La reciente noticia de un ataque cibernético en una planta de tratamiento de aguas llevado a cabo por un agresor remoto sorprendió a las organizaciones de todo el mundo.
A principios de este mes, un atacante no autorizado accedió de forma remota a los sistemas de control de la planta a través de TeamViewer y los utilizó para aumentar la cantidad de hidróxido de sodio (lejía) en el agua a niveles peligrosamente altos.
Sin embargo, afortunadamente un vigilante en la planta identificó esta actividad anómala en tiempo real y la reportó internamente para prevenir cualquier daño potencial.
Aunque el incidente todavía está bajo investigación, los analistas de seguridad de todo el mundo reconocieron unánimemente que los controles de acceso y la higiene de seguridad deficientes han allanado el camino para que ocurra este incidente.
Para poner las cosas en perspectiva, este incidente no involucró una estrategia de ataque sofisticado o complejo; el atacante pudo penetrar la infraestructura pública, simplemente tomando ventaja de las prácticas de seguridad deficientes de la planta de tratamiento.
La ruta cibernética a la información privilegiada
Los atacantes no siempre necesitan diseñar algoritmos de hackeo avanzados para llevar a cabo sus planes; a veces simplemente utilizan credenciales robadas o comprometidas de la web oscura para hackear redes críticas. También pueden utilizar técnicas simples, tales como phishing, keylogging, y ataques de fuerza bruta para obtener acceso a sus equipos de destino.
Si bien es cierto que los métodos de ataque están evolucionando rápidamente, a menudo el uso indebido de privilegios administrativos y las credenciales débiles o robadas son suficientes para violar cualquier infraestructura crítica.
Tomemos como ejemplo el ataque a la planta de tratamiento de agua de Florida. El perpetrador no identificado solo necesitó una contraseña sin protección para acceder y manejar los sistemas de control de forma remota.
Dado que el teletrabajo es una necesidad predominante entre la fuerza de trabajo global, las VPN corporativas y las sesiones remotas privilegiadas son la única manera a través de la cual los empleados pueden acceder a sus recursos corporativos.
Sin embargo, ya que el trabajo a distancia es cada vez más popular en todo el mundo, también ha habido un aumento significativo en la cantidad de ataques basados en sesiones remotas, donde los delincuentes cibernéticos irrumpen en la infraestructura crítica utilizando credenciales comprometidas. Dado que las credenciales son legítimas, los atacantes pueden imitar a los usuarios legítimos para evitar ser detectados.
En pocas palabras, a menudo las vulnerabilidades conocidas, descuidadas y subestimadas les proporcionan a los ciberdelincuentes la oportunidad de explotar el acceso administrativo a recursos privilegiados. Una y otra vez, incidentes como este demuestran que cuando las contraseñas se almacenan en bóvedas seguras y se aplican prácticas de seguridad estándar, las posibilidades de hackeo son mucho menores.
El enfoque de Goldilocks para la ciberseguridad proactiva
La seguridad no es un proceso único; se debe abordar y mejorar holísticamente. Si bien es crucial estar un paso adelante de las amenazas con controles avanzados de defensa, también es importante asegurarse de que se fortalezcan los elementos fundamentales de seguridad que a menudo son ignorados o descuidados (credenciales de lectura). Esto implica seguir ciertas prácticas básicas de seguridad e higiene, tales como:
- Garantizar y aplicar políticas de contraseña estrictas
- Incluir controles de autenticación multifactor
- Proteger las credenciales privilegiadas en bases de datos encriptadas
- Monitorear las sesiones de usuario remotas en tiempo real
- Identificar y detener las actividades sospechosas de los usuarios
- Analizar las vulnerabilidades y parchear los endpoints de forma periódica
Las malas prácticas de contraseña, como reutilizar y compartir credenciales críticas, son frecuentes y podrían abrir varias brechas de seguridad para que los atacantes las exploten. Controlar y gestionar manualmente las credenciales privilegiadas usando hojas de cálculo no sólo es engorroso, sino que además no es fiable dado que basta con que un intruso malintencionado o ignorante exponga las credenciales a los delincuentes.
Además, cuando los usuarios no autorizados acceden a sesiones remotas, podrían abrir las puertas a información sensible que vale cientos de millones de dólares.
Dicho esto, es imperativo que las organizaciones empleen fuertes controles de seguridad de acceso privilegiado para evitar el acceso a sistemas de información sensibles y para supervisar las sesiones remotas en tiempo real.
Esto se puede lograr invirtiendo en una solución de gestión de acceso privilegiado (PAM) confiable que automatice las siguientes tareas:
- Descubrir, consolidar y almacenar las contraseñas privilegiadas en bóvedas seguras.
- Restablecer automáticamente las contraseñas en función de las políticas existentes y rotar las contraseñas después de cada uso único.
- Asignar los menores privilegios posibles a los usuarios normales y elevar sus privilegios solo cuando sea necesario.
- Aplicar controles de autenticación multifactor para autorizar el acceso a recursos con privilegios.
- Establecer un flujo de trabajo de aprobación de solicitudes para validar los requisitos del usuario antes de proporcionarles acceso a recursos críticos.
- Monitorear las sesiones de usuario remotas en tiempo real, terminar las sesiones sospechosas y revocar los privilegios de usuario cuando expiren sus sesiones.
- Además, las soluciones PAM pueden ayudar proactivamente a eliminar los silos y la monotonía asociados con los controles de gestión de acceso. Proporcionan una automatización efectiva para optimizar los flujos de trabajo de seguridad de credenciales y accesos, lo que permite a los administradores de TI ahorrar tiempo y esfuerzos para enfocarse en tareas más importantes.
¿Cómo ayuda ManageEngine?
ManageEngine PAM360 es una solución unificada de gestión de acceso privilegiado para empresas que fue diseñada para ayudar a los equipos de TI a centralizar la gestión y seguridad de credenciales privilegiadas y proteger el acceso a las sesiones remotas privilegiadas, como bases de datos, servidores, endpoints y mucho más. PAM360 es segura por diseño, y cumple con los requisitos obligatorios de los Estándares Federales de Procesamiento de la Información (FIPS) 140-2. Las funciones destacadas de nuestra solución PAM incluyen, entre otras:
Bóveda y gestión de contraseñas empresariales
PAM360 permite detectar automáticamente y almacenar las entidades empresariales propietarias, como contraseñas, documentos, firmas digitales, claves SSH, certificados TLS/SSL y mucho más. Todas las credenciales se almacenan en un repositorio seguro cifrado mediante el algoritmo AES-256 avanzado. La solución también ofrece opciones para que los administradores de contraseñas restablezcan y roten as contraseñas periódicamente en función de las políticas de contraseña existentes, lo que ayuda a eliminar el acceso no autorizado.
Acceso remoto seguro a sistemas de información privilegiada
Con PAM360 y con un solo clic, los usuarios pueden iniciar el acceso remoto directo a los sistemas privilegiados, como servidores, aplicaciones, bases de datos y dispositivos de red sin exponer las credenciales a los usuarios finales. Nuestra solución proporciona un gateway cifrado y sin agentes para iniciar sesiones RDP, VNC y SSH con funciones de transferencia de archivos segura y bidireccional.
Diseñado de forma segura
PAM360 está diseñado para garantizar la seguridad de los datos de los clientes y ofrece protección de grado militar a los datos del usuario final. Nuestro producto incluye controles de autenticación multifactor integrados, donde los usuarios deberán autenticarse a través de dos etapas sucesivas para acceder a la interfaz web. Además, proporcionamos integraciones con las principales soluciones de inicio de sesión único (SSO), autenticación multifactor y gestión de identidades para permitir inicios de sesión fáciles y seguros.
Gestión de sesiones privilegiadas de vanguardia
PAM360 viene con un mecanismo integrado para monitorear, grabar, dar seguimiento y reproducir las sesiones de usuario remotas, lo que no sólo ayuda a eliminar los puntos ciegos y actores maliciosos, sino que también proporciona apoyo para la investigación forense a través de pistas de auditoría exhaustivas. Más información.
Análisis avanzado del comportamiento de los usuarios y correlación de eventos
PAM360 proporciona una integración contextual con herramientas de gestión de eventos e información de seguridad (SIEM) y análisis de TI para consolidar y correlacionar los datos de los eventos privilegiados con otros eventos en toda la empresa.
Esto permite a los equipos de TI crear patrones básicos de comportamiento del usuario para detectar y bloquear a los actores maliciosos cuyo comportamiento se desvía del patrón de referencia. Además, los equipos de seguridad pueden aprovechar estos datos para eliminar las vulnerabilidades conocidas y tomar decisiones de seguridad con base en los datos.
En definitiva, este ciberataque a los sistemas de control de una infraestructura pública no hace más que demostrar que los fallos de seguridad no sólo cuestan a las organizaciones su reputación, además de cuantiosas sanciones, sino que pueden poner en peligro muchas vidas inocentes. Por lo tanto, esto corrobora que las organizaciones, especialmente aquellas que sirven al interés del público, necesitan fortalecer su infraestructura de seguridad utilizando un enfoque ascendente.