Ha pasado un año desde uno de los mayores ciberataques a gran escala de la historia. Para Vectra AI, es hora de replantear las estrategias de seguridad para contrarrestar las modernas RansomOps.
Ricardo Hernández, Country Manager para España y Portugal de Vectra AI comparte algunas reflexiones al respecto.
Parte del trabajo de los directores de la ciberseguridad consiste en observar los eventos discretos y atar cabos. Discernir patrones, enmarcar un panorama más amplio, e ir más allá de las advertencias funestas, hacia estrategias para un futuro digital más brillante. El ataque del ransomware de Kaseya que se desarrolló durante el fin de semana del 4 de julio de 2021, por terrible que fuera, presentó una oportunidad para atar cabos y sacar conclusiones.
El ataque de Kaseya afectó a miles de víctimas, la mayoría, en el informe de daños de Kaseya, organizaciones más pequeñas: "clínicas dentales, estudios de arquitectura, centros de cirugía plástica, bibliotecas, etc." Sin embargo, tenía sentido económico para los atacantes porque Kaseya servía como un eficiente centro de distribución para su software malicioso. Kaseya VSA, la oferta SaaS de automatización de TI ampliamente utilizada de la compañía, se convirtió en el sistema de entrega involuntario, al servicio de los sombreros negros.
No es nada impresionante. Es la misma estrategia que en el ataque a SolarWinds a finales de 2020. Aquí también, la infiltración de un proveedor de SaaS convirtió en víctimas a una larga lista de objetivos. Y el aparente culpable del ataque a Kaseya, REvil vinculado a Rusia, también se cree que es responsable del ataque de ransomware al productor internacional de carne JBS el 30 de mayo de 2011.
Aten cabos. Las conclusiones son evidentes:
- El secuestro de proveedores de SaaS hace que el lanzamiento de ataques masivos contra objetivos pequeños sea rentable.
- La confianza en las estrategias tradicionales de prevención de ataques ha llevado, una y otra vez, a una costosa y humillante derrota. El malware penetra regularmente en los perímetros de los objetivos sin ser detectado.
- Las empresas no están revisando su postura frente a las amenazas cibernéticas, al menos no con la celeridad apropiada. Las similitudes entre los ataques de SolarWinds, Colonial Pipeline, JBS y Kaseya son bastante claras. Nos dan una clara curva de aprendizaje que debemos escalar. En general, no estamos reaccionando.
La procrastinación tiene su encanto, y quizás sea la naturaleza humana. Pero es mejor invertir en la preparación que en la gestión de crisis a posteriori. Según un estudio de Vectra AI, hay un alto nivel de confianza entre los equipos de seguridad en la eficacia de las medidas de seguridad de su propia empresa y afirman tener una buena o muy buena visibilidad de los ataques que eluden las defensas perimetrales como los cortafuegos.
En realidad, sabemos que ninguna aplicación, red o centro de datos es invulnerable. Si los responsables de una organización albergan una falsa sensación de seguridad sobre su capacidad para defenderse de los hackers, es probable que no cuenten con las herramientas necesarias para tener éxito.
El ataque a Kaseya es otro recordatorio de que la complacencia puede tener un precio terrible. Dado que el riesgo de sufrir daños ya no se limita a las empresas de gran tamaño con grandes bolsillos, el incidente debería desencadenar nuevos debates sobre seguridad en más departamentos de TI. Debería haber un nuevo escrutinio de las relaciones de suscripción de SaaS, y las políticas de seguridad de los proveedores de servicios gestionados; cuando su negocio depende de productos como Kaseya VSA, usted es tan seguro como lo es su proveedor. A medida que las empresas dependen más del almacenamiento de datos y de las soluciones SaaS subcontratadas en la nube, las vulnerabilidades pueden aumentar.
Cada vez que conocemos un grave ataque de ransomware decimos que se tardarán meses en averiguar el alcance total de los daños. Sin embargo, debemos ser optimistas y pensar que, como sociedad digital, ataremos cabos y cambiaremos la situación. Durante años hemos comprendido las virtudes de una sólida monitorización de la red y una rápida detección de las inevitables brechas. Los líderes empresariales de todo el mundo tienen que responder a los ataques de ransomware como Kaseya acelerando su migración a una estrategia de ciberseguridad más eficaz.
La calamidad de Kaseya puede ser recordada algún día como un punto de inflexión que condujo finalmente a una mejor postura de seguridad. Si eso llega a suceder, los piratas cibernéticos nos habrán hecho un favor inestimable e involuntario.
De la prevención a la detección
Dada la estrategia actual del ransomware, un sistema de protección moderno debe centrarse en la fase previa a la manifestación de la amenaza, desde la detección de señales de mando y control hasta la identificación de credenciales mal utilizadas o abusadas. Es una carrera contra el tiempo para encontrar y expulsar el ransomware antes de que exfiltre los datos y destroce la organización.
Los controles preventivos son cruciales, pero por sí solos ya no son suficientes. Además de mantener alejados a los autores de malware, ahora se debe tener una visibilidad total de sus entornos e integrar capacidades avanzadas de detección y respuesta para mitigar las amenazas que ya están eludiendo los controles existentes.
Con la configuración adecuada, la tecnología Network Detection and Response (NDR) puede proporcionar una protección eficaz contra los ataques de ransomware. Vectra AI ofrece un software innovador y eficaz que detecta y combate las amenazas digitales en una fase temprana, explotando el aprendizaje automático para detectar comportamientos sospechosos, advertir a los usuarios y proteger eficazmente a las empresas y los particulares de las actividades fraudulentas.
No hay comentarios:
Publicar un comentario