Los ciberdelincuentes explotan agresivamente la superficie de ataque post-COVID
La comprensión de la superficie de ataque ajustada y ampliada reduce las violaciones de datos y aumenta el ROI de su inversión en ciberseguridad.
Según el Informe de investigaciones de violación de datos de Verizon 2020 recientemente publicado, el 70% de las violaciones de datos que ocurrieron el año pasado se debieron a ataques externos. Curiosamente, las aplicaciones web inseguras fueron responsables de un 43% de intrusiones sin precedentes, casi el doble de las cifras del año anterior. Si bien las aplicaciones web externas y las API siguen siendo uno de los vectores más rápidos y fáciles de penetrar en las organizaciones desde el exterior, hay una multitud de otros factores, en gran medida subestimados, a tener en cuenta en una estrategia de resiliencia cibernética.
Muchos profesionales de la seguridad ahora sienten un nivel creciente de fatiga por coronavirus en medio de una avalancha de marketing excesivamente agresivo por parte de algunos proveedores de ciberseguridad. Sin embargo, la pandemia global ha exacerbado la complejidad intrincada del panorama de amenazas en evolución que explicaremos brevemente en este artículo.
¿Por qué es importante la gestión de la superficie de ataque?
En 2020, Attack Surface Monitoring (ASM), a veces también etiquetado como Attack Surface Management , se ha convertido de hecho en un producto de seguridad imprescindible en el arsenal de un CISO. Su propósito subyacente es brindar visibilidad aumentada a través de sus activos orientados a Internet, desde aplicaciones web y nombres de dominio hasta la nube pública, servicios de red críticos y dispositivos IoT accesibles desde el exterior. Mantener un inventario holístico y actualizado de sus activos digitales y de TI es un componente inalienable de la defensa cibernética efectiva: todos sabemos que no puede proteger lo que no ve. Además, la mayoría de los requisitos normativos y de cumplimiento en expansión imponen expresamente una visibilidad nítida y un inventario calificado de riesgo de sus activos.
Recientemente, la práctica de trabajar desde casa COVID-19 desencadenó un crecimiento vertiginoso de nuevos hosts y dispositivos, exacerbado por una rápida proliferación de almacenamiento de datos corporativos en ubicaciones desconocidas, desde computadoras portátiles individuales a sitios web de intercambio de archivos o nube pública. Las VPN y los RDP sin garantía son simplemente una punta del creciente iceberg de la TI en la sombra.
Algunas organizaciones han reducido deliberadamente el alcance de su monitoreo continuo de seguridad a activos críticos para el negocio, o activos que procesan PII y otros tipos regulados de datos confidenciales. Se arriesgan a ser víctimas de una violación silenciosa de ubicaciones de almacenamiento desconocidas y, por lo tanto, desprotegidas de los mismos datos, o sus copias de seguridad, ubicados en una multitud de lugares internos y externos. Como era de esperar, recientemente se presentó una visibilidad incompleta en un tribunal federal de los EE. UU. Como prueba de negligencia en el famoso caso de pirateo de Equifax . Sin embargo, la visibilidad de activos inclusiva y actualizada es solo uno de varios pilares que los CISO y sus equipos deben tener en cuenta para evitar violaciones de datos, reducir costos y mejorar la eficiencia del gasto en seguridad cibernética.
A medida que la externalización y la deslocalización continúan proliferando, las empresas de todos los tamaños delegan gradualmente el desarrollo de software a empresas externas, tratando de reducir los costos internos y acelerar el desarrollo. Sin embargo, tanto los desarrolladores de software internos como los equipos externos son propensos a un nivel aterrador de error humano. Con frecuencia, sobrecargados con la complejidad y el volumen de trabajo interminable, los programadores pueden establecer inadvertidamente permisos incorrectos para un proyecto GitHub, o simplemente confundir los repositorios, exponiendo así sus Joyas de la Corona al resto del mundo.
Omitiendo el hecho de que un código fuente puede ser un secreto comercial protegido por sí mismo, el código fuente también puede contener claves API o incluso credenciales codificadas de bases de datos de producción. Los terceros generalmente tienen estándares considerablemente más bajos de programación segura y los procesos de seguridad entrelazados de protección del código fuente, lo que aumenta la cantidad de fugas de código fuente negligentes o descuidadas.
Los ciberdelincuentes son conscientes de esta fruta baja y monitorean continuamente autores o repositorios específicos para nuevos códigos y confirmaciones, además del rastreo implacable de palabras clave específicas o expresiones de programación en todos los repositorios públicos que pueden indicar una vulnerabilidad de software explotable o una contraseña filtrada .
Cómo evitar riesgos de terceros
Los terceros también entran en el juego con infracciones de datos que afectan a sus vendedores y proveedores que tienen un acceso privilegiado a sus datos o sistemas. La trampa central de tales incidentes de seguridad es que son prácticamente indetectables desde un punto de vista técnico y, por lo tanto, permanecen desconocidos a menos que las partes perjudicadas se los revelen debidamente.
Lamentablemente, un número dramáticamente bajo de proveedores de servicios está lo suficientemente equipado hoy para detectar rápidamente intrusiones sofisticadas que apuntan a su empresa en una búsqueda de varios pasos para sus Joyas de la Corona. Comúnmente, tales violaciones de datos pasan desapercibidas, siendo una bomba de relojería bajo un barril de pólvora. Una variedad brillante de datos y credenciales de inicio de sesión robados están disponibles hoy en la Dark Web para la venta. Cualquiera, equipado solo con un navegador web y una billetera Bitcoin, puede adquirir gigabytes de datos robados en pocos minutos.
Consecuentemente, un número creciente de pandillas cibernéticas primero buscan credenciales privilegiadas de sus proveedores extraídos de sus propios sitios web y sistemas externos, antes de comenzar un ataque frontal contra su infraestructura. Cuanto más grande sea su empresa y más interesados externos tenga, mayores serán las posibilidades de atraer invitados no deseados a sus sistemas. Peor aún, muchas colecciones de contraseñas y volcados de bases de datos del sitio web, ampliamente disponibles en Dark Web, probablemente contengan un número creciente de credenciales robadas a sus empleados.
Las políticas de contraseñas sólidas se aplican con poca frecuencia de manera integral en todos los sistemas corporativos debido a varios problemas de compatibilidad, lo que hace que los ataques de reutilización de contraseñas algo arcaicos sean altamente eficientes en la actualidad.
En ImmuniWeb, desarrollamos una herramienta gratuita en línea para medir la exposición de su organización en la Web oscura, con el objetivo de comprender y evaluar la escala del problema antes de cualquier inversión en una solución de seguridad.
Finalmente, un desafío formidable más es marcar adecuadamente los resultados que puede obtener en medio de los petabytes de archivos de código fuente e innumerables alertas de Dark Web. La información se compone principalmente de ruido y falsos positivos enredados, que van desde falsificaciones manifiestas hasta innumerables menciones inocentes que carecen de importancia para su organización.
Cómo elegir la solución correcta
El resto es a menudo un conjunto de datos arcanos que requieren mucho tiempo y habilidad para analizar y priorizar debidamente. Los modelos de Machine Learning debidamente entrenados pueden cancelar el ruido de manera considerable y destilar datos significativos de gigabytes de basura irrelevante. Por lo tanto, al seleccionar una solución de monitoreo de superficie de ataque , asegúrese de que no solo tenga las mejores capacidades de detección, sino también funciones eficaces de filtrado y priorización para ahorrar tiempo y dinero al realizar un triaje efectivo.
Eventualmente, una visibilidad más amplia y profunda de las amenazas y riesgos externos le brinda información invaluable de varias dimensiones profundamente interrelacionadas. Una estrategia de ciberseguridad bien pensada se puede socavar rápidamente a través de un solo subdominio o API olvidado, negando el tiempo y los recursos invertidos en seguridad y cumplimiento. Un proveedor descuidado o un consultor externo también pueden poner en peligro su estrategia de resiliencia cibernética en unos minutos. Cuantos más datos clasificados y clasificados por riesgo obtenga, más informados y, por lo tanto, efectivos serán en última instancia sus gastos y prioridades.
Por lo tanto, la visibilidad consolidada de sus activos digitales y de TI es extremadamente insuficiente si el monitoreo está aislado de los riesgos de terceros derivados de los repositorios de códigos públicos, los mercados de Deep y Dark Web. Al seleccionar un proveedor de Attack Surface Management, asegúrese de que tenga todas las capacidades anteriores entregadas de manera fácilmente consumible, priorizada y procesable.
