Los grupos de amenazas persistentes avanzadas (APT) no muestran signos de desaceleración a pesar de la pandemia mundial de coronavirus y parecen interesados ​​en explotar el Internet de las cosas (IoT) para sus ataques.

Recientemente, se informó que el grupo ruso APT28 ha estado escaneando y explotando servidores de correo electrónico vulnerables durante más de un año. Este grupo es conocido por piratear dispositivos IoT para establecerse en las redes. La adopción de IoT está aumentando en organizaciones y empresas. Gartner estima que 5,8 mil millones de puntos finales empresariales y automotrices estarán en línea para este año. Esta tendencia también está afectando la ciberseguridad. Cada dispositivo IoT que se agrega a una red expande la superficie de ataque. Debido a esto, los hackers ahora incluyen ataques contra dispositivos IoT como parte de sus cadenas de muerte.

En respuesta, las organizaciones deben tratar sus componentes de IoT como posibles vectores de ataque en sus respectivas estrategias de seguridad. Dado que los dispositivos IoT son variados y se pueden encontrar en una amplia red, la prueba de todos los controles implementados se ha vuelto aún más crítica para garantizar que las organizaciones estén protegidas a través de la cadena de eliminación APT. Para hacer frente, los equipos de TI pueden considerar el uso de la plataforma de validación de seguridad para realizar varias pruebas de amenazas cibernéticas necesarias para cubrir la totalidad de sus defensas.

IoT en la cadena de asesinatos de APT

La cadena de asesinatos cibernéticos describe las diversas etapas de una campaña de ciberataque. Los hacks llevados a cabo por APT son deliberados y metódicos. La cadena de eliminación comienza con actividades de reconocimiento, como sondear redes para componentes vulnerables y explotables antes de romper una red. Una vez que se afianzan en la red, los APT se esconden dentro durante largos períodos de tiempo para lograr su propósito, ya sea robar o destruir datos.

Los APT explotarán cualquier parte de la infraestructura que puedan y los dispositivos IoT se han convertido en un objetivo conveniente. Los dispositivos IoT podrían tener la forma de termostatos inteligentes, cámaras IP, impresoras inalámbricas y sensores que se encuentran en diferentes áreas de la infraestructura. Muchos incluso se conectan directamente a Internet público, lo que los expone fácilmente a sondeos por APT. Estos dispositivos también tienen diferentes características y capacidades de seguridad que generalmente dependen de controles de seguridad tales como firewalls para protegerlos del tráfico malicioso.

Una vez violados o asumidos, estos dispositivos se pueden usar para habilitar las otras etapas de la cadena de eliminación. Las amenazas recientemente descubiertas, como el malware Kaiji y la botnet dark_nexus, apuntan a los intentos de las APT de seguir armando dispositivos IoT para sus campañas. Kaiji realiza ataques de fuerza bruta SSH en un intento de apoderarse de los dispositivos, mientras que dark_nexus ha podido agrupar dispositivos comprometidos para lanzar ataques distribuidos de denegación de servicio (DDoS) y propagar malware.

Protección de múltiples vectores de ataque

Debido a los diversos usos de los dispositivos IoT, pueden desempeñar un papel en diferentes etapas de la cadena de eliminación. No existe una solución de seguridad real para todos los dispositivos IoT, por lo tanto, las organizaciones deben tener estrategias integrales y emplear controles de seguridad estrictos que protejan a través de la cadena de eliminación.

Las redes y las aplicaciones web deben estar protegidas por firewalls, las estaciones de trabajo deben estar equipadas con seguridad de punto final y los servidores de correo electrónico deben mantenerse seguros mediante filtros capaces y soluciones de desarmado. Los miembros del personal también deben ser educados sobre el uso adecuado de los recursos informáticos y cómo evitar ser víctimas de ataques de ingeniería social y phishing.

En cuanto a los dispositivos IoT, todos deben estar configurados correctamente. La mayoría de los dispositivos IoT explotados usan nombres de usuario y contraseñas de administrador predeterminados que son ampliamente conocidos y accesibles para cualquier persona. La conectividad directa a Internet y las funciones punto a punto también pueden deshabilitarse. Cambiar esta configuración se considera esencial en la seguridad de IoT.

Las pruebas continuas son imprescindibles

Lo más importante, la clave para una postura de seguridad sólida es la prueba. No importa cuántas soluciones de seguridad se implementen en la red, si alguna de ellas se queda corta debido a la ineficacia, la configuración incorrecta o los errores, los APT aún podrán violar la red y realizar ataques exitosos.

Los componentes de red, dispositivos y software también están obligados a introducir cambios debido a actualizaciones y parches. Cualquier cambio que ocurra dentro de la red puede afectar la postura de seguridad. Por ejemplo, se sabe que las actualizaciones de Windows introducen inadvertidamente vulnerabilidades en los puntos finales. Por lo tanto, las pruebas deben realizarse de forma rutinaria y, preferiblemente, cada vez que se realicen cambios en la infraestructura.

Hay varias formas de realizar pruebas. Los escáneres de vulnerabilidad se pueden usar para perfilar sistemas explotables potenciales. Las organizaciones también pueden lanzar sus propios ataques en sus redes a través de pruebas de penetración. Los enfoques más nuevos, como el uso de plataformas de simulación de violación y ataque (BAS), que básicamente combinan el escaneo de vulnerabilidades y las pruebas de penetración, permiten esta prueba continua. BAS puede automatizar pruebas en medidas de seguridad específicas. Incluso pueden simular las tácticas del mundo real utilizadas por las APT para un barrido más completo de las defensas.

A través de pruebas continuas, las organizaciones podrán garantizar que sus controles funcionen y que las lagunas en la seguridad, incluidas las que pueden ser causadas por la adopción de IoT, estén cubiertas.

Seguridad con IoT en mente

Como su nombre lo indica, los APT presentan riesgos persistentes para las organizaciones. Ahora que los piratas informáticos incluyen ataques a dispositivos IoT como parte de su cadena de eliminación, las organizaciones deben poder ajustar sus respectivas estrategias para incluir protección para estos dispositivos potencialmente vulnerables.

Afortunadamente, es posible emplear medidas y controles que podrían crear estrategias de seguridad coherentes que puedan mitigar los ataques APT. Pero para que esto funcione, las organizaciones deben probar continuamente estos controles. De esta forma, las organizaciones podrán continuar beneficiándose de su uso de IoT mientras mantienen su infraestructura segura y protegida.

Dejar respuesta

Please enter your comment!
Please enter your name here