El valor de CWE frente a CVE en la protección de dispositivos
Por Dave Stuart, esternón
La aplicación continua de parches es un enfoque antiguo y un problema persistente tanto para los fabricantes como para los usuarios de dispositivos inteligentes, pero eso está a punto de cambiar. La prevención de exploits revolucionará la forma en que protegemos el IoT.
El problema de la ciberseguridad de IoT es enorme
Hay más de 29 mil millones de dispositivos, sensores y actuadores de IoT conectados actualmente instalados en todo el mundo. Esa es una gran superficie de ataque madura para la explotación. Se estima que más de la mitad de estos dispositivos habilitados para IoT son potencialmente vulnerables a riesgos y ataques de baja o alta seguridad.
Los atacantes a menudo aprovechan las vulnerabilidades y exposiciones comunes (CVE) para ingresar a un dispositivo y luego usan ese punto de apoyo para lanzar otros ataques a medida que persiguen sus objetivos de ataque. El “Informe de respuesta a incidentes de 2022” de la Unidad 42 encontró que explotar vulnerabilidades de software era el segundo método de ataque más utilizado por los piratas informáticos. De hecho, casi uno de cada tres, o el 31 %, de los incidentes que analizaron fueron el resultado de un atacante que obtuvo acceso al entorno empresarial al explotar una vulnerabilidad de software. Estos ataques pueden tener consecuencias significativas y de gran alcance: se estima que el ciberdelito le cuesta a la economía mundial alrededor de $ 1 billón (más del 1% del PIB mundial).
Entonces, ¿qué pueden hacer los fabricantes de dispositivos para tratar de cerrar esta gran apertura de ataque? Hemos llegado a la conclusión de que la respuesta no radica en tratar de parchear las vulnerabilidades después de que se hayan descubierto, sino en evitar que las debilidades comunes de software y hardware sean explotables en primer lugar. De esa manera, no importa qué vulnerabilidades existan (tanto conocidas como desconocidas) porque no se pueden usar para ingresar a un dispositivo.
La aplicación de parches sin fin no funciona
El Informe de amenazas de administración de superficie de ataque de 2021 reveló que los atacantes a menudo comienzan a buscar vulnerabilidades dentro de los 15 minutos posteriores al anuncio de un CVE. Cuando las vulnerabilidades son lo suficientemente significativas, no es raro ver que el escaneo de los atacantes coincida prácticamente con el anuncio de la vulnerabilidad. Esto no les da a los fabricantes mucho (ningún) tiempo para emitir un parche y aún menos tiempo para que los clientes implementen ese parche para proteger su entorno. Eso suponiendo que un parche sea factible.
Las manos de los desarrolladores de dispositivos a menudo están atadas si la vulnerabilidad se encuentra dentro de las bibliotecas de software de terceros en las que confían para las comunicaciones, el cifrado, la autenticación, las actualizaciones OTA y otras funciones básicas. Sin visibilidad de este código fuente de terceros (a menudo se entrega en forma binaria), los desarrolladores no tienen forma de entender cómo crear un parche viable para proteger el dispositivo en general.
Los desarrolladores se ven obstaculizados aún más por la gran combinación de tecnologías (versiones antiguas y nuevas del sistema operativo, bases de código, etc.) que componen su flota. La creación y emisión de parches para todos los diferentes perfiles de dispositivos en juego puede llevar mucho tiempo y ser muy costosa (se calcula en millones). Para algunos de estos dispositivos, es imposible, ya que no se pueden alcanzar ni desconectar en absoluto, dada su ubicación o criticidad (p. ej., marcapasos).
Está claro que los parches no son lo suficientemente efectivos o rápidos para eliminar los riesgos que plantean las vulnerabilidades de los dispositivos IoT. Lo que se necesita es algo que pueda combatir las vulnerabilidades en sí, algo que pueda prevenir los ataques independientemente de cuáles sean las vulnerabilidades subyacentes. Esto es lo que se puede lograr si se enfoca en combatir las enumeraciones de debilidades comunes (CWE), que es lo que hace Sternum para combatir las vulnerabilidades en tiempo real.
Mitigación de CWE: bloqueo de la ruta de explotación
Bloquear exploits a medida que ocurren es un enfoque más sostenible. La mayoría de los ataques contra las vulnerabilidades de los dispositivos comparten métodos de explotación comunes, como el desbordamiento de memoria, como un paso previo. Por lo tanto, si detenemos el desbordamiento de memoria, detendremos toda explotación idéntica contra numerosas vulnerabilidades de memoria similares, independientemente de la ruta de ataque, el sistema operativo, el tipo de dispositivo, etc. ataques desconocidos (día cero).
Los CWE, originalmente definidos por MITRE, son familias comunes de tipos de vulnerabilidad. Estos incluyen corrupción de la memoria (desbordamiento del búfer de pila y pila) y vulnerabilidades en la memoria (uso después de la liberación, liberación doble, etc.), inyección de comandos e interrupción del flujo de ejecución que se puede detener de inmediato y, por lo tanto, prevenir.
Otros CWE comprenden vulnerabilidades para actividades sospechosas (como indicadores DDoS, intentos de inicio de sesión de fuerza bruta, robo de datos o accesos IP maliciosos conocidos que son amenazas de seguridad familiares) que Sternum puede detectar y luego enviar según las reglas/políticas configuradas por el usuario.
Sternum EIV protege de los CWE y no de los CVE, bloqueando de forma determinista las vulnerabilidades a granel
Sternum EIV funciona incorporando controles de verificación de integridad en cada punto de la operación de la memoria de un dispositivo e inspeccionando y validando de manera autónoma esas operaciones en tiempo de ejecución para garantizar que el firmware y el código solo hagan lo que están diseñados para hacer. Cualquier desviación se previene inmediatamente en tiempo real. Esto permite a los fabricantes de dispositivos salir de la carrera de vulnerabilidades, evitando clases enteras de amenazas al evitar que los malhechores utilicen exploits (CWE) para perpetrar sus ataques.
Las vulnerabilidades se vuelven menos críticas: una vulnerabilidad inexplotable ya no se puede utilizar para afianzarse. Al asegurarse de que el código solo hace lo que debe, los fabricantes tienen una solución de seguridad precisa y determinista para sus dispositivos IoT que funciona cada vez y en todo lugar donde se ejecuta el código.
La prueba de este enfoque mostró su eficacia: en comparación con las herramientas de evaluación comparativa (RIPE), logró una tasa de prevención del 95 % y una cobertura completa de todas las principales clases de vulnerabilidades de IoT (OWASP Top 10, MITRE Top 25).
ROI de prevención de exploits
La prevención de exploits reduce la necesidad de parches. Un fabricante de dispositivos médicos que implementó Sternum vio una reducción de casi el 25 % en el volumen de parches y ahorró millones de dólares en mano de obra. Su flota, que cuenta con más de 100 000 dispositivos, quedó a salvo de las vulnerabilidades comunes conocidas y desconocidas, lo que permitió una cadencia más regular/función ordenada de los lanzamientos de software planificados. La certificación de la FDA también se simplificó, ya que Sternum no cambió la estructura del código ni la función del dispositivo. Sus equipos de ingeniería fueron liberados para hacer un trabajo más valioso.
En el momento de escribir este artículo, hay 1327 CWE en 352 categorías (fuente: MITRE). Por el contrario, hay miles de vulnerabilidades individuales (CVE) divulgadas mensualmente. Es matemática simple darse cuenta de la eficacia de la prevención al detener la explotación de CWE en lugar de intentar ganar la interminable carrera de parches.
Para ver por sí mismo cómo salir de parches interminables y usar dispositivos de autorreparación que pueden evitar la explotación de vulnerabilidades y debilidades conocidas y desconocidas que puedan existir, consulte Sternum IoT Security.
