El 7 de mayo de 2021, se supo la noticia de un ataque de ransomware DarkSide en Colonial Pipeline, un importante oleoducto de EE. UU. que suministra aproximadamente el 45 % del diésel, la gasolina y el combustible para aviones de la costa este. En respuesta al ataque, la empresa cerró su oleoducto durante varios días.
El incidente ha sido ampliamente informado. Algunos informes sugieren que la decisión de detener temporalmente las operaciones se tomó tanto por preocupaciones financieras como por seguridad. Otros informes apuntan a problemas dentro de la red de TI de la empresa que existían antes del incidente y que pueden haber contribuido a la vulnerabilidad de la empresa al ataque. Algunos cuestionan la falta de un ejecutivo dedicado a cargo de la ciberseguridad.
El CEO de Colonial Pipeline, Joseph Blount, fue invitado a testificar en una audiencia del Comité de Seguridad Nacional de la Cámara de Representantes los días 9 y 10 de junio. El testimonio oficial combinado del Senado y la Cámara de Representantes de cuatro horas de duración incluye varias revelaciones interesantes sobre el ataque, así como también algunas orientaciones importantes para otras empresas. que algún día podrían encontrarse en una situación similar.
Aquí hay un vistazo a algunas de las lecciones de seguridad importantes destacadas por este ataque que los defensores pueden aprender.
La necesidad de priorizar la seguridad
Si bien el testimonio no abordó expresamente la falta de liderazgo dedicado a la seguridad cibernética en la empresa, esta es un área que no se puede pasar por alto, especialmente en una empresa tan grande e importante como Colonial Pipeline.
Un director de seguridad de la información (CISO) es un rol fundamental, responsable de garantizar que las empresas tengan un programa de seguridad integral, una visión estratégica para la ciberseguridad y un asiento en la mesa de toma de decisiones del negocio.
El testimonio de Colonial Pipeline ante el Senado reveló que se habían invertido alrededor de $200 millones en TI en los últimos cinco años, pero no estaba claro cuánto de eso se había destinado a ciberseguridad.
Ser capaz de establecer prioridades de seguridad cibernética para la organización, tener suficiente presupuesto para implementarlas y la autoridad necesaria para hacer cumplir esas prioridades son una parte clave de la seguridad de una organización.
Si bien los roles de CISO dedicados pueden no ser apropiados y necesarios para todas las empresas, la disciplina y el enfoque que un CISO aporta al entorno sí lo son.
Eso significa que las empresas deben al menos invertir y comprometerse a tener un programa de ciberseguridad y un plan de respuesta a incidentes. Estos deben abarcar todo, desde implementar las herramientas adecuadas y crear una cultura de seguridad, hasta conocer los pasos a seguir en caso de que algo salga mal.
Los valores predeterminados importan
Durante el testimonio, se confirmó que el punto de entrada inicial a la red del Oleoducto Colonial era una única contraseña robada.
En este caso, como ocurre en muchos de los casos que investiga el equipo de respuesta rápida de Sophos, los servicios remotos fueron los culpables. Específicamente, los atacantes usaron la contraseña robada para obtener acceso a un servicio VPN que no tenía habilitada la autenticación multifactor (MFA).
Parece que Colonial Pipeline creía que este perfil VPN no estaba en uso. Esta es también una situación que hemos visto antes.
La compañía ha explicado que la contraseña cumplía con estrictos requisitos de complejidad a pesar de que no estaba habilitada con MFA. Los atacantes pueden haber obtenido la contraseña de una violación anterior y arriesgarse a que la misma contraseña fuera válida en la red de Colonial Pipeline.
Es importante recordar que las infracciones antiguas pueden repercutir y, si bien es posible que usted no sea responsable de ellas, aún pueden tener un impacto dramático en su organización.
Aquí es donde una sólida cultura de seguridad puede ayudar.
Tener empleados que sean conscientes de cómo usan sus credenciales puede mitigar los efectos de las fallas de seguridad de terceros. Mientras lo hace, puede ayudarlos brindándoles un administrador de contraseñas que se puede usar tanto para su trabajo como para sus cuentas personales.
También vale la pena establecer una política en la que MFA esté activada de manera predeterminada y solo se pueda deshabilitar mediante una excepción documentada. Si bien la falta de MFA en esta VPN puede deberse simplemente a una mala configuración, sigue siendo una oportunidad de seguridad perdida.
Esta es un área donde los CISO, o el liderazgo de seguridad equivalente, pueden establecer políticas que permitan a la organización hacer lo correcto de forma predeterminada.
La prevención es ideal, pero la detección es imprescindible.
Según los investigadores, el primer indicador de que los atacantes estaban en la red fue el 29 de abril de 2021. Esto significa que los atacantes estuvieron en la red de Colonial Pipeline durante al menos ocho días antes del ataque de ransomware el 7 de mayo de 2021.
La falta de visibilidad de la empresa sobre lo que estaban haciendo los intrusos durante esos días fue una de las razones por las que decidió cerrar el oleoducto. Aquí hay un extracto de la declaración del CEO:
en este caso, obviamente era la preocupación de que realmente no teníamos una visión de nuestros sistemas de TI o OT para comprender el grado de corrupción y encriptación, y realmente nos tomó días, incluso con la ayuda de un experto de clase mundial por Mandiant para llegar allí, así que de nuevo, es por eso que se tomó esa decisión
Según el equipo de respuesta rápida de Sophos, el ransomware suele ser la primera señal que alerta a las víctimas sobre el hecho de que se ha producido un ataque.
Esto es por diseño. Muchos de los operadores de ransomware de hoy en día prefieren operar en completo sigilo hasta que llega el momento de liberar su carga útil final. Han violado su red, establecido persistencia, privilegio elevado, exfiltrado sus datos y solo entonces implementan el ransomware. Esto puede tardar horas, días o meses en desarrollarse. De hecho, según el Active Adversary Playbook 2021 de Sophos, el tiempo medio de permanencia observado del atacante es de 11 días, y algunas empresas tienen atacantes en su red durante seis meses o más.
El hecho de que Colonial Pipeline no tuviera la visibilidad que necesitaba para comprender cuán mal había sido penetrado es, desafortunadamente, un problema común para muchas empresas.
Los programas de ciberseguridad son esenciales, pero también lo son las herramientas para habilitarlos. Las herramientas de detección y respuesta de puntos finales (EDR) son invaluables, no solo para prevenir ataques, sino también para permitir que su organización busque amenazas latentes.
Recuerde, el hecho de que su software de seguridad haya detectado y bloqueado una amenaza no significa que el trabajo haya terminado. Puede haber un problema mayor al acecho sin descubrir en su red.
Plan sobre el fracaso
Al ser una gran empresa de infraestructura crítica, Colonial Pipeline no es ajena a los planes de respuesta ante emergencias. No hay duda de que tiene planes integrales para fallas físicas de todo tipo, desde rupturas de tuberías hasta intrusiones de seguridad física. Sin embargo, la posición de la empresa parece menos sólida cuando se le pregunta sobre los planes de respuesta a incidentes de ciberseguridad, aunque sí dijo que utilizó servicios externos de pruebas de penetración.
Esto es importante. Las organizaciones de todos los tamaños deben realizar algún tipo de evaluación de sus controles de seguridad. Algunas de las evaluaciones se pueden realizar internamente, pero también deben contar con el apoyo de consultas externas. Entre los riesgos de depender únicamente de las auditorías internas se encuentra la miopía sobre sus capacidades y la tolerancia al compromiso porque siempre ha sido así.
Después de sus evaluaciones, deberá elaborar planes para a) mejorar las áreas en las que es más débil, b) preparar un plan para cuando las cosas salgan mal y c) probar sus defensas contra las mejoras y el plan de respuesta.
Me acuerdo de una organización que me contó acerca de sus ejercicios teóricos trimestrales, mediante los cuales simularían y trabajarían en problemas de TI para evaluar su preparación y aprender cómo se podrían fortalecer sus planes existentes. Durante uno de estos ejercicios, simularon un ataque de ransomware contra su infraestructura y ajustaron su plan de respuesta en función de los aprendizajes del ejercicio.
Poco después del ejercicio, sufrieron una falla masiva en la red de área de almacenamiento (SAN). Irónicamente, la falla de SAN se presentó como un ataque de ransomware, y debido a que habían realizado el ejercicio, sabían exactamente cómo responder rápidamente y recuperarse del incidente.
Nunca se sabe cuándo o cómo algo saldrá mal, y estar debidamente preparado es la única manera de minimizar las interrupciones y el tiempo de inactividad.
es demostrar interés
Otra pregunta interesante que surgió durante las audiencias es si Colonial Pipeline participa en un Centro de Análisis e Intercambio de Información (ISAC). La empresa dijo que sí, lo hace.
Los Centros de Análisis e Intercambio de Información (ISAC) ayudan a los propietarios y operadores de infraestructura crítica a proteger sus instalaciones, personal y clientes de las amenazas de seguridad cibernética y física y otros peligros. Los ISAC recopilan, analizan y difunden información procesable sobre amenazas a sus miembros y les brindan herramientas para mitigar los riesgos y mejorar la resiliencia.
Los ISAC están compuestos por empresas que operan en el mismo sector que se apoyan mutuamente compartiendo información importante y relevante sobre amenazas. Si bien los ISAC tienden a centrarse principalmente en la infraestructura crítica, eso no significa que no pueda participar en (o iniciar su propio) grupo equivalente.
Por ejemplo, Sophos participa en una serie de iniciativas de intercambio de alto perfil, incluidas CompTIA ISAO, Global Cyber ??Alliance (GCA) y Cyber ??Threat Alliance (CTA). El objetivo es aumentar la resiliencia frente a los ataques proporcionando una mejor protección mediante el intercambio colectivo de información.
Estos grupos de intercambio ni siquiera tienen que ser específicos del sector, también puede participar en grupos locales, como los muchos grupos locales de DEF CON. También podemos aprovechar los consejos publicados por agencias gubernamentales que han desarrollado guías basadas en años de protección de información altamente confidencial, como CISA, NCSC y ASD.
La conclusión es que, como hemos experimentado en la pandemia, nuestra mejor perspectiva para derrotar a los ciberdelincuentes es a través de un esfuerzo informado y colectivo.
Colonial Pipeline se compromete a el informe Mandiant completo y sin editar una vez finalizado. Esperemos que cumplan con ese compromiso y todos podamos aprender de su experiencia.
Rara vez vale la pena pagar el rescate
A menudo nos preguntan si está bien que las empresas paguen el rescate y cómo podemos detener este flagelo. La respuesta a estas dos preguntas, como sucede con tantas preguntas en seguridad, es: es complicado.
Colonial Pipeline ha dicho que pagó el rescate para ayudar a que el negocio se recuperara lo más rápido posible. Desafortunadamente, muchas empresas se encuentran en este escenario y la decisión de pagar o no pagar suele estar dictada por muchos factores.
Por ejemplo, hay muchos ejemplos de empresas que se vieron obligadas a pagar un rescate porque sus copias de seguridad estaban dañadas o faltaban. Una simple prueba podría haber establecido la disponibilidad y eficacia de esas copias de seguridad.
Otros eligen pagar para que la red vuelva a estar en línea lo más rápido posible, y algunos optaron por pagar porque era más barato que el costo de recuperación. Otros todavía optan por pagar para evitar que los datos exfiltrados se vendan o se expongan públicamente.
A medida que el costo del ransomware continúa aumentando año tras año, las empresas se enfrentan a costos cada vez mayores tanto en el monto del rescate como en las tarifas de recuperación. Por eso es tan importante tener un plan de recuperación de incidentes y probar su eficacia.
Según el informe State of Ransomware 2021 de Sophos, las empresas que pagaron el rescate recuperaron, en promedio, solo el 65 % de sus datos. Solo el 8% de las empresas logró recuperar todos sus datos, y el 29% recuperó menos de la mitad. Es más, todavía tiene que hacer el trabajo de remediación para abordar el daño y la interrupción causados ??por el ataque y asegurarse de que esto no vuelva a suceder.
Dicho esto, la decisión de pagar o no queda a discreción de la víctima, pero la prevención y la preparación pueden hacer que esa decisión sea mucho más clara.
Todavía estamos luchando para encontrar una forma de evitar que ocurran ataques de ransomware en primer lugar. Una solución obvia es dificultar que los delincuentes penetren en nuestras redes mediante el despliegue de tecnología avanzada de prevención y detección.
Además, está la cuestión de los incentivos y la disuasión. Los incentivos financieros para los delincuentes de ransomware actualmente superan la amenaza de captura y enjuiciamiento. Esta falta de disuasión y castigo ha permitido que estos delincuentes se vuelvan más audaces en sus operaciones.
Para tener éxito, necesitaremos una sólida asociación pública y privada, además de diplomacia y legislación, y un marco ético que asegure que la vida de las personas no corra peligro. La declaración del G7 publicada el 13 de junio es un comienzo, pero tendremos que esperar y ver cómo se implementa y cuáles son las sanciones por incumplimiento.
Pedir ayuda
Si su organización no tiene las competencias internas para administrar de manera efectiva la seguridad y los incidentes de seguridad, hay muchos socios a los que puede recurrir para que lo ayuden. Parte de la solución de este problema es reconocer qué competencias posee frente a las que es mejor subcontratar.
Se ha hablado mucho sobre la escasez de habilidades en ciberseguridad que está impidiendo la capacidad de las empresas para mantener un alto nivel de preparación en ciberseguridad. La realidad es que lo que se requiere para construir una base de seguridad sólida no requiere un ninja cibernético altamente capacitado. Por ejemplo, asegurarse de que todos sus sistemas, servicios y aplicaciones tengan parches es fácil para los profesionales de TI más competentes y contribuye en gran medida a su postura defensiva.
A medida que surja la necesidad de habilidades más complejas, no tenga miedo de buscar ayuda. Hay servicios como el servicio de Respuesta a amenazas administrada de Sophos que están diseñados para ayudar a las organizaciones que no pueden hacerlo por sí mismas o que simplemente necesitan un poco de ayuda adicional de un equipo de élite de cazadores de amenazas.
No tienes que hacerlo solo, ni deberías hacerlo.
Un camino hacia una mayor seguridad
No debería ser necesario un ataque para que su organización establezca una postura de seguridad más sólida. Tómese el tiempo ahora para evaluar su posición en el espectro de madurez de seguridad y actúe de inmediato para mejorar donde pueda.
En resumen, su camino hacia una mejor seguridad comienza con:
- Priorizar la seguridad para que todos en la organización entiendan su papel en el mantenimiento de una organización segura
- Proporcionar al equipo de seguridad la autoridad y un presupuesto razonable para lograr sus objetivos.
- Empleo de modos “seguros por defecto” para todas sus implementaciones y operaciones
- Asegurarse de tener visibilidad de cada faceta de su organización para que pueda detectar problemas antes de que se conviertan en emergencias en toda regla.
- Planificar cuándo necesitará recuperarse de un ataque de malware grave. No solo lo hará más resistente, sino que también acortará el tiempo y reducirá el costo de la recuperación.
- Participar en la comunidad de seguridad compartiendo sus éxitos y fracasos. No solo te beneficiarás, sino que también ayudarás a otros en el camino.
- Si es una víctima, enfóquese en la recuperación y la remediación, en lugar de enriquecer a los ciberdelincuentes (si se puede evitar)
- No dudar en pedir ayuda antes de necesitarla. Estaras contento de haberlo hecho
Al final, el FBI pudo recuperar algunos de los bitcoins que le pagaron a DarkSide, lo cual es una gran noticia, pero aún así no libera la red ni deshace el daño causado.
¿Cómo respondió Colonial Pipeline
Tras el robo de datos, los atacantes infectaron la red de TI de Colonial Pipeline con ransomware que afectó a muchos sistemas informáticos, incluidos los de facturación y contabilidad. Colonial Pipeline cerró la tubería para evitar que el ransomware se propague.
¿Cómo se recuperó el Oleoducto Colonial?
El rescate de Colonial Pipeline fue devuelto por un nuevo equipo del Departamento de Justicia: NPR. El rescate de Colonial Pipeline fue devuelto por un nuevo equipo del Departamento de Justicia La pieza clave para recuperar 2,3 millones de dólares, la mitad del pago de la empresa, fue obtener acceso a la clave privada vinculada a la cuenta de Bitcoin del atacante.
Lo que sucedió durante el ataque al Oleoducto Colonial
En , Colonial Pipeline, un sistema de oleoducto estadounidense que se origina en Houston, Texas, y transporta gasolina y combustible para aviones principalmente al sureste de los Estados Unidos, sufrió un ciberataque de ransomware que afectó a los equipos informáticos que gestionan el oleoducto.
¿Cuándo cerró el Oleoducto Colonial?
El 7 de mayo, Colonial Pipeline cerró su oleoducto de gasolina de 5550 millas tras un ataque cibernético a los sistemas informáticos de la empresa.