En lugar de desconectar de su trabajo, a finales de año, los equipos de seguridad debieron asegurarse durante la última semana de garantizar que sus organizaciones estuviesen seguras tras la divulgación de los datos de SolarWinds. Los atacantes accedieron a través de un fallo en el sistema de compilación del software Orion, por lo que, sin saberlo, hasta 18.000 clientes de SolarWinds les estaban dejando acceder.
Mientras el mundo se centra en la creciente lista de organizaciones que se han visto afectadas, hay una lista cada vez mayor de compañías que creen haberse librado. Muchos han adoptado la opinión de que si no han ejecutado SolarWinds, o una versión particular de este software, pueden volver a la normalidad. De hecho, vi cómo un investigador de seguridad publicaba una foto de un vaso de whisky con hielo y un cigarro recomendando a otros agentes de seguridad que se tomaran un descanso, porque temía que este pudiera ser un largo invierno.
Pero en esta imagen hay un fallo. La actividad aumentará, no disminuirá. Si todos pensamos que la ciberseguridad era importante antes, en 2020 lo ha sido aún más. Las tiendas físicas están cerradas, todos los empleados se conectan desde casa; dicho de otra forma, todo tu negocio se ha digitalizado.
En este contexto, SolarWinds ha expuesto las debilidades de la infraestructura de las organizaciones. Es asombroso ver cuántos estuvieron luchando por averiguar dónde ejecutaban productos relacionados y cuántos y cuáles se vieron afectados. La próxima vez no debería llevarnos tanto tiempo.
Mi mensaje no es para las compañías que confirmaron que fueron vulneradas, es para aquellos que están celebrando haber esquivado esta bala. Esta es una llamada de atención para modernizar la ciberseguridad. Hay áreas en las que las organizaciones deben concentrarse inmediatamente para prepararse.
1. Es fundamental que las organizaciones entiendan sus entornos desde una base completa, precisa y actualizada
Esto significa ir más allá de simplemente comprobar si ejecutan SolarWinds. Muchas organizaciones no saben todo lo que tienen, ni todo lo que tienen está actualizado a las versiones más recientes (irónicamente, miles de clientes de SolarWinds que tardaron en descargar la última actualización se salvaron). Ninguna organización desea dedicar varios días del tiempo de respuesta que tienen para arreglar incidentes críticos averiguando cuál es el inventario con el que cuentan. Las organizaciones deben ser ágiles y tener en todo momento una lista actualizada de todos sus sistemas, infraestructuras, software, cadenas de suministro y superficie externa susceptible de ataque. De esta forma, no solo serán capaces de detectar y evitar posibles ataques en el futuro sino también de hacer una investigación rápida de amenazas.
2. Arreglar la infraestructura de verdad
Las arquitecturas TI de las empresas necesitan que todos los datos de seguridad, de red y de registro se comuniquen entre sí, con un software suficientemente inteligente como para identificar elementos útiles dentro de esos datos. Este ataque podría haberse evitado antes si los productos estuvieran más integrados. Las organizaciones necesitan cambiar a una plataforma de ciberseguridad que pueda detectar y correlacionar millones de eventos en hosts, redes, firewalls y nubes en tiempo real, y luego implementar una detección y respuesta integrales. Los piratas informáticos utilizan herramientas y metodologías muy eficientes. Por eso, las organizaciones necesitan adoptar la eficiencia de una plataforma de ciberseguridad impulsada por el aprendizaje automático para estar al día de todas las posibles amenazas.
3. Detección proactiva de amenazas en tiempo real
La tecnología sin duda ha sido uno de los protagonistas de la pandemia actual. El acceso remoto ha permitido no solo a empresas sino también a instituciones y gobiernos mantener su actividad. Pero esto también significa que hay que proteger a un perímetro en constante expansión contra ataques que se vuelven cada vez más sofisticados.
El ataque del grupo denominado SolarStorm se suma a la lista de ataques decisivos para la ciberseguridad: DDoS masivos que afectaron a la infraestructura de servicios financieros, que paralizaron corporaciones y producción de energía, que causaron el robo de información clasificada de los gobiernos y el ataque NotPetya que cerró puertos, farmacéuticas y otras plantas de producción con unas pérdidas de miles de millones de dólares.
Prevenir el 100% de los ataques el 100% del tiempo no es posible. Por eso, las organizaciones deben confiar en los proveedores y las actualizaciones de seguridad que estos proporcionan. Pero contra los chicos malos que están siempre tratando de atacarnos, la seguridad debe ser más proactiva y estar más preparada para el futuro: si no eres capaz de evitar un ataque en tiempo real, tienes que ser capaz de detectar e investigar casi en tiempo real. Los días de la seguridad fragmentada y largos procesos de investigación han quedado atrás, se necesitan buenos datos e inteligencia artificial para salir adelante.
Ahora no es el momento de suspirar aliviados porque no nos han atacado. Los piratas informáticos más peligrosos pasan años planificando sus campañas así que debemos dedicar recursos similares para defendernos. Preparémonos para prevenir lo inevitable para no tener que arrepentirnos de lo que ocurra.
