85% de las organizaciones tienen un protocolo de escritorio remoto accesible vía Internet

Unit 42 de Palo Alto Networks destaca algunas de las observaciones de seguridad más riesgosas en torno a la gestión de la superficie de ataque (ASM, Attack Surface Management) en su nuevo Informe de amenazas a la superficie de ataque. El informe contrasta la naturaleza dinámica de los entornos de la nube con la velocidad a la que los actores de amenazas explotan nuevas vulnerabilidades. Descubrió que los ciberdelincuentes están explotando nuevas vulnerabilidades a las pocas horas de su divulgación pública. En pocas palabras, a las organizaciones les resulta difícil gestionar sus superficies de ataque a la velocidad y escala necesarias para combatir la automatización de los actores de amenazas.

La mayoría de las organizaciones tienen un problema de gestión de la superficie de ataque y ni siquiera lo saben ya que carecen de una visibilidad completa de los distintos activos y propietarios de TI. Uno de los mayores culpables de estos riesgos desconocidos son las exposiciones a los servicios de acceso remoto, que representaron casi uno de cada cinco problemas que encontramos en Internet. Los defensores deben estar constantemente atentos, porque cada cambio de configuración, nueva instancia de nube o nueva vulnerabilidad revelada inicia una nueva carrera contra los atacantes.

Hallazgos notables del informe

Los atacantes se mueven a la velocidad de la máquina

• Los atacantes actuales tienen la capacidad de escanear todo el espacio de direcciones IPv4 en busca de objetivos vulnerables en cuestión de minutos.
• De las 30 vulnerabilidades y exposiciones comunes (CVE, Common Vulnerabilities and Exposures) analizadas, tres se explotaron a las pocas horas de la divulgación pública y el 63% se explotaron dentro de las 12 semanas posteriores.
• De las 15 vulnerabilidades de ejecución remota de código (RCE, Remote Code Execution) analizadas por Unit 42, el 20% fueron aprovechadas por bandas de ransomware a las pocas horas de su divulgación y el 40% fueron explotadas dentro de las ocho semanas posteriores a su publicación.

La nube es la superficie de ataque dominante

• El 80% de las exposiciones de seguridad están presentes en entornos en la nube, en comparación con el 19% de entorno en las instalaciones.
• La infraestructura de TI basada en la nube siempre está en un estado de cambio, modificándose más del 20% cada mes en todas las industrias.
• Casi el 50% de las exposiciones de alto riesgo alojadas en la nube cada mes fueron el resultado del cambio constante en la puesta en línea de nuevos servicios alojados en la nube y/o la sustitución de los antiguos.
• Más del 75% de las infraestructuras de desarrollo de software de acceso público expuestas se encontraron en la nube, lo que las convierte en objetivos atractivos para los atacantes.

Las exposiciones al acceso remoto están generalizadas

• Más del 85% de las organizaciones analizadas tenían acceso a Internet mediante el Protocolo de escritorio remoto (RDP, Remote Desktop Protocol) durante al menos el 25% de los días del mes, lo que las deja expuestas a ataques de ransomware o intentos de inicio de sesión no autorizados.
• Ocho de las nueve industrias que estudió Unit 42 tenían RDP accesibles por Internet vulnerables a ataques de fuerza bruta durante al menos el 25% del mes.
• La mediana de los servicios financieros y las organizaciones gubernamentales estatales o locales tuvieron exposiciones al RDP durante todo el mes.

La demanda de gestión de la superficie de ataque

Permitir que los equipos de SecOps reduzcan el tiempo medio de respuesta (MTTR, mean time to respond) de manera significativa requiere una visibilidad precisa de todos los activos de la organización y la capacidad de detectar automáticamente la exposición de esos activos. Soluciones de gestión de superficies de ataque, como Cortex Xpanse, líder en la industria de Palo Alto Networks, brindan a los equipos de SecOps una comprensión completa y precisa de sus activos globales orientados a Internet y posibles configuraciones erróneas para descubrir, evaluar y mitigar continuamente los riesgos en una superficie de ataque.

Cortex Xpanse no tiene agentes, es automático e identifica de forma rutinaria activos que el personal de TI desconoce y no está monitoreando. Cada día, realiza más de 500 mil millones de escaneos de activos conectados a Internet. Esto ayuda a las organizaciones a descubrir, aprender y, lo más importante, responder activamente a riesgos desconocidos en todos los sistemas conectados y servicios expuestos. Cortex Xpanse es uno de los únicos productos que no solo brinda a las empresas la capacidad de ver sus exposiciones, sino también de remediarlas automáticamente. Cortex Xpanse también introdujo recientemente nuevas capacidades para ayudar a las organizaciones a priorizar y remediar mejor los riesgos de las superficies de ataque mediante el uso de inteligencia del mundo real y flujos de trabajo asistidos por IA.

Ha quedado claro que las tecnologías heredadas que impulsan el centro de operaciones de seguridad (SOC, Security Operations Center) actual ya no funcionan y que los clientes requieren una reducción masiva en su tiempo medio para responder y remediar. La cartera de productos de Cortex, como XSIAM, incorpora inteligencia artificial y automatización para revolucionar las operaciones de seguridad y ayudar a los clientes a ser más ágiles y seguros.