Saltar de isla en isla probablemente suene más como una actividad que llevarías a cabo en las Bahamas que como un ataque. estrategia, pero en realidad los ciberdelincuentes la usan con bastante frecuencia para apuntar a las redes sin piratearlas directamente. en ellas. Entonces, ¿qué es un ataque de isla en isla y cómo puede protegerse contra él?
¿Qué es un ataque de isla en isla?
El término "salto de isla en isla" proviene de la Segunda Guerra Mundial. Las fuerzas estadounidenses querían llegar a Japón continental y tenían que moverse de isla en isla, usando cada una como plataforma de lanzamiento para la siguiente, con el continente como objetivo principal. Era conocido como salto de rana en ese momento.
En un ataque de isla en isla, los actores de amenazas persiguen a sus socios y otros socios externos, utilizando sus vulnerabilidades cibernéticas para acceder a su red más segura. Estos actores de amenazas son entidades o individuos que participan en acciones que socavan o tienen el potencial de afectar la ciberseguridad de su organización. Pueden hacer todo lo posible para eludir los cortafuegos de su objetivo, y un método eficiente es el salto de isla en isla.
Las empresas manufactureras, financieras y minoristas son principalmente los objetivos de esta forma de ciberataque. En casos como estos, los sistemas de seguridad del objetivo son herméticos y en gran medida inmunes a las invasiones directas, por lo que los piratas informáticos pasan por socios considerablemente menos seguros.
La organización de destino confía en estos socios y están conectados a su red. Los piratas informáticos explotan la relación de confianza y atacan los complejos mecanismos de defensa del objetivo real a través de sus vínculos débiles con otras organizaciones.
¿Cómo funciona el ataque Island Hopping?
Los ataques de isla en isla son efectivos porque no activan alertas en el sistema de seguridad del objetivo. Estas alertas generalmente se activan cuando se intenta ingresar a la red del host desde un dispositivo que no es de confianza o no está registrado. Las entradas de los socios rara vez se marcan; los actores de amenazas se aprovechan de este lapso.
Hay tres métodos estándar que los actores de amenazas adoptan en su misión de isla en isla.
1. Ataque basado en la red
Este método consiste en infiltrarse en la red de una organización y utilizarla para acceder a otra red asociada. En este ataque, los actores de la amenaza suelen ir tras la organización. Proveedor de servicios de seguridad gestionados (MSSP).
Los MSSP son proveedores de servicios de TI que venden seguridad a pequeñas empresas y grandes organizaciones, protegiéndolas contra las amenazas de ciberseguridad. Utilizan software, o un equipo de personal, para responder a estas amenazas tan pronto como ocurren. Muchas empresas subcontratan su departamento de seguridad de TI a estos MSSP, lo que convierte a los proveedores en un objetivo para los piratas informáticos.
2. Ataques de abrevadero
Esta forma de ir de isla en isla implica infiltrarse en sitios frecuentados por los clientes, socios comerciales y empleados del objetivo principal. Los malos actores evalúan la seguridad de los sitios e ingresan enlaces maliciosos cuando encuentran debilidades.
Estos enlaces conducen a plataformas comprometidas que automáticamente inyectan malware en la computadora. Una vez que el malware inyectado está operativo, los actores de amenazas pueden usar la información recopilada para obtener acceso al objetivo principal.
3. Compromiso de correo electrónico comercial
Una estafa de phishing suele ser el primer paso en este método. Los ciberdelincuentes se hacen pasar por una entidad comercial de buena reputación. Yahoo, Facebook y los bancos comerciales populares se utilizan principalmente en estos ataques, ya que los piratas informáticos envían enlaces maliciosos en correos electrónicos no deseados.
Una vez que se muerde el anzuelo y se hace clic en el enlace, los piratas informáticos usan malware para comprometer la computadora del usuario. Este método se dirige a funcionarios de alto rango o ejecutivos de la organización.
software registrador de teclas a veces se utiliza aquí para robar las cuentas de correo electrónico de estos ejecutivos. La información confidencial se desliza de las cuentas de correo electrónico y luego se usa para infiltrarse en la organización objetivo.
Precedentes de isla en isla: Target y SolarWinds
En 2013, una de las empresas minoristas más grandes de EE. UU., Target, se vio envuelta en una pesadilla de isla en isla. Y en 2020, SolarWinds, un proveedor de administración de TI, fue víctima de un ataque de isla en isla.
Target: La pesadilla de una temporada navideña
Los actores de amenazas comprometieron el sistema de punto de venta de Target y robaron la información financiera de alrededor de 40 millones de clientes. Esto resultó en que Target pagara la mayor cantidad liquidación de violación de datos.
Se acordaron 18,5 millones de dólares para colonizar 47 estados y el Distrito de Columbia después de que los piratas informáticos robaran la mayor parte de la información de tarjetas de crédito y débito de los clientes del gigante minorista durante las vacaciones de 2013 estación. Esta violación de datos le costó a Target más de 300 millones de dólares. Pero esto no fue un ataque directo a los servidores de la empresa.
Comenzó con Fazio Mechanical Services, otra empresa que proporciona calefacción y refrigeración a Target. Ellos experimentaron un ataque de malware dos meses antes de la brecha de seguridad de Target. Los actores de amenazas se llevaron las credenciales de correo electrónico y las usaron para acceder a los servidores de Target.
Vientos solares
Este ataque afectó a más de 18.000 empresas e incluso a departamentos del gobierno de EE. UU. Todos los afectados tenían una cosa en común: un proveedor de administración de TI llamado SolarWinds.
Al igual que con los ataques de isla en isla, SolarWinds no era el objetivo principal. Con la cantidad de departamentos del gobierno de los EE. UU. que se vieron afectados, hubo rumores de que el los piratas informáticos fueron respaldados por el gobierno ruso, con la esperanza de desestabilizar el Congreso de los Estados Unidos.
SolarWinds confirmó por primera vez el ataque en diciembre de 2020, aunque pasó desapercibido durante varios meses. En marzo de 2021, los piratas informáticos robaron las credenciales de correo electrónico del Departamento de Seguridad Nacional, aunque la mayoría de los departamentos gubernamentales habían advertido a sus empleados que cerraran Orion, el SolarWinds afectado producto. Los ataques también afectaron a los Departamentos de Energía, Tesoro y Comercio, Mimecast y Microsoft.
Cómo protegerse de los ataques de isla en isla
Con la prevalencia del salto de isla en isla, debe tomar medidas para evitar que su red y sus servidores sean atacados por partes malintencionadas. Aquí hay algunas maneras en que puede hacer esto.
1. Usar autenticación multifactor
Autenticación multifactor implica el uso de varios controles de verificación, como huellas dactilares y confirmaciones de identificación, para confirmar la identidad de cualquier persona que intente acceder a su red. Esta capa adicional de seguridad, aunque tediosa, siempre resulta útil. A los piratas informáticos con credenciales de inicio de sesión robadas les resultará casi imposible pasar una verificación de confirmación de huellas dactilares o una verificación de identificación facial.
2. Tenga un plan de respuesta a incidentes en espera
Los ataques de isla en isla toman muchas formas y, a veces, los protocolos de seguridad regulares pueden no ser suficientes para prevenir cualquier ocurrencia. Su software de seguridad debe actualizarse constantemente a medida que los ataques de isla en isla se vuelven más sofisticados. Además, lo mejor es tener respuesta a un incidente equipo en espera para encargarse de las amenazas imprevistas que pueden superar la seguridad y hacer frente a las amenazas más recientes.
3. Adopte los últimos estándares de ciberseguridad
Muchas organizaciones reconocen los riesgos de ir de isla en isla y han establecido estándares de seguridad cibernética para cualquier posible socio y asociado. Asesorar a los socios actuales para que actualicen sus sistemas de seguridad; aquellos sin controles avanzados deberían tener acceso restringido a su red.
No sea una víctima: restrinja el acceso o actualice su seguridad
Los ataques de isla en isla se han vuelto más frecuentes. Las organizaciones con protocolos de seguridad laxos corren el riesgo de ser víctimas de amenazas a menos que actualicen sus sistemas.
Sin embargo, se necesita más. Los socios externos sin sistemas de seguridad avanzados representan un riesgo y no deben tener acceso ilimitado. Si es imposible limitar el acceso, dichos socios deben actualizar sus sistemas.