Actividad cibernética maliciosa china

Es importante recordar la ciberseguridad para ayudar a mantener alejadas a las amenazas. Una de las amenazas más recientes y de la cuál poca gente ha oído hablar, son los ciberataques chinos, los cuales están tratado de atacar a los proveedores de servicios TI y a sus clientes, según una reciente notificación de US CERT sobre la actividad cibernética maliciosa china.  
La información contenida en esta página es el resultado de los esfuerzos analíticos del Departamento de Seguridad Nacional (DHS) Cybersecurity and Infrastructure Security Agency (CISA) para proporcionar detalles técnicos sobre las tácticas, técnicas y procedimientos utilizados por los actores de las amenazas cibernéticas del gobierno chino. Estos proveedores de amenazas están explotando activamente las relaciones de confianza entre los proveedores de servicios de tecnología de la información (TI) -como los proveedores de servicios gestionados y los proveedores de servicios en la nube- y sus clientes. La intención de compartir esta información es permitir a los defensores de la red identificar y reducir la exposición a la actividad cibernética maliciosa china. Sin embargo, la mitigación de esta actividad puede ser compleja y no existe una solución única que alivie completamente todos los aspectos de la actividad de los actores de la amenaza. En este momento, todas las víctimas conocidas de esta actividad han sido notificadas por CISA y/o la Oficina Federal de Investigaciones (FBI). Sin embargo, debido a que puede haber víctimas adicionales aún no identificadas, CISA recomienda que todos los proveedores de servicios de TI y sus clientes sigan las recomendaciones, herramientas y acciones descritas en esta página y en Alertas TA17-117A y TA18-276A, a las que se hace referencia a continuación. Las organizaciones e individuos que determinan que su riesgo es elevado, ya sea porque están en uno de los sectores objetivo o porque se detecta una actividad inusual, deben llevar a cabo una investigación dedicada para identificar si alguna de estas actividades maliciosas está en sus redes.
Para más información sobre la actividad cibernética maliciosa china, véase:  
    • 27 de abril de 2017: Alerta (TA17-117A) – Intrusiones que afectan a múltiples víctimas en múltiples sectores
    • 3 de octubre de 2018: Alerta (TA18-276B) – Actividad de amenaza persistente avanzada que explota a los proveedores de servicios gestionados
    • 3 de octubre de 2018: Alerta (TA18-276A) – Uso de un riguroso control de credenciales para mitigar la explotación de redes de confianza
    Guía para proveedores de servicios TI Los proveedores deben implementar las siguientes acciones específicas:    
    • Aplicar el principio de menor privilegio a su entorno, lo que significa que los conjuntos de datos de los clientes están separados lógicamente y que no se comparte el acceso a las redes de los clientes;
    • Implementar soluciones robustas de monitorización basadas en red y host que busquen actividades maliciosas conocidas y comportamientos anómalos en la infraestructura y los sistemas que proporcionan servicios a los clientes;
    • Garantizar que la información de registro se agregue y se correlacione para permitir las máximas capacidades de detección, centrándose en la supervisión del uso indebido de las cuentas;
    • Trabajar con sus clientes para garantizar que la infraestructura alojada sea supervisada y mantenida, ya sea por el proveedor de servicios o por el cliente.
    Guía para clientes de proveedores de servicios de TI Las organizaciones que dependen de proveedores de servicios de TI deben asegurarse de que sus proveedores hayan realizado una revisión para determinar si existe un problema o compromiso de seguridad y de que hayan implementado las herramientas de mitigación y detección adecuadas para esta actividad cibernética. Los clientes de los proveedores de servicios de TI también deben    
    • Revisar y verificar todas las conexiones entre los sistemas del cliente, los sistemas del proveedor de servicios y otros enclaves del cliente;
    • Verificar que las cuentas de los proveedores de servicios en su entorno se utilicen para los fines adecuados y que estén deshabilitadas cuando no se utilicen activamente;
    • Asegurar que las relaciones contractuales con todos los proveedores de servicios implementen
    • Controles de seguridad que el cliente considere oportunos,
    • Monitoreo y registro apropiado de los sistemas del cliente proporcionados por el proveedor de servicios,
    • Monitoreo apropiado de la presencia, actividades y conexiones del proveedor de servicios a la red del cliente, y
    • Notificación de eventos e incidentes de seguridad confirmados o sospechados que ocurran en la infraestructura y redes administrativas del proveedor.
     
  Integre los archivos de registro del sistema y los datos de supervisión de red de la infraestructura y los sistemas de los proveedores de servicios de TI en sistemas de detección de intrusiones y supervisión de la seguridad de los clientes para lograr una correlación, agregación y detección independientes. Los clientes de los proveedores de servicios de TI deben consultar la página web de APTs Targeting IT Service Provider Customers que incluye las siguientes herramientas y alertas:    
  • Herramientas para detectar intrusiones en la red e identificar sistemas comprometidos
  • Herramienta de búsqueda de archivos Sogu
  • Centro Australiano de Seguridad Cibernética Sysmon y Windows Management Instrumentation Tools
  Ver original aquí  

Deja un comentario