Cómo pueden las organizaciones mitigar los ataques de botnets
Tabla de contenido:
Una extensa campaña de botnets respaldada por China que utilizó cientos de miles de dispositivos conectados a Internet en todo el mundo para diversas acciones maliciosas ha puesto de relieve la importancia de mantener el software actualizado y reemplazar los productos cuando llegan al final de su vida útil. Pero, a medida que las botnets continúan aumentando en número y sofisticación, ¿qué más pueden aprender las organizaciones de este incidente?
¿Qué pasó
En septiembre, el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido y sus socios en Estados Unidos, Australia, Canadá y Nueva Zelanda emitieron una organización de alerta y asesoramientoSe trata de una botnet vinculada a China que se utiliza para lanzar ataques de denegación de servicio distribuido (DDoS), distribuir malware, robar datos confidenciales y realizar otras acciones maliciosas.
La botnet comprometió más de 260,000 dispositivos conectados a Internet en América, Europa, África, el sudeste asiático y Australia. Entre ellos se encontraban enrutadores, cortafuegos, cámaras web, cámaras de videovigilancia y otros dispositivos, muchos de los cuales quedaron vulnerables a las brechas de seguridad cibernética por estar al final de su vida útil o no tener parches instalados.
El aviso afirma que una empresa con sede en China llamada Integrity Technology Group, que se cree que tiene conexiones con el gobierno chino, controlaba y administraba la botnet. Mientras tanto, el actor de amenazas chino Flax Typhoon ha estado aprovechando la botnet en actividades maliciosas.
Los responsables del malware utilizaron el código de la botnet Mirai para hackear estos dispositivos y convertirlos en armas para actividades maliciosas. Mirai ataca a dispositivos conectados que funcionan con el sistema operativo Linux y fue detectado por primera vez por investigadores de ciberseguridad de MalwareMustDie en agosto de 2016.
Ken Dunham, director de ciberamenazas de la Unidad de Investigación de Amenazas de Qualys (TRU), describe a Mirai como un “complejo sistema de botnet” utilizado para campañas de ciberamenazas “relacionadas con el inicio, la publicación del código fuente y diversos cambios en los ataques y los objetivos”. Y añade: “Mirai sigue siendo una potente botnet”.
Las botnets no son un fenómeno nuevo en absoluto. Existen desde hace casi dos décadas, explica Matt Aldridge, consultor principal de soluciones de la empresa de seguridad informática OpenText Cybersecurity. Pero afirma que los casos de estados-nación que utilizan tecnologías maliciosas como las botnets son "un desarrollo más reciente".
Las principales causas
Según Sean Wright, jefe de seguridad de aplicaciones de Featurespace, especialistas en detección de fraude, esta última campaña de botnet infectó una cantidad tan grande de dispositivos internacionales por tres razones principales.
Wright explica que el primer problema es que muchos de estos productos habían llegado al final de su ciclo de vida, lo que significa que sus fabricantes ya no publicaban actualizaciones de seguridad. Pero dice que puede haber habido casos en los que los proveedores simplemente no querían trabajar en parches para problemas de seguridad.
Según él, el segundo problema es que el firmware de los dispositivos IoT es "inherentemente inseguro y está lleno de fallos de seguridad, lo que los hace fácilmente vulnerables". Por último, afirma que los dispositivos pueden volverse vulnerables a ataques de botnets porque el usuario final no implementa actualizaciones de software.
Wright añade: “O bien no saben cómo hacerlo, no conocen las actualizaciones y los riesgos, o simplemente eligen no hacerlo. Vemos los resultados finales de esto una y otra vez”.
Incluso si un fabricante de productos lanza periódicamente actualizaciones de software y parches de seguridad, Aldridge de OpenText Cybersecurity explica que los ciberdelincuentes utilizan ingeniería inversa para explotar vulnerabilidades de seguridad y tomar el control de los dispositivos conectados como parte de campañas de botnets.
Dunham, de la Unidad de Investigación de Amenazas de Qualys, cree que la naturaleza “diversa” de Mirai es la causa principal de esta botnet, y explica que el código malicioso utiliza varios años de exploits para “comprometer rápidamente dispositivos vulnerables cuando el momento es el mejor” y para “maximizar las oportunidades de propagar” el malware.
Lecciones clave
Dado que muchos de estos dispositivos no tenían parches, Aldridge de OpenText Cybersecurity dice que una lección clara de esta última campaña de botnet es que las personas siempre deben mantener actualizados sus dispositivos conectados.
Para Aldridge, otra lección fundamental es que las organizaciones deben configurar correctamente los dispositivos antes de implementarlos. Cree que esta es la clave para garantizar la “máxima seguridad” de los dispositivos conectados. Aldridge explica: “Si las conexiones a un dispositivo no están habilitadas, resulta extremadamente difícil poner en peligro o incluso descubrir ese dispositivo”.
Wright, de Featurespace, recomienda que las organizaciones creen un inventario de dispositivos y software. Al supervisar periódicamente las actualizaciones de productos como parte de este proceso, afirma que las organizaciones no se perderán las últimas actualizaciones.
Al comprar dispositivos, Wright aconseja a las organizaciones que se aseguren de que el fabricante proporcione el soporte adecuado y defina claramente la vida útil de sus productos. Y cuando un dispositivo ya no es elegible para recibir soporte, Wright agrega que las organizaciones deben reemplazarlo lo antes posible.
Haciendo eco de pensamientos similares a los de Wright, Dunham de la Unidad de Investigación de Amenazas (TRU) de Qualys dice que está claro que las organizaciones deben desarrollar e implementar un plan de sucesión que les permita gestionar todas las formas de riesgo de hardware y software "a lo largo del tiempo".
“Asegúrese de tener una base de datos de gestión de configuración (CMDB) sólida y un inventario en el que pueda confiar, activos clasificados y conocidos en relación con ella, y que se identifique y gestione el EOL a través de una política y un plan de riesgos de la empresa”, afirma. “Elimine el hardware y el software del sistema operativo que se encuentre en el EOL y que no tenga soporte de la producción para reducir al máximo el riesgo y la superficie de ataque”.
Otros pasos a seguir
Además de actualizar periódicamente el software de los dispositivos conectados, ¿existen otras formas en las que las organizaciones puedan prevenir las botnets? Aldridge, de OpenText Cybersecurity, cree que sí. Considera que las organizaciones también deberían supervisar sus dispositivos y sistemas para detectar señales de tráfico y actividades irregulares.
También recomienda segmentar las redes y asegurarlas mediante múltiples capas de protección, y agrega que estos pasos “reducirán el riesgo y limitarán el impacto de un posible compromiso”.
Wright, de Featurespace, coincide en que las organizaciones deben prestar especial atención a la seguridad de sus redes para mitigar las botnets. Afirma que herramientas como IPS (sistema de protección contra intrusiones) o IDS (sistema de detección de intrusiones) notificarán a los usuarios sobre posibles actividades maliciosas y las bloquearán.
Dunham, de la Unidad de Investigación de Amenazas de Qualys (TRU), insta a las organizaciones a considerar si tienen defensas cibernéticas lo suficientemente fuertes para hacer frente a las redes de bots, como la arquitectura de confianza cero. Dunham dice que estas deberían reforzarse con mejoras operativas continuas mediante la adopción del aprendizaje púrpura, mediante el cual las organizaciones refuerzan sus defensas cibernéticas utilizando enfoques tanto ofensivos como defensivos.
La importancia de los marcos de trabajo de la industria
Adoptar un profesional reconocido por la industria Marco como ISO 27001 También ayudará a las organizaciones a desarrollar un enfoque de ciberseguridad amplio y proactivo para prevenir botnets y otras amenazas cibernéticas en cualquier momento.
Wright, de Featurespace, explica que los marcos industriales proporcionan a las organizaciones un punto de referencia y un conjunto de requisitos que pueden seguir para reforzar sus defensas cibernéticas y reducir el riesgo cibernético.
Y añade: “Esto también ayuda a que los clientes potenciales tengan un mayor grado de confianza en que el producto es adecuado. controles de seguridad “están en su lugar.”
Aldridge, de OpenText Cybersecurity, afirma que adherirse a un marco industrial debería ayudar a las organizaciones a comprender los procesos y las políticas que deben adoptar para adquirir, implementar, monitorear y desechar dispositivos de forma segura.
Las redes de bots pueden tener consecuencias graves para las víctimas, desde el robo de datos hasta ataques DDoS. Y, si no actualiza sus dispositivos con regularidad o utiliza productos que han llegado al final de su vida útil, es muy probable que un agente de amenazas esté utilizando uno de sus dispositivos para llevar a cabo acciones tan nefastas.
Pero evitar que esto suceda no es sólo una cuestión de reaccionar a las amenazas a medida que se escucha sobre ellas; requiere un compromiso a largo plazo con la ciberseguridad, que puede simplificarse a través de marcos industriales.
