Resumen

Eventos como SaltTyphoon son un recordatorio excelente de la vulnerabilidad de las empresas y los usuarios a las violaciones debido a la dependencia de infraestructuras que pueden no estar bajo su control. Con aplicaciones cada vez más distribuidas que son atendidas por nubes públicas, SAAS y proveedores globales de servicios para computación, almacenamiento y redes, las superficies de ataque están fuera de su control. Y como dicen, las violaciones se han convertido en una cuestión de cuándo vs. si. El enfoque más evidente para prosperar en este entorno es reducir las superficies de ataque externas e internas utilizando principios de Zero Trust para asegurar por diseño. Asegurar el acceso seguro a la red con Unified SASE as a Service es un gran paso adelante para ofrecer simplicidad operativa al eliminar la proliferación de proveedores de redes y seguridad. En caso de una violación, es aún más crítico aislar el problema, reducir el área de impacto y seguir satisfaciendo las necesidades del negocio. SASE controla el despliegue de varias tecnologías de seguridad y proporciona tiempos de respuesta más rápidos, lo que ayuda significativamente con la higiene de la red y reduce las superficies de ataque.

Infraestructura Objetivo

La mayoría de los productos de infraestructura más populares, como los interruptores y enrutadores, son ampliamente utilizados en la industria. Es bien sabido que, a veces, no se cambia la contraseña predeterminada de fábrica. Dado el uso generalizado de equipos Cisco, no es sorprendente que SaltTyphoon apunte a los dispositivos Cisco. Se detallan varias razones a continuación:

Dada su ubiquidad y dominio en el mercado, Cisco es uno de los mayores proveedores de equipos de redes a nivel mundial. Sus dispositivos se implementan en empresas, proveedores de servicios e infraestructuras críticas. Una violación exitosa de los equipos de Cisco puede otorgar a los atacantes acceso a redes con información sensible y de alto valor.

SaltTyphoon a menudo se enfoca en gobiernos, militares e infraestructuras críticas, donde el equipo de Cisco está ampliamente desplegado. Los dispositivos de Cisco, como enrutadores, conmutadores y cortafuegos, son centrales para la gestión del tráfico de red, lo que los convierte en puntos ideales para la intercepción, exfiltración de datos o manipulación del tráfico. Los equipos de Cisco se utilizan con frecuencia en organizaciones que gestionan operaciones políticamente o económicamente sensibles, lo que los convierte en un objetivo perfecto de espionaje. Estos dispositivos ocupan posiciones de confianza en la red, y una violación puede eludir las medidas de seguridad y alterar las operaciones, dando a los atacantes ventaja sobre las organizaciones objetivo.

Debido al acceso persistente y operaciones furtivas, el equipo de Cisco proporciona una base sólida para implantar una puerta trasera. SaltTyphoon a menudo despliega código malicioso persistente directamente en la infraestructura de la red, al apuntar a dispositivos Cisco, ya que los equipos de red comprometidos suelen evadir los sistemas de detección de puntos finales, lo que otorga al grupo una base de operaciones sigilosa.

SaltTyphoon es conocido por explotar vulnerabilidades no parcheadas, y los dispositivos Cisco han estado asociados con vulnerabilidades de alto perfil a lo largo de los años (por ejemplo, Cisco Smart Install, fallos en VPN). Desarrollar o adquirir exploits avanzados para atacar sistemas Cisco es sencillo. Al explotar los equipos de Cisco en posiciones estratégicas, los atacantes pueden comprometer varias organizaciones en la cadena de suministro.

Desafíos Asociados con la Limpieza de los Sistemas de TI

La principal razón del trabajo excesivo es la solución fragmentada y cosida que ofrecen varias empresas. Además, existe una visibilidad muy limitada y ningún sistema de monitoreo disponible, lo que significa que el malware podría estar acechando en cualquier parte de la infraestructura. Por lo tanto, el desafío es determinar qué sistemas están infectados y luego encontrar una manera de remediarlo. Analicemos las limitaciones técnicas:

Los APT (Amenazas Persistentes Avanzadas) usan tácticas furtivas (malware sin archivos, encriptación y ofuscación), mecanismos de persistencia (claves de registro ocultas, tareas programadas, modificaciones a nivel de firmware) y herramientas personalizadas para evitar la detección y los intentos de limpieza.

Hay una falta de visibilidad debido a entornos complejos, como sistemas de TI expansivos con numerosos puntos finales, servidores e integraciones en la nube, lo que dificulta el monitoreo. Muchas organizaciones no registran suficientes datos ni los retienen el tiempo suficiente como para rastrear toda la extensión de la violación.

Las limitaciones humanas debido a brechas de habilidades y tiempos de respuesta lentos permiten a los atacantes establecer una base más sólida. Muchas organizaciones carecen de habilidades y recursos especializados para responder a APT. Además, las organizaciones priorizan las necesidades operativas por encima de la seguridad, lo que deja brechas en las defensas.

La detección retardada debido al tiempo de permanencia también es un factor contribuyente, ya que las APT pueden permanecer indetectadas durante meses o incluso años. Durante este tiempo, pueden desplegar múltiples puertas traseras y comprometer varios sistemas. Para cuando se descubren, los atacantes ya pueden haber infiltrado profundamente.

Unified SASE as a Service como Medida de Protección Integrada

Unified SASE as a Service, una solución clave en el arsenal de Aryaka, es fundamental en la lucha contra amenazas persistentes avanzadas (APT) como SaltTyphoon. Sus defensas proactivas y reactivas están diseñadas para superar ataques avanzados, lo que las convierte en una parte crucial de la estrategia de seguridad de cualquier organización.

Hacer cumplir el principio de menor privilegio es un paso crítico en la batalla contra las APT. Las organizaciones deben implementar controles de acceso granulares utilizando ZTNA para asegurarse de que los usuarios, dispositivos y aplicaciones solo puedan interactuar con los recursos específicos requeridos para sus roles. Esto reduce significativamente el potencial de que una APT cause daños generalizados, lo que lo convierte en una estrategia defensiva clave.

Las políticas de identidad y contexto, que consideran ubicación, tiempo y comportamiento, son cruciales en la lucha contra las APT. Al habilitar la verificación continua de usuarios y dispositivos, estas políticas reducen significativamente las probabilidades de que un atacante logre suplantar a un usuario legítimo. Esto infunde confianza en las medidas de seguridad, convirtiéndolas en una parte esencial de la estrategia de defensa de cualquier organización.

Unified SASE as a Service proporciona capacidades de contención mediante microsegmentación para aislar cargas de trabajo, aplicaciones y dispositivos dentro de la red. Esta estrategia restringe el movimiento lateral de las APT, evitando que los atacantes comprometan sistemas adicionales, incluso si han obtenido un acceso inicial.

Con Unified SASE as a Service, las organizaciones pueden mejorar el monitoreo y la visibilidad a nivel de red y seguridad para detectar anomalías y correlacionar indicadores para identificar y responder a actividades potenciales de APT de manera temprana. Además, funciones de seguridad como SWG, FwaaS, IPS, escaneo de archivos, etc., proporcionan alertas en tiempo real y respuestas automatizadas a actividades sospechosas, lo que permite a las organizaciones detectar y contener rápidamente las acciones de APT.

Se sabe ampliamente que las APT roban datos sensibles e información intelectual de las redes objetivo, por lo que los atacantes necesitan exfiltrar esa información a ubicaciones remotas. Con Unified SASE as a Service, se pueden detectar anomalías en la fuga de datos y la transferencia de datos durante la exfiltración, incluyendo el abuso de protocolos, mediante características de seguridad como CASB, DLP y motores de seguridad que usan ML/AI para la detección de anomalías.

Recomendaciones Generales

Una consideración crucial es la simplicidad operativa, ya que estos procesos pueden generar una carga significativa y son difíciles de mantener de manera sostenible. Crear roles y responsabilidades claros para la creación y gestión de políticas y procedimientos de seguridad es muy útil. Las organizaciones pueden hacer más de lo que el CISA y el FBI sugieren. A continuación:

Implementar una Arquitectura de Confianza Cero para requerir autenticación y autorización para cada solicitud de acceso, ya sea interna o externa. Cuando las organizaciones siguen el principio de «nunca confiar, siempre verificar», ayudan a limitar el movimiento lateral y reducir el impacto de la violación.

La caza proactiva de amenazas juega un papel vital en la búsqueda de APT lo más rápido posible. Realizar búsquedas regulares de Indicadores de Compromiso (IOC) relacionados con APT, como IPs maliciosas, hashes de archivos y dominios. Las organizaciones también deben centrarse en el Indicador de Ataque (IOA) para detectar la intención maliciosa y tácticas como el movimiento lateral, la escalada de privilegios y la exfiltración de datos.

Aprovechar el poder de tecnologías avanzadas de seguridad y redes. Primero, la segmentación divide la red en zonas más pequeñas para contener las amenazas y limitar el movimiento de los atacantes. Segundo, la tecnología de engaño como honeypots y señuelos puede utilizarse para detectar y estudiar el comportamiento de los atacantes. Tercero, la automatización impulsada por IA se puede utilizar para una detección, clasificación y respuesta más rápida ante las actividades de APT.

Las organizaciones deben realizar regularmente ejercicios prácticos para determinar la efectividad de su plan de respuesta ante incidentes con escenarios realistas, incluyendo simulaciones de APT y libros de jugadas para ataques comunes. Además, deben probar las copias de seguridad con frecuencia para asegurarse de que sean funcionales y se puedan restaurar rápidamente.

Al utilizar el poder de Unified SASE as a Service, las organizaciones pueden transformar sus redes en entornos altamente resilientes donde las APT enfrentan barreras constantes en cada etapa del ciclo de vida del ataque, desde el reconocimiento hasta la explotación y exfiltración.