Caso 5: Bret Hartman – Former CISO en RSA
Observa los patrones
El Incidente
En 2011 RSA era uno de los mayores y más reconocidos proveedores de seguridad de la información del mundo. Su producto estrella era SecureID, un token físico que proporcionaba autenticación de dos factores a más de 30,000 clientes. Si en 2011 trabajabas en una organización que se tomaba en serio su seguridad, lo más probable es que tuvieras uno en el bolsillo.
En la primavera de ese año, adversarios de un Estado-nación accedieron a los sistemas de RSA y se llevaron uno de sus activos más valiosos: el banco de semillas que SecureID utilizaba para generar códigos de autenticación. En teoría, el adversario podía generar tokens MFA para cualquiera de los clientes de SecureID. La brecha de RSA fue el primer ataque masivo conocido a la cadena de suministro y el director de tecnología Bret Hartman participó activamente en la respuesta al incidente.
Hartman recuerda la primera vez que recibieron la mala noticia. «Pensamos que era el fin de RSA. Pensamos que era existencial y que la empresa no sobreviviría», recuerda Hartman. «Para RSA como proveedor de seguridad, nuestra reputación y el valor del producto que vendíamos a 40 millones de usuarios estaban completamente en peligro. No fue un día divertido».
Los Aprendizajes
La visibilidad siempre es clave
«Sin visibilidad ni supervisión, no sabrás que algo va mal», dice Hartman. «Cuando finalmente ocurra algo que revele que hay un compromiso, podría ser demasiado tarde».
Por suerte, RSA tenía acceso a la mejor tecnología de seguridad de la información y al mejor talento del mundo en aquel momento. Hoy en día, la brecha media permanece sin detectarse durante 201 días. El equipo de RSA consiguió detectar la brecha a los 5 días de su acceso inicial.
Contar con una capacidad defensiva completa y una buena higiene cibernética siempre será importante. «Pero es imposible tener una higiene perfecta», escribe Hartman en su blog de Medium. «Debes asumir que los atacantes (o insiders) llegarán dentro de la organización para intentar causar daño».
Las herramientas de seguridad de RSA y la amplia seguridad a nivel de aplicación les permitieron ver casi en tiempo real lo que estaba haciendo el adversario. En ese momento, no estaba claro cuáles eran las intenciones de los actores de la amenaza. Sin embargo, en cuanto los adversarios saltaban a un nuevo activo o sistema, los cazadores de amenazas de RSA les pisaban los talones.
Mientras se desarrollaba la brecha, el equipo de seguridad estaba relativamente tranquilo. Había indicios de que los actores de la amenaza no podían acceder a los datos de las tarjetas de crédito de los clientes ni a otra información sensible de los mismos. Confiaban en que los atacantes serían expulsados antes de que se produjera ningún daño, hasta que se robaron las semillas de SecureID.
Investiga rápidamente y adelántate a la brecha
Gracias a su detección y supervisión tempranas, el equipo de respuesta a incidentes de RSA pudo ver las intenciones del adversario en cuanto se hicieron evidentes. Descubrieron que los actores habían desviado las semillas a un servidor pirateado. Incluso consiguieron acceder al servidor, pero antes de que los analistas pudieran eliminar los archivos robados de ese servidor, fueron desviados a un lugar desconocido.
Aunque las semillas robadas fueron una gran decepción, el resultado fue que RSA conoció el riesgo en cuanto quedaron claras las intenciones de los atacantes. Así pudieron informar a todos sus clientes de la amenaza y aconsejarles cómo tomar medidas para mitigarla.
«Por lo que sabemos -aunque hay cierto debate sobre este punto-, la brecha de RSA nunca dio lugar a un ataque secundario que expusiera los datos de nuestros clientes», dijo Hartman. Si RSA hubiera tardado el tiempo medio del sector en detectar la filtración y si no hubiera sido capaz de investigar rápidamente y mantenerse a la altura de los infiltrados, la historia podría haber resultado muy distinta. Los atacantes podrían haber causado daños a gran escala.
¿Te interesa conocer más? No te pierdas la última parte de nuestra serie junto con Lumu Techonologies sobre brechas de seguridad y aprendizajes con líderes de empresas globales.
La rapidez en el tiempo de respuesta ante un ciberataque es la clave que determina la escala del impacto… ¿cuánto le tomaría a tu empresa darse cuenta de que se enfrentan a una brecha de datos? En BG2 Services te proporcionamos las mejores soluciones de TI del mercado, con tiempos de detección por debajo de la media de la industria. ¡Contáctanos hoy para que nuestros especialistas te asesoren de manera personalizada!
📞 (81) 8123 3730
Fuente:
- Brown, J. (2022). CISOs´ LESSONS from Security Breaches. Lumu Technologies. https://lumu.io/resources/cisos-lessons-from-security-breaches/