Saltar al contenido

Cyber ​​Security Today – Resumen de la semana para el viernes 12 de marzo de 2021 | Noticias de IT World Canada

Bienvenido a Cyber ​​Security Today. Esta es la edición de Week In Review para la semana que termina el viernes 12 de marzo. Soy Howard Solomon, reportero colaborador sobre ciberseguridad para ITWorldCanada.com.

En unos minutos hablaré con el colaborador invitado de esta semana, Terry Cutler de Cyology Labs. Pero primero echemos un vistazo a tres de las principales noticias de los últimos siete días:

Administradores de TI continúe aplicando parches a sus servidores Microsoft Exchange. Ha pasado más de una semana desde que se emitieron actualizaciones urgentes para cubrir cuatro vulnerabilidades graves llamadas ProxyLogon. Sin embargo, hay evidencia de que los administradores de Exchange Server no están trabajando rápidamente: el martes, una semana después de la primera alerta, Palo Alto Networks dijo que los escaneos web sugieren que 125,000 servidores Exchange conectados a Internet en todo el mundo aún eran vulnerables, incluidos 4,500 en Canadá y 33,000 en el nosotros

ACTUALIZACIÓN: Después de que se grabara este podcast, Palo Alto Networks emitió una nueva cifras. La cantidad de servidores sin parche detectados por su plataforma Expanse se redujo el jueves a 2.700 en Canadá y 20.000 en los EE. UU.

Una empresa de respuesta a incidentes aquí me dijo el miércoles que sabe que cuatro organizaciones canadienses habían sido pirateadas poco antes de que Microsoft publicara sus parches.

Entre las organizaciones de víctimas se encuentra el sistema de correo electrónico parlamentario de Noruega. Los investigadores de seguridad de ESET creen que hasta 10 grupos de amenazas se están aprovechando de los servidores Exchange vulnerables.

Terry y yo hablaremos de esta crisis en unos minutos.

Verkada es un proveedor basado en la nube de seguridad de video para organizaciones que dice que sus sistemas son seguros por defecto. Sin embargo, esta semana sufrió un importante compromiso del sistema. Según Bloomberg News, un grupo de activistas contra la vigilancia dicen que accedieron y capturaron imágenes en vivo de cámaras de video en cientos de empresas, hospitales, departamentos de policía y escuelas.

Los piratas informáticos le dijeron a Bloomberg que pudieron comprometer a Verkada después de encontrar el nombre de usuario y la contraseña en Internet de un superadministrador de TI que tenía amplio acceso. En respuesta, Verkada deshabilitó todas las cuentas de administrador interno.

En un comunicado, Verkada dijo que el ataque tuvo como objetivo un servidor utilizado por su equipo de soporte para realizar operaciones de mantenimiento masivo en las cámaras de los clientes, como ajustar la configuración de imagen de la cámara a pedido del cliente. Al obtener acceso a ese servidor, los atacantes obtuvieron credenciales que les permitieron eludir el sistema de autorización de Verkada, incluida la autenticación de dos factores.

Día Internacional de la Mujer estuvo marcado el lunes con una serie de eventos. Uno de los que cubrí fue un panel virtual de mujeres en puestos senior de ciberseguridad en Microsoft, Palo Alto Networks y Cisco Systems. Entre otras cosas, hablaron sobre la importancia de lograr que las adolescentes e incluso las preadolescentes se interesen en la tecnología si queremos aumentar el número de mujeres en TI.

(La siguiente es una versión editada de mi charla con Terry Cutler de Cyology Labs. Para escuchar la versión completa, reproduzca el podcast).

Howard: Primero quiero hablar sobre el Día Internacional de la Mujer. Usted y yo estuvimos entre los jueces de la ronda preliminar del concurso Top Women in Cybersecurity de IT World Canada el año pasado. Hábleme de sus impresiones de las presentaciones.

Terry: De hecho, estaba realmente impresionado. No sabía que había tantas mujeres en ciberseguridad. Me alegré de ver la cantidad de nominaciones … En realidad, fue bastante difícil de juzgar, para ser honesto. No solo por la gran cantidad de personas, es porque no muchos de ellos publican mucho contenido, por lo que era difícil ver quién es quién y quién tuvo el mayor impacto en la industria.

Q: ¿Crees que las mujeres son un poco modestas al hablar de sus logros en ciberseguridad?

Terry:Creo que lo son porque muchas veces son más criticados con más dureza que los hombres. La retroalimentación común (recibo de las mujeres) de que tienen que trabajar el doble que los hombres para demostrar su valía. Por lo que es más difícil para ellos lograr un impacto desde el principio.

Q: A lo largo de los años de su carrera, ¿cómo ha visto tratadas a las mujeres en ciberseguridad?

Terry: norteO igualmente, desafortunadamente, porque es más un campo dominado por hombres. Cuando una mujer aparece en la mesa, muchos hombres dicen: ‘Bueno, ¿qué podría saber ella al respecto?’. Entonces, de inmediato, no están al mismo nivel. Tienen que trabajar el doble de duro que los hombres para demostrar su punto. (Y) las mujeres piensan de manera diferente cuando abordan un problema. Aquí hay un ejemplo real: cuando hicimos una prueba de penetración en una empresa, teníamos una mujer que nos estaba ayudando … Mi colega y yo estábamos sentados rascándonos la cabeza sobre cierto problema que estamos tratando de explotar. Y de repente, de la nada, ella viene y lo mira desde un ángulo completamente diferente, lo que nos permitió entrar … Las mujeres en realidad felicitan a los hombres de varias maneras porque piensan de manera diferente ante un problema.

Q: Y ese es un gran ejemplo de por qué los equipos de TI, la seguridad y cualquier equipo de una organización deben ser diversos.

¿Cómo pueden los hombres hacer más para apoyar a las mujeres en él y en la ciberseguridad en particular?

Terry: Un par de cosas. Uno, creo que los hombres pueden ayudar a las mujeres a construir sus marcas personales. Esa fue una de las cosas que noté de inmediato cuando estaba juzgando: necesitan aprender a tener confianza frente a una cámara, compartir sus conocimientos para poder llegar hasta allí con los hombres. Te daré un ejemplo perfecto. El difunto Shon Harris fue uno de los autores del programa de certificación CISSP. Mucha gente ni siquiera sabía que era mujer, cuando era la fuerza dominante en esa certificación. Los hombres tampoco deben mirar objetivamente a las mujeres como menos que iguales. Necesitan darles la oportunidad de expresar su voz, compartir su experiencia, compartir su conocimiento y compartir cómo atacarían un problema.

Q: Antes de dejar este tema, quiero recordarles a los oyentes que el 1 de septiembre es el Día de la Mujer en el Cibernético, y hay una petición para que el Parlamento lo reconozca. Un enlace a esa petición se encuentra en la versión de texto de este podcast en ITWorldCanada.com. También me gustaría recordarles que la octava conferencia anual Women in Cybersecurity está programada para realizarse en Denver, a partir del 8 de septiembre.

A continuación, veremos las vulnerabilidades de Microsoft Exchange Server y la crisis que están causando. Esto, en mi opinión, tiene el potencial de ser más serio que la violación de SolarWinds. El incidente de Exchange podría involucrar a miles de servidores de correo electrónico. Los ataques continúan y los servidores tienen contenidos que pueden estar cifrados o no. Terry, ¿alguna organización ha acudido a usted en busca de ayuda desde enero con sospechas de compromisos del servidor de intercambio debido a estas vulnerabilidades?

Terry: Absolutamente. Uno vino a nosotros la semana pasada. Era un bufete de abogados y los administradores encontraron uno de los ocho archivos .ASPX en su servidor. En este punto es una investigación activa, no sabemos a qué tuvieron acceso los piratas informáticos. ¿Podrían haber descargado los buzones de correo de un abogado? ¿Qué se llevó? Va a ser una pesadilla de relaciones públicas porque tienen que revelar a su junta de comisiones lo que se llevó.

OUno de los archivos que encontraron en su servidor de intercambio fue un archivo llamado web dot ASPX. Estas eran conchas de telarañas que quedaron atrás [by the attacker]. Cuando se encuentran estos archivos, es muy probable que estén comprometidos. Descubrimos que llegaron el 24 de febrero y la alerta de Microsoft salió el 2 de marzo. Así que habían estado allí una semana entera.

Q: CCiertamente, una cosa en este incidente que es vital es que el parche no ayudará si un atacante ya ha dejado una puerta trasera, o como usted dice, un shell web. También debe investigar en busca de signos de compromiso, como la instalación de shells web no aprobados.

Terry: Y eso es lo más difícil de descubrir porque muchos de estos son los llamados canales encubiertos. Son comunicaciones seguras. Por lo tanto, es muy, muy difícil ver esto en los registros de su firewall o en sus sistemas IPS, porque el tráfico todavía usa tráfico SSL. Entonces, ¿cómo sabes lo que está pasando aquí? Debe disponer de otra tecnología que permita la investigación de indicadores de compromiso. ¿Es normal que esta computadora esté hablando con ese sistema cada 13 minutos y cuatro segundos y comparta la misma cantidad de información cada vez? Bueno, eso podría ser un faro [to the attacker] por lo que sabemos. Es por eso que tenemos que clasificar el tráfico y ver qué máquinas tienen una puerta trasera instalada que permitiría a los piratas informáticos ingresar a su sistema. Otra cosa que sucede, también, que la mayoría de la gente no sabe, es que un hacker que podría endurecerse en su nombre es en realidad endurecer su sistema porque no quieren que otros hackers entren y destruyan todo su arduo trabajo.

Q: OUna cosa que me ha molestado es que ha pasado más de una semana desde que Microsoft emitió sus parches, pero según Palo Alto Networks, su telemetría indica que decenas de miles de instalaciones de Exchange Server aún no han sido parcheadas. ¿Por qué los administradores de TI parecen ser lentos para aplicar parches? Quiero decir, sólo el cielo sabe que ha habido suficientes advertencias.

Terry: Puedo hablar de algo de eso por experiencia personal. En un momento, fui administrador de Exchange y, a veces, cuando aplica estas actualizaciones, se rompe otro software y tecnologías en el sistema. Por ejemplo, en un caso, teníamos un sistema de emisión de tickets hecho en casa que se ejecutaba en SQL. Y cuando hiciéramos ciertas actualizaciones, rompería ese sistema o nos impediría actualizar porque no estábamos en un cierto nivel de otro software. Entonces cuando ellos [vendors] ve y haz todas estas actualizaciones masivas, no saben lo que se va a romper. Es por eso que los administradores de TI a veces tienen miedo de actualizar estas cosas. Ya tienen poco personal, ya que es la mayor parte del tiempo, solo están tratando de mantener las luces encendidas. El otro problema también es que algunas de estas actualizaciones no se ejecutan automáticamente a través de Windows Update. Tienes que ir a buscarlos manualmente. Entonces, a menos que reciba alertas constantemente de que están saliendo estas nuevas actualizaciones, es posible que no sepa que había un parche disponible.

… ThSiempre hay un debate sobre por qué las empresas siguen ejecutando servidores locales cuando deberían ejecutar Office 365 en la nube, que es mucho más seguro. Creo que mucho de esto tiene que ver con la mentalidad. Algunas empresas, como las fuerzas del orden y demás, quieren mantener sus servidores locales porque cuando están en la nube no saben realmente quién tiene acceso a su sistema; tal vez un administrador deshonesto en el backend puede ver sus cosas, por lo que quieren para mantenerlo en casa. Pero cuando lo mantienen en casa, ahora tienen que mantenerlo.

Q: Finalmente, quiero echar un vistazo a la violación de la cámara de video Verkada. Esa es la empresa donde los piratas informáticos entraron y encontraron acceso a las cámaras de video que cientos de empresas de todo el mundo habían instalado y utilizan Verkada como servicio. Una de las cosas que me llamó la atención fue la capacidad de los piratas informáticos para eludir la autenticación de dos factores una vez que ingresaron. ¿Puede decirnos lo importante que es configurar correctamente la autenticación de dos factores o multifactor?

Terry: La autenticación multifactor es clave hoy en día. Por lo que leí sobre esta historia, se encontró una contraseña de superadministrador en Internet… Necesitamos [also] para comenzar a implementar cosas como la confianza cero. Nadie esta a salvo [on the corporate network]. Y utilice la autenticación multifactor en todas partes. Si no tiene un equipo de ciberseguridad interno, trabaje con un socio que pueda aumentar su seguridad mirando los registros y correlacionando todas estas cosas, porque en este momento la piratería está fuera de control.

Q: Los expertos en seguridad hablan cada vez más de la arquitectura de confianza cero. ¿Alguna idea de cuántas organizaciones han implementado esa estrategia?

Terry: Todavía no he conocido a ninguno. Lo están intentando. Pero lo que sucede es que una vez que comienzan con este proyecto, ven cuánto esfuerzo supone para sus usuarios, que no pueden hacer su trabajo de manera oportuna. No quieren ingresar sus contraseñas varias veces al día. Y luego lo que sucede es que porque está causando una interrupción en el negocio, desafortunadamente se alejan de ese proyecto. Luego se preguntan por qué les ataca el ransomware.

¿Recomendarías este artículo?

Este contenido se publicó originalmente aquí.