Consejos para defenderse de acciones adversarias independientemente de su origen
Cuando ocurre un evento desafortunado, las personas tienden a sentir curiosidad por saber quién fue el responsable del evento. Puede ser interesante y útil saber quién es tu enemigo y cuáles podrían ser sus motivos. Pero en ciberseguridad, el enfoque principal está en última instancia en las medidas preventivas y de detección para evitar problemas similares.
Usemos un ejemplo reciente para ilustrar este punto a continuación.
Ataques patrocinados por el estado contra la infraestructura de EE. UU.
En enero de 2022, una junta consultivo de CISA, el FBI y la NSA destacaron las tácticas, técnicas y procedimientos comunes (TTP) en una variedad de campañas patrocinadas por el estado ruso. El aviso identificó tres grupos específicos: APT29, APT28y el Equipo de gusanos de arena – y atribuyó esta actividad rusa a más de una docena de vulnerabilidades conocidas previamente comunicadas. Además, el aviso discutió ataques OT específicos en los que participaron esos equipos.
(CISA mantiene un lista de atribuciones pasadas a Rusia. También puede desear suscribir a las alertas CISA para mayor conocimiento y actualizaciones de esos intentos de ataque).
Poniendo estos ataques en contexto
Aunque el aviso discutido anteriormente es específico para los actores de amenazas rusos, las lecciones aprendidas y los enfoques de preparación, detección y prevención son aplicables de forma genérica a una amplia gama de amenazas tanto para TI como para OT. tim erlin vicepresidente de estrategia de Tripwire, está de acuerdo.
“Las organizaciones también deben revisar sus controles preventivos contra las herramientas y técnicas descritas en esta alerta”, señaló. “Identificar el ataque en curso es importante. Pero evitar que el ataque tenga éxito es mejor”.
Recomendaciones de CISA para su Postura de CIBERseguridad de TI y OT
Aquí hay un resumen ejecutivo de esas recomendaciones de ciberseguridad:
1. Aplicar las mejores prácticas habituales
un. Utilice las soluciones antivirus correctamente manteniendo las firmas actualizadas y realizando análisis regulares.
B. Utilice la autenticación multifactor (MFA) en todas partes y para todos. Esto también significa en redes OT.
C. Realice una copia de seguridad de sus sistemas y prepárese para la recuperación realizando pruebas periódicas de los procedimientos de recuperación.
D. Mitigue o corrija tantas vulnerabilidades como pueda, priorizando hazañas conocidas que permiten la ejecución remota de código o la denegación de servicio en equipos con acceso a Internet.
mi. Protéjase contra ataques de phishing con filtros de correo no deseado, capacitación de usuarios y filtrado de correo electrónico para mensajes que contienen archivos ejecutables.
2. Prepárese mejor desarrollando, comunicando y practicando sus políticas. Haga un esfuerzo concertado para revisar de inmediato su preparación en estas tres áreas:
un. Plan de respuesta a incidentes: defina claramente los procedimientos, roles y responsabilidades que seguirá su organización en caso de un incidente tanto para TI como para OT. CISA ha preparado Guia para ayudar en esta área. Estos planes de orientación se conocen como “libros de jugadas”.
B. Plan de Resiliencia – “Resiliencia” se ha convertido en una palabra de moda en ciberseguridad, pero el objetivo es preparar las redes críticas de su organización para volverse resistentes a los ataques, así como preparar su organización para responder y recuperarse de manera resistente. Una resiliencia en cuatro fases estructura incluye: preparación, detección, respuesta y recuperación.
C. Plan de continuidad de operaciones: esto puede sonar similar a lo anterior, pero es más específico para garantizar que su tecnología operativa (OT) pueda continuar funcionando en caso de un ataque de TI, y si tiene los planes de contingencia necesarios para el control manual de Funciones críticas de seguridad. Un excelente punto de partida podría ser ejecutar algunos ejercicios de simulación identificados por el Instituto SANS. aquí.
3. Orientación más específica más allá de las mejores prácticas habituales
un. Una gestión de configuración rigurosa puede ayudar a identificar y prevenir errores de configuración y debilidades de seguridad. Aunque CISA no brinda mucha orientación, se recomienda seguir las medidas de seguridad descritas en el Controles de la CEI. CISA también recomienda deshabilitar puertos y protocolos innecesarios. Esto no siempre es una tarea fácil. Afortunadamente, las herramientas, como State Analyzer de Tripwire, facilitan la definición de listas permitidas, yendo más allá de los puertos y protocolos para incluir servicios, usuarios, software, recursos compartidos locales, rutas persistentes y más.
B. Investigue la actividad anormal utilizando herramientas de monitoreo de red y recopilación de registros para identificar el movimiento lateral por parte de un actor de amenazas o malware. Estas soluciones facilitan la línea de base de la actividad normal de la red, identifican nuevos protocolos y nuevas rutas de comunicación, así como también implementan la detección de amenazas de firmas basadas en la red. Específicamente, CISA recomienda buscar «inicios de sesión imposibles», «viajes imposibles» y cuentas privilegiadas sospechosas.
C. Más allá de la MFA y la complejidad de las contraseñas, tome medidas adicionales en las máquinas Windows para proteger las credenciales, incluidas deshabilitar NTLM y para implementar Guardia de credenciales.
D. Tome la segmentación de la red más en serio para ayudar a prevenir el movimiento lateral. Esto requiere la implementación adecuada y el monitoreo continuo de cualquier Zona Desmilitarizada Industrial (iDMZ), si corresponde. Si no tiene el presupuesto, el tiempo o los recursos para un proyecto de segmentación de red completo, existen soluciones de software que pueden ayudarlo a identificar su segmentación actual, proporcionando un modelo para definir zonas y conductos más específicos, al mismo tiempo que le permite establecer reglas y alertas para conexiones aprobadas y vías de comunicación.
Conclusiones de la actividad APT rusa
Estos tres grupos APT rusos, así como grupos similares patrocinados por naciones en todo el mundo, tienen capacidades cibernéticas muy sofisticadas que incluyen la capacidad de descubrir servidores vulnerables usando escaneos a gran escala, desarrollar malware destructivo centrado en ICS, robar boletos de Kerberos usando «kerboroasting“, y se hacen pasar por tráfico legítimo utilizando VPS. Las amenazas de día cero son parte de su arsenal, y es posible que los antivirus tradicionales o las medidas preventivas no funcionen. Posteriormente, es posible que las organizaciones deban adoptar un enfoque de confianza cero y buscar de manera proactiva cambios y configuraciones incorrectas dentro de sus redes. Si se siguen buenas prácticas de ciberseguridad dentro del negocio, los ataques desde cualquier lugar tendrán poco impacto.
