Tecnología
Productos
Recursos
Empresa
Español
Tecnología
Productos
Blog
Recursos
Empresa

Cómo la IA de Autoaprendizaje protege a McLaren Racing de los ataques a cadenas de suministro

Ed Green, Head of Commercial Technology at McLaren Racing (Guest Contributor) | martes 16 de noviembre de 2021

McLaren Racing tiene un historial de valiosas e innovadoras alianzas. Sin estas alianzas y la red de organizaciones que componen nuestra cadena de suministro, seguramente no habríamos podido estar donde estamos hoy.

Figura 1: los orígenes de los diferentes componentes del coche de 2021 de McLaren

Cada componente del coche de Fórmula 1 de McLaren (motor, neumáticos, frenos, suspensión) tiene una historia de fondo larga y complicada, desde los laboratorios de I+D donde se diseñó, hasta el suelo de la fábrica donde se fabricó y el transporte y la logística para llevarlo a donde debe estar.

Teniendo en cuenta a toda la organización, la situación es aún más compleja. El hardware y el software de TI, la telemetría y las herramientas de análisis de datos, cada uno representa un componente crítico para el ecosistema de McLaren Racing. Sin ellos, no podríamos estar en la cima.

Pero desde el punto de vista de la seguridad, cada uno de ellos representa una posible grieta en la armadura protectora del equipo en el panorama de ciberamenazas que es más hostil cada año. Como hemos visto este año en empresas como el hack SolarWinds y el exploit de software Kaseya, los atacantes se están dando cuenta de que la cadena de suministro representa una gran oportunidad.

Un solo proveedor puede representar un punto de entrada a miles de organizaciones. Para los ciberdelincuentes, esto significa que un ataque que tenga éxito puede proporcionar más acceso, más datos y mayores beneficios.

McLaren Racing es muy consciente de los cambios recientes en el panorama de la ciberseguridad. Un ciberataque que se lleve a cabo con éxito en nuestra organización podría tener implicaciones en los resultados de un día de carrera, así como en nuestra reputación general. El año pasado, incorporamos una nueva línea de defensa con la tecnología de IA de Autoaprendizaje de Darktrace, que aprende nuestro negocio desde cero e interrumpe las ciberamenazas discretas y rápidas dondequiera que se produzcan, incluso en nuestra cadena de suministro.

Amenaza encontrada: ataque a través de la bandeja de entrada

En este ataque, 12 empleados fueron el objetivo de un ataque de phishing sistemático, recibiendo un correo electrónico de un proveedor del equipo de larga duración, en el que se les avisaba que les habían dejado un correo de voz.

Figura 2: un fragmento del correo electrónico de phishing que incitaba al destinatario a hacer clic en él

El enlace para reproducir el correo de voz redirigía a un sitio web de servicio de correo de voz aparentemente legítimo.

Al seguir el enlace para acceder al mensaje, el sitio web solicitaba las credenciales de Office 365 para autenticar el usuario, diseñado para recopilar las credenciales de McLaren Racing que podrían utilizarse para acceder a nuestro entorno.

Figura 3: la página falsa de inicio de sesión

De los 12 destinatarios, varias personas clave de nuestro equipo fueron su objetivo, incluyendo directores técnicos y responsables de compras. Los atacantes que estaban detrás de esta campaña de phishing indudablemente seleccionaron a estas personas por sus poderes de autorización y por la probabilidad de que sus cuentas tuvieran acceso a datos confidenciales.

Si estas cuentas hubieran sido atacadas, los atacantes habrían tenido acceso a algunos de los datos más confidenciales de propiedad intelectual, de información financiera y de estrategia a nivel ejecutivo de las carreras.

La tecnología de seguridad del correo electrónico de Darktrace, Antigena Email, evaluó el contenido de estos correos electrónicos en cuanto se enviaron, e identificó varios indicadores de ataque inusuales. Aunque reconoció que la cuenta era conocida para McLaren, comparó este ataque con correos electrónicos anteriores enviados por el proveedor y reconoció varios indicadores de riesgo. Darktrace Antigena tomó de forma autónoma la decisión de evitar que el correo electrónico llegara a las bandejas de entrada de los usuarios.

Thu Oct 14 2021, 15:21:13
You received a v-mail
100%
Held
Out of Character
Solicitation
Suspicious Link
Known Correspondent
Hold message
Anomaly Indicators

The anomaly score assigned to this email was unusually high for the organization [redacted]. One of the contributing factors was an unusual link to [redacted].

The email contains a highly suspicious link to a host [redacted]. The host has a 100% rarity score based on references in internal traffic, indicating no prior association. The link was hidden from the user and masked by text reading LISTEN/PLAY VOICEMESSAGE. An inducement score of 84% suggests the sender is trying to induce the user into clicking.

The email exhibited an anomaly score of 100% and was held from the user’s inbox.

Figura 4: Antigena Email muestra en un lenguaje sencillo por qué el correo electrónico era sospechoso y la acción que realizó

La comunicación legítima entre nuestro equipo y el proveedor siguió fluyendo sin interrupción, ya que Darktrace Antigena estuvo evaluando los indicadores de riesgo de cada correo electrónico. Al día siguiente, el administrador de cuentas del proveedor de nuestro equipo recibió un correo electrónico del proveedor en cuestión informándole de que una de sus cuentas había sido atacada y se había utilizado para enviar correos electrónicos de phishing a algunos de sus clientes. Esto confirmó que Antigena Email había identificado correctamente el correo electrónico como malicioso.

Las herramientas tradicionales de seguridad del correo electrónico se basan en datos de ataques históricos para distinguir al amigo del enemigo, pero esto solo es efectivo en los casos en los que se haya encontrado previamente una URL o un dominio de correo electrónico malicioso. En este caso, el filtrado tradicional permitió que se enviara el correo electrónico. McLaren solo pudo evitar exponerse al riesgo en esta ocasión gracias a la comprensión de Darktrace acerca de su ‘forma de ser’ y a la Respuesta Autónoma.

Esto refleja un patrón más amplio observado por el equipo de seguridad. Darktrace determina que alrededor del 40% de los correos electrónicos que pasan por Antigena Email habrían sido detectados por nuestras otras herramientas de seguridad, lo que sugiere que Darktrace está detectando un 60% adicional de correos electrónicos maliciosos y está realizando acciones para garantizar que estemos protegidos durante las 24 horas del día.

Este fue solo un ejemplo de un intento de ataque a McLaren a través de la bandeja de entrada. En otra ocasión, Antigena Email identificó un correo electrónico que intentaba hacerse pasar por un patrocinador. El correo electrónico en cuestión solicitaba que un alto cargo de McLaren Racing restableciera su contraseña y contenía un enlace sospechoso que redirigía a un recopilador de credenciales. Una vez más, Antigena realizó acciones sobre los correos electrónicos en cuanto llegaron, y nuestro ciberequipo interno nunca tuvo que responder a lo que podría haber sido un grave incidente. Con acciones autónomas de Darktrace como esta, podemos dedicar diariamente nuestro tiempo a un trabajo estratégico de mayor valor, lo que nos permite impulsar el éxito de todo el equipo.

Por qué la cadena de suministro exige un nuevo enfoque de seguridad

En el mundo digitalizado actual, resulta imposible operar como una organización dinámica y fluida sin interactuar con proveedores y socios en cada capa digital: desde el correo electrónico hasta los servicios para compartir archivos y los socios tecnológicos a través de la nube. A medida que McLaren crece y trabaja con organizaciones líderes en el mundo para mejorar sus resultados, el ecosistema de su cadena de suministro solo se ampliará.

Los atacantes se centran en los proveedores porque representan una única llave que podría abrir decenas o, incluso, cientos de cerraduras, y el correo electrónico es solo una vía de ataque. Al asociarse con Darktrace, McLaren experimenta el valor de la protección con autoaprendizaje a diario, en todos sus sistemas de correo electrónico, servicios en la nube y la red corporativa.

Tanto en el correo electrónico como en cualquier otra forma de comunicación con un proveedor, no se puede asumir que se sabe quién está al otro lado del teclado. Eso es lo que hacen muchas defensas de seguridad existentes, con firmas y reglas estáticas que no son capaces de distinguir realmente a un amigo de un enemigo ni desvelar robos de cuentas y ataques a sistemas. Las organizaciones modernas necesitan una solución que sea capaz de identificar la actividad posiblemente maliciosa de los proveedores, analizando una amplia variedad de indicadores y mostrando las discretas desviaciones que indican una amenaza, y aquí es donde destaca la IA de Autoaprendizaje.

Ed Green

Ed Green works in the Architecture practice within the Information Technology function at McLaren Technology Group, as well as being responsible for the successful integration of their Technology Partners into the McLaren ecosystem. Ed joined McLaren in March 2018 after spending 5 years working for Block Solutions, a specialist network consultancy. In previous roles, he led the Consultancy division at a UK Solution Integrator operating across the public, enterprise, and commercial sectors. Ed has driven innovative engagements with organisations such as Harrods, intu, The Francis Crick Institute, and Barts Health NHS Trust. He has also spent seven years on the council at Great Ormond Street Hospital representing the views of patients at a Board level, and he continues his work at the Hospital School as a Governor and supports the school with STEM initiatives.