¿Cuáles son las lecciones aprendidas del ataque a SolarWinds?
- Actualidad
Muchos equipos de seguridad se tuvieron que emplear a fondo en la segunda quincena del mes de diciembre tras salir a la luz el incidente de seguridad que afectaba a Orion, el software de gestión y monitorización de infraestructura de SolarWinds. Nikesh Arora, CEO de Palo Alto Networks, analiza las lecciones que ha dejado este ciberataque.
|
Recomendados: Arquitecturas de Seguridad, ¿qué ventajas ofrecen? Webinar Brechas de seguridad, ¿hay opciones? Webinar |
El mes pasado fue noticia el incidente de seguridad que afectó al software de gestión y monitorización de infraestructura de la empresa SolarWinds, que tuvo severas implicaciones para grandes organizaciones de diferentes sectores y países, incluyendo organismos gubernamentales y universidades de Estados Unidos. La compañía cuenta con unos 33.000 clientes, de los cuales hasta 18.000 se pudieron ver afectados por la actualización de la herramienta Orion que fue objeto del ataque.
Sin duda, es un incidente que ha expuesto las debilidades de la infraestructura de las organizaciones. Así lo sostiene Nikesh Arora, CEO de Palo Alto Networks, que ha resumido en un artículo una serie de lecciones aprendidas. A su juicio, esta ha sido “una llamada de atención para modernizar la ciberseguridad” que deben concentrar sus esfuerzos en estos puntos:
1. Es fundamental que las organizaciones entiendan sus entornos desde una base completa, precisa y actualizada
Esto significa ir más allá de simplemente comprobar si ejecutan SolarWinds. Muchas organizaciones no saben todo lo que tienen, ni todo lo que tienen está actualizado a las versiones más recientes (irónicamente, miles de clientes de SolarWinds que tardaron en descargar la última actualización se salvaron). Ninguna organización desea dedicar varios días del tiempo de respuesta que tienen para arreglar incidentes críticos averiguando cuál es el inventario con el que cuentan. Las organizaciones deben ser ágiles y tener en todo momento una lista actualizada de todos sus sistemas, infraestructuras, software, cadenas de suministro y superficie externa susceptible de ataque. De esta forma, no solo serán capaces de detectar y evitar posibles ataques en el futuro sino también de hacer una investigación rápida de amenazas.
2. Arreglar la infraestructura de verdad
Las arquitecturas TI de las empresas necesitan que todos los datos de seguridad, de red y de registro se comuniquen entre sí, con un software suficientemente inteligente como para identificar elementos útiles dentro de esos datos. Este ataque podría haberse evitado antes si los productos estuvieran más integrados. Las organizaciones necesitan cambiar a una plataforma de ciberseguridad que pueda detectar y correlacionar millones de eventos en hosts, redes, firewalls y nubes en tiempo real, y luego implementar una detección y respuesta integrales. Los piratas informáticos utilizan herramientas y metodologías muy eficientes. Por eso, las organizaciones necesitan adoptar la eficiencia de una plataforma de ciberseguridad impulsada por el aprendizaje automático para estar al día de todas las posibles amenazas.
3. Detección proactiva de amenazas en tiempo real
La tecnología sin duda ha sido uno de los protagonistas de la pandemia actual. El acceso remoto ha permitido no solo a empresas sino también a instituciones y gobiernos mantener su actividad. Pero esto también significa que hay que proteger a un perímetro en constante expansión contra ataques que se vuelven cada vez más sofisticados.
Para el CEO de Palo Alto Netwoks, este ataque pasa a engrosar una larga lista de grandes ataques y “prevenir el 100% de los ataques el 100% del tiempo no es posible”. Por eso, las organizaciones deben confiar en los proveedores y las actualizaciones de seguridad que estos proporcionan, además de adoptar un enfoque de seguridad proactiva.
