Debido a su ubicuidad como plataforma de red, con demasiada frecuencia se culpa a Windows como la fuente de una serie de vulnerabilidades de seguridad de la red. Pero los acontecimientos recientes han demostrado la verdad: que todo tipo de componentes de la red tienen fallas y que existen muchos medios nefastos que los atacantes pueden utilizar para ingresar y tomar el control.
Cada día que pasa, los profesionales de la seguridad han confiado ciegamente en conceptos falsos como que el ecosistema de Apple está cerrado (y por lo tanto no es tan susceptible a ataques) y la presunción de que muchos ojos significan que las vulnerabilidades serán encontradas y neutralizadas. Es, en el mejor de los casos, ingenuo y, en el peor, potencialmente perjudicial para su empresa.
Los administradores de seguridad que ejecutan sistemas Microsoft dedican mucho tiempo a parchear los componentes de Windows, pero también es fundamental asegurarse de colocar los recursos de revisión de software de manera adecuada: hay más de qué preocuparse que el último martes de parches.
Es increíblemente útil revisar los tipos de ataques que han recibido organizaciones similares a la suya. Pregúntese si lo habría hecho mejor con el software que tiene instalado. Comuníquese con su compañía de seguros cibernéticos, así como con empresas consultoras de pruebas de penetración, para obtener orientación y asesoramiento adicionales.
Asegúrese de tener todos los recursos que pueda para revisar todo de su software. Porque en realidad todo ello es potencialmente vulnerable. Es posible que no seamos conscientes de cómo hacerlo hasta que sea demasiado tarde.
Para ilustrar ese punto, aquí hay algunos problemas recientes que han afectado a sistemas que no son Windows y cómo mitigarlos:
La peligrosa puerta trasera de Linux XZ Utils
Una vulnerabilidad de Linux que casi (pero no del todo) llegó a las distribuciones de casi todas las distribuciones de Linux fue descubierto por un ingeniero experto de Microsoft que se dio cuenta de que estaba tardando más en iniciar sesión con SSH con la máquina generando más CPU y eliminando errores de valgrind.
Él comenzó a cavar en los detalles y descubrió que el repositorio XZ y los archivos comprimidos XZ tenían una puerta trasera. El potencial de daño era grande, si no fuera por los esfuerzos de una persona que notó que estaba tardando más en iniciar sesión y que el servidor tenía un uso excesivo de la CPU, lo que no tenía sentido, esta puerta trasera podría haber llegado a muchas distribuciones de Linux.
Como anotado, “El 28 de marzo de 2024, se identificó una puerta trasera en XZ Utils. Esta vulnerabilidad, CVE-2024-3094 con una puntuación CVSS de 10, es el resultado de un compromiso de la cadena de suministro de software que afecta a las versiones 5.6.0 y 5.6.1 de XZ Utils. La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha recomendado a las organizaciones que bajen a una versión anterior de XZ Utils que no esté comprometida”.
En primer lugar, querrá tomarse el tiempo para revisar si existe alguna exposición a CVE-2024-3094 en su organización. Comuníquese con su proveedor de detección de puntos finales y revise si ya cuentan con detección para esta vulnerabilidad.
A continuación, revise cómo utiliza dichos repositorios de software comunitarios, como Github, y pregúntese si examina y revisa adecuadamente el código registrado para detectar posibles problemas de seguridad. ¿Hace hincapié en las metodologías para examinar y validar las fuentes de código en la codificación de su cadena de suministro? ¿Da prioridad a la fuente del código en función de su función en su entorno?
¿O usted, como muchos de nosotros, asume que el software de código abierto será examinado por la comunidad? En este caso, lo hizo, sólo porque una sola persona en el lugar correcto en el momento correcto, con las habilidades adecuadas fue capaz de detectarlo.
Los parches recientes de Apple
A continuación, considere lo que muchos consideran una plataforma segura: Apple iOS. Apple envió recientemente parches para varios problemas de seguridad que incluían varios con la notación de que se han utilizado en ataques en la naturaleza.
Dos en particular merecen atención:
- Núcleo (CVE-2024-23225): Un atacante con capacidad arbitraria de lectura y escritura del kernel puede eludir las protecciones de la memoria del kernel. Apple tiene conocimiento de un informe que indica que este problema puede haber sido aprovechado. Se solucionó un problema de corrupción de memoria con una validación mejorada.
- RTKit (CVE-2024-23296): Un atacante con capacidad arbitraria de lectura y escritura del kernel puede eludir las protecciones de la memoria del kernel. Apple tiene conocimiento de un informe que indica que este problema puede haber sido aprovechado. Se solucionó un problema de corrupción de memoria con una validación mejorada.
Si bien parece que es más vulnerable en teléfonos y dispositivos más antiguos, Apple claramente ha estado cada vez más en el punto de mira y se ha utilizado en ataques contra individuos en empresas, roles gubernamentales clave y otras industrias altamente atacadas.
El consejo que a menudo me recomiendan al implementar teléfonos y otros dispositivos para el personal es garantizar que dichos elementos tengan el sistema operativo y el hardware más recientes. A menudo, los dispositivos más antiguos y especialmente el hardware más antiguo no tienen los conjuntos de chips necesarios para proporcionar el sistema operativo más seguro.
Por lo tanto, si proporciona teléfonos y dispositivos al personal clave, asegúrese siempre de que sean de las últimas generaciones y se mantengan en los últimos sistemas operativos. Debe asegurarse de tener el mismo tipo de herramientas de administración y parches para dispositivos que para sus sistemas operativos.
Seguridad perimetral, VPN, acceso remoto y endpoints
Revise el estado de seguridad y parches de su borde, VPN, acceso remoto y seguridad de endpoints. Cada uno de estos software de punto final se ha utilizado como puerta de entrada a muchos gobiernos y redes corporativas. Esté preparado para parchar o desactivar inmediatamente cualquiera de estas herramientas de software en cualquier momento si surge la necesidad.
Asegúrese de tener un equipo dedicado a identificar y rastrear recursos para ayudarlo a alertar sobre posibles vulnerabilidades y ataques. Recursos como CISA puede mantenerlo alerta y asegurarse de que esté registrado para recibir varias alertas de seguridad y proveedores, así como contar con personal que esté al tanto de las diversas discusiones sobre seguridad en línea.
Estos dispositivos y software de borde siempre deben mantenerse actualizados y usted debe revisar las ventanas del ciclo de vida, así como las tecnologías y versiones más nuevas que pueden disminuir la cantidad de sesiones de parches de emergencia en las que se encuentra su equipo de borde.
Esté atento a los ataques locales, no sólo a los del exterior
Por último, no asuma que el atacante vendrá del extranjero. Si bien se presta mucha atención a los estados-nación y otros piratas informáticos de China, Rusia, Irán y Corea del Norte, a menudo vemos bots y ataques desde dispositivos de consumo y direcciones IP nacionales.
Si su postura de seguridad es confiar en los puntos finales de su propio patio trasero y desconfiar de todo lo que hay en el extranjero, los atacantes saben que usted también tiene esa actitud y están comenzando a lanzar sus ataques desde puntos finales locales.
Muchos de nosotros hemos implementado bloqueos geográficos para posibles atacantes extranjeros, pero no tenemos el mismo nivel de protección para los puntos finales cercanos, y los atacantes saben que no analizamos ese tráfico tan bien como deberíamos.
Seguridad de red, Seguridad, Prácticas de seguridad, Seguridad de Windows