Unit 42 de Palo Alto Networks destaca algunas de las observaciones de seguridad más riesgosas en torno a la gestión de la superficie de ataque (ASM, Attack Surface Management) en su nuevo Informe de amenazas a la superficie de ataque. El informe contrasta la naturaleza dinámica de los entornos de la nube con la velocidad a la que los actores de amenazas explotan nuevas vulnerabilidades.Descubrió que los ciberdelincuentes están explotando nuevas vulnerabilidades a las pocas horas de su divulgación pública. En pocas palabras, a las organizaciones les resulta difícil gestionar sus superficies de ataque a la velocidad y escala necesarias para combatir la automatización de los actores de amenazas.
La mayoría de las organizaciones tienen un problema de gestión de la superficie de ataque y ni siquiera lo saben ya que carecen de una visibilidad completa de los distintos activos y propietarios de TI.
Uno de los mayores culpables de estos riesgos desconocidos son las exposiciones a los servicios de acceso remoto, que representaron casi uno de cada cinco problemas que encontramos en Internet. Los defensores deben estar constantemente atentos, porque cada cambio de configuración, nueva instancia de nube o nueva vulnerabilidad revelada inicia una nueva carrera contra los atacantes.
Hallazgos notables del informe
Los atacantes se mueven a la velocidad de la máquina
Los atacantes actuales tienen la capacidad de escanear todo el espacio de direcciones IPv4 en busca de objetivos vulnerables en cuestión de minutos.
De las 30 vulnerabilidades y exposiciones comunes (CVE, Common Vulnerabilities and Exposures) analizadas, tres se explotaron a las pocas horas de la divulgación pública y el 63% se explotaron dentro de las 12 semanas posteriores.
De las 15 vulnerabilidades de ejecución remota de código (RCE, Remote Code Execution) analizadas por Unit 42, el 20% fueron aprovechadas por bandas de ransomware a las pocas horas de su divulgación y el 40% fueron explotadas dentro de las ocho semanas posteriores a su publicación.
La nube es la superficie de ataque dominante
El 80% de las exposiciones de seguridad están presentes en entornos en la nube, en comparación con el 19% de entorno en las instalaciones.
La infraestructura de TI basada en la nube siempre está en un estado de cambio, modificándose más del 20% cada mes en todas las industrias.
Casi el 50% de las exposiciones de alto riesgo alojadas en la nube cada mes fueron el resultado del cambio constante en la puesta en línea de nuevos servicios alojados en la nube y/o la sustitución de los antiguos.
Más del 75% de las infraestructuras de desarrollo de software de acceso público expuestas se encontraron en la nube, lo que las convierte en objetivos atractivos para los atacantes.
Las exposiciones al acceso remoto están generalizadas
Más del 85% de las organizaciones analizadas tenían acceso a Internet mediante el Protocolo de escritorio remoto (RDP, Remote Desktop Protocol) durante al menos el 25% de los días del mes, lo que las deja expuestas a ataques de ransomware o intentos de inicio de sesión no autorizados.
Ocho de las nueve industrias que estudió Unit 42 tenían RDP accesibles por Internet vulnerables a ataques de fuerza bruta durante al menos el 25% del mes.
La mediana de los servicios financieros y las organizaciones gubernamentales estatales o locales tuvieron exposiciones al RDP durante todo el mes.
La demanda de gestión de la superficie de ataquePermitir que los equipos de SecOps reduzcan el tiempo medio de respuesta (MTTR, mean time to respond) de manera significativa requiere una visibilidad precisa de todos los activos de la organización y la capacidad de detectar automáticamente la exposición de esos activos. Ha quedado claro que las tecnologías heredadas que impulsan el centro de operaciones de seguridad (SOC, Security Operations Center) actual ya no funcionan y que los clientes requieren una reducción masiva en su tiempo medio para responder y remediar.