Casi todos los días vemos un nuevo caso de ransomware. Históricamente, los ataques siempre han afectado a empresas de todos los tamaños. Sin embargo, últimamente parece que todo gira en torno a los ataques a los sistemas fundamentales o críticos para el negocio de las grandes empresas, desde empresas de combustible y energía hasta empresas de procesamiento de alimentos.
El problema no es que estas empresas no hayan tomado medidas para proteger sus activos, sino que la forma “tradicional” de prepararse y responder al ransomware ya no funciona.
Entonces, ¿qué necesita su organización para poder proteger las aplicaciones críticas para el negocio de las inminentes amenazas de ransomware? Eso es exactamente lo que SAP y Onapsis proponen abordar esta vez.
Cuando la mayoría de la gente piensa en el ransomware, hay dos soluciones inmediatas y “tradicionales” que vienen a la mente: las copias de seguridad y la seguridad de los terminales. Sin dudas, ambas opciones son componentes fundamentales de un programa de seguridad sólido. Sin embargo, su presencia podría generar una falsa sensación de seguridad en las organizaciones, ya que aún existen ciertas brechas, sobre todo en lo que respecta a los sistemas críticos para el negocio que están conectados de más formas que nunca antes.
El problema es que muchas empresas se dan cuenta demasiado tarde de que, para prepararse para un ataque de ransomware, hay que cerrar todas las puertas y ventanas de la casa, no solo la puerta principal de la protección de los terminales. Cuando se piensa en las vías de ataque del ransomware, es imprescindible considerar todos los posibles puntos de entrada en el entorno crítico para el negocio y cómo asegurarlos. Para continuar con esta metáfora, también debe evaluar a sus vecinos y, además, de qué forma entran en su casa.
Cuando uno piensa en todos estos factores, se da cuenta poco a poco de que este problema va mucho más allá de la seguridad de los terminales y las copias de seguridad. Se necesita una mirada que sea más integral para poder asegurar sus aplicaciones críticas para el negocio, incluidas —sí— cuestiones que clasificaríamos como “buena higiene de seguridad”.
En un reciente informe conjunto de inteligencia sobre amenazas de Onapsis y SAP, demostramos que los agentes de amenazas claramente cuentan con los medios, la motivación y la experiencia para identificar y explotar las aplicaciones fundamentales desprotegidas y, de hecho, lo hacen constantemente.
A modo de ejemplo, una enorme empresa que cotiza en bolsa recientemente sufrió un ataque de ransomware que afectó los datos de su aplicación de planificación de recursos empresariales (ERP). ¿Contaban con copias de seguridad? Sí: la copia de seguridad se actualizaba una vez a la semana. Sin embargo, las operaciones se detuvieron de todos modos. Cuando esto sucede, incluso con copias de seguridad realizadas correctamente, restaurar los datos a partir de una copia de seguridad puede tomar horas o incluso días y, además, las pérdidas financieras y el impacto negativo en el negocio son elevados de todos modos. ¿Contaban con seguridad en los terminales? Sí; sin embargo, los atacantes eludieron el software de detección y respuesta de terminales (EDR) y accedieron a los datos a través de la aplicación. El EDR es una gran herramienta para identificar actividades en los activos vulnerados y permitir la contención y recolección de artefactos, como las ramificaciones de procesos y archivos creados por el malware, pero el nivel de aplicación continúa siendo un desafío. Además, estos atacantes utilizaron esa capa de aplicación, que no estaba supervisada por la propia herramienta, para vulnerar los activos críticos para el negocio.
Vulnerabilidades como 10KBLAZE, PayDay y RECON permiten a los agentes de amenaza tomar el control total de las aplicaciones a través de la propia capa de la aplicación. Estos agentes de amenaza se dirigen directamente a la aplicación y, una vez dentro, alcanzan el nivel del sistema operativo. Si tenemos en cuenta las iniciativas de transformación digital de los CIOs o la rápida adaptación al trabajo remoto debido a la pandemia de COVID-19, los riesgos cobran una magnitud aún más importante. Onapsis ha comprobado que, en menos de tres horas, agentes de amenazas descubrieron y atacaron nuevas aplicaciones de SAP desprotegidas y aprovisionadas en entornos de IaaS, con más de 400 ataques exitosos registrados a la fecha de esta publicación.
En definitiva, lo que se necesita es un nuevo modelo de defensa contra el ransomware que no solo proteja los terminales, haga copias de seguridad de los archivos y espere que todo salga bien. Gartner afirma que las organizaciones deberían “[i]mplementar un proceso de gestión de vulnerabilidades en función de los riesgos que incluya la inteligencia sobre amenazas. El ransomware suele aprovecharse de los sistemas sin parches para permitir el movimiento lateral. Este debería ser un proceso permanente. Los riesgos asociados a las vulnerabilidades cambian a medida que los atacantes las explotan”. No podemos estar más de acuerdo.
Lo que se necesita es un compromiso renovado con algunos fundamentos clave de seguridad:
- Fortalecimiento de la seguridad de las aplicaciones críticas para el negocio
- Gestión de parches de manera oportuna
- Evaluaciones de vulnerabilidad en momentos puntuales
- Supervisión continua de las vulnerabilidades y amenazas en sus aplicaciones críticas para el negocio
- Protección del código personalizado en las aplicaciones críticas para el negocio
- Compromiso con el control y la administración
SAP está comprometido a innovar continuamente su propio software para mantener segura la información de sus clientes, tanto on-premise como en la nube. Damos prioridad a la seguridad para que usted pueda centrarse en dirigir su negocio y gestionar las relaciones con sus clientes de forma eficiente a través de las soluciones de SAP, con la seguridad de que sus datos están a salvo. A fin de proteger a los clientes de los ataques de ransomware, es de suma importancia poder asegurar la infraestructura de desarrollo, como la cadena de producción e implementación, para evitar la manipulación de los artefactos de envío.
Como parte de nuestro compromiso con los clientes, SAP respeta un ciclo de vida de desarrollo y operaciones de software seguro para identificar y mitigar todo tipo de debilidades y vulnerabilidades de seguridad durante el desarrollo de productos y servicios. Mediante el uso de técnicas de identificación de riesgos, como su método de modelado de amenazas y la capacitación en desarrollo seguro, SAP permite a los equipos de desarrollo eliminar los posibles puntos de entrada de ransomware y otros tipos de ataques. Además, garantiza que los principios básicos de seguridad, como el de mínimo privilegio, forman parte del ADN de los desarrolladores de SAP.
SAP continúa reforzando sus sistemas con análisis automatizados de código estático, búsquedas de vulnerabilidades y validación por parte de un equipo de seguridad interno de SAP exclusivo e independiente. El ciclo de vida de desarrollo de software de SAP ofrece un ejemplo a los clientes sobre cómo mantener un modelo DevSecOps que cubra los aspectos de desarrollo y operaciones para la entrega continua y segura de software.
Al momento de implementar y ejecutar aplicaciones de SAP, es imprescindible que las organizaciones se centren en fortalecer su sistema para poder minimizar la superficie general susceptible de ataques; por ejemplo, garantizar la correcta definición de los parámetros y otros aspectos de la configuración del sistema, incluida la activación de las características y funcionalidades de seguridad. Es importante que se definan correctamente los ajustes de configuración para proteger a una organización contra posibles vulnerabilidades de seguridad.
SAP proporciona características clave para mantener a las organizaciones al día sobre el rendimiento y la estabilidad. Por ejemplo, el servicio SAP EarlyWatch Alert, que supervisa las áreas administrativas esenciales de los componentes de SAP, y el servicio SAP Security Optimization, que verifica y mejora la seguridad al identificar posibles problemas de seguridad relacionados con su solución de SAP y proporcionar recomendaciones clave.
A medida que los agentes de amenazas idean nuevos modos de ataque y se identifican las vulnerabilidades de estos ataques, SAP proporciona continuamente actualizaciones de seguridad para el código existente con el fin de mantener sus sistemas a salvo. SAP entrega estas actualizaciones de seguridad a través de paquetes de soporte y, el segundo martes de cada mes y como parte del “Día de parches de seguridad”, publica notas de seguridad con las últimas correcciones y recomendaciones de seguridad. Como se ha observado, la aplicación de un proceso de mantenimiento de seguridad para evaluar y aplicar las actualizaciones de seguridad recomendadas es una de las mejores prácticas con probada eficacia para mitigar el riesgo.
Desde 2009, Onapsis dedica sus esfuerzos a la protección de las aplicaciones críticas para el negocio. Con nuestra plataforma de Onapsis, nos enfocamos en la capa de la aplicación y somos una parte esencial de los planes de nuestros clientes para proteger sus aplicaciones de SAP críticas para el negocio de los ataques de ransomware.
- Onapsis puede identificar todas las puertas abiertas gracias a que proporciona una visibilidad automática de las vulnerabilidades críticas, la falta de parches y actualizaciones de seguridad importantes, los errores de configuración y las interfaces inseguras. Este es un componente decisivo en cualquier estrategia de prevención de ransomware. Una vez identificados, es posible cerrar los puntos de entrada y, de este modo, reducir la superficie de ataque que puede dar lugar al ransomware.
- A través de la supervisión permanente y las alertas inmediatas de los indicadores de amenaza, Onapsis ayuda a controlar en tiempo real los intentos de acceso a los sistemas críticos a través de las puertas que quedan abiertas. Podrá ganar tiempo valioso para evitar que los agentes de amenazas logren nuevos accesos.
- Con el análisis de código en tiempo real, antes de pasar a producción y durante el traslado, Onapsis puede ayudar a identificar código externo, como el malware, o nuevas vulnerabilidades antes de que se publiquen. Las vulnerabilidades de código pueden parecer una vía de ataque menor, hasta que dejan de serlo, como en el caso del ataque a SolarWinds. Si nos basamos en la experiencia de Onapsis, generalmente se encuentra una vulnerabilidad crítica por cada 1.000 líneas de código, pero nuestros clientes suelen tener millones de líneas de código personalizado. Es importante cerrar esos miles de puertas abiertas para evitar cualquier acceso a los sistemas críticos para el negocio.
Es hora de cambiar la mentalidad sobre el ransomware. Estamos en medio de una tormenta con las condiciones perfectas: hoy existen más aplicaciones de SAP desprotegidas y más trabajadores remotos que nunca antes, los agentes expertos en amenazas cuentan con la experiencia para atacar estos sistemas, los sistemas críticos para el negocio están hiperconectados a través de la nube y, además, los equipos de Seguridad de la información están sobrecargados y pueden haberse atrasado con la gestión de parches y vulnerabilidades. El ransomware es la etapa final de un ataque que podría utilizar innumerables vías de ataque para acceder directamente a sus aplicaciones críticas para el negocio.
Las organizaciones deben aprovechar las potentes funciones de seguridad nativas de SAP, establecer los procesos adecuados de gestión de parches, código y vulnerabilidad basados en los riesgos y, además, aprovechar las herramientas optimizadas y la inteligencia sobre amenazas críticas de Onapsis. Si lo hacen, pueden reducir drásticamente sus perfiles de riesgo, ir un paso por delante de los grupos de ransomware y, en definitiva, mantenerse alejados de las noticias.
Tim McKnight es CSO de SAP.
Richard Puckett es CISO de SAP.
Mariano Núñez es CEO de Onapsis.
Otros colaboradores de este contenido son: Elena Kvochko, Imran Islam, Oliver Meli, Vic Chung y Robert Lorch de SAP, así como David D’Aprile, Maaya Alagappan y Tess Cunard de Onapsis.