A lo largo de 2020, las empresas, en general, se han enfrentado a los desafíos de TI. Tuvieron que apresurarse para adaptarse a un cambio repentino al trabajo remoto. Luego tuvieron que navegar por una rápida adopción de tecnologías de automatización.
Y a medida que el año llegaba a su fin, más empresas empezaron a intentar montar la infraestructura de seguridad necesaria para volver a la normalidad en 2021.
Pero a finales de año, la noticia de una violación masiva del proveedor de software de monitoreo de TI SolarWinds introdujo una nueva complicación: la posibilidad de una ola de violaciones de datos secundarios y ciberataques. Y debido a que los productos de SolarWinds tienen presencia en tantas redes comerciales, el tamaño de la amenaza es enorme.
Sin embargo, hasta ahora, la mayor parte de la atención se está prestando a grandes empresas como Microsoft y Cisco (y el gobierno de EE. UU.), Que fueron el objetivo principal de la violación de SolarWinds. De lo que nadie habla es del resto de los aproximadamente 18.000 clientes de SolarWinds que pueden haberse visto afectados. Para ellos, el tiempo corre para intentar evaluar su riesgo de ataque y tomar medidas para protegerse.
Y debido a que varias de las empresas afectadas no tienen los recursos de los grandes, eso es una tarea difícil en este momento.
Por lo tanto, lo mejor que pueden hacer muchas empresas para tomar medidas en este momento es convertir sus redes en un objetivo un poco más difícil, o al menos minimizar sus posibilidades de sufrir una infracción importante. Así es cómo:
Comience con los pasos de seguridad básicos
Lo primero que deben hacer las empresas es asegurarse de que sus redes sean lo más seguras posible internamente. Eso significa reconfigurar los activos de la red para que estén lo más aislados posible.
Un buen lugar para comenzar es asegurarse de que los principales lagos de datos comerciales sigan todas las prácticas recomendadas de seguridad y permanezcan operacionalmente separados unos de otros. Hacerlo puede limitar la exfiltración de datos si los usuarios no autorizados obtienen acceso debido a una brecha de seguridad.
Pero eso es solo el comienzo. El siguiente paso es segmentar el hardware de red en VLAN de seguridad lógica y erigir barreras de firewall para evitar las comunicaciones entre ellas (cuando sea posible). Luego, revise la configuración de seguridad de cada grupo y realice los ajustes necesarios. Incluso vale la pena reforzar los sistemas de VoIP , ya que nunca se sabe qué parte de una red se utilizará como punto de entrada para un ataque más amplio.
Y por último, pero no menos importante, revise las prácticas y procedimientos de seguridad de los empleados. Esto es especialmente importante después de la implementación apresurada de las políticas de trabajo desde casa. Asegúrese de que todos los empleados operen de acuerdo con los estándares de seguridad establecidos y no hayan adquirido hábitos de seguridad operativos deficientes. Por ejemplo, ¿alguien comenzó a usar una VPN de forma gratuita , creyendo que estaba mejorando la seguridad de su red doméstica?
Si es así, deben detenerse y recibir capacitación para hacer mejores juicios de seguridad mientras aún están trabajando de forma remota.
Realizar una auditoría de seguridad limitada
Uno de los problemas que enfrentan las empresas cuando intentan volver a protegerse después de una posible violación de la red es que no hay una manera fácil de saber qué, si acaso, cambiaron los atacantes después de obtener acceso. Sin duda, un examen forense largo y complejo es la única opción real. Pero eso puede llevar meses y puede costar una fortuna. Sin embargo, para las empresas más pequeñas que ni siquiera están seguras de que les haya ocurrido una infracción, hay un enfoque mejor.
Consiste en tomar una muestra limitada de sistemas potencialmente afectados y realizar una simple auditoría de limitación de riesgos. Comience con al menos dos equipos o dispositivos representativos de cada unidad de negocio o departamento. Luego, examine cada uno en busca de signos de un problema.
En general, buscaría:
- Software antivirus y de seguridad desactivado o alterado
- Eventos de registro del sistema inusuales
- Conexiones de red salientes inexplicables
- Faltan parches de seguridad o problemas con las actualizaciones automáticas de software
- Instalaciones de software desconocidas o no aprobadas
- Permisos alterados del sistema de archivos
Aunque una auditoría de este tipo no garantizará que no haya ningún problema con todos los dispositivos de su red, descubrirá signos de una penetración importante que ya se haya producido. Para la mayoría de las pequeñas y medianas empresas, eso debería ser suficiente en situaciones en las que no hay evidencia clara de un ataque activo en primer lugar.
Participar en medidas defensivas
Después de tratar con la red y sus usuarios, lo siguiente que debe hacer es implementar algunas medidas defensivas para ayudar con el monitoreo continuo y la detección de ataques. Un excelente lugar para comenzar es configurar un honeypot dentro de la red para dar a los atacantes potenciales un objetivo irresistible. Esto no solo los mantiene ocupados persiguiendo un sistema que no es de misión crítica, sino que también sirve como un sistema de alerta temprana para los administradores cuando ocurre un ataque real.
Hay una variedad de formas de lograr esto, que van desde imágenes de sistema predefinidas hasta implementaciones personalizadas más sofisticadas. También hay soluciones en la nube disponibles para situaciones en las que el hardware local es inapropiado o indeseable. Lo importante es construir un sistema que monitoree el tipo exacto de comportamiento que indicaría un problema dentro de su entorno.
Sin embargo, una advertencia. Aunque un honeypot está diseñado para ser un objetivo, eso no significa que deba dejarse completamente vulnerable. La idea es convertirlo en un objetivo atractivo, no fácil. Y es fundamental asegurarse de que no se pueda utilizar como un trampolín hacia un ataque mayor a los sistemas de producción reales.
Por esa razón, vale la pena contratar los servicios de un profesional capacitado en ciberseguridad para ayudar a asegurarse de que el sistema no se convierta en una responsabilidad de seguridad en lugar de una valiosa medida defensiva.
No bajar la guardia
Después de seguir los pasos anteriores, no hay nada más que hacer que esperar y observar. Desafortunadamente, no hay mejor manera de mantener la seguridad de una red que permanecer siempre alerta. Y en una situación como la desencadenada por el hackeo de SolarWinds, las empresas y las organizaciones de TI, en general, se encuentran en una desventaja significativa.
Eso es porque se enfrentan a un enemigo que puede o no estar ya dentro de las puertas, lo que significa que no pueden recurrir a los enfoques típicos de seguridad de un jardín amurallado.
Entonces, a medida que avanza el 2021, lo mejor que puede hacer cualquier empresa es poner en orden su casa de seguridad y tratar de limitar el daño si ya ha sido violado.
En cualquier caso, vale la pena el esfuerzo porque el entorno de amenazas actual solo va a empeorar, no a mejorar. Y el hack de SolarWinds, por serio y amplio que sea, no será la última gran crisis de seguridad a la que se enfrenten las empresas.
Por lo tanto, es hora de abrocharse el cinturón porque la nueva década será un viaje increíble, en cuanto a seguridad de la red, y valdrá la pena estar listo para ello.