Los operadores de ransomware confían en tres soportes clave para permitirles atacar organizaciones en masa, y eliminar solo dos de estos será una gran victoria para la comunidad de seguridad en su lucha, Chris Krebs, ex director de Infraestructura y Ciberseguridad de los Estados Unidos. Security Agency (CISA), ha dicho a una audiencia en la Cumbre de Seguridad de Datos anual del especialista en protección de datos Rubrik.
Krebs, quien recientemente se unió a Rubrik en calidad de asesor como presidente de su Consejo Asesor de CISO para abordar la seguridad global y enfrentar la crisis del ransomware, explicó estos apoyos. Primero, dijo, la superficie de ataque y la base instalada son altamente vulnerables; segundo, los atacantes han descubierto cómo monetizar las vulnerabilidades, generalmente a través del ecosistema criptográfico; y tercero, existe un refugio seguro histórico, es decir, Rusia, desde donde pueden operar con impunidad.
“Lo estás viendo [ransomware] esparcirse por todo el mundo porque paga: aquí hay un motivo de lucro y hasta que interrumpamos al menos dos, si no las tres patas de ese taburete, continuaremos viendo que sucede”, dijo Krebs.
“Hemos visto movimiento para mejorar o interrumpir las actividades, que estoy muy emocionado de ver continuar, el FBI y el Departamento de Justicia. [DoJ] y el Tesoro apuntando a la comunidad de criptomonedas… apuntando a algunos de esos mezcladores y algunos de esos intercambios [to] interrumpir la capacidad de los delincuentes para ganar dinero.
“También hay que perseguir la capacidad de los propios delincuentes para llevar a cabo sus actividades, por lo que, al principio, se interrumpe su mando y control. [C2] infraestructura, interrumpir su capacidad para trabajar con otros afiliados, les hace dudar de sí mismos. Esa fue una de las actividades interesantes del año pasado, ya sea del gobierno de los EE. UU. u otros socios, entrar en algunas de las comunidades y sembrar dudas y desconfianza y entonces ves que estos grupos se separan porque ya no pueden trabajar juntos.
“La tercera cosa, y aquí es donde CISA ha hecho un trabajo tan notable durante el último año más o menos, es trabajar con socios en la industria y el gobierno: el gobierno estatal y local sigue siendo un objetivo principal, así como las escuelas y el cuidado de la salud. industria, brindándoles los trucos del oficio y solo las herramientas básicas para mejorar”, dijo.
Hablando en el mismo evento, Eric Goldstein, actual subdirector ejecutivo de CISA, se hizo eco del sentimiento de Krebs sobre la importancia de trabajar con socios y los llamados de otros para una mayor colaboración entre las agencias cibernéticas gubernamentales, la comunidad de seguridad y las organizaciones en riesgo.
“Aprendimos mucho durante el último año y cambiamos debido a los cambios en el entorno de amenazas, y el atributo más importante que hemos aprendido es esta necesidad de pasar de una asociación ad hoc episódica que, francamente, no puede alcanzar la velocidad de la adversario y la velocidad del cambio en el entorno tecnológico a un modelo de colaboración operativa persistente”, dijo Goldstein.
“Lo que eso significa en la práctica es pasar a un entorno en el que los operadores y los profesionales, en todo el gobierno, la infraestructura crítica, la comunidad internacional de ciberdefensa, trabajen juntos continuamente. [and] no estamos esperando que suceda el peor incidente posible antes de comenzar a enviar solicitudes de información o participar en conferencias telefónicas.
“Todos ya estamos allí, todos ya estamos trabajando juntos en canales de colaboración virtual, trabajando juntos en persona. No solo tenemos las relaciones, sino también las expectativas y las plataformas para hacer un trabajo colaborativo continuo y a escala”.
Este modelo informa a la relativamente nueva Colaboración conjunta de defensa cibernética de CISA, que se puso a prueba durante la crisis de Log4Shell de Navidad de 2021 y luego se amplió drásticamente a principios de 2022 durante la invasión rusa de Ucrania.
“Todavía estamos en los primeros días de este modelo, pero realmente es una innovación en la forma en que pensamos sobre la colaboración y cómo pensamos sobre el papel del gobierno como socio co-igual en este modelo colaborativo con infraestructura crítica. , con los sectores de ciberseguridad y tecnología, y con nuestros socios en todo el mundo”, dijo Goldstein.
Krebs agregó: “Las organizaciones están comenzando a contextualizar, enriquecer y operacionalizar los datos que tienen residentes en sus redes. Solo CISA tiene acceso a una gran cantidad de datos de flujo neto solo de las agencias federales… y con todos esos datos, si comienza a mirar por encima e identifica tendencias, puede mirar hacia atrás, puede mirar hoy, y luego puedes mirar hacia adelante y ver hacia dónde van las cosas.
“Lo que me encanta ver de CISA es más de ese enriquecimiento, más de esa contextualización, más de ese intercambio. Y cada organización tiene la capacidad de obtener información de los datos que tienen: Rubrik está apoyando al equipo de Rubrik Zero Labs, que analiza los datos que tiene, ya sean de clientes o de sus propias redes, y luego obtiene información para una mejor defensa. postura y actividades a partir de esos datos.
“Todo el mundo puede hacer esto. Es algo que estaba presionando a CISA para que hiciera cuando yo era el director, y es genial ver a Jen [Easterly]continúe y realmente ponga el pie en el acelerador de esa capacidad”, dijo Krebs.
De cara al futuro, Krebs dijo que esperaba ver a los gobiernos observar más de cerca las intervenciones de mercado apropiadas para impulsar mejores prácticas de seguridad, lo que en última instancia podría conducir a una mayor regulación o establecimiento de estándares.
“Eso pondrá, sin duda a las industrias más críticas, en una mejor postura para defenderse, y con más claridad y certeza sobre lo que deben hacer, contextualizar la información con los controles de seguridad adecuados sobre las cosas que deben hacer, porque nosotros No estamos viendo necesariamente las inversiones correctas o los controles de seguridad correctos en ciertos lugares”, dijo.
Krebs agregó que el Congreso de EE. UU. “hizo las cosas bien” con los nuevos requisitos de notificación de incidentes cibernéticos, parte de una ley que actualmente se está abriendo paso en el sistema, y alentó a los miembros de la comunidad a ofrecer comentarios y orientación sobre las solicitudes anticipadas de información sobre consultas.
Instó a los profesionales de la seguridad a continuar evolucionando, diciendo que los trucos establecidos del oficio no necesariamente van a funcionar mañana porque el panorama de amenazas se mueve muy rápido.
“Mi socio comercial, Alex Thomas, habla de que no te conviertes en un gran maestro de ajedrez leyendo un libro, tienes que jugar. Eso es lo que están haciendo los malos, están jugando todos los días”, dijo.
“Tenemos que estar activos, tenemos que estar probando, tenemos que estar evaluando continuamente qué funciona y qué no funciona, y seguir empujando la pelota hacia adelante”.
