La violación de SolarWinds y su software Orion Platform cautivó nuestra atención colectiva en las últimas semanas de 2020. Si bien podría decirse que fue, y sigue siendo, considerado el evento más importante del año, no es la ruta de ataque que la mayoría de las organizaciones deberían temer.
Como Satnam Narang, ingeniero de investigación de planta en Sostenible dice, mientras que las puertas traseras en el software de ciberseguridad pueden capturar los titulares, los atacantes son mucho más predecibles en sus tácticas. Los actores de amenazas son criaturas de hábitos. Les gusta hacer lo que saben que funcionará y explotar vulnerabilidades sin parchear les presenta una vena rica para aprovechar.
Al examinar los datos, es preocupante que los actores de amenazas confíen en vulnerabilidades sin parches en sus ataques. Estas "ventanas rotas" se utilizan principalmente para obtener acceso inicial a una red de destino. A partir de ahí, los atacantes pueden aprovechar vulnerabilidades graves como Zerologon para elevar los privilegios, otorgándose la capacidad de obtener acceso a los controladores de dominio dentro de la red.
El año pasado, las agencias gubernamentales emitieron varios avisos advirtiendo sobre los atacantes que aprovechan las vulnerabilidades que tenían parches disponibles, pero que no se mitigaban. Sin embargo, no todas las vulnerabilidades son iguales. De hecho, según la investigación de Tenable sobre vulnerabilidades de alto perfil en 2020, no todas las vulnerabilidades críticas tenían un nombre o logotipo.
Por el contrario, no todas las vulnerabilidades a las que se les asignó un nombre y un logotipo se consideraron críticas. En cambio, se deben considerar otros factores al sopesar la gravedad de una vulnerabilidad, incluida la presencia de código de explotación de prueba de concepto (PoC) y la facilidad de explotación.
Dados los cambios dramáticos que requiere la pandemia de COVID-19, la incertidumbre es una ventaja para los ciberdelincuentes. A medida que los gobiernos ordenaban a los ciudadanos a nivel mundial limitar el movimiento, hubo un cambio sin precedentes para las empresas hacia el trabajo remoto y las escuelas hacia la educación a distancia.
Esto creó un nuevo conjunto de desafíos de seguridad, desde confiar en herramientas, como VPN y protocolo de escritorio remoto (RDP), hasta introducir nuevas aplicaciones para videoconferencias. Las vulnerabilidades preexistentes en las soluciones de redes privadas virtuales (VPN), muchas de las cuales se revelaron inicialmente en 2019 o antes, demostraron ser un objetivo favorito para los ciberdelincuentes y los grupos de estados-nación en 2020.
Si bien los atacantes favorecen las vulnerabilidades conocidas, hubo algunos días cero explotados en 2020. Los navegadores web en particular Google Chrome, Mozilla Firefox, Internet Explorer y Microsoft Edge fueron los objetivos principales, que representan más del 35% de todas las vulnerabilidades de día cero explotadas en la naturaleza. Teniendo en cuenta que el navegador es la puerta de entrada a Internet, parchear estos activos es esencial para la seguridad de la red empresarial.
A medida que se expande la superficie de ataque, la gestión de vulnerabilidades tiene un papel central que desempeñar en las estrategias modernas de ciberseguridad. Las vulnerabilidades sin parche dejan expuestos los datos confidenciales y los sistemas comerciales críticos y representan oportunidades lucrativas para los actores del ransomware.
La remediación debe manejarse con un enfoque basado en el riesgo, con una comprensión clara del impacto que tendrá el parche en las operaciones comerciales, antes de implementarlo en un entorno en vivo. Esta no es una tarea pequeña para una organización de cualquier tamaño y puede ser especialmente difícil para aquellas con entornos grandes y diversos. La gestión moderna de vulnerabilidades se puede dividir en las siguientes etapas clave:
Al observar las vulnerabilidades para encontrar y corregir, hubo cinco que fueron el objetivo principal a lo largo de 2020. Estas incluyen tres vulnerabilidades heredadas de 2019 en soluciones de redes privadas virtuales de Citrix, Pulse Secure y Fortinet:
Las vulnerabilidades basadas en el navegador son bastante fáciles de considerar priorizar en el proceso de corrección debido a su facilidad de parcheo, sin embargo, no necesariamente conllevan el mayor riesgo. Los dispositivos como firewalls, controladores de dominio y VPN podrían tener un impacto significativamente mayor si se ven comprometidos y se necesita más cuidado al probar y aplicar parches o mitigaciones.
La aplicación de parches a los servidores de correo electrónico también debe ser una prioridad para evitar la explotación y proteger la información confidencial. Al mismo tiempo, educar al personal sobre las mejores prácticas de correo electrónico y aumentar la conciencia de seguridad en áreas como el phishing también debe ser una prioridad.
Se debe considerar que cada dispositivo, cada activo de la infraestructura, tiene el potencial de "volverse deshonesto". Es imperativo que se tomen medidas para minimizar los privilegios y la superficie de ataque a la que tienen acceso. Si bien pocas organizaciones tendrían los medios para evitar una brecha tan sofisticada como SolarWinds, afortunadamente pocas necesitan hacerlo. Las buenas prácticas de higiene cibernética, como se describió anteriormente, pueden ayudar a frustrar la mayoría de los ataques perpetrados por los ciberdelincuentes.
El autor es Satnam Narang, ingeniero de investigación de planta, Tenable.
Uber está mejorando sus implementaciones de IoT en todo el mundo mediante la adopción de…
Obras de motor de materia y Bharti Airtel, un proveedor de servicios de telecomunicaciones ha…
En The Legend of Zelda: Breath of the Wild, los guardianes son una forma primitiva…
Muchos de nosotros nos enamoramos absolutamente de Wall-E, el personaje principal de una…
Dhruv Bhutani / Android AuthorityCada año, los fanáticos de los teléfonos inteligentes esperan con ansias…
Apple ha anunciado que Final Cut Pro finalmente llegará para el iPad. Tras años de…