Aquí veremos algunas de las causas más frecuentes y emergentes de violaciones de datos en 2019 y veremos cómo abordarlas de manera oportuna.
Almacenamiento en la nube mal configurado
Es difícil encontrar un día sin un incidente de seguridad que involucre almacenamiento AWS S3 sin protección, Elasticsearch o MongoDB. Un estudio global de Thales y el Ponemon Institute afirma que solo el 32% de las organizaciones cree que proteger sus datos en una nube es su responsabilidad. Peor aún, según el mismo informe, el 51% de las organizaciones aún no utilizan cifrado o tokenización para proteger datos confidenciales en la nube.
McAfee confirma, afirmando que el 99% de las configuraciones incorrectas de la nube y de IaaS caen en el dominio del control de los usuarios finales y pasan desapercibidas. Marco Rottigni, Director Técnico de Seguridad EMEA en Qualys, explica el problema: «Algunas de las implementaciones de bases de datos en la nube más comunes se envían sin seguridad ni control de acceso como estándar al principio. Deben agregarse deliberadamente, lo que se puede pasar por alto fácilmente».
Con un costo promedio global de $ 3.92 millones por violación de datos en 2019, estos hallazgos son bastante alarmantes. Lamentablemente, muchos profesionales de ciberseguridad y TI todavía creen sinceramente que los proveedores de la nube son responsables de proteger sus datos en la nube. Desafortunadamente, la mayoría de sus suposiciones no están de acuerdo con la dura realidad legal.
Prácticamente todos los principales proveedores de nube e IaaS tienen firmas de abogados con experiencia para redactar un contrato hermético que no podrá alterar o negar en un tribunal. Las cláusulas de tinta negra cambian expresamente la responsabilidad financiera de la mayoría de los incidentes sobre los hombros de los clientes y establecen una responsabilidad limitada por todo lo demás, a menudo calculado en centavos.
La mayoría de las empresas PYME ni siquiera leen cuidadosamente los términos, mientras que en las grandes organizaciones son revisadas por asesores legales que a menudo están desconectados del equipo de TI. Sin embargo, difícilmente se negociarán mejores condiciones, ya que de lo contrario, el negocio en la nube será tan peligroso y poco rentable que desaparecerá rápidamente. Esto significa que usted será la única entidad a la que culpar y castigar por el almacenamiento en la nube mal configurado o abandonado y una violación de datos resultante.
Repositorios de códigos desprotegidos
La investigación realizada por la Universidad Estatal de Carolina del Norte (NCSU) encontró que más de 100,000 repositorios de GitHub han estado filtrando tokens API secretos y claves criptográficas, con miles de repositorios nuevos que exponen secretos a diario. El gigante bancario canadiense Scotiabank recientemente apareció en los titulares de las noticias al almacenar el código fuente interno, las credenciales de inicio de sesión y las claves de acceso durante meses en repositorios de GitHub públicamente accesibles y accesibles .
Los terceros, especialmente los desarrolladores de software externos, suelen ser el eslabón más débil. A menudo, sus desarrolladores carecen de la capacitación adecuada y el requisito de conocimiento de seguridad para salvaguardar debidamente su código. Al tener varios proyectos a la vez, plazos difíciles y clientes impacientes, ignoran u olvidan los fundamentos de la seguridad, permitiendo que su código sea de dominio público.
Los cibercriminales son conscientes de esta cueva digital de Ali Baba. Las bandas cibernéticas especializadas en el descubrimiento de datos OSINT rastrean meticulosamente los repositorios de código existentes y nuevos en un modo continuo, eliminando cuidadosamente los datos. Una vez que se encuentra algo de valor, se vende a bandas cibernéticas centradas en la explotación y las operaciones ofensivas para entrar.
Dado que tales intrusiones rara vez provocan señales de alerta en los sistemas de detección de anomalías, pasan desapercibidas o detectadas una vez que ya es demasiado tarde. Peor aún, la investigación de tales intrusiones es costosa y casi sin perspectiva. Muchos ataques APT famosos involucraron ataques de reutilización de contraseña con credenciales que se encuentran en repositorios de código.
Software de código abierto vulnerable
La rápida proliferación del software de código abierto (OSS) en los sistemas empresariales exacerba el panorama de las amenazas cibernéticas al agregar aún más incógnitas al juego. Un informe reciente de ImmuniWeb descubrió que 97 de cada 100 bancos más grandes son vulnerables y tienen aplicaciones web y móviles mal codificadas, y están plagadas de componentes, bibliotecas y marcos de código abierto obsoletos y vulnerables. La vulnerabilidad sin parche más antigua encontrada era conocida y divulgada públicamente desde 2011.
OSS ahorra mucho tiempo para los desarrolladores y dinero para las organizaciones, pero también proporciona un amplio espectro de riesgos concomitantes y en gran medida subestimados. Pocas organizaciones rastrean y mantienen adecuadamente un inventario de innumerables OSS y sus componentes integrados en su software empresarial. En consecuencia, cegados por el desconocimiento, son víctimas de incógnitas desconocidas cuando los defectos de seguridad OSS recientemente detectados son explotados agresivamente en la naturaleza.
Hoy en día, las organizaciones medianas y grandes invierten cada vez más en la seguridad de las aplicaciones, especialmente en la implementación de las pruebas DevSecOps y Shift Left. Gartner insta a la adopción de Shift Left prueba de software mediante la incorporación de pruebas de seguridad en las primeras etapas del Ciclo de vida de desarrollo de software (SDLC) antes de que sea demasiado costoso y lento reparar las vulnerabilidades. Sin embargo, un inventario holístico y actualizado de su OSS es indispensable para implementar la prueba Shift Left; de lo contrario, simplemente gastará su dinero en el desagüe.
Cómo prevenir y remediar
Siga estas cinco recomendaciones para reducir sus riesgos de manera rentable:
1. Mantenga un inventario actualizado y holístico de sus activos digitales
El software, el hardware, los datos, los usuarios y las licencias deben monitorearse, clasificarse y evaluarse de manera continua . En la era de la nube pública, contenedores, repositorios de código, servicios de intercambio de archivos y subcontratación, no es una tarea fácil, pero sin ella, puede arruinar la integridad de sus esfuerzos de seguridad cibernética y negar todas las inversiones anteriores en seguridad cibernética. Recuerde, no puede proteger lo que no ve.
2. Controle su superficie de ataque externo y la exposición al riesgo
Muchas organizaciones gastan dinero en riesgos auxiliares o incluso teóricos, ignorando sus numerosos sistemas obsoletos, abandonados o simplemente desconocidos accesibles desde Internet. Estos activos en la sombra son fruta de bajo perfil para los cibercriminales. Los atacantes son inteligentes y pragmáticos; no asaltarán tu castillo si pueden entrar silenciosamente por un túnel subterráneo olvidado. Por lo tanto, asegúrese de tener una vista amplia y actualizada de la superficie de sus ataques externos de manera continua.
3. Mantenga su software actualizado, implemente la administración de parches y los parches automatizados
La mayoría de los ataques exitosos no implican el uso de 0 días sofisticados y costosos, sino vulnerabilidades divulgadas públicamente a menudo disponibles con un exploit funcional. Los piratas informáticos buscarán sistemáticamente el eslabón más débil en su perímetro de defensa para entrar, e incluso una pequeña biblioteca JS desactualizada puede ser una ganancia inesperada para obtener sus joyas de la corona. Implemente, pruebe y monitoree un sistema robusto de administración de parches para todos sus sistemas y aplicaciones.
4. Priorice sus pruebas y esfuerzos de corrección basados en riesgos y amenazas.
Una vez que tenga una visibilidad nítida de sus activos digitales y una estrategia de administración de parches correctamente implementada, es hora de asegurarse de que todo funcione como esperaba. Implemente un monitoreo de seguridad continuo para todos sus activos externos, realice pruebas exhaustivas, incluidas pruebas de penetración de sus aplicaciones web y API críticas para el negocio. Configure el monitoreo de cualquier anomalía con notificaciones rápidas.
5. Mantenga un ojo en Dark Web y monitoree las fugas de datos
La mayoría de las empresas no se dan cuenta de cuántas de sus cuentas corporativas, expuestas por sitios web y servicios de terceros pirateados, se venden en la Dark Web . El éxito emergente de la reutilización de contraseñas y los ataques de fuerza bruta se derivan de ello. Peor aún, incluso los sitios web legítimos como Pastebin a menudo exponen una gran cantidad de datos filtrados, robados o perdidos accesibles para todos. El monitoreo y análisis continuo de estos incidentes puede ahorrar millones de dólares y, lo más importante, su reputación y buena voluntad.
Reducción de complejidad y costos
Encontramos una oferta innovadora de una compañía suiza ImmuniWeb® para abordar estos problemas de una manera simple y rentable. Estamos realmente impresionados con sus capacidades técnicas, enfoque consolidado y precio accesible.
ImmuniWeb Discovery le proporciona una visibilidad y un control superiores sobre su superficie de ataque externo y exposición al riesgo.
Pruebe ImmuniWeb® Discovery para:
- Descubrimiento rápido de sus activos digitales externos, incluidas API, almacenamiento en la nube e IoT
- Calificaciones de seguridad accionables y basadas en datos de Hackability y atractivo de sus aplicaciones
- Monitoreo continuo de repositorios de código público para código fuente no protegido o filtrado
- Monitoreo continuo de Dark Web para credenciales expuestas y otros datos confidenciales.
- Análisis de composición de software de producción segura de sus aplicaciones web y móviles
- Alertas instantáneas sobre nombres de dominio que caducan y certificados SSL
- Integración con SIEM y otros sistemas de seguridad a través de API
¡Esperamos que evite ser víctima de una violación de datos en 2020!
Fuente: thehackernews.com