Según un informe de Verizon sobre ciberseguridad, el 70% de las violaciones de datos registradas en 2019 se debió a ataques externos. Curiosamente, las aplicaciones web inseguras fueron responsables de un 43% de las intrusiones. Datos sin precedentes, casi el doble de las cifras del año anterior. Las aplicaciones web y las API siguen siendo los vectores más rápidos y fáciles de penetrar desde el exterior. Pero hay una multitud de factores más, subestimados, a tener en cuenta en una estrategia de resiliencia cibernética.
Muchos profesionales de la ciberseguridad sienten un nivel de fatiga adicional por el coronavirus, ya que la pandemia global ha acelerado la complejidad y evolución del panorama de amenazas. ¿Lo analizamos?
En 2020, Attack Surface Monitoring (ASM), a veces conocido como Attack Surface Management, se ha convertido en un producto de ciberseguridad imprescindible en el arsenal de un CISO. Su objetivo final es aumentar la visibilidad y seguridad de todos los activos orientados a Internet. Desde aplicaciones web y nombres de dominio hasta la nube pública, servicios de red críticos y dispositivos IoT accesibles desde el exterior. Mantener un inventario holístico y actualizado de tus activos digitales y de TI es un componente inalienable de la defensa cibernética efectiva: no se puede proteger lo que no ve. Así de fácil.
‘Compliance’ y teletrabajo
Además, la mayoría de los requisitos normativos (cada día más exigentes) y estándares de compliance impone expresamente una visibilidad nítida y un inventario de sus activos calificado en base al riesgo.
Y la práctica de trabajar desde casa ha desencadenado un crecimiento vertiginoso de nuevos hosts y dispositivos. Todo agravado por una rápida proliferación de almacenamiento de datos corporativos en ubicaciones desconocidas: desde labtops particulares a sitios web de intercambio de archivos o nube pública. Las VPN y los RDP son simplemente una punta del iceberg de los activos de TI en la sombra.
Algunas organizaciones han reducido deliberadamente el alcance de su monitoreo continuo de seguridad a activos críticos para el negocio o activos que procesan PII y otros tipos regulados de datos confidenciales. En materia de ciberseguridad, se arriesgan a ser víctimas de una violación silenciosa de ubicaciones de almacenamiento desconocidas y, por lo tanto, desprotegidas.
Continuidad de negocio
Y ahora llegan las consecuencias legales y de impacto en la continuidad de negocio. Se ponen en peligro los datos y sus copias de seguridad, ubicados en una multitud de lugares internos y externos. Y eso trae consecuencias, como la que recientemente se presentó en un tribunal federal de EEUU como prueba de negligencia. En el famoso caso de pirateo de Equifax se les imputó una visibilidad incompleta y no haber hecho los esfuerzos suficientes para monitorearlo.
La visibilidad de activos inclusiva y actualizada es solo uno de varios pilares que los CISO y sus equipos han de considerar. Además, deben evitar violaciones de datos, reducir costos y mejorar la eficiencia del gasto en seguridad cibernética.
A medida que la externalización y la deslocalización proliferan, las empresas de todos los tamaños delegan el desarrollo de software a empresas externas, tratando de reducir los costos y acelerar el desarrollo. Sin embargo, tanto los desarrolladores de software internos como los equipos externos son propensos a un nivel aterrador de error humano.
Activos expuestos
Con frecuencia, sobrecargados con la complejidad y el volumen de trabajo, los programadores establecen permisos incorrectos para un proyecto GitHub. O simplemente confunden los repositorios, exponiendo así sus secretos al resto del mundo.
Un código fuente puede ser un secreto comercial protegido por sí mismo. Pero es que, además, el código fuente también puede contener claves API o incluso credenciales codificadas de bases de datos.
Generalmente, los terceros tienen estándares considerablemente más bajos de programación segura y los procesos de seguridad entrelazados de protección del código fuente, lo que aumenta el número de fugas de código fuente negligentes o descuidadas.
Los ciberdelincuentes lo saben y buscan una presa fácil. Monitorean continuamente autores o repositorios específicos para nuevos códigos y confirmaciones, además del rastreo implacable de palabras clave específicas o expresiones de programación en todos los repositorios públicos que pueden indicar una vulnerabilidad de software explotable o una contraseña filtrada.
Y los terceros también entran en el juego con infracciones de datos que afectan a sus vendedores y proveedores que tienen un acceso privilegiado a sus datos o sistemas. La trampa es que son prácticamente indetectables desde un punto de vista técnico y, por lo tanto, permanecen desconocidos a menos que las partes perjudicadas se los revelen.
Dark Web
Lamentablemente, un número dramáticamente bajo de proveedores de servicios está lo suficientemente equipado hoy para detectar rápidamente intrusiones sofisticadas que apuntan a su empresa. A menudo, estas violaciones de datos pasan desapercibidas, siendo una bomba de relojería bajo un barril de pólvora. Una enorme variedad de datos y credenciales de inicio de sesión robados están disponibles hoy en la Dark Web para la venta. Cualquiera, equipado solo con un navegador web y una billetera de bitcoins, puede adquirir gigabytes de datos robados en pocos minutos.
En consecuencia, un número cada vez mayor de enemigos de la ciberseguridad busca primero las credenciales privilegiadas extraídas de sus sitios web y sistemas propios o externos antes de comenzar un ataque frontal contra su infraestructura.
Cuanto más grande sea su empresa y más interesados externos tenga, mayores serán las posibilidades de que sus sistemas reciban invitados no deseados. Peor aún, muchas colecciones de contraseñas y volcados de bases de datos del sitio web, ampliamente disponibles en la Dark Web, probablemente contengan un número creciente de credenciales robadas a sus empleados.
Las políticas de contraseñas sólidas se aplican con poca frecuencia de manera holística en todos los sistemas corporativos debido a varios problemas de compatibilidad, lo que hace que los ataques de reutilización de contraseñas algo arcaicos sean altamente eficientes en la actualidad.
En American Intelligence Group (AIG) disponemos de una herramienta para medir la exposición de su organización en la Dark Web con el objetivo de comprender y evaluar la escala del problema antes de cualquier inversión en una solución de seguridad.
Finalmente, un desafío formidable más es marcar adecuadamente los resultados que se pueden obtener en medio de los petabytes de archivos de código fuente e innumerables alertas de Dark Web. La información se compone principalmente de ruido y falsos positivos enredados, que van desde falsificaciones manifiestas hasta innumerables menciones inocentes que carecen de importancia para su organización.
Solución correcta
Hay tantos vectores vulnerables que requieren mucho tiempo y habilidad para analizar y priorizar debidamente. Los modelos de machine learning bien entrenados pueden cancelar el ruido de manera considerable y destilar datos significativos de gigabytes de basura irrelevante. Por lo tanto, al seleccionar una solución de monitoreo de superficie de ataque, asegúrese de que no solo tenga las mejores capacidades de detección, sino también funciones eficaces de filtrado y priorización para ahorrar tiempo y dinero al realizar un triaje efectivo.
Eventualmente, una visibilidad más amplia y profunda de las amenazas y riesgos externos le brinda información invaluable de varias dimensiones profundamente interrelacionadas. Una estrategia de ciberseguridad bien pensada se puede destruir rápidamente a través de un solo subdominio o API olvidado, negando el tiempo y los recursos invertidos en seguridad y cumplimiento. Un vendedor descuidado o un consultor externo también pueden poner en peligro su estrategia de resiliencia cibernética en unos minutos. Cuantos más datos clasificados y calificados por el riesgo obtenga, más informado y, por lo tanto, más efectivo será su gasto y priorización.
Así pues, la visibilidad consolidada de sus activos digitales y de TI es extremadamente insuficiente si el monitoreo está aislado de los riesgos de terceros derivados de los repositorios de códigos públicos, los mercados de Deep y Dark Web. Al seleccionar un proveedor de Attack Surface Management, asegúrese de que tenga todas las capacidades anteriores entregadas de manera fácilmente consumible, priorizada y procesable. ¿Quiere que hablemos de ciberseguridad?