.png)
Violaciones de Microsoft Exchange, SolarWinds y Verkada: por qué la higiene de la seguridad es más importante que nunca
Solo llevamos unos meses en 2021 y ya tuvimos tres incidentes cibernéticos principales: el compromiso de SolarWinds Orion, los ataques dirigidos a vulnerabilidades de día cero en Microsoft Exchange y el hackeo de Verkada (cuyo impacto es posible que aún no podamos comprender por completo). Estos eventos nos recuerdan la creencia de seguridad ahora desgastada de que una violación es inevitable. Lo que en última instancia importa es cuánto pueden limitar las personas y las organizaciones el impacto de una violación y qué tan importante es la higiene básica de seguridad durante un momento de crisis.
La higiene de seguridad son comportamientos de seguridad saludables amplificados a través de la implementación de procesos de apoyo y controles técnicos. Pensando en el ciclo de vida de un ataque, desde el reconocimiento hasta el compromiso inicial y las actividades posteriores al compromiso, la inversión continua de una organización objetivo en higiene de seguridad hace que sea más difícil para un atacante lograr sus objetivos al mantenerlos alejados de los datos objetivo y aumentar las posibilidades de detección.
Al observar los tres incidentes principales mencionados en el contexto de la higiene de la seguridad, podemos identificar áreas que ofrecen espacio para una mejor atención.
Verkada breach
Los atacantes pudieron eludir los procesos de administración de cuentas privilegiadas para adquirir acceso de "superusuario" a las cámaras en múltiples sitios de clientes. Además, los clientes que no segmentaron eficazmente las cámaras del resto de su red corporativa dejaron abierta la oportunidad para que los atacantes se movieran lateralmente y comprometieran otros activos.
Donde una buena higiene podría ayudar: una mejor gestión general de cuentas que implementó el control de acceso basado en roles (RBAC) con el mínimo privilegio en todos los ámbitos y aprovechó MFA en cuentas altamente privilegiadas, así como control y detección de movimiento lateral.
Vulnerabilidades de día cero de Exchange
La existencia de múltiples vulnerabilidades sin parches permitió tanto la exfiltración no autenticada del contenido del buzón como la carga de webshells para facilitar la persistencia y el movimiento lateral.
Donde una buena higiene podría ayudar: bloquear el tráfico innecesario hacia/desde servidores Exchange, monitorear la creación de cuentas y los eventos de administración de grupos, monitorear los intentos de conexión saliente hacia/desde destinos desconocidos y la recopilación centralizada de eventos de Windows y registros del servidor IIS.
Compromiso de SolarWinds Orion
El compromiso del proceso de empaquetado de un proveedor permitió la entrega de una actualización de software que contenía una puerta trasera troyana que otorgaba a los atacantes atajo a los clientes que ejecutaban Orion; los atacantes aprovecharon el acceso privilegiado (otorgado por la plataforma Orion) para penetrar más en la red objetivo.
Donde una buena higiene podría ayudar: bloquear el tráfico innecesario de los servidores NPM de SolarWinds Orion a Internet y monitorear las cuentas a las que se les otorgó el privilegio mínimo.
Mejore la higiene cibernética con microsegmentación
Esta lista nos muestra que la higiene básica de la seguridad puede ser beneficiosa incluso cuando los estados-nación son los presuntos atacantes. Estas prácticas sencillas sirven para empujar a los antagonistas a la luz, aumentando la posibilidad de que suenen las alarmas y se pueda contener el incidente.
Por lo general, algunas implementaciones tecnológicas para lograr la higiene cibernética pueden ser más complejas y llevar más tiempo que otras. Por ejemplo, la implementación completa de la tecnología de administración de acceso privilegiado a escala en una red global puede llevar mucho más tiempo que la implementación de la microsegmentación basada en hosts, que no requiere ningún cambio de red ni rearquitectura en los hosts y las cargas de trabajo.
En este caso, el control de microsegmentación , al ser más rápido de implementar y también altamente efectivo, es tanto un control esencial de prevención de movimiento lateral como un control compensatorio mientras la implementación de la administración de privilegios está en curso.
La solución de microsegmentación de Illumio ayuda a mejorar la higiene cibernética al proporcionar:
- Visibilidad significativamente mejorada de los flujos de tráfico del centro de datos y otros datos para ayudar a detectar movimientos laterales no autorizados.
- Políticas de microsegmentación para limitar la exposición dentro y fuera de sus activos más críticos. En el caso de Exchange, esto incluye seguir las mejores prácticas de Microsoft de bloquear el acceso solo a los puertos necesarios. Consulte el blog de seguridad de Microsoft para obtener más información.
La conclusión es que las organizaciones a menudo no son conscientes de las vulnerabilidades que causan infracciones. Centrar en lo que puede controlar, como una buena higiene de seguridad, dará como resultado una postura de seguridad organizacional más estable. Los recientes ciberataques que acapararon los titulares ponen de manifiesto aún más la necesidad de adoptar los principios de Zero Trust para limitar el movimiento lateral y lograr un mejor control de las infracciones.
Para obtener más información sobre cómo la microsegmentación ayuda a mejorar la supervisión y la protección de Exchange y otras infraestructuras críticas, consulte:
