El aumento vertiginoso de las infracciones de datos genera pérdidas incalculables para las organizaciones y puede costarles el trabajo a los ejecutivos de seguridad cibernética.
Aquí examinamos los cinco lugares de 2019 donde los ciberdelincuentes están robando datos corporativos y gubernamentales sin ser notados y luego aprenderemos cómo evitar ser víctimas de atacantes sin escrúpulos.
1. Almacenamiento en la nube mal configurado
El 48% de todos los datos corporativos se almacenan en la nube en comparación con el 35% hace tres años, según un Estudio de seguridad en la nube global de 2019 realizado por la empresa de ciberseguridad Thales que encuestó a más de 3.000 profesionales en todo el mundo. En contraste, solo el 32% de las organizaciones creen que proteger los datos en la nube es su responsabilidad, contando con la nube y los proveedores de IaaS para salvaguardar los datos. Peor aún, el 51% de las organizaciones no usan cifrado o tokenización en la nube.
(ISC) ² Cloud Security Report 2019 activos que el 64% de los profesionales de ciberseguridad perciben la pérdida y fuga de datos como el mayor riesgo asociado con la nube. El mal uso de las credenciales de los empleados y los controles de acceso inadecuados son los principales desafíos para el 42% de los profesionales de la seguridad, mientras que el 34% lucha con el cumplimiento en la nube y el 33% menciona la falta de visibilidad en la seguridad de la infraestructura como su principal preocupación.
Sin embargo, los terceros negligentes y descuidados son, probablemente, la trampa más peligrosa que sigue siendo en gran medida subestimada y, por lo tanto, ignorada. En 2019, Facebook, Microsoft y Toyota fueron estigmatizados sin piedad por los medios de comunicación por perder millones de registros de clientes debido a filtraciones o infracciones de terceros.
A pesar de estos incidentes alarmantes, todavía pocas organizaciones cuentan con un programa de gestión de riesgos de terceros bien pensado, correctamente implementado y aplicado de forma continua, y la mayoría confía en que los encuestados en papel omiten las verificaciones prácticas y el monitoreo continuo.
Cómo mitigar: capacite a su equipo, implemente una política de seguridad en la nube para toda la organización, ejecute continuamente el descubrimiento del almacenamiento en la nube pública para mantener un inventario actualizado de su infraestructura en la nube.
2. Web oscura
Notorious Collection # 1, revelada en 2019 por el experto en seguridad Troy Hunt, es un conjunto de direcciones de correo electrónico y contraseñas de texto sin formato que suman un total de 2,692,818,238 filas. Cualquiera puede comprar anónimamente estos datos para Bitcoins sin dejar rastro. Al ser una de las bases de datos más grandes conocidas públicamente de credenciales robadas, es una mera porción de datos comprometidos disponibles para la venta en Dark Web. Muchas organizaciones son pirateadas todos los días sin darse cuenta de esto debido a la complejidad de los ataques o la simple negligencia, falta de recursos o habilidades.
Los ataques de reutilización de contraseñas dirigidos y la suplantación de identidad son fáciles de lanzar y no requieren exploits costosos de 0 días. Aunque triviales a primera vista, pueden ser muy eficientes. La mayoría de las organizaciones no tienen una política de contraseña coherente en todos sus recursos corporativos, implementando SSO solo en su infraestructura central.
Los sistemas secundarios y auxiliares viven sus propias vidas, comúnmente con una política de contraseña pobre o incluso faltante, pero con acceso a secretos comerciales y propiedad intelectual. Dada la multitud de tales portales y recursos, los atacantes prueban meticulosamente las credenciales robadas y finalmente obtienen lo que buscan.
Es importante destacar que tales ataques a menudo son técnicamente indetectables debido a una monitorización insuficiente o simplemente porque no desencadenan las anomalías habituales simplemente dejando que los usuarios entren. horas superando incluso a los sistemas IDS habilitados para IA respaldados por astutos analistas de seguridad.
Cómo mitigar: garantizar la visibilidad de los activos digitales , implementar una política holística de contraseñas y un plan de respuesta a incidentes, monitorear continuamente Dark Web y otros recursos en busca de fugas e incidentes.
3. Sitios web abandonados y desprotegidos
Según una investigación de 2019 realizada por una empresa de seguridad web ImmuniWeb, 97 de cada 100 los bancos más grandes del mundo tienen sitios web y aplicaciones web vulnerables. Se atribuye un amplio espectro de problemas al uso incontrolado de software de código abierto, marcos obsoletos y bibliotecas JS, algunas de las cuales contenían vulnerabilidades explotables conocidas públicamente desde 2011.
El mismo informe reveló que el 25% de las aplicaciones de banca electrónica ni siquiera estaban protegidas con un firewall de aplicaciones web (WAF). Eventualmente, el 85% de las aplicaciones fallaron las pruebas de cumplimiento GDPR , el 49% no pasó la prueba PCI DSS.
A pesar del surgimiento de Attack Surface Management(ASM), la mayoría de las empresas luchan cada vez más con la creciente complejidad y la complejidad fluctuante de sus superficies de ataque externo. Las aplicaciones web dominan la lista de activos abandonados o desconocidos que dejan los desarrolladores descuidados o sobrecargados.
Las versiones de demostración y prueba proliferan rápidamente en una organización, y se conectan esporádicamente a bases de datos de producción con datos confidenciales. Los próximos lanzamientos se publican rápidamente, mientras que los anteriores permanecen en la naturaleza durante meses. Los equipos de seguridad poco capacitados rutinariamente no tienen tiempo para rastrear aplicaciones tan deshonestas, confiando en las políticas de seguridad que la mitad de los ingenieros de software nunca han leído.
Incluso las aplicaciones web implementadas correctamente pueden ser una bomba de tiempo si no se atienden. Tanto el software de código abierto como el patentado hacen ruido en Bugtraq con una frecuencia notable que trae fallas de seguridad nuevas y predominantemente fáciles de explotar. Con algunas excepciones, los proveedores son lentos para lanzar parches de seguridad en comparación con la velocidad de las campañas de pirateo masivo.
Los CMS más populares, como WordPress o Drupal, son relativamente seguros en sus instalaciones predeterminadas, pero la gran cantidad de complementos, temas y extensiones de terceros aniquilan su seguridad.
Cómo mitigar: comience con una prueba de seguridad del sitio web gratuita para todos sus sitios web externos y continúe con pruebas de penetración web en profundidad para las aplicaciones web y API más críticas.
4. Backends de aplicaciones móviles
Las empresas modernas ahora invierten generosamente en la seguridad de aplicaciones móviles, aprovechando los estándares de codificación seguros integrados en DevSecOps, las pruebas SAST / DAST / IAST y la protección RASP mejorada con las soluciones de correlación de vulnerabilidades. Lamentablemente, la mayoría de estas soluciones abordan solo la punta visible del iceberg, dejando el backend de la aplicación móvil sin probar y sin protección.
Si bien la mayoría de las API utilizadas por la aplicación móvil envían o reciben datos confidenciales, incluida información confidencial, su privacidad y seguridad son ampliamente olvidadas o desproporcionadas, lo que lleva a consecuencias imperdonables.
Del mismo modo, las grandes organizaciones suelen olvidar que las versiones anteriores de sus aplicaciones móviles se pueden descargar fácilmente de Internet y realizar ingeniería inversa. Dichas aplicaciones heredadas son un verdadero Klondike para los piratas informáticos que buscan API abandonadas y vulnerables que comúnmente aún pueden proporcionar acceso a las joyas de la corona de una organización de manera incontrolada.
Eventualmente, una gran cantidad de ataques se hacen posibles, desde el primitivo pero altamente eficiente trabajo de fuerza bruta hasta las sofisticadas omisiones de autenticación y autorización utilizadas para el robo y el robo de datos. Por lo general, los ataques más peligrosos, incluidas las inyecciones de SQL y los RCE, residen en el lado del backend móvil. Al estar desprotegidos incluso por un WAF, son fruta de bajo perfil para los atacantes pragmáticos.
Cómo mitigar:cree un inventario de API holístico, implemente una política de prueba de software, ejecute una prueba de seguridad gratuita de aplicaciones móviles en todas sus aplicaciones móviles y backends, realice pruebas de penetración móvil para las críticas.
5. Repositorios de códigos públicos
Las prácticas ágiles de CI / CD son un gran facilitador comercial; sin embargo, si no se implementan adecuadamente, se transforman rápidamente en un desastre. En este contexto, los repositorios de códigos públicos son a menudo el eslabón más débil que socava los esfuerzos de seguridad cibernética de la organización.
Un ejemplo reciente proviene del gigante bancario Scotiabank que supuestamente almacenó datos altamente confidenciales en repositorios de GitHub públicamente accesibles y accesibles, exponiendo su código fuente interno, credenciales de inicio de sesión y claves de acceso confidenciales.
Los desarrolladores de software de terceros exacerban considerablemente la situación en un intento de proporcionar la cotización más competitiva a clientes inconscientes y algo ingenuos. El software barato obviamente no está exento de inconvenientes sustanciales, y la escasa seguridad los supera.
Si bien pocas organizaciones logran mantener el control sobre la calidad y la seguridad del código del software al realizar un escaneo automático y una revisión manual del código, prácticamente ninguna es capaz de monitorear cómo se almacena y protege el código fuente mientras se desarrolla el software y especialmente después.
Los errores humanos, como era de esperar, predominan en el espacio. Incluso las organizaciones ejemplares con políticas de seguridad maduras y probadas por los profesionales se vuelven torpemente debido a factores humanos. Los plazos estrictos dictados por las realidades económicas conducen a programadores sobrecargados y exhaustos que inocentemente olvidan establecer un atributo adecuado en un repositorio recién creado que deja entrar los problemas.
Cómo mitigar:implementar una política que aborde el almacenamiento de código y la gestión de acceso, aplicarla internamente y para terceros, ejecutar continuamente repositorios de código público que controlen las fugas.
Seguir estos consejos de mitigación puede ahorrarle innumerables noches de insomnio y muchos millones para su organización. Y, por último, comparta información sobre Attack Surface Management (ASM) con sus pares de la industria para mejorar su conocimiento de la seguridad y su resistencia a la ciberseguridad.
Fuente: thehackernews.com
