Ciberataque y software de supervisión - buenas prácticas


 InicioBlogCiberataque y software de supervision - buenas prácticas

Ciberataques y software de monitoreo - buenas prácticas

En menos de dos meses, dos programas informáticos - Solarwinds y Centreon - fueron víctimas de ataques sin precedentes. Es obvio que queremos minimizar los daños, pero ¿cómo podemos estimar las consecuencias de un hackeo que lleva años produciéndose? ¿Qué ciberdelincuente no quiere cubrir sus huellas, después de su intrusión, para cometer sus delitos sin ser descubierto? Es difícil saber qué pasó después de la infección y cuánto daño se ha cubierto...

Software de supervisión es un objetivo ideal

Los programas informáticos de seguridad, de gestión de equipos y de registro o supervisión son objetivos ideales para los piratas informáticos porque estos programas generalmente tienen acceso a todos los componentes de un sistema de información. El uso de la monitorización como pivote es una verdadera mina de oro de información que permite a los malintencionados entender el sistema de información de una empresa para acelerar cada paso del acto malicioso, ya sea en términos de reconocimiento, explotación de vulnerabilidades o exfiltración de datos.

Es obvio que todo el software es vulnerable, pero ¿cómo no considerar que el software Open Source corre más riesgo que el propietario desde el punto de vista de la seguridad? El gobierno canadiense recomienda tomar precauciones a la hora de utilizar software Open Source e incluso menciona ciertos riesgos relacionados con su uso www.cyber.gc.ca.

¿Por qué es más fácil analizar los agujeros de seguridad en el software Open Source?

  1. El código fuente es abierto y accesible para todos
  2. Las listas de vulnerabilidades también son
  3. Los efectos "perversos" de la comunidad abierta

En el mantenimiento del software, los administradores deben ser conscientes de todos los problemas de seguridad, tanto si se refieren al software como a los sistemas operativos o al entorno de red.

Por ejemplo, en la reciente versión de Centreon 19.04, hay más de sesenta parches de seguridad detallados en el sitio web de Github: https://github.com/centreon/centreon/tree/19.04.x/doc/en/release_notes/centreon-19.04.También es necesario añadir algunas dependencias muy vulnerables como Apache y PHP que suman un historial de más de 1200 vulnerabilidades para una y 600 para la otra.

Muchas otras fuentes de información permiten referenciar en detalle las vulnerabilidades explotables (CVE), y esto para muchos softwares Open Source:

Además de las vulnerabilidades propias de este software, también están las vulnerabilidades de las dependencias open source incrustadas en el propio producto, ya sea una antigua librería JQuery, o un obsoleto framework Apache Struts que recuerda al masivo hackeo de Equifax en Estados Unidos en 2017.

Por otro lado, hay muchos tutoriales sobre técnicas de hacking https://medium.com/@0x616163/pivoting-with-devops-tools-abusing-zabbix-877e92bf49c2, módulos de tipo MetaSploit dirigidos a las herramientas mencionadas anteriormente https://www. cvedetails.com/metasploit-modules/vendor-1424/Nagios.html que puede proporcionar una solución de hackeo casi llave en mano desde una máquina virtual Kali Linux. Ya sea en el propio software o en las librerías integradas, los hackers pueden estudiar tranquilamente cada vulnerabilidad, desarrollar un virus personalizado o una técnica de intrusión y realizar pruebas en la versión elegida.

La función de los editores en la seguridad del software

En ServicePilot también producimos software muy sensible y nos tomamos muy en serio los problemas de ciberdelincuencia. El código fuente está controlado y cerrado al público. La arquitectura permite un flujo seguro de tipo monodireccional TLS 1.2 entre los servidores y la plataforma de monitorización, evitando así la apertura de puertos en los servidores de destino.Trabajamos con las mayores empresas francesas en los problemas de etiquetado de software desde el punto de vista de la seguridad.Realizamos regularmente Pentests (pruebas de penetración).Ya hemos trabajado con algunos clientes en mecanismos de seguridad específicos, por ejemplo con redes no IP. Elegimos cuidadosamente cada componente, cada detalle de la arquitectura.

Buenas prácticas

Aquí hay 7 buenas prácticas que sugerimos además de las recomendaciones habituales:

  1. Volver a situar la supervisión de la SI en el centro de las preocupaciones al mismo nivel que la seguridad
  2. Evitar las antiguas técnicas de supervisión basadas en scripts activados a distancia que requieren la apertura de algunos puertos en servidores críticos (SNMP, NRPE o NSClient++, por ejemplo)
  3. Analizar y registrar todo el tráfico sospechoso en cada servidor crítico (conexiones de red y solicitudes de aplicaciones)
  4. Medir continuamente la seguridad de la SI con soluciones muy fiables y rápidas de aplicar: registro (escritorio-servidores web), conversaciones de red, eventos de archivos, ...
  5. Auditar la vulnerabilidad de cada software sensible, software dependiente, posibilidades de manipulación (ej.: scripts Apache/PHP)
  6. Evaluar los riesgos relacionados con las amenazas internas (personas malintencionadas, empleados descontentos, terceros, etc.)
  7. Comprobar si realmente hay un contrato de mantenimiento en el software crítico, porque en general el software Open Source está excluido de esto

La etiqueta, ¿una idea para mejorar la seguridad del software?

La adopción de una etiqueta "secured by design" y "tamper-proof" (a prueba de manipulaciones) que haga hincapié en la seguridad de los programas informáticos no sólo ayudaría a las empresas a mejorar la seguridad de sus propios programas, sino que también les proporcionaría una indicación de la seguridad de la arquitectura de los programas informáticos que deseen integrar en su sistema de información.

¿Te gustó el artículo? Siéntase libre de compartirlo