El Senador Ron Wyden demócrata de Oregon, había cuestionado a la Agencia de Ciberseguridad e Infraestructura (CISA) por la preparación de las agencias federales en especial durante el ataque de suministro de SolarWinds y la herramienta de seguridad cibernética EINSTEIN que utiliza CISA. Por ese motivo el senador plantío varias preguntas a la agencia la cual, fueron respondidas por Brandon Wales director interino de CISA.
El documento enviado por CISA expresa que “El objetivo principal del actor de la amenaza en esta campaña parece ser obtener acceso a comunicaciones sensibles pero no clasificadas e identificar oportunidades adicionales para comprometer las cadenas de suministro de TI”.
Wyden cuestionó qué las agencias federales que usaban Orion no tenían sus firewalls configurados para bloquear el tráfico saliente, ya que al hacerlo habría sido neutralizado el malware en su primera etapa, CISA confirmo que existían redes de víctimas con dicha configuración permitiendo el bloqueo con éxito a los intentos de conexiones maliciosas.
CISA ha recomendado durante mucho tiempo que las agencias segmenten sus redes internas, para hacer más difícil movimiento lateral de los malware, Wyden consulto cuál es la cantidad de instituciones que han implementado estas recomendaciones entregadas, la agencia de seguridad respondió que no tiene el dato de las instituciones que han seguido estas recomendaciones.
Además Wyden escribió sobre EINSTEIN herramienta de seguridad que utiliza CISA para supervisar el tráfico de red proporcionando servicios de detección y prevención de intrusión, el cuestionamiento del senador fue porque no pudo detectar el tráfico malicioso. Respondió el director interino de CISA que las medidas de detección y prevención se obtienen de fuentes de inteligencias de amenazas de código abierto, propietarias y clasificadas, además EINSTEIN solo identifica el tráfico límite de la Red, los indicadores de compromiso no eran conocidos en su inicio de la intrusión de SolarWinds por ese motivo no se detectó, sin embargo al conocer los indicadores la herramienta EINSTEIN pudo identificar las agencias potencialmente comprometidas.
“Si bien ninguna organización puede prevenir cada intrusión cibernética, una mayor visibilidad nos permitirá detectar y responder a los incidentes con mayor rapidez, limitando así el daño a las organizaciones de víctimas”
Este ataque reveló que “EINSTEIN debe complementarse con capacidades que nos permitan mirar dentro de la red para detectar mejor las intrusiones dentro de ella”, centrase “mejor en la seguridad de las estaciones de trabajo y servidores donde los atacantes son más activos”, informo la Agencia de Ciberseguridad e Infraestructura.
