¿Es el hack de SolarWinds realmente un cambio sísmico? - Calendae | Informática, Electrónica, CMS, Ciberseguridad

¿Es el hack de SolarWinds realmente un cambio sísmico?

Hola de nuevo. Te habla Eduardo Arroyo y esta vez te voy a hablar sobre ¿Es el hack de SolarWinds realmente un cambio sísmico?


InfoSec Insider

¿Es el hack de SolarWinds realmente un cambio sísmico?

Oliver Tavakoli, CTO de Vectra AI, analiza el legado y las ramificaciones del hack masivo de la cadena de suministro para los profesionales de la seguridad.

El hack de SolarWinds podría estar entre los peores en términos de ambición y daño probable. Pero aquellos que están investigando los restos del naufragio en busca de señales de una nueva estrategia de guerra cibernética audaz y revolucionaria están decepcionados. Estamos viendo cómo se utilizan bombas reales contra nosotros. Los choques gemelos que ahora debemos evaluar son la escala sin precedentes del asalto y el hecho de que fuimos golpeados con tanta fuerza por armas tan reconocibles.

El hack de SolarWinds fue un ataque de «cadena de suministro» contra aproximadamente 18.000 compradores del software Orion de la empresa. Dos cosas lo hacen particularmente malo. Uno, los clientes de Orion incluyen numerosas corporaciones grandes y agencias gubernamentales de Estados Unidos. En segundo lugar, Orion es una herramienta de «supervisión y gestión de la infraestructura». Está bien posicionado dentro de las redes objetivo para alcanzar prácticamente cualquier otro recurso, lo que lo convierte en un campo base ideal para que un atacante persiga muchos objetivos.

Pero otros factores son inquietantemente familiares. Este ataque se atribuye a un grupo que Inglete, la organización de investigación sin fines de lucro, ha apodado APT29. Es posible que conozca APT29 por otro nombre: Cozy Bear. Cozy Bear también está acusado de violar el Comité Nacional Demócrata en 2015. Se cree que está vinculado al Servicio de Inteligencia Exterior de Rusia (también conocido como SVR), que generalmente recopila información, mientras que GRU, el Servicio de Inteligencia Militar de Rusia, la arma. Si bien APT29 tiende a desplazarse por las herramientas ofensivas que usan en un momento dado, gran parte de su arsenal no es nuevo. El hack de SolarWinds implicó el uso BALIZA DE HUELGA DE COBALTO para la puerta trasera – Golpe de cobalto es un marco utilizado por los equipos rojos para simular ataques de adversarios y es bien conocido por todos los investigadores de amenazas.

A la luz de estas premisas, vale la pena preguntarse qué tan diferente es realmente en el hack de SolarWinds y qué tan simple es una escalada de técnicas de ciberespionaje conocidas y relativamente moderadas.

Si un ladrón utiliza la ingeniería inversa para descubrir una puerta trasera explotable de día cero en el software empresarial o lanza un ataque para integrar dicha puerta trasera, como sucedió con SolarWinds, el daño se calcula de la misma manera. ¿Nos sentiríamos diferentes si la plataforma SolarWinds Orion siempre tuviera una vulnerabilidad de día cero? Numerosos estados-nación, incluido Estados Unidos, han estado analizando la susceptibilidad de día cero de los adversarios durante años.

De cualquier manera, una falla hipotética de día cero o este verdadero truco de la cadena de suministro, unas 18,000 organizaciones se han preguntado cuánta reparación necesitan hacer para determinar que algún adversario offshore no está acampando en su red.

Ambos escenarios son complicados y costosos. Ninguna organización interesada puede estar completamente segura de encontrar y desalojar a tal oponente. Y, al menos en el caso de SolarWinds, la mayoría de las organizaciones afectadas probablemente nunca hayan estado en la mira de Cozy Bear.

Algunas verdades sobre los conflictos cibernéticos parecen eternas. Llevamos al menos una década diciendo que las reglas cambian constantemente y todos sufrimos de la ausencia en este ámbito de normas, convenciones y «líneas rojas». Sin duda, cortar la red eléctrica de un país mediante un ciberataque se consideraría cruzar la línea roja. Pero si bien tenemos las Convenciones de Ginebra, la Convención sobre Armas Químicas y otras reglas para los conflictos cinéticos, siempre ha sido difícil establecer restricciones similares en torno al espionaje o la recopilación de inteligencia.

Pero ahora lo que está en juego es más alto que nunca. El hack de SolarWinds no es un robo de credenciales trivial. Es un asalto a la infraestructura nacional crítica y, probablemente, dado su éxito, es un presagio de futuros ataques.

¿Dónde nos deja esto? Necesitamos convertirnos en defensores mucho más formidables. Necesitamos tener mejores defensas, ya que una buena postura y controles reducen las superficies de ataque disponibles y ayudan a contener posibles conflictos. Necesitamos mejorar en la detección de cosas que salieron mal en nuestros entornos y responder temprano en el ciclo de vida del ataque, mientras todavía hay una posibilidad razonable de minimizar el daño. Esto requerirá mejores herramientas, procesos más imaginativos y un marco de profesionales bien capacitados.

Lo aleccionador es que este no es un consejo nuevo. Así como los ataques de SolarWinds se llevaron a cabo con herramientas conocidas, los remedios estratégicos más conocidos también son familiares. Con las implicaciones de este ataque tan amplias y alarmantes, este puede ser el momento en que el gobierno y las empresas finalmente den a los remedios la prioridad que merecen y se tomen en serio las lecciones de SolarWinds.

.

Recuerda compartir en una historia de tu Instagram para que tus colegas lo flipen

??? ? ? ???

Comparte