De vacaciones , con una ola de calor actualmente que hace que los días sean agotadores, que mejor forma de pasar una tarde entretenida , que desgajando alguna pequeñas tendencias que se han podido observar en la  Black Hat  DEF CON USA de 2021.

La conferencia Black Hat ha crecido durante el último cuarto de siglo hasta convertirse en el escenario principal para que los profesionales de la ciberseguridad compartan investigaciones y conocimientos de vanguardia a través de demostraciones, capacitaciones técnicas y laboratorios prácticos. Desde ransomware, ataques a la cadena de suministro e infraestructura crítica hasta la gestión de riesgos de terceros, arquitecturas Zero Trust de las que ya hemos hablado e inteligencia de amenazas habilitada por IA, son alguna de las tendencias de ciberseguridad que los expertos han observando en tan ansiada conferencia anual.

Black Hat Def-Con cyber security conference

Vulnerabilidades de la cadena de suministro

Se espera que el gobierno de los EE. UU tome medidas para defender la cadena de suministro de software a raíz de los conocidos ataques de SolarWinds. Según el Ryan Kovar de Splunk, le gustaría ver a los proveedores de tecnología pasar por un proceso para facilitar una mejor detección de las vulnerabilidades de la cadena de suministro, indicando que las empresas de tecnología que venden al gobierno deben tener la obligación de probar sus productos  y certificarlos por el NIST u otra entidad externa. Algo trasladable a cualquier gobierno, y en mi opinión , que debería ir más allá de la inscripción en el libro de tecnologías del ccn-cert,  teniendo un mecanismo centralizado para examinar la seguridad y la calidad del software consumido por el gobierno, horizontal al ENS y aplicable a cualquier software que sea adquirido por la administración pública.

Obligar a los proveedores de tecnología a pasar por pruebas de seguridad para vender a cualquier gobierno, centralizaría la carga financiera y técnica en torno a la administración pública central, lo que ayudaría a los organismos que obtienen menos fondos.

Ataques Living-Off-The-Land

Cada vez más , se esta observando que se usan herramientas legítimas en los ataques, que son empleadas a su vez en la organización de la propia víctima para mantenerse mejor ocultos, consiguiendo así mezclarse con el tráfico de la víctima. De esta forma, se pueden aprovechar herramientas legítimas para llevar a cabo diferentes vectores en la cadena de ataque, desde el acceso inicial, el descubrimiento de activos y el movimiento lateral hasta la exfiltración de datos y el robo de credenciales. Recordemos la Matriz Mitre

Los ataques Living-off-the-land son una actividad "antiforense" , ya nos estuvo hablando Rafa.Pedrero de cómo buscar nuevos LOLBAS, ya que obligan a las empresas a tener un mecanismo para examinar el uso de herramientas como Cobalt Strike, Mimikatz y PS Exec para determinar si una instancia en particular es legítima o ilegítima. Similar a robar credenciales de administrador, los adversarios que persiguen estos ataques, pueden participar en muchas actividades que pasan desapercibidas.

Los ciberdelincuentes participan en el descubrimiento de activos y el descubrimiento de aplicaciones cuando analizan a las víctimas potenciales para asegurarse de que puedan integrarse utilizando las mismas aplicaciones y el mismo sistema operativo que el objetivo previsto. Desde Trend Micro han documentado entre 20 y 30 herramientas legítimas que también pueden ser utilizadas por los actores del ransomware con estos fines, o aunque desactualizados o no continuado , aquí podemos encontrar una amplia lista para empezar a vigilar.

Ataques a infraestructura crítica

Los proveedores de infraestructura crítica no están acostumbrados a tener que defender sus activos contra adversarios cibernéticos sofisticados y, por lo general, tienen pequeños equipos de TI con especialistas en seguridad limitados. Aun que estén en el foco desde hace unos cuantos año, donde nosotros hablábamos del ramsonware en infraestructuras críticas allá por el 2017. Estas empresas no tienen grandes oficinas o centros de datos, y las ganancias tienden a invertirse en aumentar la producción de electricidad o petróleo normalmente.

Sin embargo, el equipo de infraestructura crítica generalmente está habilitado para  la capacidad de administración y el control centralizado, lo que les hace vulnerable a los ataques de ciberseguridad, al igual que los hospitales o los equipos médicos. Los entornos de infraestructura crítica están altamente distribuidos con una potencia informática limitada, lo que significa por ejemplo, que las plataformas petrolíferas no tengan un equipo TI encargado de garantizar que la conexión de red no sea atacada o comprometida, pudiendo extrapolar esto a parques eólicos , presas hidroeléctricas o muchas otras ( Pensemos ahora que estamos en plenos precios de incremento histórico, que pasaría si atacasen múltiples centrales )

Los proveedores de infraestructura crítica deben evaluar qué dispositivos realmente necesitan conectarse a la consola de administración y establecer políticas para restringir lo que está permitido para comunicarse con la consola, o visto de otra forma , podríamos optar por una separación IT / OT , algo por lo cual yo apuesto, y segmentar aún más el IT en múltiples entornos.

Gestión de riesgos de terceros

Las organizaciones se están dando cuenta cada vez más de que necesitan invertir más recursos para garantizar que los proveedores externos no sean una fuente de peligros. Las grandes empresas multinacionales han estado evaluando el riesgo de terceros de una manera programática y madura durante algún tiempo, pero los actores más pequeños a los que subcontratamos la gestión TI debemos analizarlos más de cerca.

Las organizaciones debemos comenzar a revisar los contratos de los proveedores para asegurarnos de que los proveedores cuenten con las personas, los controles y la estructura de gobierno adecuados para abordar el riesgo de ciberseguridad de una manera "seria". Las empresas deberían poder auditar a sus proveedores externos más importantes ( suele ser una clausula de seguridad común en los contratos ) pero que no se suele hacer, algo que da la visibilidad clave para evaluar si existen o no las políticas de seguridad adecuadas.

Las empresas deben aplicar el mayor escrutinio a los terceros que presentan el mayor riesgo, como los que tienen acceso directo a los datos de la organización, asegurándonos de que sean evaluados con la frecuencia y profundidad adecuadas. Y si un proveedor no tiene un buen programa de gestión de riesgos, deberíamos considerar opciones alternativas.

Arquitecturas Zero Trust

La arquitectura de confianza cero o Zero Trust, que ya vimos,  puede minimizar el riesgo asociado con los problemas de la cadena de suministro y las amenazas de ransomware. La arquitectura Zero Trust es un área de enfoque y de frustración para muchos líderes, ya que significa cosas muy diferentes para diferentes personas.

En esencia, Zero Trust se trata de saber dónde se encuentran los datos y qué usuarios tienen acceso a qué datos, ya que las organizaciones no pueden defender lo que no saben que existe. Un enfoque de confianza cero es vital para garantizar que los datos en cuestión no se vuelvan vulnerables.

Hay una variedad de herramientas que pueden escanear redes y determinar dónde residen los datos. Las organizaciones están comenzando a asegurarse de tener las herramientas adecuadas para evaluar la ubicación y la soberanía de los datos, pero todavía queda mucho por hacer. Puede parecer que las arquitecturas Zero Trust son algo inminente, pero todavía nos queda mucho camino por recorrer hasta ellas, y uno primordial , es este, el conocimiento y ubicación de los datos.

Uso de IA en el reconocimiento de ransomware

La empresas, utilizan cada vez más la inteligencia artificial para realizar reconocimientos y obtener visibilidad de cómo los adversarios están creando ransomware. Una sola llamada de DNS maliciosa puede ser el comienzo de un ataque de ransomware, por lo que es fundamental que las empresas aprovechen la inteligencia artificial para conectar los puntos implicados previamente.

La inteligencia artificial puede analizar miles de millones de datos para conectar la actividad , por ejemplo de honeypots o de un receptor en una geografía o industria en particular para una vulnerabilidad con la que la compañía ya está familiarizada. La inteligencia artificial ha logrado un progreso significativo a nivel funcional, lo que, ha permitido a las organizaciones hacer inferencias o atar cabos sueltos dentro de los endpoints , la red o las aplicaciones en sí.

Pero las amenazas complejas generalmente se encuentran en la red, los endpoint y las capas de aplicaciones, lo que significa que la inteligencia artificial debe llevarse a través de múltiples tecnologías para llegar a dar su máximo esplendor. La inteligencia artificial tiene el potencial de analizar personas, procesos y datos y brindar información a una escala que simplemente no sería posible de forma manual.

Ataques a la cadena de suministro

Los adversarios se han dado cuenta cada vez más de que pueden infiltrarse en cientos o incluso miles de clientes a la vez, comprometiendo a un proveedor que todos tienen en común ( Esta semana hemos tenido un pequeño susto con Accenture ). Las empresas deben asegurarse de tener visibilidad de su cadena de suministro, el riesgo asociado con cada proveedor y una forma de remediar rápidamente en caso de que ocurra un evento. Creo que seria recomendable una plan de incidentes y de continuidad de negocio con proveedores.

Los ataques a la cadena de suministro brindan a los ciberdelincuentes un buen retorno de su inversión, ya que solo deben ingresar a una única empresa estratégica para distribuir su malware en cientos o miles de organizaciones. Los ataques a la cadena de suministro han pasado de ser un ataque armado, llevado a cabo por un adversario sofisticado contra una industria en particular a ser una parte más genérica del ciclo comercial del malware.

Las empresas en las que todos los empleados trabajan desde la oficina o de forma remota son las más fáciles de defender contra un ataque a la cadena de suministro.

Falta de control sobre datos sensibles

Los adversarios están centrados en tratar de averiguar dónde están los datos confidenciales de una empresa y robarlos, y han tenido mucho éxito ya que los atacantes saben con demasiada frecuencia dónde se encuentran los mejores datos de una empresa , casi mejor que la propia empresa en si. Una vez que las empresas descubren dónde están sus datos confidenciales, se necesita poner barreras para controlar cómo se usan.

Las empresas usan en promedio cerca de 1,000 aplicaciones cloud, el 90 por ciento de las cuales no son propiedad del departamento de TI. Con más de la mitad de todos los datos confidenciales viviendo en la nube, la prevención de pérdida de datos (DLP) basada en cloud, es vital para ayudar a las empresas a descubrir que daros van a dónde.

Uso de Zero Days para los ataques ransomware

Ha habido una explosión tanto en la sofisticación como en el volumen de los ataques de ransomware, y los ciberdelincuentes explotan una vulnerabilidad zero day para acceder a la herramienta de gestión y control remoto (RMM). El mayor uso de Zero Days en los ataques de ransomware es una señal de que los piratas informáticos son más sofisticados y se dirigen específicamente a determinadas organizaciones.

La proliferación de operaciones de Ransomware como servicio (RaaS) significa que los grupos afiliados que realmente llevan a cabo ataques no tienen ninguna experiencia técnica y, a veces, ni siquiera saben cómo escribir código.

Los adversarios ya no se contentan simplemente con encriptar a las víctimas y negarles el acceso a sus sistemas, sino que en los últimos años han presionado para exfiltrar los datos de las víctimas y amenazar con divulgarlos públicamente (Recordamos el incidente anteriormente comentado en Accenture). Más recientemente, los piratas informáticos han aprovechado la cadena de suministro para decirles a los clientes que un proveedor suyo se vio comprometido y amenazaron con filtrar los datos de ese cliente si no se paga un rescate. Las empresas deben examinar su panorama legal y regulatorio y realizar ejercicios prácticos (Algo imprescindible) para asegurarnos de que no terminamos tomando una decisión incorrecta durante un incidente de seguridad real.

Ataques del lado del cliente

Los equipos de DevSecOps suelen poseer la ciberseguridad de la API y están tratando de descubrir cómo hacer la seguridad de la manera más eficiente posible sin dejar de cumplir con las expectativas de desarrollo moderno y ágil. Los desarrolladores enfrentan mucha presión para que las aplicaciones y las actualizaciones se publiquen más rápido y, al mismo tiempo, manteniendo la ciberseguridad.

Pero el mayor uso de bibliotecas y aplicaciones de microservicio ha impulsado una expansión dramática de la superficie de ataque. En los ataques del lado del cliente, los clientes terminan descargando un código incorrecto del sitio web de comercio electrónico de una empresa, lo que puede causar un daño significativo a la marca y la credibilidad de una empresa.

Al igual que la toma de control de la cuenta, los ataques del lado del cliente plantean un gran riesgo tanto para la marca como para la valoración de una empresa, lo que abre el negocio a demandas de los clientes y potencialmente cierra una gran parte del negocio si se conoce el impacto del ataque

Adopción más amplia de las mejores prácticas de seguridad

Los adversarios suelen seguir el camino de menor resistencia y, por lo tanto, preferirían comprometer a alguien en la cadena de suministro y obtener acceso a miles de sus clientes en lugar de tener que comprometer a cada organización por separado, una por una. Los ataques a la cadena de suministro brindan al adversario un entorno rico en objetivos, lo que estimula una mayor actividad.

Los ataques a la cadena de suministro han demostrado que las empresas de bajo perfil también pueden atraer la atención de los piratas informáticos si poseen un amplio acceso y datos de clientes. Pero dado que estos proveedores históricamente han estado fuera del foco de atención, a veces no han adoptado las mejores prácticas de ciberseguridad básicas como la autenticación de dos factores y el almacenamiento de contraseñas de forma segura.

Las organizaciones de infraestructura crítica, en particular, han sido atacadas y requeteatacadas por los adversarios, ya que no viven ni respiran seguridad las 24 horas del día y no se dan cuenta de cuán grande y expansivo es su riesgo. Estas empresas necesitan más enfoque, visibilidad y responsabilidad cuando se trata de seguridad.

Conclusión

Son muchas las charlas y temas tratados en la principal conferencia de ciberseguridad que existe actualmente. Sumado a las charlas técnicas y brillantes con las que nos brindan todos los años , y con la que una vez salgan a la luz, intentaré hacer un pequeño resumen con las mejores, ampliaré de igual forma este post con las charlas principales en las que se tratan estos temas.

Parece que este año pudiese tratarse de un pequeño dejavú, pero es que los ataques tan importantes como son los de la cadena de suministro , son cada vez más comunes, y no se esta poniendo todo el foco que considero debiesemos poner , por ello, el sector debe insistir con el fin de poner el foco donde realmente es necesario.

Perdonar el "tostón" del post, pero son muchos los temas , son muchas las charlas , y varios los focos en los que debemos poner nuestra mira.