Hace unos días, un pirata informático violó y accedió a la información personal de 106 millones de titulares o solicitantes de tarjetas de crédito Capital One en los EE. UU. Y Canadá, en la última violación masiva de datos en una gran empresa.
Capital One Financial Corp., uno de los mayores emisores de tarjetas de crédito del país, dijo que entre la información obtenida por el hacker se incluyen cientos de miles de números de Seguridad Social y números de cuentas bancarias. La violación es, por lo tanto, una de las mayores instituciones financieras de los Estados Unidos que se haya registrado. Capital One estima que responder al incidente costará entre $ 100 y $ 150 millones a corto plazo. Pero, como de costumbre, los consumidores son las verdaderas víctimas al final.
Aunque las tácticas exactas utilizadas en esta violación aún no se han revelado por completo, a partir de las presentaciones judiciales y la información pública disponible en las comunidades de seguridad, hay algunos pasos conocidos que el pirata informático utilizó para realizar estas actividades.
- El hacker era un ex empleado de Amazon Web Service donde se almacenaba y hospedaba la información de la tarjeta de crédito Capital One y los servicios relacionados; en otras palabras, esto es esencialmente un trabajo interno.
- El pirata informático se infiltró en servidores basados en la nube y obtuvo acceso al servidor de base de datos crítico a través de una escalada privilegiada, explorando algunas de las vulnerabilidades de protección de aplicaciones web.
- El hacker usó el navegador TOR y la VPN para ocultar sus pistas.
- El hacker descargó casi un archivo de datos de 30GB de servidores alojados en la nube.
- El hacker cargó datos robados en Github y habló sobre esto abiertamente en diferentes plataformas de redes sociales.
Esta violación masiva de datos tiene muchas características distintivas de un ataque de amenaza moderno, avanzado y sofisticado. La superficie de ataque ocurre en diferentes etapas y en realidad deja rastros en cada etapa para ser detectados o prevenidos. Este será un caso clásico de libro de texto para que los investigadores de seguridad y los encargados de formular políticas aprendan y hagan cambios en las políticas.
Estas son algunas de las áreas que podemos aprender de este incidente:
La defensa del perímetro de la red se ha vuelto menos efectiva.
Los atacantes que utilizan varias explotaciones de vulnerabilidades y otras herramientas de phishing pueden penetrar fácilmente las detecciones y prevenciones en el borde de la red. De hecho, en el marco MITER ATT & CK, las defensas de seguridad perimetral como los cortafuegos solo cubren un porcentaje muy pequeño de las tácticas de ataque y principalmente en las etapas de preataque o acceso inicial. Hoy en día, los ataques cibernéticos se han vuelto más sofisticados, orientados a objetivos, más específicos, más ocultos, más cubiertos y más prolongados durante el ataque en curso.
Otro aspecto importante de esto es que cada vez son más las amenazas y los ataques que provienen de la red de la empresa y de un «experto». De acuerdo con el «Informe de investigaciones de violación de datos de Verizon (DBIR) de 2018», el veinte por ciento de los incidentes de ciberseguridad y el quince por ciento de las violaciones de datos se originaron en personas dentro de la organización.
Como resultado, los paradigmas defensivos de seguridad cibernética también han cambiado para detectar y proteger todo el proceso de ataque con más énfasis en las superficies de ataque posteriores a la violación. La detección de amenazas intranet y la protección de datos y servidores críticos se han vuelto más importantes.
Ninguna técnica de seguridad por sí sola es suficiente para detener estos ataques sofisticados y dirigidos desde adentro.
En cambio, se deben implementar varias técnicas de seguridad diferentes y trabajar juntas de manera coordinada para construir una forma de bucle cerrado en capas para monitorear y detectar continuamente el ataque en progreso en diferentes etapas para romper efectivamente la cadena de ataque y frustrar al atacante final objetivo, que es exfiltrar información comercial valiosa o datos personales.
Por ejemplo, en este incidente, si las técnicas de análisis de tráfico de red se hubieran implementado cerca de los servidores de la base de datos y los comportamientos de tráfico se supervisaran de cerca, la gran cantidad de sincronización de archivos de datos se habría marcado y notado. Otro elemento incluye segmentar y aislar adecuadamente diferentes aplicaciones comerciales y datos críticos para permitir el control de privilegios de acceso granular a cada segmento.
La inteligencia de amenazas es vital para proporcionar rastros robustos y críticos durante la caza forense y de amenazas.
La inteligencia de amenazas va más allá de la alerta de ataque actual en sí; Expande la superficie de ataque en espectros de tiempo y espacio. Por ejemplo, utilizando el análisis de tráfico de red (NTA) o el análisis de comportamiento del usuario (UEBA), el análisis forense puede rastrear días, semanas o meses de tráfico de red y registros de comportamiento del usuario; Además, la inteligencia de amenazas puede correlacionar datos forenses utilizando información que incluye IP, nombres de dominio, URL, archivos y otra información útil del usuario para rastrear e identificar con precisión las fuentes de los ataques.
En este incidente, el pirata informático fue rastreado en comunidades de código abierto donde se almacenan datos robados junto con actividades de comportamiento social asociadas con la cuenta de usuario.
Finalmente, tan importante como las tecnologías de seguridad, la seguridad se trata de personas y procesos.
Los problemas de seguridad no pueden resolverse solo con la tecnología, las personas, por otro lado, son a menudo el eslabón más débil en la línea de defensa. Continuar educando a las personas sobre los riesgos potenciales de seguridad incluso durante las actividades comerciales normales, mejorando y fortaleciendo la conciencia de seguridad entre los empleados de la compañía, los socios y todos los que están involucrados en la administración o tienen acceso a aplicaciones comerciales críticas y datos confidenciales son fundamentales para tener una defensa de seguridad sólida.
Por otro lado, es igualmente importante establecer procedimientos y políticas adecuados en torno a las aplicaciones y datos comerciales. Se debe establecer un proceso para monitorear y auditar continuamente el flujo de esas aplicaciones, así como la generación, el transporte y el almacenamiento de datos para proporcionar controles de acceso adecuados a la información confidencial.