La próxima semana se cumple un año de la primera revelación del hackeo de SolarWinds. El 13 de diciembre de 2020, FireEye reveló por primera vez SUNBURST, una "campaña mundial de intrusión" que acabó afectando a más de 18.000 organizaciones, Entre ellos, los Departamentos de Comercio, Seguridad Nacional y Tesoro, así como Microsoft, Deloitte y muchas otras empresas privadas. Los piratas informáticos pueden haber tenido acceso durante 14 meses.
La brecha de SolarWinds provocó importantes cambios en las políticas y probablemente informado La orden ejecutiva del Presidente Biden para que todos los sistemas de información federales mejoren sus ciberseguridad.
Pero un año después, el Vicepresidente de Gartner para riesgos de seguridad y privacidad Peter Firstbrook dice que la mayoría de las empresas no han comprendido una de las principales conclusiones del ataque: "la propia infraestructura de identidad es un objetivo prioritario para hackers", según Kyle Alspach, de VentureBeat.
Firstbrook repasó esas lecciones en la Cumbre de Seguridad y Gestión de Riesgos de Gartner celebrada el mes pasado, señalando que "las implicaciones del ataque para la seguridad de la identidad deben ser prioritarias para las empresas".
Después de casi un año desde que se conoció la noticia de SUNBURST, ahora es un buen momento para revisar algunas de las principales lecciones que hemos aprendido desde la brecha de SolarWinds y por qué los líderes deben dar prioridad a la identidad para evitar que vuelva a ocurrir algo similar.
Al recapitular la campaña de SolarWinds, Firstbrook dijo que los atacantes estaban "centrados principalmente en atacar la infraestructura de identidad."
Dirigiéndose a los líderes empresariales, Firstbrook dijo: "Habéis gastado mucho dinero en identidad, pero se trata sobre todo de cómo dejar entrar a los buenos. Realmente tenéis que gastar algo de dinero en comprender cuándo se ve comprometida esa infraestructura de identidad, y en mantener esa infraestructura."
Según Firstbrook, los sistemas de gestión de identidades y accesos (IAM) de SolarWinds constituían una "gran oportunidad para los atacantes". Los hackers evadieron la autenticación multifactor mediante el robo de una cookie web obsoleta; robaron contraseñas usando kerberoasting; utilizó certificados SAML para "habilitar la autenticación de identidad mediante servicios en la nube"; y creó nuevas cuentas en el Directorio Activo.
Los atacantes dieron prioridad a la identidad porque les proporcionaba todo lo que necesitaban: acceso, capacidad para eludir la autenticación y capacidad para ir más allá de su brecha inicial. "Las identidades son el tejido conectivo que los atacantes utilizan para moverse lateralmente y saltar de un dominio a otro", afirma Firstbrook.
Ataques a la cadena de suministro como la brecha de SolarWinds "manipulan productos o mecanismos de entrega de productos" para infectar objetivos en fases posteriores. Como forma más indirecta de ataque, utilizan cómplices involuntarios, lo que dificulta su detección.
A la pregunta de cómo evitar que se produzcan estos ataques, Firstbrook respondió que "la realidad es que no se puede".
Alspach detalla el cinismo de Firstbrook, señalando que "la gestión de la identidad digital es notoriamente difícil para las empresas, ya que muchas sufren de la expansión de la identidad -incluyendo identidades humanas, de máquinas y de aplicaciones (como en automatización robótica de procesos)."
El problema se extiende a los proveedores de una empresa: hoy en día, incluso las medianas empresas despliegan cientos de aplicaciones SaaS.
En lugar de tratar de prevenir los ataques a la cadena de suministro (o cualquier otro exploit específico), Firstbrook aconsejó a las empresas que se prepararan para las amenazas cambiando su enfoque. "Lo que hay que hacer es vigilar la infraestructura de identidad en busca de técnicas de ataque conocidas, y empezar a pensar más en la infraestructura de identidad como si fuera el perímetro".
Firstbrook da en el clavo. Hoy en día, las empresas deben dar cabida a innumerables proveedores, empleados que trabajan desde casa, usuarios externos y otros terceros que acceden a su ecosistema. Con usuarios y casos de uso que se expanden exponencialmente, la identidad es lo único que las organizaciones deberían poder controlar en todos los casos. Ya se trate de ransomware, ataques a la cadena de suministro o la próxima moda en ciberdelincuencia, la identidad se ha convertido en el nuevo perímetro.
Buenas prácticas para la seguridad de la identidad después de SolarWinds:
- Construir hacia la confianza cero: Confianza cero es una nueva forma de concebir la ciberseguridad que elimina toda confianza implícita. Trata a cada usuario, dispositivo, solicitud y aplicación como una posible amenaza y verifica constantemente cada derecho de acceso y permiso. No se trata de un producto ni de un proveedor, sino de una forma de concebir la ciberseguridad, y la única manera de empezar a avanzar hacia la confianza cero es empezar por la identidad. Las empresas tienen que empezar por saber quiénes son sus usuarios, cómo los autenticarán y a qué necesitan acceder. Contar con esa base permite a las empresas crear una seguridad que dé prioridad a la identidad.
- Autenticación de todas las plataformas en todas las plataformas: A estas alturas, la autenticación multifactor (MFA) debería ser un requisito para toda organización. La ausencia de MFA fue un componente importante en la Ataque de ransomware a Colonial Pipeline y es una parte clave de Orden del Presidente Biden sobre ciberseguridad. Pero AMF tiene que funcionar independientemente de cómo lo hagan sus usuarios (desde Windows y macOS hasta claves FIDO y contraseñas de un solo uso) e incluso cuando sus usuarios no estén conectados.
- Todas las contraseñas son defectuosas: Algunos de los primeros informes sobre la brecha de SolarWinds se centraron en una contraseña específica: "solarwinds123". Los legisladores incluso castigaron a SolarWinds por la simple credencial; más tarde, se reveló que la contraseña era para un sitio FTP y no tenía nada que ver con la brecha. Pero el foco en 'solarwinds123El problema es que todas las contraseñas son demasiado fáciles de descifrar para los ciberdelincuentes y demasiado difíciles de recordar para los usuarios. Son inseguras, caras y crean fricciones para los usuarios legítimos. Para las empresas, la solución no debería ser establecer contraseñas más complejas. En su lugar, las empresas deberían eliminar las contraseñas por completo y crear entornos sin contraseña en el que los usuarios nunca tienen que pensar, introducir o gestionar contraseñas.
- Saber quién tiene acceso a qué: Si la autenticación decide quién obtiene acceso a una red, la gobernanza y administración de identidades (IGA) controla lo que un usuario puede hacer con ese acceso: IGA permite a las empresas establecer derechos de acceso a los recursos adecuados y para los recursos adecuados. Es una forma de evitar que los usuarios -o los malos actores- se desplacen lateralmente o más allá de un rol predefinido (SolarWinds culpó por primera vez a un becario de "solarwinds123"; un programa de gobierno de identidades habría revelado a qué podría haber accedido ese becario y qué podría haber hecho en última instancia con ese acceso). El sitio las mejores soluciones controlará la "proliferación de identidades" automatizando las certificaciones de acceso y priorizando las anomalías y las infracciones de las políticas.
Un año después, las empresas siguen intentando comprender "una de las mayores brechas de ciberseguridad del siglo XXI". Esto se debe en gran parte a que muchas de las tendencias que contribuyeron inicialmente a la brecha de SolarWinds -incluida la dispersión de identidades, una creciente dependencia de los recursos en la nube, configuraciones remotas e híbridas permanentes y una creciente interdependencia entre usuarios, recursos y dispositivos- no han hecho más que acelerarse desde el 13 de diciembre de 2020.
¿Qué hacer a partir de ahora? La única forma de avanzar es reconocer (o admitir) lo complejos que se han vuelto nuestros entornos operativos y dar prioridad a la defensa de los atributos que se repiten en cada uno de ellos. Tenemos que convertir la identidad en nuestro nuevo perímetro y darle prioridad.
