Cómo la gestión de accesos privilegiados puede ayudar a evitar grandes ciberataques similares a los de Kaseya o SolarWinds
- Opinión
Jorge Marcos, PEDM Unit Manager de Wallix, asegura en esta tribuna de opinión que las organizaciones necesitan una solución que prevenga los ataques más peligrosos y proteja sus datos y sistemas, y esto aplica Zero Trust a todos y cada uno de los componentes, también de la cadena de suministro.
El ciberataque sufrido recientemente por el proveedor estadounidense de servicios de TI administrados en remoto, Kaseya, es un claro ejemplo de cómo la seguridad debe tener en cuenta a todas las partes de la cadena de suministro, por muy “fiables” que éstas puedan parecer. A través de estos ataques dirigidos a un proveedor de la cadena de suministro se puede llegar a atacar a miles de empresas clientes, como ha sucedido en este caso, que se ha convertido en uno de los ataques de ransomware de mayor alcance. Sin duda, este ataque es, junto con el sufrido hace también pocos meses por SolarWinds, el más relevante en lo que va de año.
Kaseya cuenta con una plataforma en la nube llamada VSA que es la que permite actualizar y mantener las soluciones en remoto de sus más de 40.000 clientes. Esta plataforma ha supuesto el vector de ataque para el ransomware REvil (o Sodinokibil), y poder cifrar, a través de ella, millones de sistemas informáticos de miles de empresas en todo el mundo para así reclamar rescate a cambio de revertir la situación. El ataque, producido aprovechando una vulnerabilidad zero-day (CVE-2021-30116) en la que Kaseya trabajaba para poder parchear, ha sido el momento perfecto para que los ciberatacantes introdujeran el código malicioso a los servidores de VSA y con ello poder desplegar el ransomware en forma de actualización falsa del software hacia sus clientes.
Las instalaciones del VSA de Kaseya en las infraestructuras TI de los clientes, como ocurre en muchas empresas, requería que el programa tuviera permisos privilegiados para poder operar sus actualizaciones de software. Y aquí es donde debemos poner el foco. Los usuarios privilegiados poseen cuentas privilegiadas que les dan acceso completo para mantener su infraestructura de TI. En algunos casos, este acceso sin restricciones les da a los usuarios el poder de encubrir cualquier modificación o cambio que hayan realizado en el sistema, lo que supone una oportunidad de oro para los ciberdelincuentes.
Debido a su acceso de alto nivel, las cuentas privilegiadas son extremadamente valiosas para los hackers, causando estragos en sus sistemas y datos más críticos. Estos ataques son una muestra más de cómo en temas de seguridad las organizaciones no deben confiar en nadie, ya sea interno o externo, con acceso no verificado a activos de TI sensibles. Todas las organizaciones, de cualquier tamaño o forma, están bajo la constante amenaza de ataques, cuyas consecuencias pueden ser devastadoras. Aplicar la filosofía ‘Zero Trust’ garantiza que los activos críticos solo puedan ser alcanzados por aquellos que ofrecen pruebas positivas de que tienen las credenciales, la identidad y la necesidad de acceder a ellos.
El cibercrimen no permite bajar la guardia en ningún eslabón de la cadena, y las organizaciones necesitan una solución que proteja sus datos y sistemas de los ataques más dañinos. PAM (Privilede Access Management) simplifica la administración de la infraestructura de TI, proporcionando a las empresas las herramientas necesarias para restringir, revocar y monitorizar el acceso. PAM consta de tres componentes principales: 1) Gestión del Acceso (Access Manager), 2) Gestión de Sesión (Session Manager) y 3) Gestión de Contraseñas (Password Manager). Los tres componentes trabajan juntos con el fin de proporcionar los beneficios de PAM necesarios para mantener a la organización protegida.
Últimamente estamos siendo testigos de cómo, cada pocos meses, un gran ataque de ransomware copa los titulares de los medios. Este mes no ha sido una excepción y hemos vuelto a ver su gran poder de repercusión en otra de sus múltiples facetas, en este caso evidenciando que priorizar la seguridad de los accesos privilegiados es de vital importancia.
Las vías, objeto y repercusión de los ciberataques son múltiples. En este caso en concreto, el ciberataque no ha supuesto robo de datos pero sí ha dado lugar a la extorsión. Sin embargo, como en la mayoría de los casos de ataque, lo que sí que es común es que se causa un perjuicio extremo. En este sentido podemos destacar algunos datos, como que actualmente el 47,7% de las violaciones de datos son resultado del phishing, causado probablemente por usuarios a quienes les robaron sus credenciales; hasta un 9% de las infracciones fueron resultado de la negligencia de empleados; como errores, eliminación inadecuada o pérdida; el coste promedio de una sola violación de datos podría superar los 150 millones de dólares; y que a la organización promedio le lleva 197 días detectar una infracción.
Está claro que las organizaciones necesitan una solución que prevenga los ataques más peligrosos y proteja sus datos y sistemas, y esto aplica Zero Trust a todos y cada uno de los componentes, también de la cadena de suministro.
Jorge Marcos, PEDM Unit Manager, WALLIX
