La nube contiene 8 de cada 10 riesgos de seguridad
Casi la mitad de las exposiciones de alto riesgo alojadas en entornos cloud son resultado del cambio constante de nuevos servicios alojados en esta y/o de la sustitución de antiguos.
La Unit 42 de Palo Alto Networks, líder mundial en ciberseguridad, ha publicado su último informe sobre las amenazas a la superficie de ataque (Attack Surface Threat Report) de 2023. El estudio contrasta la naturaleza dinámica de los entornos de nube con la velocidad a la que los actores de amenazas actúan. Según los datos expuestos, los ciberdelincuentes explotan nuevas vulnerabilidades a las pocas horas de hacerse públicas, y, por tanto, para las organizaciones resulta más complicado gestionar sus superficies de ataque a la velocidad y escala necesarias para lograr combatir la automatización de sus atacantes.
Esta nueva investigación realizada por el equipo de Palo Alto Networks revela que el cambio constante en la nube crea nuevos riesgos. La infraestructura de TI basada en ella está siempre en estado de cambio. En un mes determinado, una media del 20% de la superficie de ataque en la nube de una organización se desconectará y se sustituirá por servicios nuevos o actualizados. Por ello, el despliegue de estos nuevos servicios es generalmente responsable de casi el 50% de las nuevas exposiciones críticas o altas a la nube de las organizaciones cada mes.
Con los datos obtenidos en su más reciente estudio, el equipo especializado en ciberseguridad ha obtenido las siguientes conclusiones:
La nube es la superficie de ataque dominante
• El 80% de los riesgos de seguridad están presentes en entornos cloud, frente al 19% en las instalaciones.
• La infraestructura de TI basada en la nube está siempre en un estado de flujo, cambiando en más de un 20% en todos los sectores cada mes.
• Casi el 50% de las exposiciones de alto riesgo alojadas en la nube cada mes eran resultado del cambio constante de los nuevos servicios alojados en la nube que se ponen en línea y/o de la sustitución de los antiguos.
• Más del 75% de las exposiciones de infraestructuras de desarrollo de software de acceso público se encontraron en la nube, lo que las convierte en objetivos atractivos para los atacantes.
Los riesgos de acceso remoto están muy extendidos
• Más del 85% de las organizaciones analizadas tuvieron acceso a Internet mediante un Protocolo de Escritorio Remoto (RDP) durante al menos el 25% del mes, lo que las dejó expuestas a ataques de ransomware o intentos de inicio de sesión no autorizados.
• 8 de 9 industrias estudiadas por la Unit 42 tenían RDP accesible por Internet vulnerable a ataques de fuerza bruta durante al menos el 25% del mes.
La vulnerabilidad de las instituciones financieras, sanitarias y gubernamentales
• Las instituciones financieras exponen con más frecuencia servicios de intercambio de archivos (38%), seguidos de TI, seguridad e infraestructura de redes (28%), y servicios de acceso remoto (16%).
• El sector sanitario, esencial durante los últimos tres años, se reveló como la infraestructura de desarrollo mal configurada o vulnerable, principal exposición con un 56%, podría dar lugar a brechas de datos, acceso no autorizado o incluso fallos del sistema.
La mayoría de las organizaciones tienen un problema de gestión de la superficie de ataque porque carecen de visibilidad completa de los distintos activos y propietarios de TI. Según la Unit 42, las mayores culpables de estos riesgos son las exposiciones a servicios de acceso remoto. Por tanto, cada cambio de configuración, nueva instancia en la nube o vulnerabilidad recién revelada inicia una nueva carrera por frenar a los atacantes.
Actualmente los atacantes de las organizaciones tienen la capacidad de escanear todo el espacio de direcciones IPv4 en busca de objetivos vulnerables en cuestión de minutos. De las 30 vulnerabilidades y exposiciones más comunes (CVEs) analizadas, 3 fueron explotadas a las pocas horas de su divulgación pública y el 63% fueron explotadas a las 12 semanas de su divulgación pública. Mientras que de las 15 vulnerabilidades de ejecución remota de código (RCE) analizadas por la Unit 42, el 20% fueron objetivo de grupos de ransomware a las pocas horas de su divulgación, y el 40% de las vulnerabilidades fueron explotadas en las ocho semanas siguientes a su publicación.
Para gestionar y asegurar sus superficies de ataque, la Unit 42 aconseja a las empresas a adoptar un enfoque proactivo y holístico. Esto implica tener visibilidad continua y priorizar la remediación para mantener el control sobre su infraestructura expuesta en Internet. De esta forma, las organizaciones pueden gestionar activamente sus superficies de ataque y mantener su organización segura.