Respuesta a incidentes y recuperación de una brecha de seguridad con un vector de ataque desconocido

Navega tus respuestas
2

Las infracciones de seguridad, los piratas informáticos, los ataques "cibernéticos" o los compromisos del servidor ocurren con bastante frecuencia, desafortunadamente, como Quora en diciembre de 2018 , Facebook en septiembre de 2018 , Equifax en < a href="https://www.bloomberg.com/news/articles/2017-09-08/equifax-sued-over-massive-hack-in-multibillion-dollar-lawsuit"> September 2017 , Exactis en junio de 2018 , MyFitnessPal en March 2018 , y miles de otros .

Con las regulaciones que dictan notificaciones de incumplimiento obligatorias, como el GDPR, podemos esperar que el número de casos continúe creciendo. Además, es probable que haya toneladas de casos que el público simplemente desconoce, que no hayan sido denunciados o que las propias empresas no hayan detectado.

Sin embargo, para mi sorpresa, lo que nunca escuché es sobre una compañía que se desconecta por un tiempo porque todavía están investigando y aún no han descubierto cómo entraron los atacantes, o una compañía que fue víctima de otro ataque nuevamente dentro de un pocos días o semanas.

(Es decir, excepto de algunos casos raros , por supuesto. Aunque prevenir un nuevo ataque de phishing (lanza) no es algo para lo que se pueda aplicar un parche, es un proceso.)

Puede haber compromisos tras los vectores de ataque que son difíciles de detectar, p. ej. Rowhammer, espectro, ciertos días cero. Si los atacantes tuvieran acceso a la red de una empresa mediante el uso de las credenciales que obtuvieron de un ataque de phishing contra un empleado, y limpiaron sus huellas y eliminaron los registros, es posible que ni una empresa ni sus asesores forenses puedan detectar cómo se produce el ataque. tenido éxito.

  

NO vuelva a poner en línea los sistemas afectados hasta que esta etapa esté completamente [...] completa Examine los sistemas "atacados" para comprender cómo los ataques lograron comprometer su seguridad. Haga todo lo posible para averiguar de dónde provinieron los ataques "[...]

     

- Rob Moir

Deberíamos esperar que algunas compañías se desconecten por algunas horas mientras hacen su análisis y recuperación, otras por algunos días y otras que nunca vuelven a estar en línea, ¿no es así?

¿Todas las empresas, incluso aquellas con vulnerabilidades horribles, son excelentes en la detección de intrusiones y análisis forenses, o simplemente me he perdido algo?

    
pregunta caw 04.12.2018 - 04:49
fuente

2 respuestas

1

Está viendo esto desde una perspectiva de seguridad y (supongo) desde la perspectiva de un profesional de la seguridad. Suponiendo que la empresa está en el negocio de hacer dinero, cerrarán el mínimo tiempo necesario porque afectará las ganancias. Rara vez tendrá mucha información sobre si pueden permanecer desconectados o no mientras realizan el análisis de la causa raíz. Demonios, la mayoría de las investigaciones de infracciones en las que he participado, los sistemas simplemente se restauran a partir de copias de seguridad, no se realiza ninguna investigación sobre lo que sucedió hasta que se vieron afectados por enésima vez en unos pocos meses, y no se nos da casi nada Para trabajar en la búsqueda de la causa raíz. La administración se preocupa por los dólares, y aunque los procesos pueden cambiar con cosas como GDPR, dudo que esto cambie demasiado, excepto que se despedirá a más personal de TI después de una infracción. En cuanto a su pregunta sobre las capacidades de "excelente detección de intrusiones", generalmente también faltan. Si leíste el Informe de amenazas de Verizon: enlace en la página 10 da un desglose en ' descubrimiento ', y es generalmente en los meses para detectar un compromiso.

    
respondido por el NewDev 04.12.2018 - 07:49
fuente
0

Hay una idea errónea en su pregunta sobre las técnicas de ataque y las vulnerabilidades que se utilizan en estos incidentes de seguridad espectaculares y ampliamente conocidos.

Las explotaciones

generalmente se clasifican con métricas (sobre otras) como gravedad y complejidad . Por lo general (!) Cuanto más complejo es un ataque, más difícil es el análisis forense involucrado para averiguar qué sucedió exactamente. Los ataques que mencionas son realmente difíciles de ejecutar y, por lo tanto, difíciles de investigar. Pero el punto más importante aquí es que, según las compañías afectadas, no son los que utilizaron los atacantes en estos incidentes populares.

Tomemos la brecha de Equifax por ejemplo. Cita de Wikipedia :

  

Equifax dijo que la brecha se facilitó al usar una falla en Apache Struts (CVE-2017-5638). Se lanzó un parche para la vulnerabilidad el 7 de marzo, pero la compañía no aplicó las actualizaciones de seguridad antes de que se produjera el ataque 2 meses después. Sin embargo, este no fue el único punto de falla: los factores contribuyentes incluyeron el diseño inseguro de la red que carecía de suficiente segmentación, el cifrado potencialmente inadecuado de la información de identificación personal (PII) y los mecanismos de detección de infracciones ineficaces.

Estos no describen ningún vector de ataque sofisticado. La falla de Apache Struts era bastante conocida en ese momento y Struts en sí era (según mi conocimiento) un marco ampliamente utilizado. Cada vez que se publica un CVE como este , los atacantes lo prueban El mundo inmediatamente . Equifax IT debería haber reparado sus sistemas lo antes posible, pero no lo hicieron. Por otro lado, parchear sus servidores toma algún tiempo, pero no toma para siempre. Por lo tanto, puede limitar la disponibilidad de su servicio por un tiempo y luego volver a aumentar lentamente, una vez que se actualicen los servidores.

Además: si Equifax hubiera tenido la segmentación, el cifrado o la detección adecuados, las tres técnicas extremadamente conocidas y necesarias para mejorar la seguridad, la violación hubiera sido la mitad mala. Pero no lo hicieron.

Mi punto es: los atacantes no necesitan explotaciones complejas encadenadas para crear una nueva Stuxnet para hackear grandes corporaciones como Equifax o Quora. Una hazaña de RCE de dos meses es lo suficientemente buena.

Para agregar un poco de especulación por mi parte, para responder a tu pregunta "¿Por qué pueden reaccionar tan rápido" desde un ángulo diferente? Supongo que la mayoría de estas empresas conocían estos agujeros de seguridad. Y conocer las vulnerabilidades en su red facilita mucho el análisis forense.

    
respondido por el Tom K. 04.12.2018 - 14:08
fuente

Lea otras preguntas en las etiquetas

¿Algún problema con los certificados UCC (multidominio) SSL en iOS y Windows Phones? ¿Puede un USB con un MBR o GPT infectado dañar un sistema operativo que lo lea?