Comprender estas exposiciones ayuda a los equipos de seguridad a reducir su superficie de ataque para proteger de forma proactiva a su organización. Los siguientes hallazgos ofrecen información sobre estas exposiciones accesibles a través de Internet, recopilados a partir de extensos datos de amenazas y exposición recopilados durante 12 meses con Cortex Xpanse.
Detecte y corrija de forma activa lo desconocido
Xpanse es una plataforma de gestión activa de la superficie de ataque que ayuda a las organizaciones a detectar y corregir automáticamente las exposiciones en los sistemas expuestos a Internet. Con Xpanse, las organizaciones descubren rutinariamente un 30-40 % más de activos en su entorno de los que eran conscientes.
Bases de datos con seguridad débil, susceptibles a vulneraciones de datos. P. ej.: instancias abiertas de MongoDB
Sistemas de transferencia de archivos que carecen de la seguridad adecuada, lo que hace que las vulneraciones sean un riesgo. P. ej.: FTP no cifrado, Telnet no seguro, etc.
Redes mal configuradas que dan lugar al acceso no autorizado. P. ej.: páginas de administración de firewall, VPN mal configuradas, etc.
es falso
Puntos de acceso remotos inseguros, propensos a sufrir una entrada no autorizada. P. ej.: Puertos RDP abiertos, autenticación SSH débil, etc.
es falso
Sistemas de gestión de la infraestructura potencialmente vulnerables a ciberataques. P. ej.: Sistemas HVAC vulnerables, etc.
0 problemas resueltos de forma automática. 5 problemas pendientes de respuesta.
Para evaluar la naturaleza dinámica de los entornos de TI modernos, estudiamos la composición de servicios nuevos y existentes ejecutados en diferentes proveedores en la nube usados por una organización durante un período de seis meses.
En promedio, más del 20 % de los servicios en la nube a los que se puede acceder de forma externa cambian todos los meses. Si no se cuenta con una visibilidad continua, es fácil perder el control de los errores accidentales en la configuración y la propagación constante de la TI en la sombra dentro de una organización.
20 %
de la infraestructura de TI basada en la nube cambia todos los meses
45 %
de los nuevos riesgos se introduce a causa de este flujo todos los meses
Las organizaciones deben supervisar de forma activa su superficie de ataque dado que cambia constantemente y sin visibilidad continua. Habrá numerosas exposiciones de rutina desconocidas que los atacantes podrán explotar”.
Matt Kraning, Director de tecnología, Cortex Xpanse
Unit 42® analizó la inteligencia de amenazas de 30 exposiciones y vulnerabilidades comunes (Common Vulnerabilities and Exposures, CVE) a fin de describir qué tan rápido los adversarios podían comenzar a explotarlas.
En particular, 3 de las 30 vulnerabilidades fueron explotadas a las horas de la difusión pública de la CVE. De las 30 vulnerabilidades, 19 fueron explotadas en el plazo de 12 semanas desde la difusión pública, lo que destaca el riesgo asociado con los programas con parches incoherentes e incompletos.
3/30
exposiciones relacionadas con una CVE
fueron atacadas en el plazo de una semana
tras la publicación
19/30
exposiciones relacionadas con una CVE
fueron atacadas en el plazo de 12 semanas
Es importante destacar que si bien una CVE puede desaparecer del público, sigue siendo relevante para los potenciales actores de amenazas. Por lo tanto, las organizaciones deben detectar y corregir constantemente sus exposiciones para reducir la superficie de ataque”.
Greg Heon, Director sénior de productos, Cortex Xpanse
Unit 42 analizó 15 vulnerabilidades de ejecución de códigos remotos (Remote Code Execution, RCE) utilizadas de forma activa por operadores de ransomware. Estas CVE fueron seleccionadas en función de información sobre el grupo de actores de amenazas y su explotación activa en el plazo de 12 meses tras la publicación.
Los actores de amenazas apuntaron a tres de estas vulnerabilidades de RCE críticas a las horas de la difusión y seis de las vulnerabilidades fueron explotadas en el plazo de ocho semanas tras la publicación.
3/15
exposiciones relacionadas con una CVE
fueron apuntadas a las horas de la publicación
de la CVE
6/15
exposiciones relacionadas con una CVE
fueron utilizadas por estos actores de amenazas
en el plazo de ocho semanas tras la publicación de la CVE
Los defensores deben depender de las capacidades de remediación automática para detectar y corregir las exposiciones críticas de sus superficies de ataque antes de que los atacantes logren encontrarlas”.
Marshall Kuypers, Director de capacitación técnica, Cortex Xpanse
El informe de respuesta ante incidentes de Unit 42 de 2022 revela que los ataques de credenciales por fuerza bruta contribuyeron a un 20 % de los ataques de ransomware exitosos. Algunas alertas recientes de la Agencia de Seguridad de Infraestructura y Ciberseguridad y la Agencia de Seguridad Nacional del gobierno de EE. UU. confirman que los cibercriminales apuntan constantemente al RDP como un vector de ataque altamente vulnerable.
El 85 % de las organizaciones analizadas en este informe tuvo al menos una instancia de RDP accesible vía Internet dentro del mes. Al analizar más de 600 casos de respuesta ante incidentes, el informe de respuesta ante incidentes de Unit 42 de 2022 reveló que el 50 % de las organizaciones que fue blanco de estos ataques carecía de una autenticación de varios factores (Multifactor Authentication, MFA) en los sistemas clave expuestos a Internet.
85 %
de las organizaciones analizadas en este informe tuvo al menos una instancia de RDP accesible vía Internet dentro del mes
Es fácil ejecutar ataques de fuerza bruta contra el RDP. Las organizaciones deben identificar y eliminar las exposiciones de RDP de su entorno. De ser necesario, no se debe utilizar un RDP sin activar la MFA y otros controles de compensación”.
Ross Worden, Director sénior de asesoramiento, Unit 42
Las organizaciones de todo el mundo se enfrentan a muchos accidentes y errores de configuración de rutina que crean una ruta sencilla para comprometer a una organización vía Internet.
Las exposiciones de toma de control de marcos web, las exposiciones de servicios de acceso remoto y las exposiciones de infraestructura de seguridad y TI en conjunto representan más del 60 % de todas las exposiciones de la superficie de ataque global. Las organizaciones deben hacer frente a ellas todos los días y eliminarlas para controlar y reducir su superficie de ataque.
23 %
de todas las exposiciones son exposiciones de toma de control de marcos web que permiten a los atacantes buscar y apuntar activamente contra sitios web que ejecutan softwares vulnerables.
20 %
de todas las exposiciones son servicios de acceso remoto vulnerables a los ataques de fuerza bruta.
La infraestructura de seguridad y TI suponen un riesgo tremendo para la organización. Los atacantes se centrarán en esos sistemas para obtener acceso a su organización y comprometer o desactivar sus medidas de seguridad. Una automatización y visibilidad continuas pueden ayudarle a eliminar dichas exposiciones”.
Dominique Kilman, Director de asesoramiento, Unit 42
Descubra de qué manera las exposiciones de la superficie de ataque son únicas y persistentes en los diferentes sectores de todo el mundo. Descargue el último informe de ASM.
