INFORME DE UNIT 42 SOBRE AMENAZAS A LA SUPERFICIE DE ATAQUE

En cualquier organización, la existencia de activos desconocidos y la naturaleza dinámica de la nube crean riesgos relacionados con la superficie de ataque.

Familiarizarse con estas exposiciones ayuda a los equipos de seguridad a reducir la superficie de ataque y así reforzar la protección de su organización. Las conclusiones que presentamos a continuación, basadas en los abundantes datos sobre amenazas y exposiciones recopilados por Cortex Xpanse durante 12 meses, revelan información interesante acerca de las exposiciones accesibles desde internet.

No deje ni un activo sin detectar y corrija las exposiciones

Xpanse es una plataforma de gestión activa de la superficie de ataque concebida para detectar exposiciones en sistemas accesibles desde internet para luego corregirlas automáticamente. Con su ayuda, las organizaciones suelen detectar un porcentaje considerable de activos (entre un 30 y 40 %) que antes desconocían.

vídeo superpuesto

bordes de las esquinas superioresbordes de las esquinas superiores

línea roja

Bases de datos mal configuradas

Bases de datos que, al tener una seguridad deficiente, podrían sufrir brechas. Ej.: instancias abiertas de MongoDB, servidores de MySQL desprotegidos, etc.

línea roja

Sistemas de intercambio de archivos poco seguros

Sistemas de transferencia de archivos sin una seguridad adecuada y, por tanto, vulnerables a brechas. Ej.: FTP sin cifrar, Telnet desprotegido, etc.

línea roja

Infraestructura de seguridad y TI mal configurada

Redes configuradas de manera incorrecta a las que es fácil acceder sin autorización. Ej.: páginas de administración de cortafuegos, VPN mal configuradas, etc.

línea roja

es falso

línea roja

Servicios de acceso remoto expuestos

Puntos de acceso remoto desprotegidos a los que alguien podría acceder sin autorización. Ej.: puertos RDP abiertos, autenticación SSH poco segura, etc.

línea roja

es falso

línea roja

Sistemas de control de edificios

Sistemas de gestión infraestructuras que podrían ser blanco de ciberataques. Ej.: sistemas de climatización vulnerables, etc.

0 Problemas resueltos automáticamente. 5 Problemas que aún hay que seguir investigando.

Para evaluar la naturaleza dinámica de los entornos de TI modernos, analizamos durante seis meses la composición de los servicios que utilizaban las organizaciones, tanto los que ya tenían como otros nuevos que hubieran podido implementar durante ese período, y que se ejecutaban en nubes de distintos proveedores.

CAMBIOS EN LA SUPERFICIE DE ATAQUE EN LA NUBE

La naturaleza dinámica de la nube se lo pone muy difícil a los controles de seguridad

De media, todos los meses cambian más del 20 % de los servicios en la nube a los que se puede acceder desde el exterior. Sin una visibilidad continua, es fácil pasar por alto errores de configuración accidentales o el avance constante de la informática en la sombra dentro de una organización.

Datos

20%

Porcentaje de la infraestructura de TI crítica basada en la nube que cambia cada mes

45%

Porcentaje de los riesgos surgidos cada mes que se deben a este cambio

Matt Kraning, director tecnológico, Cortex Xpanse

Dado que la superficie de ataque cambia constantemente, las organizaciones deberían tenerla siempre bajo supervisión. Sin una visibilidad continua, lo normal es que haya exposiciones que pasen inadvertidas y que los atacantes puedan explotar».
Matt Kraning, director tecnológico, Cortex Xpanse

Unit 42^® analizó la inteligencia sobre amenazas de 30 vulnerabilidades y exposiciones comunes (CVE) para averiguar lo pronto que podían empezar a explotarlas los adversarios.

LOS ATACANTES SE MUEVEN A TODA VELOCIDAD

Solo unas horas después de que se anuncie una CVE, los atacantes ya están explotándola

Cabe destacar que tres de las 30 vulnerabilidades analizadas en el informe ya estaban siendo explotadas a las pocas horas de haberse hecho pública la CVE y 19 de ellas, dentro de las primeras 12 semanas desde su publicación. Estos datos ponen de manifiesto los riesgos que conlleva no contar con un programa de actualizaciones de seguridad completo y coherente.

Datos

3 de 30

N.º de exposiciones relacionadas
con una CVE explotadas
en la primera semana posterior a la fecha
de su publicación

19 de 30

N.º de exposiciones relacionadas
con una CVE explotadas
en las primeras 12 semanas

Greg Heon, director sénior de Productos, Cortex Xpanse

Es importante darse cuenta de que, aunque la gente olvide una CVE, habrá ciberdelincuentes que sigan interesándose por ella. Para reducir su superficie de ataque, las organizaciones tienen que hacer un esfuerzo continuo por encontrar las exposiciones y corregirlas».
Greg Heon, director sénior de Productos, Cortex Xpanse

Unit 42 analizó 15 vulnerabilidades de ejecución remota de código (RCE) que estaban siendo utilizadas activamente por ciberdelincuentes que trabajan con ransomware. Las CVE se eligieron en función de la inteligencia sobre el grupo de atacantes implicado y sobre su explotación activa dentro de los 12 primeros meses desde que se hicieran públicas.

DISTRIBUCIÓN DEL RANSOMWARE

Ransomware distribuido el mismo día

Los ciberdelincuentes atacaron tres de estas vulnerabilidades RCE críticas a las pocas horas de su publicación y seis de ellas fueron explotadas en las primeras ocho semanas.

Datos

3 de 15

N.º de exposiciones relacionadas
con una CVE explotadas
a las pocas horas de su publicación

6 de 15

N.º de exposiciones relacionadas
con una CVE explotadas
en las primeras ocho semanas de su publicación

Marshall Kuypers, director de Capacitación Técnica, Cortex Xpanse

Los equipos de seguridad necesitan funciones de corrección automatizada que encuentren las exposiciones críticas de la superficie de ataque antes que los atacantes y las solucionen cuanto antes».
Marshall Kuypers, director de Capacitación Técnica, Cortex Xpanse

Según el Informe de Unit 42 sobre la respuesta a incidentes (2022), el robo de credenciales por fuerza bruta tuvo que ver con el 20 % de los ataques efectivos de ransomware. Las advertencias recientes de dos organismos oficiales estadounidenses —la Agencia de Ciberseguridad y Seguridad de la Infraestructura (CISA) y la Agencia de Seguridad Nacional (NSA)— confirman que el RDP es un vector de ataque muy vulnerable del que los ciberdelincuentes se aprovechan constantemente.

PROTOCOLO DE DISTRIBUCIÓN DEL RANSOMWARE

Las exposiciones del sistema de acceso remoto están ligadas a los ataques de ransomware

El 85 % de las organizaciones analizadas en este informe tenían en línea al menos una instancia de RDP accesible desde internet en algún momento del mes. Tras haber analizado más de 600 casos de respuesta a incidentes, el «Informe de Unit 42 sobre la respuesta a incidentes (2022)» concluyó que la mitad de las organizaciones atacadas no aplicaba la autenticación multifactor (MFA) en sistemas clave conectados a internet.

Datos

85%

Porcentaje de las organizaciones analizadas en este informe que tenían en línea al menos una instancia de RDP accesible desde internet en algún momento del mes

Ross Worden, director sénior de Consultoría, Unit 42

El protocolo RDP es vulnerable a ataques por fuerza bruta. De ahí la importancia de identificar y corregir las exposiciones relacionadas con él en los entornos de las organizaciones. Por lo general, no es recomendable usar el RDP sin un sistema de autenticación multifactor u otros controles compensatorios».
Ross Worden, director sénior de Consultoría, Unit 42

Cuando las organizaciones configuran mal algo o cometen algún descuido —lo que sucede con frecuencia en todo el mundo—, están dando facilidades a quienes quieren atacarlas por internet.

PRINCIPALES EXPOSICIONES DE LA SUPERFICIE DE ATAQUE

Las exposiciones más habituales son una vía de fácil acceso

Tres tipos de exposiciones (las que tienen que ver con la apropiación de la infraestructura web, las de servicios de acceso remoto y las que afectan a la infraestructura de TI y de seguridad) representan, en conjunto, más del 60 % del total de las observadas en la superficie de ataque global. Las organizaciones tienen que lidiar con ellas a diario y corregirlas para controlar y reducir mejor su superficie de ataque.

Datos

23%

Porcentaje de las exposiciones observadas en las que los atacantes se han apropiado de la infraestructura web (atacando sitios web que ejecutan software vulnerable)

20%

Porcentaje de las exposiciones observadas en las que se han expuesto servicios de acceso remoto vulnerables a ataques por fuerza bruta

Dominique Kilman, directora de Consultoría, Unit 42

La infraestructura informática y de seguridad supone un grave riesgo para las organizaciones,ya que los atacantes harán todo lo posible por infiltrarse a través de ella e inutilizar las medidas de seguridad o reducir su eficacia. Para que estas exposiciones no lleguen a producirse, es muy útil contar con una visibilidad y una automatización continuas».
Dominique Kilman, directora de Consultoría, Unit 42