Las 5 exposiciones más comunes en ciberseguridad
Bishop Fox comparte las cinco exposiciones fallidas más comunes.
Al igual que muchos criminales exitosos, los ciberatacantes inteligentes son pragmáticos. No van a matarse explotando una vulnerabilidad de día cero contra una víctima si pueden acceder a otra vulnerabilidad disponible y fácil. Imagínese a un ladrón que pasa horas intentando forzar la cerradura de una puerta cuando la ventana ya está entreabierta. La realidad es que no lo harían. Lo mismo ocurre con los ciberataques. ¿Cuáles son los equivalentes cibernéticos de las puertas y ventanas abiertas?
La plataforma Bishop Fox Cosmos –que combina la gestión de la superficie de ataque con pruebas de seguridad ofensivas continuas– identificó cientos de miles de exposiciones potenciales en toda su base de clientes. Muchas de ellas se clasificaron como de gravedad “media” o “baja” en función de sus puntuaciones (< 7) en el Sistema común de puntuación de vulnerabilidades (CVSS, por sus siglas en inglés) y que normalmente serían ignoradas por los equipos de seguridad basándose únicamente en dichas puntuaciones, y teniendo en cuenta el volumen de alertas que la mayoría de los equipos reciben cada día. Sin embargo, en manos del equipo de Operaciones Adversariales de Bishop Fox, estas exposiciones aparentemente inocuas proporcionaron peldaños críticos para cadenas de ataque más complejas.
A continuación, Bishop Fox comparte las cinco exposiciones fallidas más comunes:
- Divulgación de información sensible
La divulgación de información sensible se produce cuando se exponen datos privados a partes no autorizadas. Esto puede incluir datos financieros, información personal privada, historiales médicos u otros datos importantes. Hoy los trabajadores utilizan muchas plataformas dispares para los flujos de trabajo y la productividad. Algunas están alojadas en la organización, mientras que otras son soluciones de terceros basadas en la nube. Cada una de estas plataformas puede filtrar información confidencial, a veces de forma inesperada. Por ejemplo, un administrador de sistemas puede publicar un script en GitHub o Stack Overflow y exponer inadvertidamente información sensible sobre los sistemas de la empresa.
- Software vulnerable
Aplicar parches a todos los sistemas operativos y aplicaciones de un entorno es una tarea abrumadora para cualquier organización, especialmente para aquellas de tamaño grandes y globales. A pesar de ello, es esencial mantener actualizados los sistemas operativos y el software de las aplicaciones. Casi el 60% de las infracciones se deben a la falta de un parche que un atacante aprovechó para obtener acceso.
Las versiones de software inseguras y sin parches pueden permitir a los atacantes ejecutar código remoto arbitrario, inyectar SQL y realizar otras acciones que les permitan obtener acceso elevado a la propia aplicación o a su infraestructura de apoyo.
- Servicio web expuesto inseguro
Esto ocurre cuando un servicio web utilizado para una funcionalidad privilegiada es expuesto a partes no autorizadas. Esto puede proporcionar acceso a una funcionalidad administrativa, y llevar a la exposición de datos de configuración, información detallada de depuración, información personal de privacidad, información propietaria u otros datos importantes.
- Configuración vulnerable
Una configuración vulnerable ocurre cuando se realiza una mala configuración de seguridad en cualquier nivel de la pila de una aplicación. Estas malas configuraciones de seguridad pueden dar lugar a revelaciones de información, servicios expuestos y otras vulnerabilidades que podrían permitir a un usuario malintencionado obtener un acceso elevado a la propia aplicación o a su infraestructura de soporte.
- Contraseñas por defecto o débiles
Una vez que un atacante confirma el tipo de sistema al que se dirige, probará la contraseña de administrador por defecto para ese sistema…. y empezará por ahí porque a menudo funciona. Las contraseñas débiles que son fáciles de adivinar o susceptibles a ataques de fuerza bruta también ofrecen rampas de entrada fáciles para los atacantes.
Las cuentas por defecto son aquellas que están integradas en sistemas, aplicaciones, bases de datos y dispositivos integrados para proporcionar un acceso cómodo antes de la configuración de las cuentas oficiales. Estas cuentas son los principales objetivos de los atacantes, ya que suelen estar documentadas públicamente y a menudo se pasan por alto durante el despliegue y el endurecimiento del sistema. En muchos casos, la contraseña asociada a una cuenta por defecto es la misma que el nombre de usuario o es igual de débil. Las bases de datos en línea de estas credenciales de cuentas predeterminadas están fácilmente disponibles para que los usuarios maliciosos las aprovechen en sus ataques.
¿Qué hacer?
Con los cientos de riesgos que surgen a diario, es fundamental una identificación escalable y proactiva de las vulnerabilidades que podrían poner en peligro a una organización. Esto incluye no sólo los problemas etiquetados como “críticos” y de “alto riesgo”, sino también los que aparentemente son de “bajo riesgo”.
Al pasar por alto exposiciones e inundar a los equipos de seguridad con falsos positivos, los enfoques convencionales están ampliando la ventana de ataque. Armados con las últimas tácticas y tecnologías, los adversarios se aprovechan de la situación y explotan las vulnerabilidades más rápido de lo que los equipos de seguridad pueden hacerlo.
Para mantenerse a la vanguardia, las organizaciones deben encontrar soluciones que puedan mapear continuamente su perímetro, descubrir exposiciones de alto riesgo y ofrecer resultados validados que permitan una rápida corrección. Bishop Fox cree que los enfoques eficaces requieren una combinación creativa de tecnología, automatización y pruebas humanas, no sólo para identificar las exposiciones de alto riesgo, sino también para evaluar su impacto y acelerar la corrección.