Los ataques perimetrales están regresando: aquí se explica cómo mantenerse a salvo
Tabla de contenido:
Estamos acostumbrados a escuchar que el perímetro de la red tradicional está muerto. Que la llegada de las aplicaciones en la nube, el trabajo desde casa y los dispositivos móviles ubicuos ha creado un entorno de TI corporativo más fluido y distribuido. Eso puede ser cierto hasta cierto punto. Pero incluso si los empleados acceden a aplicaciones SaaS corporativas, normalmente seguirá existiendo una especie de red corporativa. Y aplicaciones o dispositivos que se encuentran en su borde.
El desafío para los equipos de seguridad de TI es que estos productos son cada vez más atacados por actores de amenazas. La situación es tan mala que el Centro Nacional de Seguridad Cibernética (NCSC) guía publicada recientemente sobre cómo mitigar estos riesgos. Los defensores de la red deberían tomar nota.
Desde entonces hasta ahora
Como explica el NCSC, el ataque actual a los productos perimetrales es una especie de retroceso a los primeros días de Internet, cuando los actores de amenazas aprovechaban la mala seguridad perimetral para explotar vulnerabilidades y secuestrar cuentas. Esto les dio un punto de apoyo en redes que tenían un monitoreo limitado, lo que permitía a los atacantes permanecer durante períodos prolongados sin ser vistos.
Sin embargo, con el tiempo los defensores de la red se dieron cuenta e hicieron que estos servicios fueran más difíciles de comprometer. Posteriormente, los actores de amenazas centraron su atención en software de cliente y navegadores inseguros, y en correos electrónicos de phishing.
Ahora el péndulo vuelve a oscilar. El software cliente se diseña cada vez más teniendo en cuenta la seguridad (piense: entornos sandbox, reescrituras completas y lenguajes seguros para la memoria) y las macros de Office están bloqueadas de forma predeterminada. Según el NCSC, esto está obligando a los actores de amenazas a volver a centrar su atención en los productos perimetrales.
Por qué están regresando los ataques perimetrales
“Sabiendo que es menos probable que puedan depender de contraseñas deficientes o configuraciones incorrectas, buscan cada vez más productos en el perímetro de la red (como aplicaciones de transferencia de archivos, firewalls y VPN) y encuentran nuevas vulnerabilidades de día cero en estos productos. y entrar de lleno”, advierte el NCSC. "Una vez que se conoce una vulnerabilidad, otros atacantes se unen, lo que resulta en una explotación masiva".
Encontrar estos días cero no es tan difícil como puede parecer, porque el código de dichos productos suele tener menos probabilidades de ser seguro por diseño que el software del cliente, afirma la agencia. Estas ofertas basadas en perímetro también adolecen de una falta de registro efectivo, a diferencia de los dispositivos cliente que hoy en día ejecutan cada vez más herramientas de detección y respuesta de "alta gama". Todo lo cual los convierte en el objetivo perfecto para los actores de amenazas que buscan afianzarse en las redes corporativas para robar datos, extorsionar y más.
Un cuento de advertencia: Ivanti
Las advertencias del NCSC se producen en medio de una oleada de ataques contra productos perimetrales. Entre los más notables se encontraba una serie de exploits de día cero dirigidos al producto Connect Secure VPN de Ivanti y su solución de control de acceso a la red (NAC) Policy Secure. CVE-2023-46805 y CVE-2024-21887 fueron revelados por el proveedor en enero, aunque se cree que un actor de amenazas chino los había estado explotando durante más de un mes para colocar webshells en los servidores web internos y externos de las organizaciones víctimas.
Semanas después, emergió que los piratas informáticos estaban explotando otro error de día cero (CVE-2024-21893) para evitar una mitigación inicial que Ivanti lanzó para abordar los dos errores de día cero originales. La amenaza potencial a las organizaciones es tan grave que las agencias de inteligencia Five Eyes publicaron un Aviso de seguridad extenso a finales de febrero.
"Las vulnerabilidades afectan a todas las versiones compatibles (9.x y 22.x) y pueden usarse en una cadena de exploits para permitir que actores maliciosos de amenazas cibernéticas eludan la autenticación, creen solicitudes maliciosas y ejecuten comandos arbitrarios con privilegios elevados", señala. .
Reforzar las defensas perimetrales
La pregunta para los CISO es cómo mitigar tales amenazas. A largo plazo, el NCSC aboga por presionar a los proveedores para que creen productos más seguros y eviten aquellos que no pueden demostrar que el software es seguro por diseño. Sin embargo, eso no evitará las amenazas actuales. Sus otras sugerencias pueden ser más prácticas:
1) Considere versiones alojadas en la nube en lugar de versiones locales de estos productos perimetrales. Aunque es posible que todavía no sean seguros por diseño, se parchearán más rápido y el proveedor debe monitorearlos periódicamente. Además, si ocurre lo peor y se ven comprometidos, al menos eso no dará a los atacantes un punto de apoyo en la red corporativa. En el mejor de los casos, los actores de amenazas pueden incluso dejar en paz sus datos corporativos.
2) Si no es posible la migración a una versión en la nube, apague o bloquee en el nivel del firewall todas las “interfaces, portales o servicios de software con acceso a Internet” no utilizados. Los días cero en esos productos Ivanti afectaron este tipo de servicio adicional (en ese caso, sus “componentes web”)
3) Asegúrese de que todos los productos perimetrales internos se desarrollen con la seguridad al frente y al centro, con alojamiento en la nube y opciones sin servidor que valga la pena considerar para limitar cualquier posible consecuencia si son atacados.
Richard Werner, asesor de ciberseguridad de Trend Micro, sostiene que elegir aplicaciones alojadas en la nube (SaaS) de forma predeterminada no es una panacea.
“Los enfoques SaaS se convierten en objetivos atractivos para los delincuentes que buscan impactar múltiples objetivos con un solo ataque, como lo ejemplifica el 2021. incidente de kaseya”, le dice a ISMS.online. "Si bien SaaS puede mitigar eficientemente los riesgos cibernéticos conocidos, no debe verse como la solución definitiva al problema central".
Añade que prevenir la explotación de vulnerabilidades probablemente seguirá siendo un gran desafío y exige un enfoque defensivo de múltiples niveles.
"Adherirse a las mejores prácticas de seguridad es crucial, pero incluso en escenarios ideales, evitar completamente los riesgos es inalcanzable", argumenta Werner. "Por lo tanto, las empresas deben complementar sus medidas de seguridad con tecnologías como detección y respuesta extendidas (XDR), exigidas por leyes modernas como NIS 2".
En última instancia, si con el tiempo el perímetro se vuelve más difícil de atacar para los actores de amenazas, se trasladarán a otra parte de la superficie de ataque que esté menos defendida.
“Es crucial comprender la naturaleza cíclica de las discusiones sobre seguridad, donde los atacantes explotan las vulnerabilidades y los defensores se esfuerzan por frustrarlas. Estos mecanismos de defensa incitan a los atacantes a buscar nuevos puntos de entrada o intensificar sus esfuerzos”, concluye Werner.
“La eficacia en defensa se mide haciendo que a los atacantes les resulte demasiado caro encontrar un camino exitoso. Sin embargo, medir el éxito sigue siendo un desafío para los defensores debido a los distintos objetivos de los atacantes”.
A medida que estos objetivos continúan cambiando, los defensores de la red y la comunidad de proveedores deben adaptarse. El desafío es que, hasta ahora, la agilidad del lado atacante ha superado con creces la velocidad de respuesta.
