El 7 de mayo de 2021, el FBI fue "notificado de una interrupción de la red en Colonial Pipeline". El público supo más tarde, y el FBI lo confirmó, que esta interrupción se debió a un ataque de ransomware perpetrado por la banda de ransomware de habla rusa DarkSide, con sede en Europa del Este.
Una mirada al ataque del ransomware 2021 Colonial Pipeline
Este ataque provocó la interrupción de la distribución de petróleo y un aumento del precio del combustible en gran parte de la costa este de EE.UU. Más tarde se reveló que esta brecha fue posible gracias a una contraseña reutilizada en un inicio de sesión de red privada virtual (VPN) que carecía de autenticación multifactor. Esta perturbación llevó a Censys a utilizar su conjunto universal de datos de Internet y su plataforma de gestión de la superficie de ataque (ASM) para determinar el riesgo y la exposición de las infraestructuras críticas y los recursos clave (CIKR) en el sector de los oleoductos y gasoductos desde la perspectiva de un atacante externo. Censys examinó no sólo Colonial Pipeline, sino también otros 10 oleoductos y gasoductos importantes de Estados Unidos.
Visítenos en la Cumbre de Gartner sobre seguridad y gestión de riesgos
Además de al menos un total de 17 hosts expuestos a Internet que seguían utilizando software obsoleto en ese momento, así como 48 hosts que utilizaban protocolos inseguros, Censys descubrió más de 300 solicitudes de inicio de sesión expuestas a Internet en hosts propiedad de estas empresas, más de 80 de las cuales proporcionaban acceso a activos que potencialmente controlaban operaciones críticas, incluidos paneles administrativos y dispositivos SCADA.
Oleoducto Colonial: Evaluación de los riesgos un año después
Un año después, Censys volvió a evaluar estas mismas organizaciones con nuestra plataforma Attack Surface Management para comprobar si su exposición a Internet había mejorado.
Conclusión nº 1: Las superficies de ataque crecieron significativamente en todas las organizaciones.
Aunque no aumentó la superficie de ataque de todas las organizaciones, en conjunto, Censys evaluó un aumento del 232% en hosts accesibles públicamente y un aumento del 66% de servicios/protocolos inseguros ejecutándose en el número total de hosts. También observamos un aumento del 130% de certificados caducados asociados al grupo de organizaciones que analizamos. Los certificados caducados provocan advertencias en los navegadores web, lo que puede causar una disminución del tráfico de visitantes; un certificado caducado también deja caer el cifrado, lo que abre los sitios web a posibles ataques de intermediario, permitiendo a los atacantes interceptar las credenciales de usuario para iniciar sesión en el sitio web.
Cabe señalar que, durante el último año, Censys ha invertido considerables recursos en nuestra capacidad para descubrir más hosts mediante el aumento de nuestra cobertura de escaneo de puertos, así como ser capaces de identificar más protocolos y tomar huellas dactilares de más versiones de software. Estas mejoras podrían influir en el hecho de que las superficies de ataque analizadas parezcan haber crecido; sin embargo, debe tenerse en cuenta que si Censys simplemente fue capaz de descubrir más superficies de ataque que ya existían, las superficies de ataque en general permanecieron igual o aumentaron. En cualquier caso, la principal conclusión es que las superficies de ataque no son estáticas.
Es probable que la superficie de ataque de una organización cambie de una semana a otra, de un día a otro o incluso de una hora a otra. Esto es especialmente cierto a medida que más áreas de las organizaciones, como marketing y recursos humanos, son capaces de aprovechar los recursos de la nube para aumentar el acceso a los datos. A medida que nuestras plantillas crecen y se reducen, podemos esperar que nuestras superficies de ataque sigan el mismo camino, lo que subraya la necesidad de una cobertura expansiva lo más cercana posible al tiempo real.
Perspectiva nº 2: Colonial Pipeline parece haber tomado medidas impactantes para reducir su superficie de ataque.
Colonial Pipeline no sólo agilizó aparentemente sus operaciones digitales reduciendo su superficie de ataque global, sino que también lograron avances significativos en la reducción de hosts que ejecutaban software vulnerable al final de su vida útil, reduciendo la cantidad de certificados que utilizaban cifrados débiles y, lo que es más importante, eliminaron a cero los inicios de sesión públicos a posibles activos críticos.
Estas mejoras parecen ser el resultado de que la dirección de Colonial Pipeline ha aprendido de los errores que condujeron al ataque de ransomware, y ha dado prioridad a la seguridad digital, comprendiendo que las exposiciones digitales de cara al público proporcionan un multiplicador de ataque a los actores de amenazas. Estos delincuentes pueden afectar a la totalidad de las operaciones de una organización a través de un vector de ataque vulnerable. Este énfasis en la seguridad digital se pone aún más de manifiesto con el nombramiento de un CISO por parte de Colonial Pipeline en febrero de 2022.
Conclusión nº 3: De las otras 10 organizaciones observadas en Censys , sólo una tiene un CISO a tiempo completo.
Además, la organización con la menor cantidad de riesgos en el momento en que Censys publicó el informe inicial, tiene ahora los riesgos más observables de todo el grupo - esta organización no tiene un CISO. Muchos esperaban que, de forma similar a la tendencia de aumento de la seguridad en el sector financiero durante las dos últimas décadas, una brecha importante en la industria de oleoductos y gasoductos motivaría a otros a priorizar la seguridad y reducir las superficies de ataque para minimizar las posibilidades de un ciberataque perturbador. No parece ser el caso.
Aunque es difícil correlacionar directamente el aumento de las superficies de ataque y los riesgos con la falta de un CISO, está claro que las superficies de ataque cambian con el tiempo. Y debido al aumento de dispositivos no solo para la mano de obra humana, sino también para la tecnología operativa que ayuda a supervisar y controlar los activos de infraestructuras críticas, es seguro afirmar que las superficies de ataque están aumentando.
Priorizar la seguridad de una organización y comprender el alcance de su superficie de ataque requiere un puesto dedicado a tiempo completo, como un CISO con autoridad para tomar decisiones técnicas. Pero comprender la superficie de ataque de toda una organización a diario o cada hora no es posible sin una plataforma de gestión de la superficie de ataque que analice no solo los activos conocidos, sino que también descubra los nuevos activos digitales que entran en línea en un momento dado y muestre los riesgos relacionados para su corrección.
Los atacantes a medio mundo de distancia automatizan el reconocimiento - Los CISO de infraestructuras críticas deben aprovechar las herramientas que multiplican la mano de obra, como las plataformas de gestión de la superficie de ataque, para conocer sus riesgos antes que los adversarios y evitar así futuros ataques catastróficos a infraestructuras críticas.
¿Tiene preguntas sobre Gestión de la superficie de ataque?
Llámenos
Otros colaboradores de este blog son Censys Technical Account Executive Tyler Crabtree y Product Marketing Manager Kaz Greene.