17 cosas que deberíamos haber aprendido en 2017, pero probablemente no lo hicimos

¿El 2017 nos enseñó alguna lección genuinamente nueva que no deberíamos haber conocido ya?

Cada año, los titulares de la infosec nos inundan con nuevos cuentos de advertencia, algunos tratando de enseñarnos las mismas viejas lecciones. Aquí hay 17 cosas que deberíamos haber aprendido de los horrores de 2017 … pero probablemente no lo hicimos:

1. Necesitas saber qué datos tiene y dónde se encuentran.
Parece una solicitud razonable. Mantenga un registro de los activos valiosos que la gente le da, ya sea en efectivo, una cortadora de césped o información personal identificable. Sin embargo, Yahoo tardó tres años en descubrir que habían experimentado una violación de datos de mil millones de cuentas en agosto de 2013, y otros 10 meses en darse cuenta de que (un error de cálculo) tres veces más cuentas, de hecho, cada usuario de Yahoo era expuesto en ese incidente.

La agencia de crédito Equifax también tuvo algunos problemas para discernir el alcance de su incumplimiento, un incidente que no solo expuso a casi todos los adultos estadounidenses a la amenaza del robo de identidad, sino que inspiró nuevas convocatorias de regulaciones más estrictas sobre los agregadores de datos .

2. La forma en que respondemos a los incidentes es tan importante como la forma en que los evitamos.
Equifax iba a perder algunos amigos cuando descubrieron nombres, números de seguridad social, fechas de nacimiento y direcciones en 145.5 millones de estadounidenses y 12.5 millones de británicos. Aumentaron el problema al esperar 40 días para informar el incidente después de descubrirlo. Lo empeoraron al tener un sitio web con poca funcionalidad e información contradictoria. Luego, Equifax ofreció a las víctimas un monitoreo de crédito complementario, proporcionado, irónicamente, por Equifax, pero solo si la víctima proporcionó primero su número de tarjeta de crédito y renunció a cualquier derecho de emprender acciones legales contra la compañía. (Más tarde eliminaron esta cláusula, después de la presión pública.) Era difícil imaginar cómo podrían haberlo empeorado.

Hasta que se supo la noticia de Uber . La compañía no solo decidió ocultar su información (de 57 millones de datos de conductores y pasajeros) durante un año completo, le pagó a los atacantes $ 100,000 para que también se guarden el secreto (y eliminen los datos, que supuestamente aparecieron en el mercado negro de todos modos). El comportamiento fue éticamente cuestionable, y las demandas comenzaron a acumularse rápidamente en Uber; la ciudad de Chicago y el condado de Cook pidieron $ 10,000 por día por cada violación de la privacidad de un usuario.

3. Los Números de Seguridad Social no deberían usarse para nada más que para la Seguridad Social.
Aparentemente esto es algo que todavía necesita ser dicho. Una de las mayores preocupaciones del incumplimiento de Equifax fue la liberación de tantos números de Seguridad Social, lo que no sería una preocupación si los SSN no fueran tan confiables implícitamente, y si pudieran ser reestablecidos, reeditados o verificados por el «Social Security Administration».

4. Las comunicaciones de radiofrecuencia deben estar aseguradas.
La interceptación de las comunicaciones de radio solo se convirtió en un problema hace unos 100 años más o menos. Tal vez solo necesitemos darles a los fabricantes de sistemas de monitoreo de radiación, marcapasos y otros dispositivos IoT, otros 100 años para comenzar a utilizar el cifrado (y el cifrado fuerte) en sus protocolos de radiofrecuencia.

Las comunicaciones que no son WiFi en general necesitan más amor por la seguridad en el mundo de la IoT, como lo testifican las vulnerabilidades Blueborne en Bluetooth. En el lado positivo, las compañías de seguridad están empezando a abordar estos problemas, con herramientas como la extensión RFTransceiver de Rapid7 para escanear dispositivos inalámbricos fuera de 802.11.

5. ICS / SCADA necesita un tratamiento de seguridad especial
El año comenzó con el descubrimiento de que la interrupción de la red eléctrica en Ucrania en 2016 fue causada por el primer malware diseñado exclusivamente para redes eléctricas (llamado CrashOverride por algunos, Industroyer por otros). A finales de año, el malware TRITON estaba perturbando las operaciones de ICS incluso sin lograr sus verdaderos objetivos. En el medio, el grupo APT DragonFly (también conocido como Energetic Bear) amenazó la red eléctrica de EE.UU.

Una encuesta de Honeywell encontró que alrededor de dos tercios de las empresas del sector industrial no monitorean el tráfico sospechoso y casi la mitad no tienen un líder en seguridad cibernética. Pero no te burles de ellos. La mayoría de las herramientas de seguridad cibernética actualmente disponibles son demasiado invasivas para ser soportadas en entornos ICS altamente heterogéneos que tienen poca tolerancia al tiempo de inactividad.

6. Necesitas implementar parches más rápido…   no, realmente!.
Equifax se vio comprometido primero en mayo, a través de la vulnerabilidad crítica de Apache Struts divulgada en marzo. Cuando se supo la noticia, los atacantes ya estaban intentando explotar a la vuln y los investigadores instaron a cualquiera que use Struts2 a actualizar sus aplicaciones web a una versión segura. Claramente, Equifax no se movió lo suficientemente rápido.

Para ser justos, el parcheo es difícil , y de marzo a mayo no es tanto tiempo para que el tamaño de una empresa Equifax complete el proceso. Sin embargo, las organizaciones deben inyectar combustible para aviones en sus procesos de administración de parches porque los proveedores a veces se toman su tiempo para emitir correcciones.

Microsoft, por ejemplo, no paró un error SMB de Windows hasta un mes después de que se revelara públicamente un exploit para él, EternalBlue. El exploit de EternalBlue, que permite que el malware se propague rápidamente a través de una red desde un solo host infectado, pronto se usó tanto en los ataques de WannaCry en mayo como en los ataques de NotPetya en junio. A pesar de la naturaleza aterradora (y altamente publicitada) de WannaCry y NotPetya, un escáner creado por investigadores de Imperva descubrió en julio que uno de cada nueve hosts (que suman aproximadamente 50,000 computadoras de lo que habían escaneado) aún era vulnerable a este exploit.

7. La NSA podría no ser el mejor lugar para poner tus cosas secretas.
Ese exploit de EternalBlue utilizado en NotPetya y WannaCry fue robado por primera vez de la Agencia de Seguridad Nacional y filtrado públicamente por la pandilla Shadow Brokers el año pasado. Los atacantes lo usaron, así como otras creaciones de NSA como Adylkuzz , en una variedad de campañas en 2017. Además, el desarrollador de software de NSA Nghia Hoang Pho se declaró culpable de retener ilegalmente secretos de defensa nacional y llevarlos a casa, donde fueron posteriormente robados por el estado ruso actores patrocinados. Aunque no había indicios de que Pho tuviera intenciones maliciosas, es el tercer conocedor de la NSA en los últimos años en ser responsable de la apropiación indebida de información altamente confidencial.

8. Las fallas de seguridad cibernética están comenzando a tener impactos significativos en el mercado…
El incidente en Yahoo, incluso antes de que se descubriera su alcance total, llevó a la compañía a reducir $350 millones del precio cuando vendieron la compañía a Verizon por $4,48 mil millones (un descuento del 7% aproximadamente).

El precio de las acciones de Equifax cayó masivamente inmediatamente después de su violación devastadora y horriblemente mal administrada. A principios de octubre, sin embargo, se había asegurado un nuevo trato haciendo la verificación de identidad para el IRS y el stock casi se había recuperado. Tres meses después, el stock es incluso más alto de lo que era en septiembre.

Los investigadores de seguridad están investigando otras formas de usar las presiones del mercado para mejorar la ciberseguridad . Mientras tanto, las organizaciones están siendo golpeadas por multas reglamentarias y acuerdos legales, como el récord de $115 millones de Anthem Healthcare para resolver su violación de datos de 2015.

9. La integridad de los datos (y el proceso democrático) puede verse alterado por algo más que «hacking».
Dependiendo de sus definiciones de «ciberseguridad» y «seguridad de la información», puede sentir o no que combatir la desinformación es parte de la descripción de su trabajo, a menos que haya algún tipo de piratería informática o malware involucrado. Recuerde, sin embargo, que la «integridad» es el «yo» en la sagrada tríada de seguridad de la CIA, incluso si la confidencialidad y la disponibilidad obtienen la mayor atención. Así que vale la pena estudiar cómo los atacantes difunden campañas de desinformación , cómo la desinformación se ha utilizado para interrumpir las elecciones en Ucrania y EEUU. Cómo los atacantes usan perfiles falsos de redes sociales para fines maliciosos, cómo el proceso de comentarios públicos de Neutralidad de red de la FCC se vio afectado por la afluencia de millones de comentarios hechos con identidades robadas y cómo la ingeniería social en todas sus formas tiene éxito a diario.

10. Realmente debería actualizar su defensa DDoS y plan de preparación.
Si no comenzaste inmediatamente a revisar tus planes de defensa y respuesta DDoS después del éxito de Mirai el año pasado, entonces quizás las noticias de que los ataques DDoS se duplicaron este año, con un promedio de ocho intentos de ataque por día, te pondrán en movimiento. ¿O el renovado interés de los atacantes en DNS, como cuando tomaron el control de la infraestructura DNS de un banco brasileño? ¿O el hecho de que WannaCry y NotPetya causaron grandes interrupciones en la producción y operaciones en compañías como Honda y Merck? Si no, es hora de comenzar a planificar. Y no olvide echarle un vistazo a su DNS, y descubrir cómo proteger sus recursos de la nube del ransomware .

11. No puedes escapar de los efectos de los disturbios políticos y civiles.
Los atacantes siempre han capitalizado los eventos actuales cuando escriben mensajes de phishing, pero los disturbios también pueden afectar los planes de recuperación ante desastres, las decisiones de compra del software de seguridad y la cultura del equipo de seguridad.

Las agencias del gobierno federal están eliminando el software de seguridad de Kaspersky Lab por temor a que la compañía de seguridad fuera influenciada por el gobierno ruso (poco después el presidente Trump tuiteó que él y el presidente ruso Vladimir Putin habían «discutido formar una unidad de Seguridad Cibernética impenetrable»).

12. La diversidad de la fuerza laboral de Infosec es algo que realmente debería interesarte.
La razón más mercenaria que se cita para aumentar la diversidad de la fuerza de trabajo de cyberseguridad es que hay muchos miles de trabajos de seguridad no rellenos que necesitan ser completados, y nos estamos perdiendo al no atraer a más mujeres y personas de color. También hay otras razones mejores, como tratar a las personas con respeto, sacar lo mejor de su personal y, tal vez, comprender mejor a un grupo cada vez más diverso de actores amenazantes.

Los líderes de Infosec deben tomar medidas para construir un camino hacia una mayor diversidad mediante la revisión de las prácticas de contratación, hacer que las reuniones sean más inclusivas y estar dispuestos a «tener conversaciones incómodas» que conduzcan a una mayor comprensión y un mejor trabajo en equipo.

13. Bitcoin es increíble, una vez que le quitas la parte sobre la moneda.
Vaya, Bitcoin es genial para pagar operadores de ransomare y para debatir cuánta volatilidad puede soportar un sistema financiero. Pero lo mejor de todo es la plataforma sobre la que está construido: Blockchain. La tecnología ledger distribuida esencialmente permite la creación de una lista de registros, cada registro criptográficamente vinculado y asegurado, lo que permite una mayor integridad de datos para todo tipo de aplicaciones. El CEO de JP Morgan, Jamie Dimon, calificó a Bitcoin de «estúpido», pero su compañía se impuso a Blockchain a lo grande este año, anunciando la red de pagos transfronterizos basada en Blockchain; IBM lanzó una oferta similar. Y mientras lo hace, proteje tus Bitcoin, porque las criptomonedas ya están siendo atacadas por DDoSes  y minadas por botnets, y ahora el Grupo Lazarus participará en el acto.

14. La encriptación es genial … excepto cuando no está 😉
A la gente le encanta Blockchain, en parte debido a todo lo que contiene la criptografía, como las chispas de chocolate en una galleta. Sin embargo, nuestra confianza en crypto puede tambalearse, como por ejemplo la mala semana en octubre 2017, cuando se descubrió que las vulnerabilidades de KRACK en WPA2 podrían secuestrar sesiones WiFi seguras.

Cuando un error de factorización en el chipset TPM de Infineon había expuesto millones de claves de criptografías en un exploit que permitiría a los atacantes generar una clave privada desde una clave pública, y alguna persona sospechosa estaba escaneando hasta 25,000 sistemas al día buscando específicamente claves privadas vulnerables de SSH. Eso hizo que la pequeña filtración de claves de cifrado, cookies, contraseñas y HTTPS de Cloudflare de sitios alojados en Cloudflare como Uber y OKCupid parecieran casi pintorescos.

15. El firmware también es tu problema.
Pequeñas preocupaciones como los errores de factorización que podrían hacer que tu encriptación sea completamente inútil, comienzan en el chipset. Hubo muchos otros hacks de hardware y firmware mostraron este año que también deberían llamar la atención del infosec pro, incluso si se sienten más cómodos con el software. Como por ejemplo la falla de Intel AMT o las vulnerabilidades de Intel ME que darían a los atacantes el «modo Dios» incluso cuando está apagado (US-CERT envió un aviso sobre eso), o cualquiera de los hacks de hardware/firmware revelados en conferencias Black Hat.

16. No tener malwares no significa que no hay problema.
El malware es OK, pero es más fácilmente detectable que otros tipos de ataques. La buena estafa  nunca pasa de moda, porque la ingeniería social funciona. El correo electrónico empresarial y los ataques de compromiso de cuentas (ataques BEC) son un buen ejemplo: las pérdidas totales de los BEC superaron la marca de los $5 mil millones, según el FBI , y son cinco veces más rentables que el ransomware, según Cisco. Y luego hay ataques «Fileless«. Mediante el uso de macros maliciosas, la manipulación de servicios legítimos de Windows para actividades nefastas, la ejecución de código en la memoria, el uso de credenciales robadas o PowerShell o una variedad de métodos furtivos, los atacantes están evadiendo los sistemas antimalware simplemente al no usar malware en absoluto.

17. Ser apuñalado en el costado es un problema mayor que ser apuñalado en la espalda.
Sabemos desde hace años que los atacantes pueden atravesar un punto final poco seguro y moverse lateralmente a través de su red hasta que accedan a las «joyas de la corona» desde el interior. Mientras los atacantes continúan mejorando en el movimiento lateral, la mayoría de las organizaciones no han hecho nada para mejorar su prevención. Con controles de acceso y microsegmentación mejor administrados, y el uso de una herramienta de movimiento lateral automatizada para ayudar a los chicos buenos (y otros) a encontrar rápidamente los caminos más vulnerables, las organizaciones pueden comenzar a ayudar a defenderse contra una variedad de ataques, incluyendo pesadillas como Botnet de Active Directory

No es todo malo
En resumen: no hay sustituto para una buena limpieza. Es cierto que 2017 no estuvo exento de horrores, pero también hubo algunas victorias. La botnet WireX de Android fue eliminada, la red de botnets de Andrómeda (que ayudó a difundir Petya, Cerber y Neutrino) finalmente fue eliminada , y aunque 2018 podría ser peor, la buena noticia es que se espera que los salarios de los CISO vuelvan a subir , a más de $240,000. Levanta tu copa de champán a eso!!!

 

fuente: www.darkreading.com