Los hackers encuentran en los exploits del lado del servidor su motivación financiera
- Seguridad Inteligente
Los ciberdelincuentes con motivación financiera siempre buscan objetivos fáciles de alcanzar. Eso significa aprovechar las herramientas de ataque existentes en lugar de desarrollar nuevas, usar el mismo ataque contra tantas víctimas como sea posible y dirigirse a cantidades masivas de dispositivos. La investigación muestra que en los últimos meses, esos objetivos han comenzado a incluir activos que generalmente son más difíciles de parchar: servidores.
Según el informe inaugural Vulnerability and Threat Trends Report, durante 2017, la gran mayoría de los exploits afectaron las aplicaciones del servidor (76%), un aumento de 17 puntos desde 2016. Al mismo tiempo, el número de vulnerabilidades conocidas se duplicó.
Eso es inteligente, porque para las empresas, lidiar con las vulnerabilidades del lado del servidor siempre es más difícil: los activos de mayor valor requieren más consideración que si hay un parche disponible o no.
A medida que más funciones dependen de servidores que de clientes, las organizaciones necesitan tener los medios para comprender estas vulnerabilidades del lado del servidor en el contexto de la criticidad de los activos, la topología circundante y los controles de seguridad y la actividad de explotación en la naturaleza", señala el informe, dado que solo entonces pueden decidir con precisión la prioridad y el cronograma de parchado óptimo.
El aumento en los exploits del lado del servidor corresponde a la continua disminución en el uso de kits de exploits, basándose en las vulnerabilidades del lado del cliente, que representaron solo una cuarta parte de los exploits en la naturaleza en 2017. Esto se debe a la desaparición del kit exploit jugadores como Angler, Neutrino y Nuclear, sin un rival comparable que suba para reemplazarlos.
Esto no significa, sin embargo, que los kits de exploits hayan desaparecido. Los ciberdelincuentes cambian constantemente de táctica, por lo que es probable que el próximo kit de explotación de exploits se desarrolle mientras lee este artículo.
Las instancias del código de explotación de muestra recientemente publicado también han aumentado, con el promedio mensual saltando un 60% en 2017. Con ajustes mínimos los atacantes pueden convertir estas muestras en exploits totalmente funcionales para su propio uso. Este escenario fue el caso del exploit EternalBlue de la NSA filtrado por The Shadow Brokers y utilizado en los ataques WannaCry y NotPetya, entre otros. Tales filtraciones están poniendo herramientas avanzadas de ataque en manos de ciberataques de menor calificación, mejorando las capacidades de un panorama de amenazas ya bien equipado, señaló la firma.
Las organizaciones necesitan mantenerse al día no solo con exploits activos en la naturaleza, sino también tener en cuenta las vulnerabilidades con código de explotación disponible para sus procesos de priorización. Si bien este último conjunto no representa una amenaza inminente, pueden hacer el salto a la explotación activa muy rápidamente: los equipos de seguridad necesitan inteligencia accionable cuando están listos.
El informe también muestra que en 2017 hubo un aumento del 120% en nuevas vulnerabilidades específicas para tecnología operativa (OT), en comparación con el año anterior (OT incluye dispositivos de monitoreo y control comunes en organizaciones de infraestructura crítica como productores de energía, servicios públicos y fábricas, entre otros). Este aumento es particularmente preocupante ya que muchas organizaciones tienen una visibilidad pobre o inexistente de la red OT, especialmente cuando se trata de vulnerabilidades, ya que el escaneo activo generalmente está prohibido.
"Con demasiada frecuencia, OT está a oscuras, y eso significa que la administración de seguridad no está obteniendo la imagen completa del riesgo cibernético en su organización", dijo Kidron. "Incluso cuando se identifican vulnerabilidades parcheables, los ingenieros de OT tienen dudas sobre la instalación de la actualización, ya que podría interrumpir los servicios, causar daños al equipo o incluso arriesgar la vida. Las organizaciones con redes OT deben tener estrategias establecidas no solo para la evaluación de vulnerabilidad OT y la priorización de parches, pero también para unificar tales procesos con aquellos en la red de TI para comprender y gestionar el riesgo de verdad ".
En general, las nuevas vulnerabilidades catalogadas por la Base de Datos Nacional de Vulnerabilidades de MITER se duplicaron en 2017. El salto se debió en gran medida a mejoras organizacionales en MITRE y una mayor investigación de seguridad por parte de proveedores y terceros, incluidos programas de recompensas de errores patrocinados por proveedores, descubrió Skybox Security. El resultado es más de 14,000 vulnerabilidades y exposiciones comunes recientemente asignadas (CVE).
"En 2017, si aún dependiera de los métodos tradicionales de priorización, como los puntajes CVSS únicamente, su lista de lavandería se alargó", dijo Davidson. "En el próximo año, podemos ver una cifra aún mayor. Las organizaciones deben adoptar un enfoque drásticamente diferente para la gestión de vulnerabilidades".
Descubre la innovación
Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de TI Híbrida incluyen DevOps, Seguridad, Gestión de riesgos y Análisis predictivo. Puedes obtener más información sobre cómo abordar estos retos e innovar en este enlace.