Cada día, los profesionales de la ciberseguridad de todo el mundo se enfrentan a un nuevo flujo de vulnerabilidades que podrían poner en riesgo a sus organizaciones. La escala y el alcance del desafío son asombrosos, particularmente a la luz de la superficie de ataque en constante expansión de los dispositivos de TI, tecnología operativa (OT) e Internet de las cosas (IoT), y la urgencia por priorizar y remediar la próxima nueva amenaza deja poco tiempo de reflexión.
La remediación debe manejarse con un enfoque basado en el riesgo, con una comprensión clara del impacto que tendrá el parche en las operaciones del negocio, antes de implementarlo en un entorno real.
Esta no es una tarea menor para una organización de cualquier tamaño y puede ser especialmente difícil para aquellas con entornos grandes y diversos.
Hacer una pausa para una retrospectiva puede parecer un lujo al que pocos pueden dedicar tiempo. Sin embargo, mientras nos preparamos para enfrentar los nuevos desafíos de ciberseguridad que se avecinan en 2021, creemos que tomarse el tiempo para mirar hacia atrás puede brindar lecciones valiosas y un contexto importante para ayudar a los profesionales de la ciberseguridad a identificar brechas en sus prácticas y refinar sus estrategias con miras a mejorar su enfoque basado en riesgos para la gestión de vulnerabilidades.
Con estos objetivos en mente, el equipo de respuesta de seguridad de Tenable reunió la retrospectiva del panorama de amenazas (TLR) 2020. El TLR ofrece una descripción general de las vulnerabilidades clave reveladas o explotadas en los 12 meses que terminaron el 31 de diciembre de 2020.
En este informe se analizaron:
● Las implicaciones de la pandemia de COVID-19 desde la perspectiva de los defensores cibernéticos;
● El notable aumento de vulnerabilidades graves reportadas durante los meses de verano;
● Las implicaciones detrás de una serie de alertas del gobierno de Estados Unidos que advierten sobre los peligros de las vulnerabilidades sin parche;
● Tendencias observadas en ransomware, brechas de seguridad; y
● Detalles de las vulnerabilidades clave que afectan al software empresarial.
Algunas estadísticas destacadas
● Hubo 18,358 nuevos CVE asignados en 2020.
● 730 eventos de incumplimiento público identificados.
● 22 mil millones de registros expuestos.
● Más del 35% de las vulnerabilidades de día cero se basan en el navegador.
● 18 grupos de ransomware operan sitios web con filtraciones.
* Datos hasta el 30 de octubre de 2020.
Las 5 principales vulnerabilidades de 2020
1. ZEROLOGON (CVE-2020-1472).
2. CITRIX ADC / GATEWAY / SDWAN WAN-OP (CVE-2019-19781).
3. VPN SSL SEGURA DE PULSE CONNECT (CVE-2019-11510).
4. FORTINET FORTIGATE SSL VPN (CVE-2018-13379).
5. F5 BIG-IP (CVE-2020-5902).
Nueve conclusiones clave
1. El recuento anual de CVE continúa incrementando: de 2015 a 2020 el número de CVE reportados aumentó a una tasa de crecimiento porcentual anual del 36.6%. Los 18,358 CVE reportados en 2020 representan un aumento del 6% con respecto a los 17,305 reportados en 2019 y un 183% de aumento sobre los 6,487 revelados en 2015. El hecho de que durante los últimos tres años hayamos visto más de 16,000 CVE reportados anualmente refleja una nueva normalidad para la revelación de vulnerabilidades. Para el profesional de seguridad promedio, priorizar cuál de estas vulnerabilidades merece su atención es más desafiante que nunca, y no todas las vulnerabilidades son iguales.
2. No se puede juzgar un libro por la portada: las vulnerabilidades que están en los titulares tienden a ser las que atraen más la atención de los medios y los líderes empresariales, lo que ejerce presión sobre los profesionales de seguridad para que respondan incluso si la amenaza para la empresa es baja. Nuestra revisión de las vulnerabilidades de alto perfil en 2020 revela que no todas las vulnerabilidades críticas tenían un nombre y logotipo. Por el contrario, no todas las vulnerabilidades con un nombre y logotipo deben considerarse como críticas. Se deben tomar en cuenta otros factores al sopesar la gravedad de una vulnerabilidad, incluida la presencia de código de explotación de prueba de concepto (PoC) y la facilidad de explotación.
3. A los ciberdelincuentes les encantan los navegadores web como Google Chrome, Mozilla Firefox, Internet Explorer y Microsoft Edge, por lo que son el objetivo principal de las vulnerabilidades de día cero, y representan más del 35% de todas las vulnerabilidades de día cero explotadas ampliamente. Teniendo en cuenta que el navegador es la puerta de entrada a Internet, parchar estos activos es esencial para la seguridad de la red de su empresa.
4. Proteger las VPN es más crítico que nunca: las vulnerabilidades preexistentes en las soluciones de redes privadas virtuales (VPN), muchas de las cuales se revelaron inicialmente en 2019 o antes, continúan siendo un objetivo favorito para los ciberdelincuentes y los grupos de Estado – nación. Las organizaciones que aún tienen que priorizar la corrección de estas fallas corren un riesgo extremo de ser vulneradas. Agregue a esto los cambios dramáticos requeridos por la fuerza laboral debido a la pandemia de COVID-19 y está claro que proteger sus soluciones VPN es más crítico que nunca.
5. La fuerza de trabajo remota genera nuevos niveles de preocupación: En respuesta al COVID-19, el cambio sin precedentes de empresas y escuelas hacia el trabajo remoto y el aprendizaje a distancia ha creado un nuevo conjunto de desafíos de seguridad. Desde confiar en herramientas como las VPN y el protocolo de escritorio remoto (RDP) hasta la introducción de nuevas aplicaciones para videoconferencias, estas nuevas soluciones plantean inquietudes que solo pueden abordarse mediante el parcheo diligente e implementando los controles de seguridad adecuados.
6. Todo lo viejo es nuevo otra vez: es una lección que ha escuchado antes: parchee sus vulnerabilidades críticas. A lo largo de 2020, fue el gobierno de los EE. UU. quien hizo sonar esta conocida alerta, emitiendo varias advertencias sobre el riesgo que representan las vulnerabilidades sin parches. Los grupos de Estado-nación continúan aprovechando activamente estas fallas para apuntar al sector público. Estas alertas deben servir como recordatorio de lo importante que es parchar las vulnerabilidades de manera oportuna.
7. No se puede desconectar en el verano: en el verano de 2020 se descubrieron 547 vulnerabilidades (de las cuales varias eran críticas) en el transcurso de un período de tres meses, lo que generó desafíos para los administradores de TI y el personal encargado de clasificar las prioridades de parcheo mientras buscaban proteger sus organizaciones de un aluvión de nuevas amenazas. La repentina afluencia de vulnerabilidades, apodada por algunos como “Temporada CVE”, reveló la necesidad de que los equipos de seguridad implementen un enfoque de corrección basado en el riesgo.
8. Para el ransomware, la extorsión es la clave: el ransomware sigue siendo la ciberamenaza global más disruptiva. Este año, una nueva variedad de tácticas de extorsión, como operar en sitios web con brechas de seguridad para nombrar y avergonzar a las víctimas, demostró ser muy lucrativo para los grupos de atacantes que buscan asegurar las demandas de rescate. Esta amenaza afecta prácticamente a todas las industrias y se deriva de una variedad de causas fundamentales que los equipos de seguridad deben tener en cuenta en su estrategia de defensa.
9. Protéjase para evitar brechas de seguridad: las brechas de seguridad de datos van en aumento y las consecuencias para su organización pueden ser graves. El análisis de los datos de brechas de seguridad de enero a octubre de 2020 muestra 730 eventos divulgados públicamente que dieron como resultado más de 22 mil millones de registros expuestos, sin mencionar el daño incalculable a la reputación y la confianza. Además, más del 35% de las brechas de seguridad están vinculadas a ataques de ransomware, lo que genera un costo financiero a menudo enorme. Las brechas de seguridad afectan a cientos de organizaciones cada año y la cantidad de registros expuestos aumenta con cada nueva parte afectada.
Acerca de la metodología empleada
Este informe se compiló en función de los eventos que analizamos y de los blogs que publicamos en el transcurso de 2020. Utilizamos información de los avisos publicados por agencias gubernamentales de EE. UU. durante todo el año. Nuestros datos sobre brechas de seguridad se recopilaron de información disponible públicamente en los medios de comunicación nacional y local que informaron sobre las brechas de seguridad de datos desde enero hasta octubre del 2020.
