Artículo destacado

Impide ataques y paga por adelantado: La respuesta a incidentes de seguridad de F5 corre por cuenta de la Cámara

Imagen SIRT

La mayoría de los atacantes no te persiguen a ti. Al menos, no al principio. Generalmente emplean un enfoque extremadamente amplio antes de apuntar a las organizaciones que demuestran la vulnerabilidad específica que están tratando de explotar. A menos que sea un objetivo de valor particularmente alto (por ejemplo, en el sector financiero, en grandes minoristas o en el gobierno), no se trata de usted. Probablemente, resulta que tienes la debilidad buscada, lo cual, hay que reconocerlo, no es mucho consuelo cuando estás bajo ataque.

Ampliando la mirada, los atacantes generalmente buscan los mismos tipos de cosas en todos los ámbitos, lo que hace que compartir conocimientos sea, en teoría, muy beneficioso. Sin embargo, en la práctica esto suele fracasar porque la mayoría de las organizaciones no cuentan con un mecanismo para a) incorporar lecciones de eventos de seguridad previos de la industria o b) marcar sus experiencias de manera anónima para que otros puedan evitar los mismos errores. En consecuencia, la información sobre las campañas de ataques actuales que explotan vulnerabilidades nuevas (o conocidas) en la red no llega tan lejos como debería, y vemos constantemente titulares relacionados con infracciones que se derivan de las mismas vulnerabilidades y exploits subyacentes. A modo de ejemplo, en 2017, ¿cuántas víctimas de WannaCry estaban ejecutando software sin soporte o al final de su vida útil, que estaba ampliamente documentado como problemático? La respuesta: mucho .

Para ser justos, mucho de esto es comprensible en contexto. Brindar información a la comunidad en general no es lo primero que tiene en mente un profesional de seguridad mientras está bajo un ataque, posiblemente violado, y lidiando con la presión de la respuesta a incidentes de emergencia, y simultáneamente bajo la lupa de un departamento legal que hace lo mejor que puede para contener la información sobre el incidente hasta que se determinen los hechos. Suponiendo que no estás experimentando una enorme cantidad de estrés y aún te sientes suficientemente altruista, hipotéticamente ¿qué podrías hacer para ayudar a la industria circundante? Compartir los archivos descubiertos con VirusTotal podría ser una opción, pero probablemente no pueda hacer mucho más que dejarlos allí antes de volver a la tarea más urgente de proteger su organización (y quizás, lo que es más grave, su trabajo). Lo ideal sería contar con un equipo de refuerzos capacitados, listos y capaces de ayudarle rápidamente a responder a la crisis. Profesionales dedicados que puedan analizar la información, brindar orientación de mitigación inmediata y luego ayudarlo a usted (y a sus compañeros internautas) a preparar mejor la red para defenderse de cualquier ataque futuro.

De vuelta al negocio

Introduzca F5. Si es cliente, su contrato de soporte incluye asistencia gratuita (sí, GRATIS ) ante incidentes de emergencia. Esto no solo lo prepara para obtener la ayuda que necesita en los momentos más cruciales, sino que también le proporciona un camino para analizar, agregar y abstraer las experiencias de múltiples organizaciones para el mejoramiento del grupo más grande. Si enfrenta una amenaza inminente, una simple llamada telefónica al soporte técnico de F5 explicando que está experimentando un evento de seguridad lo dirigirá directamente al Equipo de respuesta a incidentes de seguridad de F5 (SIRT). Este equipo global está formado por ingenieros de seguridad (que brindan soporte en más de una docena de idiomas) con amplia experiencia en respuesta a incidentes, disponibles las 24 horas, los 7 días de la semana y los 365 días del año. Y si bien seguramente volverán a tratar los temas de seguridad más amplios y relevantes para prepararse mejor para eventos futuros, el objetivo principal del F5 SIRT es ayudarlo a detener el sangrado y brindarle tiempo para desarrollar una solución de mitigación a más largo plazo para su negocio.

El personal global de F5 SIRT también puede aprovechar una amplia selección de opciones de mitigación que son posibles gracias a los productos u ofertas de F5 en entornos de clientes, como Advanced WAF (incluido Proactive Bot Defense, CAPTCHA y más), AFM , IP Intelligence (IPI), GeoIP, varias opciones de protección contra fuerza bruta y varias otras opciones; también pueden interactuar con el equipo Silverline de F5 o recomendar protección adicional basada en la nube contra DDoS o WAF cuando sea apropiado. En los casos aplicables, estas y otras soluciones están disponibles a través de F5 Sales.

El equipo de SIRT es especialmente experto en las iRules programables de F5, que se desarrollan e implementan rápidamente para modificar los flujos de tráfico. ¿Qué tan rápido? Si bien la complejidad del problema siempre entrará en juego, se pueden preparar iRules personalizables en cuestión de minutos e implementarlas el cliente en cuestión de horas (siguiendo los procedimientos adecuados de control de cambios de emergencia, por supuesto).

Veamos un ejemplo rápido: Un cliente de F5 estaba experimentando un ataque de fuerza bruta contra servidores RDP controlados por un dispositivo F5. Los servidores estaban abiertos a Internet y necesitaban ser accesibles para respaldar su negocio, pero solo para un conjunto específico de rangos de red. Para mitigar el ataque, se desarrolló una iRule con F5 SIRT que utilizaba un grupo de datos como medio para comprobar la IP del cliente frente a un conjunto de redes externas “conocidas y confiables” y descartar cualquier tráfico que no se originara en una de ellas. Esto mitigó claramente el ataque y mejoró la postura de seguridad del cliente. Además, este enfoque mantuvo la capacidad de agregar o eliminar redes de la lista de confianza (y el cliente pudo configurar grupos de datos específicos en la GUI) para evitar ataques similares en el futuro.

De regreso a la comunidad

Si durante el curso de una investigación de incidentes se descubren detalles pertinentes, como un nuevo exploit, campaña, malware o vulnerabilidad que no se ha visto antes o no se entiende particularmente bien, el F5 SIRT puede acceder a una red de equipos en toda la empresa para obtener una perspectiva adicional. Este enfoque reúne eficazmente el conocimiento de los investigadores de amenazas, los desarrolladores de productos de seguridad y otros expertos de F5 para analizar los hallazgos y ofrecer soluciones mejoradas en el futuro. Si un elemento particular es adecuado para publicarse en beneficio de la industria en general, no se publican detalles sobre clientes específicos o incidentes particulares. Los detalles se limitan al descubrimiento y comportamiento de una amenaza particular (como hicimos con PyCryptoMiner) , junto con orientación general según corresponda. 

Puede proteger y administrar mejor su infraestructura sabiendo que hay equipos de expertos de F5 esperando para ayudarlo y que no habrá una montaña de trámites burocráticos ni papeleo entre usted y la ayuda que necesita en caso de ataque. Más allá de esto, también existe el beneficio de saber que otros clientes no tendrán que sufrir la misma suerte y, de hecho, que su organización también estará más segura a lo largo del tiempo gracias a este enfoque de compartir conocimiento invaluable.

Entonces, ¿qué hay en ello para F5? Obviamente, queremos que las empresas estén en funcionamiento y realicen negocios con éxito y seguridad; el éxito del cliente impulsa el éxito de F5. Además, reconocemos que los eventos de seguridad no solo afectan a la entidad objetivo, sino que a menudo hay un efecto dominó para sus clientes y socios, y a veces mucho más allá. (A modo de ejemplo, los usuarios a menudo utilizan las mismas contraseñas o contraseñas similares para varios sitios, lo que aumenta enormemente el alcance de un incidente de seguridad: por ejemplo, se descubrió que los usuarios de Sony y Yahoo utilizaban las mismas contraseñas para ambas cuentas el 59 % del tiempo). Sin caer en demasiadas exageraciones, este efecto dominó puede afectar a todos los que hacen negocios en Internet. (Otro aparte: Las investigaciones indican que actualmente hay un promedio de tres registros comprometidos por cada usuario en línea).

Nosotros (la industria) podemos mejorar el abordaje de los problemas subyacentes que hacen que los sistemas sean vulnerables al crear oportunidades para compartir detalles pertinentes de los ataques y aprendizajes clave. Con F5 SIRT, se comienza posicionando a los clientes para que contribuyan de forma ventajosa al bien común y al mismo tiempo mejoren su propia posición.


Para obtener más información y comunicarse con el Equipo de respuesta a incidentes de seguridad (SIRT) de F5, visite su página web .