La semana pasada lanzamos nuestro último informe trimestral de tendencias de ataque y ¿cuál sería un buen informe sin una publicación de blog que lo acompaña? Vamos a tomarnos un tiempo en este post para inspeccionar esta mirada cruda y perspicaz en el cambiante panorama de la ciberseguridad de Internet conocido como “Informe trimestral de tendencias de ataque de Edgio”. El informe revela una gran cantidad de puntos de datos, desde métodos de solicitud y tipos MIME hasta tendencias de geolocalización y todo lo demás. Todos ellos ofrecen una imagen vívida de las amenazas emergentes dirigidas a sitios web y aplicaciones modernas.
Saltando a la derecha, dos puntos de datos clave que me llamaron la atención: Métodos de solicitud y tipos de solicitud MIME. A primera vista, descubrir que más del 98% de las solicitudes son GET and POST no es sorprendente. Bienvenido a Internet, ¿verdad? “No es notable”, se podría decir, pero estas funciones aparentemente peatonales proporcionan un conocimiento valioso sobre una aplicación, cómo se está utilizando o atacando, y dónde podría ser vulnerable. También debe plantear la pregunta, ¿qué tipos de métodos de solicitud requiere su aplicación para funcionar? ¿Debería permitir que otros lleguen a su aplicación, o debería reducir la oportunidad de exposición bloqueando tales acciones mucho antes de que lleguen a su servidor de origen?
Saltando a los tipos MIME, un abrumador 76% de los bloques estaban vinculados a tipos MIME Application/json. Esta visión no es solo una estadística; es una narrativa sobre el cambio en la arquitectura de aplicaciones moderna y la naturaleza en evolución de las amenazas dirigidas a estas arquitecturas. Claramente muestra que sus API están altamente dirigidas por los actores de amenazas y destaca la necesidad de proteger las API, tanto las conocidas como las API “sombra” o “zombi” que su equipo de seguridad quizás aún no haya descubierto.
Clasificamos las protecciones en este informe en tres estrategias principales: Reglas de control de acceso, conjuntos de reglas administrados y firmas personalizadas. De los tres, vale la pena señalar que el 45% de los bloques eran reglas de control de acceso. Hablar más sobre los fundamentos de una defensa efectiva realmente comienza con tácticas básicas, pero extremadamente efectivas, como prevenir el acceso a fuentes malas conocidas (direcciones IP en lista negra, agentes de usuario y países). Bloquee estos datos mucho antes de que se acerquen a sus aplicaciones, infraestructura y datos para obtener beneficios inmediatos, no solo desde el punto de vista de la seguridad, sino también desde la perspectiva de costos. Mitigar las malas solicitudes en el perímetro con un firewall de aplicaciones web (WAF) ahorra tanto el ancho de banda como los ciclos de cómputo.
El informe también sirve como recordatorio de que los atacantes buscan continuamente formas de eludir estas defensas. Aunque las reglas de control de acceso pueden ser estrictas, no podemos depender únicamente de ellas. Tomemos, por ejemplo, las tácticas de geofencing. Los cinco principales países de los que se originaron solicitudes maliciosas incluyeron Estados Unidos, Francia, Alemania, Rusia y Chechenia, con China notablemente ausente. Deberíamos esperar que China esté en la cima de esa lista como otros países importantes conectados a Internet. Sin embargo, esta visión desafía la excesiva dependencia de la geofencing y enfatiza la necesidad de un enfoque más estratificado para el cumplimiento y las medidas de seguridad. Sabemos que los atacantes a menudo comprometen servidores, VPC y dispositivos IoT para aprovechar en la misma región que sus objetivos finales. Comprenda las necesidades de su negocio y los requisitos reglamentarios (como no vender a países embargados) cuando utilice la táctica de geofencing. No es que esta táctica deba ser desechada, sino que no se debe confiar demasiado en ella.
Una amenaza muy específica y notable que marcaba hacia arriba en el Q4 fueron los ataques Path/Directory Traversal. Imagina tu aplicación como una fortaleza. Ahora, piensa en los ataques de trayecto transversal como invasores de métodos astutos que explotan el descuido más pequeño en la arquitectura de tu fortaleza para infiltrarse profundamente en tu dominio a través de carpetas con permisos excesivos en tu servidor web. Estos ataques no se tratan solo de llamar a la puerta; se tratan de encontrar un pasaje oculto que conduce directamente al corazón de tu imperio. ¿Las consecuencias? Acceso no autorizado, pérdida de información de identificación personal (PII), y potencialmente entrega de las llaves a su reino a través de la ejecución remota de código. La importancia aquí no puede ser exagerada, ya que estas intrusiones amenazan los pilares mismos de la confidencialidad, integridad y disponibilidad de datos que se sustenta en nuestro mundo digital.
En resumen, el informe trimestral sobre tendencias de ataque no es solo una recopilación de datos; es una narrativa que destaca la batalla en curso en el ámbito digital. Sirve como un recordatorio de que entender y adaptarse a las complejidades de la arquitectura de aplicaciones es clave no solo para sobrevivir, sino también para prosperar en este paisaje. Al emplear una estrategia que incluye defensas por capas, aprovechar la inteligencia contra amenazas y adaptar soluciones a las necesidades únicas de su aplicación, puede erigir una fortaleza que resista frente a las amenazas en constante evolución del mundo cibernético. La seguridad efectiva no se trata solo de poner herramientas en su lugar; se trata de entender cómo opera su negocio y usar ese conocimiento para informar sus controles de seguridad.
Una cosa más, este informe es solo la punta del iceberg. El equipo de Edgio está trabajando incansablemente para agregar más puntos de datos a futuros informes. Esté atento a nuestro informe Q1 2024. Confío en que no te decepcionarán.
Saltando a la derecha, dos puntos de datos clave que me llamaron la atención: Métodos de solicitud y tipos de solicitud MIME. A primera vista, descubrir que más del 98% de las solicitudes son GET and POST no es sorprendente. Bienvenido a Internet, ¿verdad? “No es notable”, se podría decir, pero estas funciones aparentemente peatonales proporcionan un conocimiento valioso sobre una aplicación, cómo se está utilizando o atacando, y dónde podría ser vulnerable. También debe plantear la pregunta, ¿qué tipos de métodos de solicitud requiere su aplicación para funcionar? ¿Debería permitir que otros lleguen a su aplicación, o debería reducir la oportunidad de exposición bloqueando tales acciones mucho antes de que lleguen a su servidor de origen?
Saltando a los tipos MIME, un abrumador 76% de los bloques estaban vinculados a tipos MIME Application/json. Esta visión no es solo una estadística; es una narrativa sobre el cambio en la arquitectura de aplicaciones moderna y la naturaleza en evolución de las amenazas dirigidas a estas arquitecturas. Claramente muestra que sus API están altamente dirigidas por los actores de amenazas y destaca la necesidad de proteger las API, tanto las conocidas como las API “sombra” o “zombi” que su equipo de seguridad quizás aún no haya descubierto.
Clasificamos las protecciones en este informe en tres estrategias principales: Reglas de control de acceso, conjuntos de reglas administrados y firmas personalizadas. De los tres, vale la pena señalar que el 45% de los bloques eran reglas de control de acceso. Hablar más sobre los fundamentos de una defensa efectiva realmente comienza con tácticas básicas, pero extremadamente efectivas, como prevenir el acceso a fuentes malas conocidas (direcciones IP en lista negra, agentes de usuario y países). Bloquee estos datos mucho antes de que se acerquen a sus aplicaciones, infraestructura y datos para obtener beneficios inmediatos, no solo desde el punto de vista de la seguridad, sino también desde la perspectiva de costos. Mitigar las malas solicitudes en el perímetro con un firewall de aplicaciones web (WAF) ahorra tanto el ancho de banda como los ciclos de cómputo.
El informe también sirve como recordatorio de que los atacantes buscan continuamente formas de eludir estas defensas. Aunque las reglas de control de acceso pueden ser estrictas, no podemos depender únicamente de ellas. Tomemos, por ejemplo, las tácticas de geofencing. Los cinco principales países de los que se originaron solicitudes maliciosas incluyeron Estados Unidos, Francia, Alemania, Rusia y Chechenia, con China notablemente ausente. Deberíamos esperar que China esté en la cima de esa lista como otros países importantes conectados a Internet. Sin embargo, esta visión desafía la excesiva dependencia de la geofencing y enfatiza la necesidad de un enfoque más estratificado para el cumplimiento y las medidas de seguridad. Sabemos que los atacantes a menudo comprometen servidores, VPC y dispositivos IoT para aprovechar en la misma región que sus objetivos finales. Comprenda las necesidades de su negocio y los requisitos reglamentarios (como no vender a países embargados) cuando utilice la táctica de geofencing. No es que esta táctica deba ser desechada, sino que no se debe confiar demasiado en ella.
Una amenaza muy específica y notable que marcaba hacia arriba en el Q4 fueron los ataques Path/Directory Traversal. Imagina tu aplicación como una fortaleza. Ahora, piensa en los ataques de trayecto transversal como invasores de métodos astutos que explotan el descuido más pequeño en la arquitectura de tu fortaleza para infiltrarse profundamente en tu dominio a través de carpetas con permisos excesivos en tu servidor web. Estos ataques no se tratan solo de llamar a la puerta; se tratan de encontrar un pasaje oculto que conduce directamente al corazón de tu imperio. ¿Las consecuencias? Acceso no autorizado, pérdida de información de identificación personal (PII), y potencialmente entrega de las llaves a su reino a través de la ejecución remota de código. La importancia aquí no puede ser exagerada, ya que estas intrusiones amenazan los pilares mismos de la confidencialidad, integridad y disponibilidad de datos que se sustenta en nuestro mundo digital.
En resumen, el informe trimestral sobre tendencias de ataque no es solo una recopilación de datos; es una narrativa que destaca la batalla en curso en el ámbito digital. Sirve como un recordatorio de que entender y adaptarse a las complejidades de la arquitectura de aplicaciones es clave no solo para sobrevivir, sino también para prosperar en este paisaje. Al emplear una estrategia que incluye defensas por capas, aprovechar la inteligencia contra amenazas y adaptar soluciones a las necesidades únicas de su aplicación, puede erigir una fortaleza que resista frente a las amenazas en constante evolución del mundo cibernético. La seguridad efectiva no se trata solo de poner herramientas en su lugar; se trata de entender cómo opera su negocio y usar ese conocimiento para informar sus controles de seguridad.
Una cosa más, este informe es solo la punta del iceberg. El equipo de Edgio está trabajando incansablemente para agregar más puntos de datos a futuros informes. Esté atento a nuestro informe Q1 2024. Confío en que no te decepcionarán.
¿Quieres más insight?
Tom y los miembros del equipo de seguridad de Edgio discuten el informe trimestral de tendencias de ataque en el último episodio de ThreatTank.
