejecuta cada departamento.

Solo una vez que comprenda qué son sus aplicaciones, dónde están alojadas y cómo interactúan entre sí, podrá comenzar a tomar el control de esos activos y definir e implementar la postura de seguridad más efectiva.

El CTO de Cirrus Networks, Andrew Weir, está de acuerdo en que "los clientes le preguntan de manera regular cómo podrían obtener más visibilidad de lo que está sucediendo dentro de las aplicaciones en sus sistemas y redes. A menudo, estas aplicaciones se desarrollaron en sistemas heredados y luego se integraron en una nueva infraestructura en una fecha posterior. Para los departamentos de TI más grandes, validar y gestionar la eficiencia y la seguridad de las aplicaciones puede ser difícil. Comprender lo que hacen las aplicaciones y los usuarios en el entorno es crucial para una buena toma de decisiones. Sin esta visibilidad, es difícil determinar dónde se deben gastar los recursos limitados".

Con la seguridad de la red tradicionalmente centrada en el tráfico Norte-Sur a través del perímetro, las agencias están siendo medidas para evitar que ocurra el establecimiento de comando y control, pero aún no están incorporando las ocho disciplinas de seguridad esenciales. Los atacantes que violan con éxito el firewall externo a menudo no tienen más restricciones una vez dentro de la red. En otras palabras, los piratas informáticos pueden elegir su camino y luego son libres de mover lateralmente a través de la red hasta llegar a sus objetivos.

A pesar de no estar en los Ocho Esenciales, es una recomendación "excelente" en el conjunto más amplio de Limitar el alcance de los incidentes cibernéticos. La segmentación efectiva de la red para el centro de datos moderno y las estrategias de contención en el corazón de Zero Trust se están priorizando (y deben seguir siendo) como una pieza vital y fundamental de la estrategia de seguridad continua de cada departamento. Esto ayudará a reforzar la resiliencia a medida que se alcancen los niveles de referencia de la marca de agua baja.

La forma en que actualmente se les pide a las agencias que evalúen e informen sobre su postura de seguridad impulsa medidas cualitativas y, en última instancia, enfoques o productos que los hacen "más compatibles, mejoran su seguridad o brindan una mejor manera de detectar amenazas". Dicho esto, "más", "mejorar" y "mejor" son medidas cualitativas y predominantemente autoevaluadas. ¿Proporcionan estas iniciativas, y pueden vincular a, una mejora cuantitativa en la resiliencia de los sistemas de TI contra ataques maliciosos, ya sea un estado-nación o el siempre popular ransomware de los ciberdelincuentes?

Si se elige bien, la microsegmentación no solo garantiza que aumente significativamente la dificultad para que los atacantes alcancen y exfiltren datos valiosos, con beneficios cuantitativos comprobados, sino que lo hace sin necesidad de personal adicional o el esfuerzo y la carga financiera de las iniciativas tradicionales de seguridad a gran escala que este reporte destaca que son los obstáculos comúnmente reportados.

Pero más sobre eso en la parte 2 de este serial.

Aunque no se mencionaron detalles específicos de ataques específicos, y la fuente del reciente aumento en el volumen de ataques no se atribuyó públicamente a nadie, el reciente comunicado de prensa del primer ministro Morrison ciertamente debería ser tomado por los departamentos y compañías del gobierno australiano como una llamada de atención, tanto como quizás sea un aviso para que los responsables digan: "Sabemos lo que estás haciendo".

Si aún no está comprometido, comunicar con Illumio y Cirrus y consulte la próxima entrega para saber cómo puede seguir el consejo del Ministro de Defensa: "tome medidas para proteger su propia red" y planee más allá de las recomendaciones tácticas para los vectores de ataque recientes para limitar la oportunidad y el impacto de futuras infracciones.

Y para obtener más información sobre cómo funciona la microsegmentación con Illumio, visite https:\/\/www.illumio.com\/products\/illumio-core