Lecciones del incidente de Kaseya sobre el riesgo para la ciberseguridad de los servicios tercerizados

Lecciones que debemos aprender del incidente de Kaseya para proteger los datos de su empresa al hacer negocios con un proveedor de servicios administrados MSP.

Lecciones que debemos aprender del incidente de Kaseya para proteger los datos de su empresa al hacer negocios con un proveedor de servicios administrados MSP.

Los proveedores de servicios administrados (MSP, por sus siglas en inglés) desempeñan un papel fundamental en el ecosistema de TI. Al tercerizar muchos de los requerimientos diarios de TI a este tipo de empresas, las organizaciones, y en particular las más pequeñas, pueden ahorrar costos, mejorar los niveles de servicio y concentrar más recursos en hacer crecer el negocio. En teoría, también pueden reducir el riesgo de seguridad entregándose a un proveedor más capaz y con mejores recursos. Sin embargo, como ha evidenciado el ataque de ransomware que afectó a los clientes de Kaseya, los MSP también pueden ser una fuente de riesgo para la ciberseguridad.

En medio del complejo panorama actual de amenazas, estos riesgos evolucionan constantemente. Eso ejerce más presión sobre las organizaciones que deben asegurarse de que están haciendo las preguntas de debida diligencia a los posibles proveedores antes de firmar contratos.

¿Qué pasó con Kaseya?

Kaseya es un proveedor de software de gestión de TI cuyos principales clientes son MSP. Su producto VSA ofrece de manera automatizada parches de software, monitoreo remoto y otras capacidades para que estas empresas puedan administrar sin problemas la infraestructura TI de sus clientes. De manera similar a Orion de SolarWinds, para poder funcionar el producto requiere accesos con altos privilegios a los entornos del cliente. Esto lo convierte en una opción perfecta para los atacantes que buscan un vector que sea efectivo y que les brinde un alto retorno de la inversión.

Eso es exactamente lo que sucedió el 2 de julio. Como describió en su sitio el propio proveedor, los cibercriminales usaron la plataforma para comprometer decenas de MSP y distribuir una falsa actualización a sus clientes que contenía el ransomware REvil/Sodinokibi. Se vieron afectados alrededor de 50-60 MSP, y cerca de 1.500 clientes. ¿Cómo hicieron esto? Según se informó, los atacantes explotaron entre una y tres vulnerabilidades zero-day en el producto Kaseya VSA, ganándole al propio equipo de seguridad del fabricante que ya estaba trabajando en parches para corregir las vulnerabilidades. Las mismas son:

Esto les permitió evadir la autenticación en la interfaz web local de Kaseya VSA de los MSP. Luego usaron la sesión para cargar su payload y ejecutar comandos mediante inyección SQL.

¿Por qué son riesgosos los MSP?

Esta no es la primera vez que Kaseya ha sido atacado por grupos de ransomware. En 2019, los actores de amenazas explotaron un plugin vulnerable para Kaseya VSA que les permitió comprometer a un solo cliente de MSP. Con acceso con permisos de administrador al software, los atacantes pudieron ejecutar ransomware en todos los sistemas de los clientes que administraba, lo que provocó que entre 1.500 y 2.000 clientes se infectaran con el ransomware Gandcrab.

Aunque el ransomware Gandcrab ha sido asociado con REvil, no hay indicios de que estos ataques hayan sido perpetrados por el mismo grupo. En cualquier caso, el cibercrimen en las profundidades de la darkweb realiza una labor de compartir inteligencia que es mucho mejor que el que realiza la comunidad de seguridad informática. Eso significa que, si en algún momento del pasado quedó demostrado que los ataques funcionan, estos generalmente se volverán a repetir en el futuro. Esta es una mala noticia para los MSP y sus clientes, ya que existe evidencia suficiente que demuestra que las campañas contra los MSP pueden ser muy exitosas.

En el pasado, algunas víctimas de alto perfil han sido afectadas como consecuencia del trabajo de operativos respaldados por estados. Esto incluye Operation Cloud Hopper, un audaz esquema de varios años que fue atribuido al grupo APT10 y que impactó a una gran cantidad de víctimas. La diferencia hoy en día es que ahora los que apuntan a los MSP son criminales motivados financieramente. Según un informe reciente, el 73 por ciento de los MSP informaron al menos un incidente de seguridad durante el año pasado y el 60 por ciento de estos estaban relacionados con ransomware.

El ciberdelito es un gran negocio en la actualidad. Y tiene un total sentido desde el punto de vista comercial dedicar tiempo a investigar y apuntar a una sola organización que puede proporcionar acceso a miles más, que dirigirse a esos clientes de forma individual. Después de todo, los MSP tienen datos de clientes y acceso con privilegios a estas organizaciones. Según algunas estimaciones, en la actualidad podría haber hasta 20.000 de estos MSP que prestan servicios a varios clientes solo en Estados Unidos. Y no todos son tan seguros como deberían.

Cómo gestionar el riesgo de los MSP

La dinámica del mercado debería significar que los MSP que constantemente fallan a sus clientes en seguridad eventualmente ceden el paso a aquellos con una postura más sólida en la gestión de la ciberseguridad. No hay escasez de herramientas en el mercado para ayudar a estos proveedores a diferenciarse en seguridad. Sin embargo, esto solo funciona si los clientes están lo suficientemente bien informados a la hora de tomar una decisión.

Con ese fin, aquí hay algunos puntos básicos que se deben verificar y preguntas que debe considerar antes de elegir su próximo MSP:

  • ¿Cómo es su programa de gestión de parches/vulnerabilidades?
  • ¿Con qué socios trabaja a nivel de software y cuál es su reputación en lo que refiere a garantizar seguridad/calidad?
  • Realice verificaciones adicionales en cualquier software de MSP que funcione con altos privilegios
  • ¿Ejecutan los ocho controles de mitigación esenciales para los MSP? (Estos son: lista blanca de aplicaciones, parcheo y hardening, restricción de privilegios administrativos, autenticación multifactor, parcheo del sistema operativo, backup diarios y ajuste de la configuración de macros de Office)
  • ¿Cuentan con una sólida protección antimalware en servidores, endpoints, redes, correo electrónico, sistemas en la nube, etc.?
  • ¿Operan una política de acceso con menos privilegios y una segmentación de la red para minimizar la superficie de ataque?
  • ¿Capacitan y actualizan al personal de manera periódica acerca de temas como el phishing?
  • ¿Realizan auditorías/revisiones de seguridad completas y periódicas?
  • ¿Ejecutan detección y respuesta de amenazas extendidas (XDR) para una protección proactiva?
  • ¿Tienen un plan de respuesta a incidentes bien ensayado, incluso en el peor de los casos?
  • ¿Qué estándares, certificaciones y marcos de la industria siguen?

Los controles de debida diligencia como este no aislarán a su organización al 100 por ciento de un incidente de seguridad que involucre a un MSP, pero ayudarán a reducir el riesgo de sufrir uno. Y hoy, eso es lo mejor que puede hacer.

Newsletter

Discusión