Shadow IT: ¿Qué tienen en común la NASA y las medianas empresas?

Increíble, pero cierto: una intrusión en una red interna de la NASA pasó desapercibida durante casi un año. Una de las razones de esto fue una minicomputadora que estaba conectada a la red sin el conocimiento del departamento de TI. Los eventos arrojan una mala luz sobre las prácticas de seguridad de JPL.

La red interna del Laboratorio de Propulsión a Chorro (JPL) tuvo invitados no invitados durante diez meses que, entre otras cosas, tuvieron acceso a datos de misiones espaciales actuales como la misión de Marte, así como misiones tripuladas. JPL es un centro de investigación que trabaja para la agencia espacial estadounidense NASA, entre otros. No está claro quién estuvo detrás del ataque. Sin embargo, la especulación apunta en la dirección de un grupo APT. La intrusión exitosa en la red y la lectura de datos son el resultado directo de la negligencia y la dilación de los responsables. 

Decisión destructiva

El informe oficial de investigación sobre el incidente.(PDF; el enlace se abre en una nueva ventana) pinta una imagen devastadora. Entre otras cosas, JPL es “incapaz de monitorear activos en su propia red”. Además, las medidas de seguridad tomadas fueron incompletas o inadecuadas. Por ejemplo, no hubo segmentación de red que hubiera dificultado que el ataque penetrara y se extendiera. Las fallas de seguridad no fueron reparadas por meses o incluso años. Además, existen deficiencias en la distribución de responsabilidades también. Por ejemplo, los administradores inadecuados no sabían si procesar y cómo procesar informes de actividades sospechosas. En general, las políticas y prácticas de seguridad de JPL difieren de las del resto de la autoridad superior: la NASA. La NASA tiene su propio Centro de Operaciones de Seguridad (SOC), que cuenta con personal las 24 horas. JPL también tiene su propio SOC, pero no está disponible las 24 horas. JPL está obligado a informar ciertos incidentes, pero no se verificó si JPL realmente actuó de acuerdo con este requisito.

Las “dificultades de coordinación” en última instancia condujeron a un retraso en la resolución del incidente.   

No es la mejor hora

Una Raspberry Pi valorada en 40 dólares se convirtió en un trampolín en la red (imagen de icono: G DATA)
Una Raspberry Pi valorada en 40 dólares se convirtió en un trampolín en la red (imagen de icono: G DATA)

Por lo tanto, la NASA / JPL ciertamente no se ha cubierto de gloria en los últimos años, al menos en el área de seguridad de TI. Ejemplo: si no se implementa una medida de seguridad dentro de los seis meses, se requiere una exención especial. Esto debe estar firmado por un total de cuatro figuras principales (incluido el CISO). Una vez emitido, sin embargo, no hay una “fecha de vencimiento” para estas exenciones. Un total de 153 de estas exenciones especiales todavía estaban abiertas en octubre de 2018. En más de un tercio (54) de los casos, el empleado que solicitó la liberación ya no trabajaba para JPL. En 13 casos, las solicitudes de exención tenían hasta 11 años.
Con todas estas fallas, no es sorprendente que los atacantes puedan tomarse su tiempo para mirar alrededor de la red sin ser molestados. Un Raspberry Pi, una computadora de una sola placa del tamaño de una caja de cigarrillos con un valor de aproximadamente $ 40, se convirtió en un trampolín en toda la red. Ni el SOC ni las autoridades locales tenían conocimiento de la presencia de este dispositivo, que debería haberse registrado en una base de datos.

Shadow IT: no solo un problema de la NASA

NASA y JPL están en buena compañía con este problema. Muchas otras empresas se encuentran en la misma situación: estructuras de red planas sin segmentación, equipos heredados que no pueden ser reemplazados por equipos actuales, responsabilidades poco claras y falta de planificación de emergencia, junto con el caos administrativo. Tal entorno es una invitación abierta para intrusos de todo tipo, porque no solo se manejan los datos operativos allí (ya sea datos de una misión de Marte u ofertas para una licitación importante), sino también datos sobre clientes, socios comerciales, proveedores y proveedores de servicios. . En el peor de los casos, la red comprometida se convierte en el punto de partida para incursiones en otras redes. 

En el pasado, también ha habido casos del mundo de los negocios en los que un atacante había escondido una minicomputadora en las instalaciones comerciales. Durante un período prolongado de tiempo, los dispositivos se hicieron pasar por el punto de acceso WLAN de la compañía, tratando de gruñir los datos de la compañía. Hay muchos escondites: detrás de las copiadoras, debajo de los escritorios, en bandejas de cables o conductos de cables. 

Existen más paralelos entre la NASA y muchas empresas medianas. Aquí es donde se usa el hardware que a veces se remonta a los años 80 y 90. Lo que la NASA usa como hardware para la misión Voyager es quizás una máquina de producción en una pequeña empresa cuyo software de control ya no es compatible con los sistemas operativos actuales. Estos dispositivos y máquinas deberían estar aislados del resto de la red. En realidad, sin embargo, a menudo no lo son, ya sea por conveniencia o por ignorancia.

No se trata de prevenir incidentes a cualquier costo. 
Como admite el informe de la NASA: las intrusiones en la red son inevitables a largo plazo. Sin embargo, corresponde a los responsables tomar los pasos correctos para descubrirlos y contrarrestarlos. 

Tanto JPL como numerosas pequeñas y medianas empresas todavía tienen un largo camino por recorrer aquí.   

Créditos de imagen

Imagen de encabezado: NASA Mission Control durante la misión STS 128; Material de dominio público de la Administración Nacional de Aeronáutica y del Espacio

Comentarios

comments

Powered by Facebook Comments