F5 Labs realizó una investigación sobre vulnerabilidades a lo largo de más de una década para descubrir patrones en los ataques iniciales y poder revelar las lecciones aprendidas. Fueron 433 casos de vulnerabilidades que abarcan 12 años, 37 industrias y 27 países.
Cabe destacar que la investigación solo pudo saber acerca de una pequeña fracción de lo que realmente está sucediendo, ya que las empresas a menudo no saben cuándo han sido vulneradas. Siempre hay una combinación complicada de visibilidad, registro, monitoreo y alerta, y comunicación que tiene muchas oportunidades de fallar.
De los casos analizados por F5 Labs, el 79% de ellos tenía recuentos de brechas publicadas, pero solo el 49% tenía datos suficientes para determinar el vector de ataque inicial y solo el 40% una causa raíz. Encontrar una causa raíz puede ser difícil.
Si no tiene suficientes controles de visibilidad y registro, es posible que nunca sepa cómo entró un atacante, qué se llevó y cuánto. Si una empresa no conoce esta información a ciencia cierta, existen muchas lagunas legales que la eximen de revelar el incidente. En algunos casos, esta información también se mantiene confidencial debido a una investigación policial, por lo que también revisamos los registros judiciales detallados de casos recientes de brechas importantes.
Estos desafíos dan como resultado que solo se investigue una pequeña fracción de los incidentes y que se informe una cantidad aún menor ellos.
Sin embargo, la cantidad de brechas que conocemos, los tipos de datos infringidos y el recueto total de registros y su impacto es asombroso. A continuación, se muestra un resumen de los hallazgos más impactantes que nos llevarán a considerar algunas lecciones aprendidas:
- Las aplicaciones fueron el objetivo inicial en el 53% de las brechas.
- Las identidades fueron los objetivos iniciales en el 33% de las brechas.
- Las brechas que comienzan con ataques a las aplicaciones representan el 47% de los costos de las brechas, pero solo el 22% del total de registros infringidos, lo que hace que los ataques a las aplicaciones sean los más costosos.
- Las brechas que comienzan con ataques de identidad representan el 75% del recuento total de registros, pero solo el 24% de los costos de la brecha, lo que las convierte en el objetivo de ataque más abundante para los atacantes y el menos impactante en las empresas vulneradas.
- El alto recuento de registros más el bajo costo probablemente tenga algo que ver con el tipo de registros violados. El correo electrónico, los nombres de usuario y las contraseñas se infringen en el mayor volumen y aún no están regulados cuando se requieren divulgaciones costosas. Sin embargo, estos elementos de datos son todo lo que un atacante necesita para acceder a sistemas comerciales confidenciales, cuentas bancarias personales, etc.
- Los foros vulnerables instalados en las aplicaciones son la principal causa principal de los ataques a las aplicaciones, seguidos de la inyección de SQL.
De los 338 casos con datos de brecha confirmados:
- ¡Se comprometieron 11,8 mil millones de registros, un promedio de casi 35 millones de registros por brecha!
- Se violaron 10,3 mil millones de nombres de usuario, contraseñas y cuentas de correo electrónico. Eso es 1,36 registros por persona en el planeta, o 32 registros por ciudadano estadounidense.
- Se violaron 280 millones de números de seguro social (SSN), lo que equivale al 86,5% de la población de EE. UU.
- Ha habido tantas brechas que las bases de datos de los atacantes se enriquecen hasta el punto en que pueden hacerse pasar por un individuo y responder preguntas secretas para obtener acceso directo a las cuentas sin tener que trabajar con la parte afectada.
- Los sitios de citas y para adultos se ven comprometidos con frecuencia, algunos de los cuales contienen la información más profundamente personal sobre las personas, incluida la orientación sexual y los fetiches.
- Ambas definiciones de «ingeniería social» ahora se aplican a los ciberataques.
Con este análisis F5 pretende identificar dónde es más probable que las organizaciones sean atacadas para detectar errores tomando las lecciones aprendidas y que los esfuerzos de mitigar los ataques se puedan alinear adecuadamente.