El ataque SolarWinds resultó en una gran cantidad de vulnerabilidades de la red, como tráfico enmascarado y acceso por la puerta trasera. Los equipos de red deben tomarse el tiempo para revisar sus estrategias de seguridad.
En diciembre de 2020, SolarWinds, un fabricante de productos de análisis y monitoreo de seguridad, se vio comprometido por un ataque a la cadena de suministro que insertó una puerta trasera en sus herramientas de seguridad. Este ataque fue difícil de detectar y finalmente permitió el acceso a las redes comerciales y gubernamentales seguras de los clientes. El ataque utilizó el Programa de mejora Orion de SolarWinds para enmascarar el tráfico nefasto, contactar de forma encubierta los nodos externos de comando y control y permitir el acceso de los atacantes por la puerta trasera.
El sofisticado ataque a la cadena de suministro dificultó la detección por parte de los equipos de red porque el tráfico del ataque estaba oculto entre el tráfico legítimo de SolarWinds. Detectarlo habría requerido que los equipos de red analizaran todo el tráfico de SolarWinds, algo que pocas organizaciones de TI tienen el presupuesto o el ancho de banda para lograr. La firma del compromiso era parte de un software firmado digitalmente por SolarWinds, lo que dificulta aún más la detección.
Debido a que el compromiso era parte del Programa de mejora Orion de SolarWinds que envía datos con regularidad, incluidos archivos, para ayudar a SolarWinds a intentar mejorar la experiencia del cliente, los equipos de redes empresariales esperaban el tráfico. Esencialmente, los equipos de redes enfrentan un desafío aquí porque gastan cientos de miles de dólares en herramientas y quieren que esas herramientas sean mejores, por lo que enviar esa información es importante.
En este caso, las herramientas de gestión y monitoreo comprometidas se convirtieron esencialmente en el zorro que custodiaba el gallinero. La detección del tráfico saliente es más difícil, pero eso no aborda adecuadamente el tráfico entrante. Si bien el tráfico saliente puede parecer más legítimo, el tráfico entrante procedente de la firma SolarWinds debería haber planteado más preocupaciones de las que lo hizo.
Consejos para prevenir futuras vulnerabilidades
La vulnerabilidad de SolarWinds dejó a muchos equipos de redes preguntándose qué pueden hacer en el futuro para prevenir este tipo de situaciones. A continuación se presentan algunos factores que podrían ayudar.
Bloqueo y abordaje de seguridad básica
Las prácticas de seguridad más estrictas no eliminarán las amenazas, pero pueden ayudar a mitigar el daño de los ataques. Algunas de las organizaciones expuestas a la vulnerabilidad de SolarWinds pueden haber sido exacerbadas por sus propios atajos de seguridad.
Mejor segmentación
Los niveles más altos de segmentación hacen que las redes sean considerablemente más difíciles de administrar pero, del mismo modo, pueden ayudar a mitigar algunos de los efectos de los ataques. Cantidades más bajas de segmentación pueden ser el resultado de organizaciones de seguridad con fondos insuficientes.
Mejor financiación de la seguridad
Los CIO comprenden el valor de la seguridad, pero a veces, los presupuestos demasiado ajustados pueden descuidar esta área. Es esencial que los equipos de seguridad de la red se aseguren no solo de las herramientas, sino también de la mano de obra para monitorear el tráfico. Ninguna herramienta es un reemplazo completo para los humanos, especialmente cuando esos humanos hacen preguntas «tontas» que pueden conducir a descubrimientos más inteligentes.
Entornos de confianza cero
El ataque SolarWinds claramente aprovechó el hecho de que SolarWinds era un flujo de datos confiable. Zero Trust adopta la postura predeterminada de que todo es una amenaza y requiere verificación de todo el tráfico, lo que puede ayudar a detectar mejor las vulnerabilidades.
Más pruebas de penetración
Las pruebas de penetración no solo protegen el perímetro al exponer vulnerabilidades, sino que también llevan a un pensamiento más crítico sobre las vías que los atacantes pueden usar más allá de los exploits comúnmente escaneados.
Más colaboración
A pesar de cómo ocurrió la explotación de SolarWinds, la colaboración y el intercambio son esenciales para ayudar a proteger mejor las redes empresariales. Pero la colaboración no es importante solo con los fabricantes; la colaboración comunitaria puede ser igualmente importante.