Desde principios de 2019, ha habido numerosos informes de intentos de robar e incluso dañar la investigación sobre el control del coronavirus COVID-19 por parte de organizaciones gubernamentales y privadas de atención médica en los Estados Unidos (EE. UU.) y el Reino Unido (RU), cuyas preocupaciones sobre la validez han surgido de seguridad Los ataques, que supuestamente se originan en Rusia, China, Irán y Corea del Norte, supuestamente utilizan un método conocido como “rociado de contraseñas”. Hace brillar un reflector sobre por qué el diseño de confianza cero es importante para los sistemas digitales y su renovación.
Según una encuesta anual de la Healthcare Information Management Systems Society (HIMSS), más del 80 % de los hospitales y casi dos tercios de las instituciones de investigación informaron ataques de fuerza bruta en sus sistemas en 2019. El resto no sabía si habían sido atacados y mucho menos comprometidos. Es probable que la encuesta de 2020 aumente significativamente esos números. Esto se debe a equipos de red obsoletos y malas prácticas de ciberseguridad comunes a estas organizaciones, lo que las hace particularmente vulnerables a este tipo de ataques.
Los ataques cibernéticos de fuerza bruta son tan conocidos que se han convertido en un mecanismo de trama común en la televisión y las películas. Todo lo que necesita es un programa que pueda intentar iniciar sesión en cuentas con tantas contraseñas comunes como sea posible antes de que la seguridad le avise. Este único punto de ataque se puede frustrar fácilmente bloqueando los intentos después de 3 o 4 intentos. Sin embargo, los aerosoles de contraseñas superan esa barrera al apuntar a tantas cuentas como sea posible en su red y usar una contraseña a la vez hasta que entren. La posibilidad de encontrar una sola cuenta con una contraseña débil de esta manera es ventajosa para el atacante.
Fuente: iStock
Este tipo de ataque se usa más comúnmente contra el inicio de sesión único (SSO) y las aplicaciones basadas en la nube que usan protocolos de autenticación federados, lo que permite que los actores malintencionados comprometan el mecanismo de autenticación. Una vez dentro, los atacantes se mueven lateralmente y aprovechan las vulnerabilidades de la red interna para obtener acceso a aplicaciones críticas y datos confidenciales.
Zero Trust es la primera línea de defensa en esta situación, definida simplemente como no confiar en nadie en el sistema. Un paso básico que pueden tomar los administradores de TI es solicitar restablecimientos de contraseña cada pocos meses. La Administración del Seguro Social requiere que los usuarios cambien sus contraseñas cada seis meses, lo que sigue siendo indulgente. Los miembros de la red deben usar contraseñas seguras que combinen letras (mayúsculas y minúsculas), números y símbolos. No tiene nada que ver con información personal. No hay palabras de diccionario. La formación periódica sobre concienciación en materia de seguridad también ayuda. En segundo lugar, adoptar la autenticación multifactor (MFA) es un dolor insoportable, pero reduce el potencial de los atacantes en lugar de simplemente cambiar las contraseñas. Axel Kloth, Director de Tecnología (CTO) de Axiado, dijo:
Si una organización tiene 100 cuentas en su red y el 99% de sus miembros siguen las reglas de Zero Trust, dicha organización tiene cierto éxito en seguridad. Esto es excelente porque varios estudios que se remontan a una década han demostrado consistentemente que el 75% de los miembros de una red en cualquier red determinada no se adhieren a estas reglas establecidas. El problema es que los piratas informáticos solo necesitan una cuenta para ingresar. En particular, cuentas de miembros que usan contraseñas débiles o reutilizan un conjunto de contraseñas débiles en varias cuentas.
Gopi Sirineni, CEO de Axiado Corporation, dijo: “Tenemos credenciales personales y seguridad de dispositivos en forma de VPN de red privada virtual y administración de dispositivos móviles. Pero si alguien usa una contraseña débil, compromete nuestro sistema de seguridad”.
Sin embargo, estos se consideran muy lentos y costosos y, por lo tanto, ineficaces. La debilidad radica en la falibilidad humana y la pereza, lo que respalda el argumento de eliminar la responsabilidad humana por la seguridad y hacerla cumplir a través de la automatización.
La autenticación se puede automatizar y monitorear directamente a nivel de dispositivo utilizando firmware y servicios empresariales como Keyfactor e Intrinsic ID. Sin embargo, la base de clientes de Keyfactor es de solo 500 empresas en todo el mundo, y la identificación intrínseca solo se encuentra en dispositivos de transacciones financieras, como tarjetas de cajero automático. Es poco probable que los usuarios confíen en que su dispositivo utiliza estas tecnologías y puede considerarse seguro. La buena noticia para el mundo de la investigación médica es que es la principal base de clientes de Keyfactor. Pero incluso si ese enfoque fuera omnipresente, los servidores en el corazón de la red seguirían siendo vulnerables.
Ha habido múltiples historias en los últimos tres años. vulnerabilidades de seguridad La cantidad de núcleos x86 y ARM y los nuevos agujeros parecen aparecer cada pocos meses. Para acceder a estos servidores, señaló Sirineni, todo lo que un pirata informático debe hacer es sobornar a un conserje para que traiga un dispositivo de bus serie universal (USB) infectado a la sala del servidor y lo conecte a la red. Luego, el malware puede robar credenciales e infectar redes enteras durante meses antes de ser detectado.
Detectar una intrusión por sí solo es un gran problema porque los microprocesadores estándar que se usan en los servidores tienen muchos escondites, incluidos aquellos con funciones de seguridad. Estas características se consideran propietarias, por lo que los fabricantes de chips no quieren que nadie husmee en su diseño por el motivo que sea. Este es un gran punto de venta de la plataforma RISC-V de código abierto. Cualquiera puede verificar el contenido del firmware del chip en cualquier momento.
Dany Nativel, gerente general (GM) de seguridad de la plataforma de la subsidiaria francesa de SiFive, dijo que la arquitectura de 15 años tiene problemas con la seguridad. A medida que aumenta la complejidad, también aumenta la cantidad de ataques que enfrentan los piratas informáticos para inyectar malware. Dijo que es imperativo eliminar los sistemas heredados de la red y reemplazarlos con verdaderos sistemas Zero Trust con una clara raíz de confianza que se pueda auditar fácilmente. Según él, RISC-V proporciona un borrón y cuenta nueva con un código simplificado, reducido y más seguro que se ejecuta en un centro de operaciones de seguridad (SoC).
“Dada la cantidad exponencial de dispositivos conectados, es imprescindible tener una raíz de confianza clara y limpia”, enfatizó. “Hay muchas empresas que proporcionan parches de terceros para mejorar la seguridad de RISC-V, pero ninguna aborda la seguridad a nivel del sistema y, lo que es más importante, los parches no son como RISC-V. No se publicó para
Nativel dijo que RISC-V ya incluye protección de memoria física (PMP) que protege el núcleo y todas las aplicaciones que se ejecutan dentro del núcleo, pero la misma configuración de PMP en múltiples núcleos Reconocí que no escala bien en múltiples núcleos porque necesita aplicar . núcleos diferentes.
“No hay una manera fácil de proteger las tareas individuales entre sí”, dijo. “Necesitamos asignar una región PMP al núcleo para proteger cada periférico, pero el núcleo no tiene tanto espacio. La clave para resolver estos problemas es adoptar soluciones abiertas de seguridad de hardware y software. Esto nos permite compartir un esquema de seguridad .”
Axiado está de acuerdo con Nativel y adopta un enfoque basado en una plataforma holística RISC-V. En lugar de concentrarse en un solo punto de protección, como un dispositivo o un servidor, Axiado quiere colocar la protección en el borde de la nube entre dispositivos y servidores, aislando un solo dispositivo infectado del resto de la red.Previene la infección en otras áreas.
Para abordar el análisis forense, la compañía está desarrollando una “bota de oro” defensiva e inteligencia artificial que puede detectar ataques antes de que ingresen a la red y evaluar el uso de los miembros, dijo Sirineni. . “Por ejemplo, si el sistema detecta que un miembro ha aumentado repentinamente la cantidad de correos electrónicos que envía durante un período de tiempo, la cuenta puede ponerse en cuarentena para determinar si ha sido pirateada”. Lo llamamos redefinir la confianza.
El término “Zero Trust” fue acuñado en 2010 por John Kindervag, entonces analista de Forrester Research Inc. y ahora CTO de Palo Alto Networks. Google fue la primera empresa en adoptar el término y dijo que lo implementó en toda su red. Es una palabra de moda en la industria, y me siento frustrado cada vez que se usa en una presentación, porque está lejos de implementarse prácticamente en todas partes y no se puede evitar fácilmente.
Según Nativel, los clientes de IoT de SiFive están cada vez más cerca de exigir más dispositivos y sistemas con seguridad mejorada, sin importar cómo se desempeñen, pero no obstante, el problema con la mayoría de los sistemas heredados accesibles en red, especialmente médicos, es casi insuperable en la industria. Sería bueno si una empresa como Axiado pudiera aumentar la seguridad sin un movimiento internacional para eliminar el legado.