Parte de la labor de los líderes en ciberseguridad consiste en analizar sucesos aislados y unir los puntos. Discernir patrones, enmarcar un panorama más amplio e ir más allá de las advertencias funestas, hacia estrategias para un futuro digital más brillante. El ataque del ransomware de Kaseya que se produjo durante el fin de semana del 4 de julio, por terrible que fuera, presenta una oportunidad clara para conectar los puntos.
El ataque de Kaseya afectó a miles de víctimas, la mayoría, en el informe de daños de Kaseya, organizaciones más pequeñas con carteras más delgadas: "consultas dentales, estudios de arquitectura, centros de cirugía plástica, bibliotecas, cosas así". Sin embargo, tenía sentido económico para los atacantes porque Kaseya sirvió como un centro de distribución eficiente para su software de píldora venenosa. Kaseya VSA, la oferta SaaS de automatización de TI ampliamente utilizada de la compañía, se convirtió en el sistema de entrega involuntario, al servicio de los sombreros negros.
¿Impresionante? Todo lo contrario. Es la misma estrategia evidente en el ataque a SolarWinds a finales de 2020. Allí, también, la infiltración de un proveedor de SaaS victimizó a una larga lista de objetivos. Y el aparente culpable del ataque a Kaseya, REvil, vinculado a Rusia, también se cree que es responsable del ataque de ransomware del Memorial Day al procesador internacional de carne JBS.
Conecte los puntos. Las conclusiones se escriben solas:
- El secuestro de proveedores de SaaS hace rentable el lanzamiento de ataques masivos contra objetivos pequeños.
- La confianza en las estrategias tradicionales de prevención de ataques ha llevado, una y otra vez, a costosas y humillantes consecuencias. Malware penetra regularmente en los perímetros de los objetivos sin ser detectado.
- La mayoría de nosotros no estamos revisando nuestra postura de preparación cibernética con la mitad de la urgencia que ahora resulta apropiada. Las similitudes entre los ataques de SolarWinds, Colonial Pipeline, JBS y Kaseya son suficientemente claras. Nos ofrecen una clara curva de aprendizaje que debemos escalar. En general, no estamos reaccionando.
La procrastinación tiene su encanto, y quizá sea la naturaleza humana. Pero es mejor invertir en preparación que en gestión de crisis a posteriori. Tras el ataque a SolarWinds, Vectra encuestó a 1.112 profesionales de la seguridad que trabajan en organizaciones de tamaño medio-grande. Un hallazgo clave:
"[Se reveló un] alto nivel de confianza entre los equipos de seguridad en la eficacia de las medidas de seguridad de su propia empresa: casi 4 de cada 5 afirma tener una visibilidad buena o muy buena de los ataques que eluden las defensas perimetrales como los cortafuegos."
En realidad, sabemos que ninguna aplicación, red o centro de datos es invulnerable. Si los responsables de la toma de decisiones de una organización albergan una falsa sensación de seguridad sobre su capacidad para defenderse de los hackers, es probable que no estén armados con las herramientas necesarias para tener éxito.
El ataque a Kaseya es otro recordatorio de que la complacencia puede tener un precio terrible. Dado que el riesgo de sufrir daños ya no se limita a las grandes empresas con grandes bolsillos, el incidente debería desencadenar nuevos debates sobre seguridad en más departamentos de TI. Debe haber un nuevo escrutinio de las relaciones de suscripción SaaS, y las políticas de seguridad de los proveedores de servicios gestionados; cuando su negocio depende de productos como Kaseya VSA, usted está tan seguro como su proveedor. A medida que las empresas dependen más del almacenamiento de datos y las soluciones SaaS subcontratadas a la cloud, las vulnerabilidades pueden aumentar.
El año pasado dijimos que se tardarían meses en calcular el alcance total de los daños del ataque a SolarWinds; ahora decimos exactamente lo mismo del ataque al ransomware de Kaseya. No obstante, debemos ser optimistas y pensar que, como sociedad digital, conectaremos los puntos y cambiaremos esta situación. Durante años hemos comprendido las virtudes de una sólida supervisión de la red y una rápida detección de las inevitables brechas. La orden ejecutiva de mayo de 2021 del Presidente Biden hace de la detección de ataques -y de la mejora de las capacidades de investigación y reparación- prioridades para el gobierno federal. Insto a los líderes empresariales de todo el mundo a responder al ataque del ransomware de Kaseya acelerando su migración a una estrategia de ciberseguridad más eficaz.
La calamidad de Kaseya puede ser recordada algún día como un punto de inflexión que condujo finalmente a una mejor postura de seguridad. Si eso llega a suceder, los piratas cibernéticos nos habrán hecho un servicio improbable e involuntario.