Este es el segundo en nuestra serie de seguridad de dos partes. Para leer el primer blog, por favor haga clic aquí.
El Informe de Investigaciones de Violación de Datos (DBIR, por sus siglas en inglés) de Verizon 2021 analiza más de 70.000 incidentes de violación de datos en 88 países. Utiliza análisis agregados para informar a los equipos sobre los riesgos de seguridad que no solo son “posibles, sino probables”. Este informe es un estándar de oro que cada equipo de seguridad puede utilizar para comparar las prácticas operativas, priorizar las acciones y, lo más importante, enfocar los recursos limitados donde más importan, evitando pérdidas asociadas con el tiempo de inactividad y una violación de datos.
En este blog, proporcionamos una visión resumida de los hallazgos de DBIR relacionados con la variedad de activos líder dirigido a las infracciones (la aplicación web / servidor), el vector líder en incidentes (ataques DDoS) y el segundo patrón de infracción líder (ataques a aplicaciones web básicas) e incluimos recomendaciones y mejores prácticas que pueden abordar estos riesgos.
Insight 1: Vulnerabilidades sin parches
Most Las actividades de infracción registradas en el DBIR eran ataques “básicos” contra aplicaciones web, definidos como tener un pequeño número de pasos o acciones adicionales después del compromiso inicial. Estos ataques se centran en objetivos directos, que van desde obtener acceso a datos de correo electrónico y aplicaciones web hasta reutilizar aplicaciones web para la distribución de malware, desfiguración o futuros ataques DDoS.
Se registraron 4.862 ataques de aplicaciones web básicas, casi todos provenientes de actores de amenazas externos. De ellos, 1.384 experimentaron divulgaciones de datos confirmados, siendo la ganancia financiera el motivo principal del ataque el 89% de las veces. Las credenciales fueron comprometidas el 80% de las veces, mientras que la información personal fue adquirida el 53% de las veces.
¿Qué conceptos básicos de seguridad debe implementar para proteger a su organización contra ataques a aplicaciones web? Los datos anteriores sugieren que el parche de vulnerabilidades es un gran lugar para comenzar para la mayoría de las organizaciones, especialmente aquellas que continúan sin parchear durante mucho tiempo. Recuerde, cada día que una vulnerabilidad es desparramada, un atacante podría realizar un hackeo exploratorio de sus aplicaciones con la esperanza de encontrar oro. Exploremos estos dos temas un poco más.
Insight 2: Vulnerabilidades en aplicaciones heredadas
The La misión de los ciberdelincuentes es infiltrarse en su empresa. Y quieren hacerlo lo más rápido, silencioso y barato posible.
El DBIR confirma que los ataques a vulnerabilidades más antiguas (de cuatro o más años de antigüedad) son más comunes que los ataques a vulnerabilidades más nuevas. Los malos actores continúan explotando estas vulnerabilidades antiguas porque a menudo son las pilas que los equipos de seguridad de TI ignoran. También son fáciles de investigar, encuentran exploits y son relativamente baratos de montar.
Las pilas más antiguas también tienen más vulnerabilidades. Además, hay más conocimiento común dentro de la comunidad de ciberdelincuentes sobre qué herramientas usar para atacar estas pilas de tecnología más antiguas sin ser detectadas.
Este problema ha existido durante años y seguirá siendo un desafío durante bastante tiempo hasta que haya mejoras significativas en el desarrollo seguro de aplicaciones y las capacidades de gestión de parches.
Además, al aprovechar vulnerabilidades antiguas conocidas, los ciberdelincuentes no tienen que sacar (y arriesgarse a exponer) sus herramientas más preciadas. Pueden dirigirse a las aplicaciones más antiguas utilizando herramientas más antiguas y aún tienen mucha superficie con la que trabajar, a un costo mucho menor.
Insight 3: DDoS vulnerabilities
La denegación de servicio distribuida (DDoS) ha aumentado considerablemente desde 2018, convirtiéndose en el problema de seguridad número uno en 2020. Técnicamente, el DBIR categoriza DDoS como un patrón de incidente (no una violación). Independientemente de cómo se clasifique, un DDoS puede interrumpir gravemente la Disponibilidad, la tercera etapa de la tríada de Confidencialidad, Integridad y Disponibilidad.
Así como los ciberdelincuentes están infringiendo los sistemas para ver lo que pueden extraer, están utilizando botnets DDoS baratos y fácilmente disponibles para descubrir sistemas vulnerables que pueden ser desconectados como parte de campañas de rescate o interrupción. El DBIR también confirma algunas buenas noticias: El DDoS es “una de las tendencias de infosec que se pueden abordar”. Desafortunadamente, demasiadas organizaciones pueden asumir que tienen protecciones adecuadas, hasta que un ataque DDoS revela puntos de falla a costa del tiempo de inactividad de la empresa.
Aunque los servicios de mitigación de DDoS están ampliamente disponibles y pueden implementarse en su infraestructura de red y aplicaciones, con estos ataques en aumento, es hora de revisar el alcance de su protección contra DDoS. Le sugerimos que evalúe cómo se activa su protección y el impacto en sus operaciones si el ataque tiene éxito en las capas 3, 4 y 7.
El costo de la inacción
Ahora que hemos discutido algunos resultados clave del DBIR revisemos una amenaza de seguridad que no se cubre en el informe: La inacción. Un desafío común al reducir la superficie de ataque de las aplicaciones es que sus aplicaciones web están en constante movimiento. Muchos están evolucionando, añadiendo nuevas características y pasando a la nube. La implementación de correcciones de seguridad continúa afectando a las canalizaciones de aplicaciones, forzando compensaciones entre negocios, ingeniería e intereses de seguridad. La eliminación de vulnerabilidades antiguas, especialmente las aplicaciones heredadas, sufre el desafío opuesto: Conseguir que los desarrolladores y la administración de proyectos presten atención a las aplicaciones web que aún están en uso pero que ya no reciben enfoque / inversión empresarial. En ambos escenarios, los malos actores cuentan con estos fallos de gestión e inacción para encontrar y explotar vulnerabilidades.
Mientras construye y fortalece sus procesos para administrar riesgos, las CDN y los firewalls de aplicaciones web son un método probado para identificar y bloquear el tráfico dañino que acecha en el borde de Internet. Estos incluyen ataques DDoS y sondas automatizadas que programáticamente apuntan y registran vulnerabilidades en sus servicios web sin requerir grandes dosis de inversión de desarrolladores y gestión de proyectos.
Nuestro firewall de aplicaciones web de próxima generación y las capacidades de protección DDoS, integradas en nuestro perímetro de red, ofrecen una solución sencilla y escalable que aborda los riesgos de aplicaciones web reportados por el DBIR de 2021. Por ejemplo, en el cuarto trimestre de 2020, mitigamos 1,5 mil millones de solicitudes. Definimos “mitigar” como cualquier evento WAF que desencadena un bloqueo, una respuesta personalizada o una redirección de URL. Estas son las mismas actividades nefastas reportadas por el DBIR, vulnerabilidades heredadas conocidas e incidentes DDoS que impulsan la mayoría de los ataques de aplicaciones web.
Comience con lo básico
The DBIR revela puntos ciegos que pueden ocurrir debido al “ruido” cuando se produce una violación grave. Como dicen los autores de DBIR, “La próxima vez que se enfrente a una violación que cambia de paradigma que desafía la norma de lo que es más probable que suceda, no escuche a los ornitólogos en el sitio web de bluebird gritando en voz alta que ‘no podemos parchear, administrar o acceder a controlar nuestra salida de esta amenaza’”.
De hecho, al “hacer lo básico”, puede detener la gran mayoría de los ataques que tienen más probabilidades de afectar a su organización.
Conéctese con nosotros para saber cómo nuestra CDN y WAF pueden mitigar las vulnerabilidades de sus aplicaciones web como parte de una solución de seguridad completa.
