Las principales vulnerabilidades de software son una realidad, como lo ilustra el hecho de que Microsoft ha parcheado entre 55 y 110 vulnerabilidades cada mes este año, y entre el 7% y el 17% de esas vulnerabilidades son críticas.
Mayo tuvo la menor cantidad de vulnerabilidades, con un total de 55 y solo cuatro consideradas críticas. El problema es que las vulnerabilidades críticas son cosas que hemos visto durante muchos años, como la ejecución remota de código y la escalada de privilegios.
Microsoft no es el único gran nombre que parchea regularmente vulnerabilidades importantes: vemos actualizaciones de seguridad mensuales provenientes de Apple, Adobe, Google, Cisco y otros.
Todo lo viejo es nuevo otra vez.
Con importantes vulnerabilidades en tantas aplicaciones, ¿hay alguna esperanza de un futuro seguro? La respuesta es, por supuesto, sí, pero eso no significa que no habrá desafíos para llegar allí.
Las vulnerabilidades que se ven pueden no ser nuevas para aquellos de nosotros que nos hemos estado defendiendo de los atacantes durante años o incluso décadas, pero los adversarios cambian continuamente de táctica.
No es raro que utilicen recursos legítimos con fines nefastos, y no siempre es posible planificar este uso indebido cuando se crea una aplicación.
Es tu privilegio.
Con el 80% de las violaciones de seguridad que involucran cuentas privilegiadas, una vulnerabilidad importante que veremos explotada cada vez más es la escalada de privilegios. Una táctica común de los operadores de ransomware y otros actores de amenazas es lograr privilegios elevados en un sistema para ayudar a legitimar sus acciones y obtener acceso a datos confidenciales.
Si un ladrón de información tiene el mismo acceso que el usuario actual, las posibilidades de filtrar datos confidenciales aumentan significativamente. Mientras tanto, el acceso de administrador casi garantiza el acceso a datos jugosos.
Además de mantener actualizado el software, aquí es donde las iniciativas de Zero Trust y el monitoreo del flujo de datos se vuelven críticos. Como mínimo, Zero Trust significa que se debe aplicar el principio de privilegios mínimos y se debe exigir la autenticación multifactor siempre que esté disponible.
Esencialmente, esto asegura que cualquier persona que no necesite acceso a un sistema o archivo no pueda acceder a él, mientras que aquellos que lo necesiten deben demostrar que son quienes dicen ser. La supervisión del flujo de datos también puede ayudar a detectar una infracción desde el principio, lo que limita la cantidad de datos robados.
Control remoto.
La ejecución remota de código (RCE) no desaparecerá pronto. Estos ataques representaron alrededor del 27% de los ataques en 2020, frente al 7% del año anterior . Si un atacante puede encontrar una manera de ejecutar código arbitrario en su sistema de forma remota, tendrá mucho más control del que tendría si simplemente lograra que un usuario ejecute un malware con funciones predefinidas sin saberlo.
Si el atacante puede ejecutar código arbitrario de forma remota, obtiene la capacidad de moverse por el sistema y posiblemente la red, lo que le permite cambiar sus objetivos y tácticas en función de lo que encuentre.
El monitoreo del comportamiento es una de las mejores formas de detectar RCE en sus sistemas. Si una aplicación comienza a ejecutar comandos y a activar procesos que no forman parte de su comportamiento normal, puede detener un ataque desde el principio. El hecho de que RCE sea tan común también obliga a mantener actualizados los parches de seguridad para detener muchos de estos ataques incluso antes de que comiencen.
¿Quién necesita malware de todos modos?
Hoy en día, un método de ataque favorito es utilizar procesos legítimos y aplicaciones confiables para lograr objetivos nefastos. Estos ataques sin archivos o que viven fuera de la tierra pueden ser difíciles de detectar porque no es necesario instalar el malware.
Una de las aplicaciones más comunes que se explotan de esta manera es PowerShell. Esto tiene sentido porque PowerShell es una aplicación poderosa que se utiliza para crear secuencias de comandos y ejecutar comandos del sistema.
Esta es otra instancia en la que monitorear el comportamiento de las aplicaciones y los procesos puede ser vital para detener un ataque rápidamente. ¿Realmente PowerShell necesita deshabilitar las funciones de seguridad?
En la mayoría de los casos, probablemente no. Se pueden monitorear comportamientos como este, incluso desde aplicaciones confiables como PowerShell. Combine este monitoreo con el aprendizaje automático avanzado y la inteligencia artificial, y puede comenzar a tomar huellas digitales de los comportamientos normales en su red, con respuestas automatizadas a actividades inusuales.
Adelante, repítete
Si bien los tipos comunes de ataques pueden no cambiar mucho, cualquier cambio en la aplicación o el código tiene el potencial de introducir nuevas vulnerabilidades. Esto no significa que debamos rendirnos y dejar que los adversarios ganen; significa que ahora es el momento de redoblar nuestros esfuerzos para frustrar sus intentos.
Implemente una estrategia de administración de parches, monitoree la red, use la detección de comportamiento y evite la complacencia. El hecho de que los principales proveedores de software estén reparando vulnerabilidades importantes con regularidad es algo bueno porque los atacantes no se rinden, por lo que nosotros tampoco deberíamos hacerlo.