Apenas una semana después del cierre de Colonial Pipeline debido a un ataque masivo de ransomware, los atacantes vuelven a la carga. Ahora se informa de que el servicio de salud de Irlanda cerró sus sistemas informáticos el viernes tras un ataque de ransomware selectivo, mientras que una empresa química en Alemania tuvo que pagar un rescate de 4,4 millones de dólares el mismo día.
Ya estamos viendo las ramificaciones iniciales del ataque a Colonial, ya que los conductores estadounidenses de varios estados no pueden llenar sus depósitos de gasolina debido a la escasez de combustible, y quién sabe cómo afectará esto a sectores como el de los viajes y el transporte marítimo en un futuro próximo. Ahora tenemos el sistema sanitario de todo un país afectado por ciberdelincuentes: ya no se trata sólo de un problema tecnológico, sino de algo mucho mayor.
El ransomware en el sector sanitario es una prueba más de la convergencia de la vida física y digital, un impacto con potencial para disminuir la calidad de vida y la atención que las personas necesitan para vivir. Pero antes de que nos acostumbremos a saltar de la cama y señalar con el dedo a los desbordados centros de operaciones de seguridad (SOC) ante cualquier indicio de infracción o ataque, dejemos en suspenso el juego de las culpas durante un segundo.
Si hay alguna entidad dentro de una organización que no quiere que ocurra algo así, es el SOC. También es increíblemente probable que a su personal directivo le hayan vendido las promesas de priorizar la prevención y las alertas de seguridad, hasta el punto de que los SOC tienen una cuota de alertas de seguridad que cumplir y sobre la que informar como parte de su trabajo. Una locura de medida, teniendo en cuenta que las alertas no equivalen a ataques.
Gran parte del problema radica en que demasiados proveedores de seguridad llenan la sala de aire caliente señalando que las alertas son la respuesta. Y no lo son.
En busca de respuestas
Nuestro Director of Security Research, Nathan Einwechter, habló recientemente con Bulevar de la Seguridad para hablar sobre el ataque a Colonial Pipeline, afirmando que aunque el grupo que está detrás del ataque "es bien conocido por su nivel de sofisticación y su progresión intencionada y lenta", no hay nada en las herramientas o tácticas utilizadas en el ataque que sea particularmente nuevo o novedoso.
Y eso es lo realmente alarmante. Las tácticas que se utilizan no son nuevas, pero se espera que los equipos de seguridad utilicen las mismas herramientas que sabemos que no funcionan, cuando en realidad deberían centrarse en proporcionar un mejor apoyo al SOC. Con el apoyo adecuado, podrán ajustar correctamente el enfoque general de la detección y la respuesta.
Para avanzar de verdad y alejarnos de la locura, tenemos que aprender de estos incidentes y aplicar un enfoque diferente. Las organizaciones deben asumir que se producirá una brecha, y cuando ocurra, esto es una vez más la prueba de que no se puede confiar únicamente en las alertas de punto final para detenerla. Como menciona el artículo de Security Boulevard, el grupo detrás del ataque a Colonial es conocido por su lenta progresión, a menudo tardando semanas o meses antes de volverse destructivo.
No sabemos cuánto tiempo han estado los hackers dentro, pero si los atacantes están sentados en tu entorno controlando remotamente tus endpoints, moviéndose lateralmente para ampliar el acceso, recopilando información, exfiltrando datos o trabajando hacia cualquier objetivo que estén decididos a alcanzar, ¿cómo lo sabrás?
Es importante reconocer que los atacantes no hacen movimientos obvios: no necesitan enviar exploits ruidosos a través del cable cuando robar credenciales para utilizar servicios administrativos existentes es suficiente. Todo esto se remonta al apoyo al SOC. Con demasiada frecuencia, carecen de personal suficiente, no tienen visibilidad suficiente de sus entornos y, en general, no disponen de los recursos necesarios para perseguir la avalancha de eventos que inevitablemente salen de sus herramientas existentes.
Los SOC no fracasan por falta de inteligencia o por esforzarse lo suficiente, sino que sus organizaciones les fallan al no proporcionarles los recursos y el apoyo que necesitan. Esto incluye apoyo para alejarse de la forma estándar y rota de operar, donde se espera que gestionen miles de eventos al día y de alguna manera encuentren esos uno o dos problemas críticos. Se trata de dotarse de tiempo y recursos suficientes (formación, políticas y herramientas) para abordar cualquier asunto urgente. Pero hay que tener en cuenta que cuanto más tiempo pase sin que se aborde el problema, más frecuentes serán estas historias con moraleja, y esperemos que estimulen la acción y no la indiferencia.