Durante la mayor parte de los años 90 y principios de los 2000, el manual del administrador de sistemas decía: «Filtra tu tráfico entrante, no todo el mundo es agradable ahí fuera(posteriormente acuñado por Gandalf como «No debe pasar«). Entonces, los CIO comenzaron a sobrecargar sus vallas de red con todos los dispositivos que podían obtener para protegerse contra el tráfico entrante (también conocido como INGRESS).
A raíz de las primeras campañas masivas de phishing a principios de la década de 2010, se hizo cada vez más evidente que alguien tenía que tratar con los empleados y, más concretamente, con su sorprendente capacidad para hacer clic en todos los enlaces que recibían. El filtrado del tráfico saliente (también conocido como EGRESS) se convirtió en una obsesión. La seguridad del navegador, los proxies y otros antivirus glorificados se convirtieron en los elementos imprescindibles que toda empresa de consultoría aconsejaría a sus clientes que tuvieran en sus manos lo antes posible.
El riesgo era real y la respuesta bastante adecuada, pero también contribuyó al famoso «Super soldado» postura. ¿Estoy solo contra un ejército? Así sea, cavaré una trinchera, enterraré mis activos dentro, detrás de montones de software y me convertiré en un súper soldado para mantener mi posición.
Pero el «suelo» era un blanco en movimiento. SaaS, shadow IT, Public Cloud, cargas de trabajo temporales y trabajo desde casa rompieron esos muros. El perímetro una vez muy claro se volvió cada vez más borroso. Los conceptos de «adentro» y «afuera» se volvieron borrosos. El súper soldado no podía defender todas las áreas simultáneamente. También se enfrentaba a un creciente ejército de ciberdelincuentes bien entrenados y fuertemente financiados. Superman ya no podía estar en todas partes al mismo tiempo.
Y luego, a fines de la década de 2010 y principios de la de 2020, llegó el ransomware. Una forma terriblemente inteligente de monetizar la deuda técnica al precio más alto posible. Las mismas viejas técnicas de piratería, gracias al auge de las criptomonedas, ahora valían platino. Nuestro súper soldado estaba, de repente, muy solo y… bastante inútil.
Los filtros de salida son posteriores al compromiso, mientras que los filtros de ingreso son antes del compromiso
El manejo del tráfico de ingreso estaba menos de moda en ese entonces, se suponía que era un trato hecho. Con un firewall y un monitoreo decente, deberíamos estar listos para comenzar. Pero comprometer a una empresa o institución gubernamental podría hacerse principalmente usando una de las tres estrategias principales:
- Atraiga a los usuarios y apueste por un filtrado de salida débil
- Use la explotación masiva, como un día 0, una vulnerabilidad lógica, contraseñas débiles, etc., y apueste que el filtrado de ingreso no fue tan inteligente (quién incluye en la lista blanca el acceso a sus puertos 53, 80, 443, 465, etc.)
- Usa ataques dirigidos, muy similares a los anteriores, pero apuntando solo a una entidad específica, en toda su superficie. En lugar de phishing ampliamente con una pistola Gatling, con la esperanza de 123456 RDP «protegido». Aquí nuevamente, una cuestión de manejo de Ingress.
De acuerdo a Informes de IBM X-force, aproximadamente el 47 % de los compromisos iniciales están relacionados con la explotación de vulnerabilidades, mientras que el phishing representa el 40 %. Agregue un 3 % de credenciales robadas y un 3 % de fuerza bruta, y sus agresiones de Ingress pesan un 53 % en términos de probabilidad de ser violadas de afuera hacia adentro. (No estoy contando el 7 % de medios removibles porque, sinceramente, si sus usuarios son lo suficientemente tontos como para conectar un USB desconocido y su política lo permite, entonces es un asunto diferente que yo llamaría darwinismo digital).
Una vez que un usuario es infectado con malware, el juego consiste en evitar que sus estaciones de trabajo se conviertan en una base de operaciones para los ciberdelincuentes. Ahora, aquí es donde entra en juego el filtrado de salida. Vale, es demasiado tarde, te han puesto en peligro, pero mitiguemos las consecuencias y evitemos que la estación 1/ siga siendo explotada dentro de los muros, pero también 2/ se conecte de nuevo al comando y control. centro de los delincuentes.
Ahora, la protección del tráfico de entrada es necesaria porque no solo representa más compromisos iniciales, sino también porque el perímetro es más grande y más heterogéneo que nunca. Un «perímetro» corporativo a menudo ahora comprende HQ LAN y DMZ, algunas máquinas alojadas en centros de datos y, finalmente, varias oficinas con VPN, trabajadores remotos, cargas de trabajo en la nube, proveedores de la cadena de suministro y herramientas SaaS. Monitorearlo todo es una hazaña, especialmente cuando los proveedores de SIEM quieren monetizar cada registro que almacena. Pensar que solo Egress CTI o la herramienta lo protegerán no es realista.
De reactivo a proactivo
Hoy en día, el manejo del tráfico de entrada está menos de moda porque se suponía que se trataría en los años 90. Pero si obtiene su información sobre los ataques de entrada y la selecciona lo suficiente como para aprovechar estos datos de CTI en sus dispositivos, entonces es una ganancia neta para su postura de seguridad general. ¿Y adivina quién está haciendo seguridad de colaboración colectiva basada en una herramienta DevSecops de código abierto?
¡Así es! MultitudSec! Descubra cómo puede proteger su tráfico de entrada aquí.
Nota: Este artículo ha sido escrito por Philippe Humeau, CEO de CrowdSec, con experiencia y cuidado.