El alcance y severidad de los ataques de WannaCry evidencian y recuerdan la enorme cantidad de veces en que escuchamos advertencias sobre la peligrosidad y alcance del Ransomware. A mas de una semana de distancia del evento existen lecciones aprendidas que son de vital importancia considerar.
Los números en el ataque de WannaCry fueron alarmantes, el lunes posterior al ataque se hablaba de 200,000 sistemas infectados en 150 países de acuerdo a Europol. Y a pesar de que se encontró un "Kill Switch" que ayudo a mitigar en parte la infeccion, no tomó mucho tiempo para detectar nuevas variantes que contaminaban en un promedio de 3,600 equipos por hora.
Ha pasado mas de una semana del ataque y existen lecciones que debemos aprender para evitar ser víctimas del "ciber chantaje", aquí las revisaremos:
Lección 1: La administración de parches y solución de vulnerabilidades es una prioridad.
Parcha, Parcha, Parcha. Ha sido el mantra por excelencia de los expertos en seguridad por decadas y este ataque nos enseñó porque. La rapida forma en que se diseminó la amenaza fue posible por la ubicuidad de sistemas alrededor del mundo corriendo en sistemas operativos sin parchar o sin soporte.
"Tenemos esperanza que las organizaciones modifiquen su higiene en la aplicaciones continua de parches" menciono Mark McArdle, CTO para eSentire. "Microsoft generó parches de emergencia para Windows XP y 2003, lo cual demostró la seriedad del evento y el alto riesgo que es operar ambientes productivos con sistemas operativos desactualizados o sin soporte."
Lección 2: Equipos o servidores olvidados pueden ser la mayor vulnerabilidad
Es imposible parchar sistemas en una organización que no sabe que existen. Los efectos de WannaCry ilustran de manera adecuada que tan fácil es para los atacantes enfocar sus esfuerzos en sistemas olvidados que pueden perderse debido a un inconsistente manejo de activos informáticos.
"Los atacantes hacen reconocimiento para identifiicar activos desprotegidos, no monitoreados u olvidados para usarlos como vectores de ataque" comenta Steve Ginty, gerente de producto senior en RiskIQ. "En empresas de gran tamaño, este tipo de activos son fáciles de encontrar por hackers novatos o grupos de cibercriminales y debido a que no son monitoreados proveen una forma fácil de entrar y salir. Para defenderse necesitan saber que pueden ver los atacantes desde fuera antes del firewall".
Lesson 3: La segmentación de la red puede ser un valioso reductor de riesgo.Por supuesto la administración de parches no es tan simple como encontrar cada sistema y agitar una varita mágica sobre ellos. Muchas organizaciones sufren para actualizar sistemas viejos o embebidos debido a problemas técnicos de host. Es por eso que WannaCry encontró un campo fertil en las organizaciones de salud ya que muchos dispositivos médicos estan operando sobre plataformas viejas de Windows los cuales son muy complicados de actualizar y de hacerlo pueden causar disrupción en la operación diaria al realizarlo.
"En muchos casos, los dispositivos nunca recibiran actualizaciones debido a que el sistema operativo ya no es soportado y la memoria, almacenamiento y procesamiento pueden limitar el desempeño del equipo si opera con la ultima versión de software" dijo Craig Young, investigador de seguridad en cómputo en el equipo de investigación de Vulnerabilidades y Exposición en Tripwire.
Este escenario es el ejemplo perfecto de como el poseer controles como la segmentación de la red deberia de ser un estándar en la mayoría de las empresas.
"Hoy en día desconectar un equipo de internet lo condena a que tenga poco uso, pero la contectividad puede ser limitada de la mayor forma posible" comentó Brighten Godfrey, co fundador y CTO de Veriflow. "La segmentación requiere de una cuidadosa y bien elaborada arquitectura, especialmente en ambientes complejos donde las configuraciones de los firewall, ruteadores y otros dispositivos están en constante cambio. Rigorosos métodos de verificación de red pueden ayudar a asegurar que la segmentación es constantemente realizada".
Lección 4: La seguridad tiene repercusiones en el mundo real. Hablando del sector salud y otras organizaciones que manejan información en la que vidas estan en juego. Una de las grandes lecciones que los profesionales de ciberseguridad deben analizar profundamente es que la seguridad d ela información ya no es un juego de proteger datos. Los ataques en la actualidad tienen repercusiones en el mundo real que pueden afectar el bienestar de las personas a nivel físico.
"Con tantos dispositivos médicos conectados a Internet, no es sorprendente saber que muchos de ellos se volvieron inútiles con WannaCry" dijo Terry Ray, jefe de producto y estrategia en Imperva.
Los ataques de WannaCry al servicio de salud del Reino Unido pusieron el riesgo la operación diaria y amenazaron la salud de la gente en forma real. Esto demuestra que no es un tema exclusivo de bits y bytes, las consecuencias son serias y reales.
Lección 5: Es fácil olvidar la "D" en el principio CID de seguridad. La triada confidencialidad, integridad y disponibilidad que son un principio vital en seguridad de la información y riesgos. Muchas organizaciones están avanzadas o enfocadas en confidencialidad e integridad olvidando la disponiblidad. De accuerdo con investigadores de Cyence, la interrupción del negocio por WannaCry costó mas de 8 billones de dolares.
"La interrupción del negocio causada por WannaCry es la problemática mas sustancial del evento. Las organizaciones sufren interrupciones en sus negocios, pierden dinero y gastos adicionales presentan mientras la infección es remediada. Además toma tiempo volver a la productividad total incluso después que los sistemas han sido restaurados" dijo George Ng, CTO y co fundador en Cyence.
Obviamente estas son lecciones a gran escala y tomará tiempo que se conviertan en acciones pero deben ser parte prioritaria de cualquier estrategia integral de seguridad.
¿FUISTE VÍCTIMA? ¿DESEAS SABER SI TU INFRAESTRUCTURA ES VULNERABLE A WANNACRY U OTRAS AMENAZAS AVANZADAS?
DA CLICK EN LA IMAGEN Y AGENDA TU SESIÓN
Si tienes algún comentario o requerimiento adicional puedes contactarme en mi dirección de correo electrónico: mtorres@smartekh.com
*Ericka Chickowski/DarkReading/2017