Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Segmentación de confianza cero

Brecha de SolarWinds: impulsando un cambio de paradigma hacia la confianza cero

Raghu Nandakumara
Vice President, Industry Strategy
Illumio Editorial
19de enero de 2021
23 min. leer

La vulnerabilidad de SolarWinds y sus consecuencias actuales pusieron de relieve la dificultad de controlar y validar cada punto de contacto que tiene una compañía con sus dependencias externas (ya sea un proveedor, un cliente o un socio) y enfatizan aún más el viejo adagio de que "una cadena es tan fuerte como su eslabón más débil".

La violación de Target de principios de la década de 2010 y los ataques más recientes llamados 'Cloud Hopper' ya destacaron los riesgos asociados con las cadenas de suministro, particularmente cuando los afiliados a esa cadena tienen algún tipo de atajo a su red (es decir, relaciones con terceros que requieren acceso a la red). El reconocimiento de este riesgo dio lugar a un mayor enfoque en los controles de seguridad implementados en estos puntos de contacto de la red. Cuando se implementan correctamente, estos controles proporcionan una comprensión clara de dónde existen estos puntos de contacto, a qué permiten el acceso, el nivel de acceso y cómo se monitorea ese acceso. Desde una perspectiva de detección y respuesta, puede proporcionar un conjunto más obvio de indicadores a tener en cuenta debido a esta información "a priori".

En primer lugar, el compromiso de SolarWinds es desconcertante porque atacó un punto en nuestras cadenas de suministro de tecnología que menos esperábamos (es decir, una actualización firmada de un proveedor de software en el que confiamos). Y, sin embargo, es uno que todos reconoceríamos como "perfecto" en la oportunidad que ofreció a los atacantes de la puerta trasera.

Podemos argumentar que la probabilidad de éxito de un ataque es una función de las credenciales disponibles, el acceso a la red utilizable y las vulnerabilidades explotables. En este caso, comprometer un sistema con un amplio acceso a la red y un acceso altamente privilegiado a los sistemas y servicios de directorio sería extremadamente alto en la lista de deseos de cualquier actor malicioso. La plataforma Orion brindó esta oportunidad exacta.

La forma en que los atacantes lograron comprometer el proceso de validación y compilación de código de SolarWinds aún está bajo investigación, y sin duda todas las organizaciones que realizan su propio desarrollo estarán muy interesadas en cómo pueden mitigar los mismos riesgos.

Lo que es más importante ahora es cuál sigue siendo la exposición latente, ya que aún se está revelando. El nivel y el rango de acceso disponibles significan que es difícil medir realmente dónde pudieron llegar y esconder los atacantes. Sabemos que el uso de la actualización de Orion fue puramente para establecer una cabeza de playa (muy prominente) en las organizaciones objetivo, como trofeo final ni una necesidad de persistencia de presencia o acceso.

Dado esto, la atención se centra en gran medida en la detección y respuesta continuas. Y en este sentido, todos tenemos un papel fundamental que desempeñar. El descubrimiento de este ataque a gran escala fue posible porque un proveedor experimentado en respuesta a incidentes y ciberseguridad (FireEye / Mandiant) también se vio comprometido. Sin embargo, fueron los primeros en la lista de víctimas en detectar el robo de datos luego de la violación, en revelarlo públicamente y luego en proporcionar contramedidas iniciales. Quizás, este es uno de los aspectos positivos de este episodio en curso.

Los proveedores de seguridad deben determinar, con carácter de urgencia, cómo se pueden emplear mejor las soluciones que proporcionamos para detectar y luego limitar (o al menos retrasar) la propagación del ataque.
  • ¿Tenemos telemetría que Blue Teams pueda emplear de manera efectiva para construir una imagen más precisa de la actividad dentro de una organización, proporcionando indicadores más claros de compromiso?
  • ¿Existen políticas que se puedan aplicar rápidamente que restrinjan el movimiento lateral?
  • ¿Pueden nuestras soluciones tecnológicas exponer, y potencialmente incluso mitigar, el riesgo que una aplicación crea para una organización, ya sea a través de la cantidad de conectividad, el uso de acceso privilegiado o la cantidad de vulnerabilidades en las cargas de trabajo?
  • ¿Podemos identificar rápidamente cuándo se están empleando credenciales comprometidas y evitar un mayor acceso?
  • ¿Existen correlaciones fáciles que se puedan extraer de múltiples soluciones de seguridad que identifiquen TTP conocidos y nuevos?
¿Y qué pasa con las posibles organizaciones objetivo: qué deben hacer? Ahora, más que nunca, es primordial comprender el riesgo cibernético asociado con cada activo.
  • ¿Pueden identificar rápidamente sus recursos más críticos?
  • ¿Qué tan bien entienden el modelo de acceso en torno a estos recursos?
  • ¿Pueden controlar la comunicación saliente hacia y desde estos servidores o cargas de trabajo? ¿Deberían existir las comunicaciones salientes para empezar?
  • ¿Existe un monitoreo adecuado en cada capa (por ejemplo, dispositivo de usuario final, red, administración de identidad y acceso, aplicación, etc.) y se puede mejorar?
  • ¿Se pueden endurecer las políticas de acceso para acercar a Zero Trust/privilegios mínimos?
  • ¿Se revisarán las prácticas seguras de desarrollo de software para garantizar que sean lo más estables posible?

El infame paradigma de la "Doctrina del Shock" sugiere que para forzar un cambio transformador en un sistema, todo el sistema debe ser conmocionado para dar de que tal cambio es necesario. Y aunque la atención se centrará correctamente en la seguridad y el riesgo asociados con las cadenas de suministro, creo que la verdadera metamorfosis debe ser la siguiente:

Los proveedores de tecnología deben poder educar a sus clientes sobre cómo se pueden emplear las soluciones existentes que brindan para respaldar las funciones de detección y respuesta.

Los clientes (es decir, las organizaciones) deben centrar en:

  • Identificar sus activos más críticos.
  • Monitoreo activo de estos activos empleando una variedad de sensores para identificar indicadores de TTP maliciosos.
  • Comprender el modelo de acceso para estos activos y aplicar políticas de privilegios mínimos para protegerlos.
     

En muchos sentidos, la oportunidad que se presenta aquí es realmente el paradigma inicial de Zero Trust: "Asumir la violación y hacer que sea realmente difícil ser poseído".

Temas relacionados

No items found.

Artículos relacionados

Los 5 mejores consejos de confianza cero del CISO de Infosys, Vishal Salvi
Segmentación de confianza cero

Los 5 mejores consejos de confianza cero del CISO de Infosys, Vishal Salvi

Descubra cómo el trabajo consistente y "aburrido" ofrece un gran retorno de la inversión de seguridad para Zero Trust del CISO de Infosys, Vishal Salvi.

Read more
Guía del arquitecto para implementar la microsegmentación: gestión de la relación con el proveedor y la integración operativa
Segmentación de confianza cero

Guía del arquitecto para implementar la microsegmentación: gestión de la relación con el proveedor y la integración operativa

La transición de la segmentación de red tradicional (como firewalls) a la microsegmentación requiere un esfuerzo orquestado dirigido por arquitectos o gerentes de proyectos.

Read more
Cómo el viaje de seguridad de OT del CTO de Armis, Carlos Buenonano, condujo a Zero Trust
Segmentación de confianza cero

Cómo el viaje de seguridad de OT del CTO de Armis, Carlos Buenonano, condujo a Zero Trust

Conozca el viaje de Bueño hacia la seguridad de OT, el papel fundamental que desempeñan los principios de Zero Trust en la protección de los entornos industriales y los desafíos para llegar allí.

Read more
No items found.

Asumir incumplimiento.
Minimizar el impacto.
Aumentar la resiliencia.

¿Listo para obtener más información sobre la segmentación de confianza cero?

Learn more