La Mayor Interrupción de Ciberseguridad de la Historia: Crowdstrike

La Mayor Interrupción de Ciberseguridad de la Historia: Crowdstrike

Es una llamada de atención para la industria, el defecto de Crowdstrike que “bloqueó” a casi 10 millones de máquinas.

A estas alturas, la mayoría de nosotros sabemos lo que pasó con Crowdstrike y estamos ocupados arreglando las cosas. ¿Y la solución? Un proceso manual que requerirá acceso físico a todas las máquinas. En el caso de los trabajadores remotos e híbridos, la recuperación requerirá proporcionar privilegios administrativos a las máquinas afectadas (que luego deben revocarse o administrarse para evitar riesgos).
Los trabajadores que dependen de esos equipos tendrán que trabajar en equipos no administrados o sus equipos personales hasta que sus equipos proporcionadas por la empresa estén disponibles. Por lo tanto, se realizará una gran cantidad de trabajo en equipos no administradas, teléfonos inteligentes y máquinas personales Apple MacOS. O el trabajo no se hará en absoluto.

El trabajo se realizará en equipos no administradas: tenga en cuenta eso.

Más allá de la culpa, el panorama general

En el futuro, deberíamos considerar el valor de las máquinas no administradas y llevarlas a la esfera de confianza cero. Nos hemos visto obligados a hacer algo de trabajo incluso sin la PC emitida por la corporación. Tal vez deberíamos planificar que eso suceda como parte de la continuidad del negocio. Pero por ahora, además de movilizar al equipo de TI, el equipo del SOC debe estar al tanto de los ciberataques oportunistas que realizarán intentos de phishing o intentarán entregar malware mientras se hacen pasar por una solución para el problema.

CrowdStrike brecha seguridad malware

Sitio web que se hacen pasar por solución de CrowdStrike aprovechan utilizando la oferta de una solución como medio para distribuir malware.

Ya hemos identificado sitios web que se hacen pasar por CrowdStrike que aprovechan utilizando la oferta de una solución como medio para distribuir malware. Se han identificado y frustrado docenas de estas URL y dominios en varios inquilinos empresariales. Los ataques más comunes provienen de crowdstrike0day[.] com y crowdstrikebluescreen[.] COM.

Mientras las empresas se centran en volver a las operaciones normales, el equipo del SOC debe estar alerta: más del 50% de estas URL no están categorizadas como “malas” por las pasarelas de seguridad tradicionales y los servicios en la nube. Estos ataques utilizan tácticas de evasión de reputación de URL heredadas (LURE) y no serán bloqueados por las herramientas tradicionales. Los estamos viendo categorizados como “no categorizados” y “Salud y Medicina”, por lo que se les permitiría pasar por las defensas heredadas.

Repensar la Resiliencia de la Ciberseguridad

Después de que nos recuperemos, debemos considerar por qué sucedió esto. ¿Por qué nuestras empresas no son resilientes a una actualización de un sensor de seguridad? La protección de endpoints se ha expandido para monitorear la telemetría de red, entre otras cosas. Estos sensores se han vuelto cada vez más complejos a lo largo de los años: evolucionan desde la detección de puntos finales y AV de próxima generación hasta el monitoreo de eventos de red. Los sensores monitorean dinámicamente los comportamientos, incluida la comunicación entre procesos. Decir que es complejo no es suficiente.

Este no es el momento de criticar al último proveedor que causó tal interrupción. La mayoría de las herramientas de seguridad de endpoints a gran escala podrían haber causado una interrupción de este tipo. Esta interrupción fue grande, pero las interrupciones del servicio causadas por herramientas y sistemas de seguridad no son raras.

En 2021, más del 50% de las empresas informaron de una interrupción causada por una herramienta de seguridad. Juniper Networks tenía un problema con la integridad del código. McAfee una vez tuvo un problema similar al defecto de Crowdstrike. SolarWinds, uf. Una empresa líder de WiFi tuvo recientemente un apagón a gran escala. CitrixBleed. Log4Shell en VMware Horizon. Y la pobre Ivanti lo ha pasado mal últimamente. La tasa de interrupciones reportadas es probablemente mucho más alta que el 50% ahora.

En un panel esta semana, los analistas de Gartner discutieron este último problema, calificándolo como un evento de “Cisne Negro”. Sugirieron que los equipos de TI se encargaran de probar actualizaciones como estas antes de implementarlas. Ese enfoque no escalará. Sobrecargaría a los equipos de TI: estas actualizaciones a veces salen más de una vez al día, y retrasar la distribución de las mismas aumentará el riesgo de que un atacante gane tracción. Los analistas de Gartner también desalentaron el uso de múltiples productos de seguridad para endpoints por razones obvias:

  1. Dos sensores duplicarían el riesgo de que algo así suceda.
  2. Sería muy costoso.

Durante ese panel, John Amato  sugirió una pregunta crítica en el contexto de la consideración de alternativas al estado actual. Sugirió que a cualquier proveedor que intente hacer a un lado a Crowdstrike se le pregunte:

“¿Exactamente por qué su producto sería inmune a este problema?”

Esa es una pregunta importante. Debería plantearse de manera más general, en el contexto de la actual arquitectura de seguridad empresarial.

Adopción de una Arquitectura de Seguridad Moderna

La interrupción de Crowdstrike expuso una falla fundamental: dependemos demasiado de instalaciones complejas de software de endpoints. Durante décadas, hemos incorporado antivirus (AV), plataformas de protección de endpoints (EPP), detección y respuesta de endpoints (EDR) y detección y respuesta extendidas (XDR). Pero este enfoque ha creado un frágil castillo de naipes, propenso a colapsar bajo el peso de su propia complejidad.

Para hacer frente a las necesidades y amenazas actuales, necesitamos un cambio radical:

¿Cómo sería una solución de seguridad más resiliente? La pregunta de John Amato nos desafía a preguntarnos: “¿Exactamente qué necesitaría un producto para ser inmune a este problema?” Esto es lo que deberíamos buscar:

  • Operación independiente del kernel: Al operar fuera del kernel del sistema operativo, se elimina el riesgo de “bloquear” la máquina. Y lo que es mejor, funcionaría independientemente del sistema operativo local, sin necesidad de instalaciones adicionales de software para terminales.
  • Sesiones efímeras: se pueden instanciar, orquestar y eliminar con cada sesión de usuario para que ningún estado guardado conserve el software defectuoso o malintencionado.
  • Prevención de amenazas sólida: proporcione defensas inexpugnables contra el phishing y la entrega de malware.
  • Acceso sin problemas: Los usuarios deben poder acceder a los recursos que necesitan sin sacrificar la seguridad. Esto significa proporcionar acceso seguro a las aplicaciones y los datos, independientemente del dispositivo o la red.

Por supuesto, un producto de este tipo no se aplicaría a todos los casos de uso: las máquinas de tomografía computarizada y los sistemas de reserva de aerolíneas requieren software instalado. Las máquinas de votación electrónica deben ser administradas y seguras, por supuesto. Todos necesitan un software de seguridad para endpoints. Sin embargo, para la gran mayoría de los dispositivos de usuario final, es factible y necesario un enfoque ligero que priorice la seguridad y la resiliencia.

Hacer las Preguntas Correctas

Las máquinas de los usuarios finales necesitan protección de endpoints, y también deben ser capaces de proteger a los usuarios del malware, el phishing y los defectos de software. A medida que nos recuperamos de la interrupción de Crowdstrike, tiene sentido revisar nuestra arquitectura de seguridad y hacer algunas preguntas difíciles:

  • ¿Hemos intentado resolver todo con firewalls e instalaciones de software de endpoints durante demasiado tiempo? ¿Estamos permitiendo que el software de punto final se ejecute en piloto automático?
  • ¿El “perímetro de servicio seguro” realmente está haciendo el trabajo? ¿Log4Shell en VMware Horizon o CitrixBleed sigue siendo una preocupación?
  • ¿Cómo va esa iniciativa de confianza cero? ¿Existe otra forma de proteger a los usuarios y los endpoints de las amenazas?
  • ¿Podemos emplear una separación estricta de la red y seguir proporcionando acceso a la información y a las herramientas sin utilizar una conexión VPN?

Probablemente también sea el momento de reevaluar cómo trabajan los usuarios: el 50% de los usuarios pueden hacer su trabajo completamente dentro de un navegador. El 80% de los usuarios pueden hacer el 80% de su trabajo dentro del navegador. Microsoft Windows sigue siendo el principal sistema operativo para PC, pero Google Chrome y Microsoft Edge se han convertido en el lugar donde se realiza gran parte de nuestro trabajo. Dado que los navegadores empresariales se han convertido en las principales herramientas que utilizan la mayoría de los trabajadores, tal vez sea el momento de pensar primero en los navegadores.

Seguridad del Navegador

Si bien la protección de los endpoints y las redes sigue siendo crucial, no podemos ignorar el creciente papel del navegador en nuestra vida laboral. La interrupción de CrowdStrike puso de manifiesto cómo un solo fallo de software puede paralizar la productividad, haciendo hincapié en la necesidad de integrar la seguridad de los navegadores empresariales en nuestra estrategia más amplia de gestión de riesgos.

Simplemente acumular más software de seguridad de endpoints no es la respuesta. En su lugar, aprovechemos las herramientas que ya tenemos: nuestros navegadores. Utilizas Google Chrome, Microsoft Edge o Apple Safari; Ya tienes la herramienta adecuada a mano. La pregunta es, ¿cómo podemos usarlo a nuestro favor?

En lugar de reemplazar apresuradamente su producto de protección de endpoints, considere estas preguntas:

  • ¿Qué enfoque alternativo habría reducido el impacto de esta interrupción?
  • ¿Qué enfoque podría haber hecho que la recuperación fuera más fácil y más barata?
  • ¿Cómo pueden ayudar los navegadores que ya tenemos sin aumentar la complejidad de las instalaciones de software de punto final?

Si bien es probable que CrowdStrike aborde este problema, es aconsejable explorar medidas proactivas.

La seguridad empresarial eficaz debe proteger y controlar los endpoints y las redes, Crowdstrike y Microsoft son opciones EPP probadas. Sigue habiendo una gran variedad de proveedores de seguridad de red. Pero, ¿quién protege los navegadores empresariales? Los navegadores, donde la mayoría de nosotros pasamos la mayor parte de nuestra jornada laboral, también necesitan ser administrados y protegidos.

En el ámbito de los navegadores, realmente hay una sola opción: iboss Zero Trust Edge. iboss agrega el contexto del navegador a una arquitectura de seguridad de una manera que funciona para las empresas, tanto en máquinas administradas como no administradas. Donde los enfoques heredados han fracasado y donde a veces incluso introducen riesgos ellos mismos, iboss proporciona la seguridad y el acceso que los usuarios y las empresas requieren. iboss Security permite que el mundo se conecte, se comunique y colabore de forma segura sin compromiso, y sin el riesgo adicional de bloquear sus máquinas.

Obtenga más información sobre las soluciones de navegador empresarial y cómo la seguridad del navegador puede hacer que su empresa sea más resistente a los ataques y a los defectos de software del “cisne negro” en este informe de iboss sobre el Zero Trust.

Share this Post