Lecciones del caso de TI en Corea del Norte para fortalecer tu seguridad

Una reciente acusación federal de Estados Unidos (EE. UU.) expuso una operación de gran alcance por parte de operativos norcoreanos y sus cómplices, quienes infiltraron empresas estadounidenses para generar ingresos e inteligencia para el régimen de la República Popular Democrática de Corea (RPDC).

Esta operación comenzó con operativos norcoreanos postulando a trabajos remotos de TI en Estados Unidos usando identidades estadounidenses robadas. Una vez contratados, los dispositivos que les proporcionó la empresa fueron enviados a “granjas de laptops” en EE. UU. Los operadores de las granjas de laptops explotaron las debilidades en los controles de seguridad de los endpoints corporativos. Inmediatamente, instalaron software de acceso remoto (por ejemplo, AnyDesk) en los endpoints de la empresa, lo que dio a los actores de amenazas la capacidad de operar los dispositivos desde Corea del Norte.

Si se hubieran entregado endpoints suficientemente fortalecidos a estas granjas de laptops, los norcoreanos habrían tenido dificultades para lanzar su campaña de amenaza interna y probablemente habrían sido detectados de inmediato. Por ejemplo, si estos dispositivos recién emitidos hubieran incluido controles de seguridad estrictos que impidieron a los usuarios finales instalar software no autorizado o no gestionado, los norcoreanos no habrían podido aprovechar un producto tan simple (aunque extremadamente arriesgado) como AnyDesk para facilitar sus operaciones maliciosas.

Incluso con estrictas reglas y configuraciones de seguridad en los endpoints, sigue siendo fundamental que los equipos de seguridad auditen lo que los nuevos usuarios intentan introducir en la organización. Los usuarios finales con malas intenciones están decididos a eludir sus controles de seguridad; encuentran formas creativas (a menudo simples) de sortear incluso las tecnologías de seguridad de endpoints más sofisticadas. Asegúrate de que tus equipos auditan continuamente los endpoints en busca de software recién incorporado, y trata los hallazgos con seriedad. Si se está instalando software no gestionado en su entorno, significa que las políticas de seguridad no están funcionando o que un usuario final ha eludido los controles de seguridad.

Todas las personas deberíamos preocuparnos por cómo técnicas tan rudimentarias permitieron a un actor de amenazas sofisticado comprometer y perturbar el sector privado de EE. UU., ya que no se utilizaron exploits asombrosos en esta intrusión. Los norcoreanos simplemente aprovecharon la falta de controles de seguridad en los endpoints y capacidades de monitoreo. Ahora es el momento de reunir a tus equipos de seguridad y evaluar sus capacidades y defensas en las siguientes áreas:

1. Aprovisionamiento de dispositivos: Cuando tu organización configura una laptop para un nuevo empleado, ¿puede auditar el endpoint para asegurarse de que todas las configuraciones de seguridad estén habilitadas y que todo el software de seguridad del endpoint esté instalado? Si no, es hora de reunirse con tus equipos de TI e identificar formas en que tus analistas de seguridad pueden comenzar a auditar la salud de la seguridad de los endpoints y remediar controles rotos o falta de cobertura de seguridad.
2. Reducción de la superficie de ataque: Reducir la superficie de ataque de una organización comienza en el endpoint. Asegúrate de que tus equipos de TI y Seguridad estén trabajando proactivamente para identificar aplicaciones redundantes, obsoletas o no gestionadas. Limpiar programas y aplicaciones innecesarias en los dispositivos de los usuarios finales es una excelente manera de mejorar la postura de seguridad y privacidad.
3. Continuidad de cobertura: Los equipos de seguridad deberían ser capaces de identificar rápidamente cuándo faltan o están mal funcionando los controles de seguridad de los endpoints y deberían tener las herramientas para volver a implementar la cobertura de seguridad de inmediato. En el mundo actual, puede llevar a los equipos de seguridad semanas identificar y remediar endpoints mal configurados. Si este es el caso en tu organización, es momento de comenzar a identificar formas de gestionar dispositivos en tiempo real.
4. Métricas e informes: Incluir información detallada sobre la salud y postura de seguridad general de los endpoints de tu organización es clave para garantizar la responsabilidad y la proactividad en tus prácticas de gestión de endpoints. Cuantifica tu cobertura EDR en todos los endpoints, califica el cumplimiento de controles críticos de seguridad de endpoints e informa cuánto tiempo les toma a tus equipos identificar y resolver las malas configuraciones de seguridad de los endpoints.