En cuanto a los peores escenarios posibles, no hay nada peor que el borrado de todos los dispositivos conectados de toda la empresa. Sin embargo, esa es la realidad a la que se enfrenta la empresa estadounidense de tecnología médica Stryker después de haber sido atacados por hackers proiraníes El 11 de marzo, el grupo Handala afirmó haber borrado 200,000 puntos finales y robado 50 TB de datos. El tiempo dirá si esto es cierto o no, pero al momento de escribir esto, Stryker admitió que el ataque “provocó una interrupción global en el entorno Microsoft de la empresa”.
La cuestión es hasta qué punto las organizaciones británicas quedarán expuestas a medida que se intensifique la ciberguerra. Si el régimen actual se prepara para una confrontación a largo plazo y comienza a atacar en línea, podría presagiar el inicio de un nuevo y peligroso período.
¿Es momento de preocuparse?
El Centro Nacional de Seguridad Cibernética (NCSC) orientación emitida El 2 de marzo, poco después de que comenzaran los bombardeos estadounidenses e israelíes sobre Irán, no se considera que haya habido un cambio significativo en la amenaza cibernética directa de Irán. Si bien el ataque a Stryker no parece haber modificado esta perspectiva, esta evaluación podría cambiar en el futuro. Ya se han lanzado drones contra una base aérea de la RAF en Chipre. Por lo tanto, no es descabellado pensar que también se podrían lanzar ciberataques contra empresas británicas, especialmente aquellas con vínculos israelíes (como Stryker).
Las organizaciones que sí deben preocuparse más son aquellas con presencia (es decir, sucursales) o cadenas de suministro en Oriente Medio. El riesgo podría derivarse de ataques físicos o digitales. Tres centros de datos de AWS en los Emiratos Árabes Unidos y Baréin. ya han sido atacados por drones lo que puede provocar interrupciones, por ejemplo. Mientras tanto, los ciberataques a sucursales o cadenas de suministro regionales podrían, en teoría, permitir a los intrusos acceder a los sistemas con el fin de introducirse en redes conectadas en otros lugares.
Para mayor preocupación, el Cuerpo de la Guardia Revolucionaria Islámica (CGRI) ha señalado a varias empresas tecnológicas estadounidenses como objetivos debido a sus vínculos con Israel o sus servicios en la nube, según Flashpoint. Se trata de AWS, Google, Microsoft, Oracle e IBM, así como Nvidia y Palantir. El régimen también ha señalado a centros bancarios regionales vinculados a Estados Unidos e Israel.
Qué Esperar
Si las empresas del Reino Unido y/o sus socios son atacados por hackers iraníes, ¿qué pueden esperar? Según Análisis de HalcyonLa amenaza proviene potencialmente de hackers respaldados por el Estado y grupos hacktivistas vinculados:
“Prevemos que Irán podría utilizar tácticas de ofuscación, agentes interpuestos y herramientas destructivas contra las redes estadounidenses en las próximas semanas:
- Utilizar ataques de denegación de servicio distribuido (DDoS) contra proveedores de alojamiento web.
- Implementar ransomware antes de borrar los datos de una organización y/o utilizar software malicioso destructivo que imposibilite la recuperación del sistema.
- Aprovechar el acceso a largo plazo para el espionaje y la exfiltración de datos con el fin de realizar ataques destructivos y/o localizar a disidentes para atacarlos posteriormente.
Debería ser motivo de preocupación que los actores de amenazas iraníes ya puedan estar preposicionados dentro de algunas redes corporativas, según este informeCentro de Estudios Estratégicos e Internacionales (CSIS), grupo de expertos. dice“Los servicios financieros, las empresas de suministro de agua y la infraestructura de transporte, muchas de las cuales dependen de sistemas de control obsoletos, siguen siendo objetivos atractivos para los actores iraníes a medida que se intensifica el conflicto armado.”
Michael Crean, vicepresidente sénior de servicios gestionados de SonicWall, declaró a IO (anteriormente ISMS.online) que los ciberdelincuentes están dejando de lado el "escaneo a gran escala y la actividad DDoS" para centrarse en la explotación de vulnerabilidades.
“Los atacantes se dirigen cada vez más a las aplicaciones web, las bases de datos y los servidores utilizando técnicas como la inyección SQL, el recorrido de rutas y la ejecución remota de código. Este tipo de ataques suelen estar diseñados para obtener acceso inicial a los sistemas antes de adentrarse más en la red”, continúa.
Si las tensiones persisten, podríamos presenciar actividades disruptivas como la alteración de sitios web, el robo y la filtración de datos, o ataques DDoS contra servicios públicos. Si bien es posible que se propague malware destructivo, como programas de borrado de datos, durante la escalada de la violencia, los datos actuales indican principalmente sondeos y explotación, más que ataques destructivos generalizados.
Es hora de desarrollar resiliencia
La destrucción era el nombre del juego con Stryker, y según (aqui) Ni siquiera fue necesario el envío de malware; bastaba con comprometer una cuenta de administrador de Intune. Esto demuestra por qué las medidas integrales de resiliencia deben ser una prioridad.
El NCSC insta a los CISO del Reino Unido a consultar los avisos emitidos anteriormente sobre Los ataques DDoS, actividad de phishing y sistemas de control industrial (ICS). Para aquellos con cadenas de suministro u oficinas en la región, recomienda su guía para la resiliencia en momentos de mayores amenazas. Los proveedores de infraestructura crítica (CNI) son Se insta a prepararse ahora.
Crean, de SonicWall, afirma que los CISO deberían centrarse en la visibilidad, la aplicación de parches y la preparación.
«Las empresas también deberían revisar la exposición de su cadena de suministro y evaluar la postura de ciberseguridad de sus proveedores y socios clave. Una mayor monitorización de la actividad de autenticación inusual, las anomalías en las aplicaciones web y los movimientos laterales puede ayudar a detectar señales tempranas de vulneración», añade.
“Por último, los planes de respuesta ante incidentes deben estar probados y preparados para que las organizaciones puedan responder con rapidez si la actividad cibernética vinculada a tensiones geopolíticas comienza a propagarse.”
James Shank, director de operaciones de amenazas en Expel, insta a los líderes de seguridad a mantener la calma y centrarse en los "fundamentos" para mejorar la postura de seguridad.
“Enfatice la importancia de desconfiar de las comunicaciones y aplique esto también a su mesa de ayuda. Considere agregar verificaciones adicionales para aspectos como el restablecimiento de contraseñas o los cambios de autenticación multifactor”, comenta a IO. “Refuerce la autenticación aumentando la frecuencia de los desafíos, reduciendo los tiempos de espera de las sesiones e implementando controles más estrictos en las políticas de acceso. Aplique el principio de mínimo privilegio y restrinja la gestión de accesos”.
Los responsables de seguridad de la información (CISO) también deben auditar la actividad de los registros en busca de inicios de sesión sospechosos, movimientos laterales y escalada de privilegios, teniendo en cuenta la posibilidad de acceso preconfigurado. La observabilidad de OT también es importante, Por lo tanto, OT/ICS debería incluirse en estas auditorías.
“Por último, mejoren la comunicación entre sus equipos”, aconseja Shank. “Compartir información entre seguridad, TI, OT y el negocio ralentiza a los atacantes más de lo que se cree”.
Disciplina en medio del caos
Shank continúa: Normas como la ISO 27001 pueden desempeñar un papel importante en momentos como este para garantizar la disciplina. «Los momentos de crisis pueden generar caos, cambios excesivos de rumbo y falta de claridad en las prioridades», afirma. «Los marcos de referencia proporcionan orientación para mantener una rendición de cuentas clara y coherente, lo que permite gestionar el caos y que prevalezca la diligencia».
Crean, de SonicWall, coincide con esta opinión y argumenta que los marcos de mejores prácticas proporcionan la estructura necesaria para la gestión del riesgo cibernético.
“La norma ISO 27001 es un marco global para la creación de un sistema de gestión de la seguridad de la información que ayuda a las organizaciones a identificar activos críticos, evaluar riesgos e implementar controles adecuados. Abarca áreas como la gestión de accesos, la respuesta a incidentes, la seguridad de los proveedores y la continuidad del negocio”, concluye.
“Si bien las normas no pueden prevenir los ciberataques por sí solas, ayudan a garantizar que las organizaciones cuenten con la gobernanza, los procesos y la resiliencia necesarios para responder eficazmente cuando las amenazas aumentan durante períodos de tensión geopolítica.”
Amplíe su conocimiento
Podcast: Phishing for Trouble Episodio #04: ¿Estás en la primera línea de defensa?
Blog: De la seguridad perimetral a la identidad como seguridad
Blog: Construye una vez, cumple en todas partes: El manual de cumplimiento multi-marco
