Una gran parte de las organizaciones en todas las industrias tienen problemas al gestionar su superficie de ataque. Lo peor de todo, de acuerdo con el informe Attack Surface Threat Report 2023, de Unit 42, es que ni siquiera lo saben. El documento contrasta la naturaleza dinámica de los entornos de la nube con la velocidad a la que los hackers explotan nuevas vulnerabilidades. De hecho, los ciberdelincuentes están explotando nuevas vulnerabilidades a las pocas horas de su divulgación pública.
Las organizaciones afectadas —incluidas las de educación— suelen carecer de una visibilidad completa de los activos y propietarios de TIC. Dada la velocidad y automatización de los ataques, el panorama para gestionar la superficie de ataque (Attack Surface Management, ASM) luce complicado.
Para el informe se analizaron varios petabytes de datos públicos tomados de la de Internet recopilados en 2022 y 2023 por CortexXpanse, la solución de gestión de superficie de ataque de Palo Alto Networks. Mediante estadísticas agregadas, se describen los cambios en las superficies de ataque y profundiza en los riesgos particulares más relevantes en nueve industrias.
En las instituciones educativas hubo mayor propensión a exponer la infraestructura de TIC, seguridad y redes. Las siguieron los servicios de intercambio de archivos y de acceso remoto. También se observó la exposición de aplicaciones de operaciones comerciales y dispositivos de la IoT a un ritmo mayor que en otros sectores. Exposiciones riesgosas como éstas pueden provocar una filtración de datos grave, como por ejemplo:
●El robo de información personal, académica y financiera sensible.
●La interrupción de los servicios educativos esenciales.
●Pérdidas financieras por investigación, restauración y posibles multas por incumplimientos.
Amenazas a la velocidad de la máquina
●Los hackers ahora tienen la capacidad de escanear todo el espacio de direcciones IPv4 en busca de objetivos vulnerables en unos cuantos minutos.
●De las 30 vulnerabilidades y exposiciones comunes (Common Vulnerabilities and Exposures, CVE) analizadas, tres se explotaron a las pocas horas de la divulgación pública. Otro 63% se explotaron dentro de las 12 semanas posteriores.
●El 20% de las 15 vulnerabilidades de ejecución remota de código (Remote Code Execution, RCE) analizadas fueron aprovechadas por bandas de ransomware a las pocas horas de su divulgación. Un 40% adicional fueron explotadas dentro de las ocho semanas posteriores a su publicación.
La nube es la superficie de ataque dominante
●El 80% de las exposiciones de seguridad están presentes en entornos en la nube, en comparación con el 19% de entorno en las instalaciones.
●La infraestructura de TI basada en la nube siempre está en un estado de cambio, modificándose más del 20% cada mes en todas las industrias.
●Casi el 50% de las exposiciones de alto riesgo alojadas en la nube mes a mes resultaron de la puesta en línea de nuevos servicios o la sustitución de los antiguos.
●Más del 75% de las infraestructuras de desarrollo de software de acceso público expuestas se encontraron en la nube. Eso las convierte en objetivos atractivos para los atacantes.
Acceso remoto y superficie de ataque
●Más del 85% de las organizaciones analizadas acceden a la Internet mediante el protocolo de escritorio remoto (Remote Desktop Protocol, RDP) durante al menos el 25% de los días del mes. Eso las deja expuestas a ataques de ransomware o intentos de inicio de sesión no autorizados.
●Ocho de las nueve industrias estudiadas tenían RDP accesibles por Internet vulnerables a ataques de fuerza bruta durante al menos el 25% del mes.
La necesidad de una buena gestión
Para que los equipos de SecOps reduzcan el tiempo medio de respuesta (Mean Time To Respond, MTTR) de manera significativa requiere una visibilidad precisa de todos los activos de la organización. Por supuesto, deben tener la capacidad de detectar automáticamente la exposición de dichos activos.
Las soluciones de gestión de superficie de ataque (como CortexXpanse) ayudan a descubrir, evaluar y mitigar continuamente los riesgos en una superficie de ataque. Esta solución no tiene agentes, es automática e identifica de forma rutinaria activos que el personal de TIC desconoce y no está monitoreando. Cada día realiza más de 500,000 millones de escaneos de activos conectados a Internet. Además, permite remediar las exposiciones automáticamente. Para ello, utiliza inteligencia del mundo real y flujos de trabajo asistidos por IA.
Las tecnologías heredadas que impulsan los centros de operaciones de seguridad actual ya no son suficientes. Es necesario recurrir a tecnologías más potentes, como la inteligencia artificial y la automatización, para fortalecerlos y permitirles dar respuestas más ágiles y eficientes para gestionar cualquier superficie de ataque.