Cada vez que se produce un ataque o una brecha importante, hay prisa por culpar a alguien. La mayoría de las veces, la culpa recae sobre los equipos de seguridad, que ya están haciendo todo lo posible con el tiempo y los recursos de que disponen. Sin embargo, buscar culpables puede ser improductivo. En su lugar, comprender cómo y por qué se ha producido un ataque conduce a una evolución de la forma en que las organizaciones combaten y gestionan las operaciones de seguridad.
Por ejemplo, consideremos la reciente -y actual- brecha de SolarWinds. Esta brecha eludió todas las herramientas de prevención típicas, como la autenticación multifactor (MFA), los entornos aislados de red y la detección y respuesta de puntos finales (EDR). Estos atacantes utilizaron herramientas legítimas para llevar a cabo acciones maliciosas, dejando sin efecto todas las medidas preventivas.
Una vez penetrados, los atacantes utilizaron múltiples canales de comunicación, fases y herramientas para establecer un control interactivo y práctico. Cada fase se diseñó para minimizar las posibilidades de detección, con técnicas que anulan las firmas de los sistemas de detección de intrusiones (IDS), la detección y respuesta de puntos finales (EDR), la caza manual de amenazas e incluso los métodos habituales de detección basada en aprendizaje automático (ML).
Desvelando el ataque a la cadena de suministro de SolarWinds: Una brecha sigilosa y sofisticada con Cloud y Office 365 como objetivos clave
El ataque a la cadena de suministro de SolarWinds se orquestó con el objetivo de establecer un canal Command and Control (C2) encubierto y fiable entre los atacantes y un componente de infraestructura privilegiado y de confianza dentro del centro de datos, a saber, SolarWinds. Este canal comprometido sirvió como puerta de enlace, otorgando a los atacantes cuentas privilegiadas iniciales y un punto de pivote para avanzar en su asalto. Para lograr sus objetivos, los atacantes emplearon múltiples canales de comunicación, ejecutaron varias fases y utilizaron diversas herramientas para obtener un control interactivo y práctico. Cada fase se diseñó meticulosamente para minimizar la probabilidad de detección, empleando técnicas que evadían las firmas de herramientas de sistemas de detección de intrusiones (IDS), detección y respuesta de puntos finales (EDR), búsqueda manual de amenazas e incluso enfoques comunes de detección basada en aprendizaje automático (ML).
A continuación se describe la progresión del ataque, desde la puerta trasera inicial hasta el establecimiento de acceso persistente en entornos cloud , con especial énfasis en Microsoft Office 365/correo electrónico, que parece haber sido uno de los objetivos principales. La cobertura de Vectra AI, que no depende de indicadores de compromiso (IoC) ni de firmas, entra en juego en cuanto se establece el canal C2 inicial. La combinación de comportamientos observados directamente en el servidor de SolarWinds provocó su clasificación como "Crítico" incluso antes de que se produjera cualquier movimiento lateral, lo que permitió la adopción de medidas de contención tempranas. Si el ataque avanzara, las detecciones adicionales proporcionarían una visibilidad completa de cada fase posterior, incluso a medida que el asalto se expandiera a la cloud y se dirigiera específicamente a Office 365.
Revelación de las limitaciones de las soluciones de seguridad tradicionales: La brecha de SolarWinds y el llamamiento a la detección y respuesta en red (NDR)
El pirateo de SolarWinds Orion, también conocido como Sunburst o Solorigate, pone claramente de manifiesto la necesidad de una detección y respuesta de red (NDR) basada en IA. Aunque las medidas de seguridad preventivas y los controles de los puntos finales suben el listón, son insuficientes. Los antiguos sistemas de detección de intrusiones (IDS) basados en firmas han demostrado una vez más su ineficacia para detectar nuevos ataques en los que aún no existen indicadores de compromiso (IoC).
Los atacantes de SolarWinds demostraron un gran esfuerzo y experiencia en eludir los controles preventivos, incluidos los sandboxes de red, la seguridad de los endpoints y la autenticación multifactor (MFA). Sus métodos incluían:
- Realización de comprobaciones exhaustivas para asegurarse de que no se encontraban en un entorno de análisis de sandbox o malware .
- Utilización de la firma de código y de procesos legítimos para eludir los controles habituales de los endpoints.
- Implementación de un novedoso dropper en memoria para evitar el análisis basado en archivos mientras se distribuye la baliza Command and Control (C2).
- Eludir la AMF utilizando claves de firma de sesión SAML (Security Assertion Markup Language) robadas.
El nivel de habilidad y concentración necesario para eludir los controles de los endpoints pone de relieve los avances en la detección y respuesta a los endpoints (EDR). Sin embargo, también sirve como recordatorio de que los adversarios decididos y sofisticados siempre pueden encontrar formas de eludir los controles preventivos y de endpoints.
Para defenderse eficazmente contra este tipo de ataques, es crucial aprovechar la detección y respuesta de la red. En este contexto, la red abarca todo lo que está fuera del endpoint. Los modelos de detección de Vectra AI proporcionan alerta temprana en tiempo real y visibilidad continua a lo largo de la progresión del ataque, desde las instalaciones hasta la cloud. Este enfoque no depende de IoC, firmas u otras actualizaciones de modelos. Su objetivo es identificar y detener ataques como Sunburst/Solorigate/SolarWinds antes de que se produzcan daños significativos.
Como demuestra claramente la brecha de SolarWinds, las soluciones de seguridad tradicionales son insuficientes y susceptibles de ser manipuladas por los atacantes. Los IDS se basan en firmas, lo que significa que los analistas de seguridad deben conocer el ataque y disponer de una firma para detectarlo y prevenirlo. Del mismo modo, EDR es eficaz para los puntos finales, pero no aborda adecuadamente los ataques basados en la red como la violación de SolarWinds. Incluso las técnicas adicionales de detección basadas en el aprendizaje automático (ML) empleadas por los proveedores pueden no proporcionar una protección adecuada. Aunque las organizaciones dispongan de sistemas de gestión de eventos de información de seguridad (SIEM) o herramientas similares, su eficacia depende de la calidad y disponibilidad de los datos que reciben. Si los datos están comprometidos o no existen, el propósito de un SIEM se ve socavado. Es crucial alimentar el SIEM con datos precisos y apropiados.
Si está listo para cambiar su enfoque de la detección y respuesta a ciberataques como estos, y para conocer más de cerca cómo Cognito puede encontrar herramientas y exploits de atacantes, programe una demostracióncon Vectra hoy mismo.