DÍA CERO Y CONTANDO
El “éxito” de Wanna Cry
Por Christian Campodónico, Gerente de TI de EGS.
Con Wanna Cry pudimos ver cómo la proyección de WathGuard sobre el primer “Ransomworm”, amenaza de día cero con capacidad para propagarse por las redes de forma automática, se hizo efectiva. Sabiendo ya que este tipo de amenazas se hará más frecuente y que las herramientas tradicionales no son efectivas, se hace necesario plantear una nueva estrategia.
A fines de 2016, Corey Nachreiner, CTO de WatchGuard como todos los años anteriores, hizo sus predicciones en relación a los eventos de seguridad que veríamos este 2017 y, como todos los años anteriores, fue más que acertado. En su Ebook : “2017 Security Predictions, The Threats are Real”, Corey indicó que este año veríamos el primer “Ransomworm”, es decir, una amenaza de día cero con capacidad para propagarse por las redes de forma automática, así como en su oportunidad lo hicieron CodeRed y Conficker. Y finalmente, no fue necesario esperar mucho tiempo para ver a Wanna Cry haciendo de las suyas. Entonces si consideramos que este ransomware se aprovechó de una vulnerabilidad de Windows declarada en marzo y parcheada desde abril, y además con predicciones que indicaban que llegarían este tipo de amenazas más temprano que tarde. ¿Qué fue lo que ocurrió?
En primer lugar, lo preocupante de este malware es que utilizó herramientas de espionaje (exploits) que provenían de la Agencia Nacional de Seguridad norteamericana (NSA) y que fueron publicadas tiempo atrás por un grupo de hackers. Es decir, se espera una nueva oleada de ransomware que utilice estas herramientas. Por otro lado, el éxito de Wanna Cry fue más mediático que económico, ya que logró colarse en instituciones muy conocidas, donde esto era más o menos esperable, sabiendo que en las grandes empresas los procesos de actualización y parcheado son lentos porque requieren aprobaciones y testing en sus aplicaciones propietarias. En segundo lugar, la existencia en las empresas de herramientas desactualizadas o no vigiladas; nuevamente tiene sentido la frase: “Usar ballestas contra un tanque”.
Hacia una nueva estrategia
Entonces, sabiendo ya que este tipo de amenazas se hará más frecuente y que las herramientas antivirus tradicionales no son efectivas, se hace necesario plantear una nueva estrategia. Primero plantear una estructura multicapa que cubra los distintos puntos de entrada de la información o vectores de ataque. Debemos pensar que nuestra información es el activo de la empresa y esta circula por cada uno de los componentes de la red: red interna, Wi-Fi, dispositivos móviles, correo electrónico, servidores de archivos, etc. Cada uno de estos componentes tiene sus propias problemáticas y vulnerabilidades, por lo que representa un posible problema de acceso, pérdida o fuga de información. Es decir, nuestra estrategia debe cubrir cada uno de ellos.
En segundo lugar, es bueno pensar en una estrategia multimarca, es decir, algo que no frene alguna barrera de seguridad lo pueda frenar otra, aguas abajo. Aquí tienen sentido herramientas de sandbox e IDS en las redes de usuario, seguridad perimetral con control de APTs y sistemas de antimalware para los computadores y dispositivos móviles que realicen procesos de machine learning, además de extender esta protección a los servicios presentes en la nube y usuarios que no se encuentren tras el perímetro trabajado. Y por último, dejar de pensar en el “no importa, a mí no me va pasar”, porque sí, sí va ocurrir, y hay que estar preparados.
Puede revisar el contenido de la revista aquí