¿Su MSP es una amenaza interna?

0
15

Un número creciente de proveedores de servicios gestionados (MSP, por sus siglas en inglés) de todo el mundo están siendo atacados y comprometidos por hackers. Tales infracciones pueden tener un grave impacto en el negocio de sus clientes, ya que los MSP comprometidos pueden servir como plataformas de lanzamiento en las redes corporativas de sus clientes. Cuando los MSP se ven comprometidos, se destaca por qué es importante que las organizaciones consideren el riesgo que representan, y estén listas para bloquear las amenazas que provienen de los socios de negocio de confianza.

Hace un mes, un ataque de ransomware golpeó a la empresa de servicios de TI, Everis, una subsidiaria de NTT y uno de los MSP más grandes de España. Según las comunicaciones internas filtradas en Twitter, la compañía ordenó a sus empleados que apagaran sus computadoras y decidió cortar los enlaces de red entre sus oficinas y sus clientes.

El ataque impactó directamente a los clientes de Everis que confiaron en la compañía para administrar varios aspectos de su infraestructura de TI, y algunos de ellos comenzaron investigaciones internas para saber si estaban infectados con ransomware.

El programa de malware que atacó a Everis encriptó los archivos usando el ransomware .3v3r1s, y la nota de rescate advertía a la compañía que no hiciera público el incidente. Esto sugiere que el MSP no fue solo una víctima aleatoria en un ataque indiscriminado, sino que los hackers lo eligieron a propósito y personalizaron el ransomware para el ataque.

No es el primer ataque a un MSP
Los ataques contra los MSP y los proveedores de servicios gestionados de seguridad (MSSP) se intensificaron en el 2019, empezando en febrero con una primera ola de ataques por parte de los impulsores del ransomware GandCrab, que explotaron una vulnerabilidad conocida en un complemento que integraba ConnectWise con Kaseya, dos plataformas utilizadas por los MSP para administrar sistemas.

En junio, otra serie de ataques golpeó a los MSP e implementó el ransomware Sodinokibi a través de Webroot Management Console, otra herramienta popular entre los proveedores de servicios gestionados. El incidente llevó a Webroot, una compañía de ciberseguridad, a enviar una carta a los clientes y forzar el uso de autenticación de dos factores.

En noviembre, la empresa de seguridad, Armor, publicó un informe con una lista de 13 MSP y proveedores de servicios de nube que fueron afectados por el ransomware ese año. En muchos casos, los incidentes generaron en infecciones de ransomware en las redes de sus clientes, lo cual afectó a instituciones educativas, firmas de abogados, organizaciones de atención médica, corredores de bienes raíces y más.

Más que ransomware
Hasta ahora, si bien la mayoría de los ataques a los MSP han sido aprovechados para implementar ransomware, éste no es el único tipo de amenaza a la que están expuestos los clientes de los MSP. Los grupos de ciberespionaje auspiciados por un Estado también podrían usar esta técnica para alcanzar sus objetivos, y también podrían hacerlo los grupos cibercriminales sofisticados, como Carbanak o FIN7, cuyo modus operandi involucra afectar redes, moverse lateralmente a sistemas críticos, aprender flujos de trabajo internos durante un período prolongado de tiempo, y luego robar datos de dinero o tarjetas de crédito de las organizaciones.

La infiltración en la red de Target el 2013, que comprometió a más de 40 millones de tarjetas de pago, comenzó cuando los hackers utilizaron las credenciales que se robaron a un proveedor de calefacción, ventilación y aire acondicionado (HVAC, por sus siglas en inglés) que tenía acceso al sistema de la compañía a través de un portal. Si bien esa no fue la primera infiltración que pudo comprometer la cadena de abastecimiento, fue la que puso este vector de amenaza en el mapa.

En los años que siguieron, ocurrieron muchos incidentes en los que los hackers comprometieron a las organizaciones después de infiltrarse en sus socios o proveedores de software. En el 2017, el brote de ransomware NotPetya comenzó en Ucrania, mediante una actualización envenenada para un popular programa de contabilidad fiscal llamado MeDoc.

Incluso cuando los ataques a los MSP no comprometen los sistemas o redes en fases posteriores, aún pueden causar periodos de inactividad e impactar al negocio del cliente si el MSP se ve obligado a cerrar temporalmente sus operaciones normales.

Cómo limitar el daño de los MSP comprometidos
Según el informe de Verizon Data Breach Investigations del 2019, más de un tercio de las filtraciones del 2018 fueron causadas por personas dentro de la cadena. Los ataques a través de socios de confianza, que tienen acceso legítimo a su infraestructura, califican como amenazas internas.

«Mitigar esta amenaza es, por supuesto, igual de difícil que con la mayoría de las amenazas a las cadenas de abastecimiento”, afirma Ioan Constantin, experto en ciberseguridad del proveedor de telecomunicaciones, Orange Romania, que también ofrece soluciones de centro de operaciones de seguridad administradas para empresas. «Las empresas confían sus datos a los MSSP y MSP y, simultáneamente, evitan los gastos operativos al tercerizar la mayoría de las técnicas de mitigación tradicionales mediante esta cadena de abastecimiento -piense en cosas como las pruebas de penetración, el monitoreo y la capacitación”.

«Aprendiendo de las tácticas, técnicas y procedimientos de algunos de los ataques contra los MSP y MSSP, existen algunas opciones para que las empresas se protejan mejor contra los peligros en fases previas de su cadena de abastecimiento de seguridad”, afirma Constantin. Esas conclusiones incluyen:

  • Tener un acceso remoto seguro
  • Aplicar políticas de privilegios mínimos para el acceso a los recursos.
  • Revisar y actualizar los acuerdos de nivel de servicio (SLA, por sus siglas en inglés) con los proveedores de servicios.
  • Auditar y mejorar las políticas con respecto al acceso externo a sus recursos por parte de consultores o proveedores de servicios.
  • Escanear y buscar vulnerabilidades regularmente
  • Comunicarse y capacitar a sus empleados y otros usuarios.

Constantin afirma que el último elemento es probablemente el aspecto más importante de la mitigación de amenazas cibernéticas. «Como siempre, independientemente de la cadena de abastecimiento, la concientización es clave para mejorar la seguridad”.

Según el conocido hacker, autor y probador de penetración, Jayson Street, lo primero que deben hacer las organizaciones para evitar que los atacantes abusen de las conexiones legítimas en su red es aislarlas. «Cuando se trata de alguien que se conecta a su red interna a través de Internet, creo firmemente que la segmentación es lo primero que todas las empresas deberían hacer”, afirma Street -que actualmente se desempeña como vicepresidente de InfoSec en SphereNY. «Cada proveedor, MSP, MSSP, etcétera, debe aislarse una vez que esté en la red de la compañía, y cualquier comunicación a fuentes internas debe ser estrictamente controlada y monitoreada”.

Muchas de las recomendaciones típicas para mitigar las amenazas internas de los empleados, o evitar el movimiento lateral de los actores de las amenazas, también se aplican a los socios y MSPs. Estas incluyen asegurarse de que se estén utilizando credenciales únicas, que sean lo suficientemente fuertes y roten con frecuencia. También es recomendable habilitar la autenticación de dos factores, restringiendo el acceso a los activos que tienen que gestionar o a la información que necesitan para hacer su trabajo. De esta manera, se monitorean las conexiones y movimientos dentro de sus redes y se dispone de sistemas que sean capaces de señalar comportamientos inusuales y violaciones de las políticas.

Lucian Constantin, CSO