La mayoría de las organizaciones tienen un problema de gestión de la superficie de ataque y ni siquiera lo saben ya que carecen de una visibilidad completa de los distintos activos y propietarios de TI, así lo reveló el nuevo informe de Unit 42 de Palo Alto Networks.
Uno de los mayores culpables de estos riesgos desconocidos son las exposiciones a los servicios de acceso remoto, que representaron casi uno de cada cinco problemas que encontramos en Internet. Los defensores deben estar constantemente atentos, porque cada cambio de configuración, nueva instancia de nube o nueva vulnerabilidad revelada inicia una nueva carrera contra los atacantes.
También descubrió que los ciberdelincuentes están explotando nuevas vulnerabilidades a las pocas horas de su divulgación pública. En pocas palabras, a las organizaciones les resulta difícil gestionar sus superficies de ataque a la velocidad y escala necesarias para combatir la automatización de los actores de amenazas.
Hallazgos notables del informe
Los atacantes se mueven a la velocidad de la máquina
- Los atacantes actuales tienen la capacidad de escanear todo el espacio de direcciones IPv4 en busca de objetivos vulnerables en cuestión de minutos.
- De las 30 vulnerabilidades y exposiciones comunes (CVE, Common Vulnerabilities and Exposures) analizadas, tres se explotaron a las pocas horas de la divulgación pública y el 63% se explotaron dentro de las 12 semanas posteriores.
- De las 15 vulnerabilidades de ejecución remota de código (RCE, Remote Code Execution) analizadas por Unit 42, el 20% fueron aprovechadas por bandas de ransomware a las pocas horas de su divulgación y el 40% fueron explotadas dentro de las ocho semanas posteriores a su publicación.
La nube es la superficie de ataque dominante
- El 80% de las exposiciones de seguridad están presentes en entornos en la nube, en comparación con el 19% de entorno en las instalaciones.
- La infraestructura de TI basada en la nube siempre está en un estado de cambio, modificándose más del 20% cada mes en todas las industrias.
- Casi el 50% de las exposiciones de alto riesgo alojadas en la nube cada mes fueron el resultado del cambio constante en la puesta en línea de nuevos servicios alojados en la nube y/o la sustitución de los antiguos.
- Más del 75% de las infraestructuras de desarrollo de software de acceso público expuestas se encontraron en la nube, lo que las convierte en objetivos atractivos para los atacantes.
Las exposiciones al acceso remoto están generalizadas
- Más del 85% de las organizaciones analizadas tenían acceso a Internet mediante el Protocolo de escritorio remoto (RDP, Remote Desktop Protocol) durante al menos el 25% de los días del mes, lo que las deja expuestas a ataques de ransomware o intentos de inicio de sesión no autorizados.
- Ocho de las nueve industrias que estudió Unit 42 tenían RDP accesibles por Internet vulnerables a ataques de fuerza bruta durante al menos el 25% del mes.
- La mediana de los servicios financieros y las organizaciones gubernamentales estatales o locales tuvieron exposiciones al RDP durante todo el mes.