El trabajo remoto comenzó como una medida temporal durante la pandemia, pero durante mucho tiempo ha sido un elemento permanente en nuestra nueva forma de trabajar. Desde entonces, las organizaciones han migrado a entornos de trabajo de escritorio remoto a un ritmo cada vez mayor, expandiendo simultáneamente su superficie de ataque y exponiéndose a mayores amenazas de ciberseguridad. La revolución del trabajo remoto ha empujado a las empresas a repensar sus prácticas de seguridad y protección de datos en entornos de trabajo híbrido y de nube. A su vez, los actores de amenazas han seguido explotando las vulnerabilidades a las que se exponen las empresas, incluidas las identificadas públicamente, a la par de los rápidos esfuerzos de transformación digital. McKinsey y compañía estima que el aumento anual de los costos relacionados con el cibercrimen alcanzará los 10,5 billones de dólares para 2025, ya que la gestión del riesgo cibernético no ha seguido el ritmo de la transformación digital, lo que plantea graves riesgos para la seguridad y los ingresos de las organizaciones.
Como resultado, a las empresas les resulta cada vez más difícil gestionar su superficie de ataque a la velocidad y escala necesarias para prevenir ataques. A continuación se presentan las principales exposiciones y tendencias de las superficies de ataque del año pasado, y las formas en que las instituciones pueden remediar estas amenazas antes de que se transformen en problemas críticos.
Principales exposiciones de la superficie de ataque
Informe de gestión de amenazas en la superficie de ataque de la Unidad 42 de 2023 de Palo Alto Networks descubrió que las principales exposiciones de la superficie de ataque existen a través de dos métodos: acciones tomadas directamente en un dispositivo comprometido (como filtrar archivos confidenciales almacenados localmente en el dispositivo) o aprovechar el acceso no autorizado a un activo de la superficie de ataque comprometido (como comprometer las VPN) para obtener más beneficios. acceso dentro de una organización. Ambos métodos afectan a entornos de trabajo híbridos y existen en diversas formas. Sin embargo, la nube es una superficie de ataque cada vez más popular en la que se han centrado los ciberdelincuentes. La nube es la superficie de ataque dominante a través de la cual se accede a estas exposiciones críticas, debido a su eficiencia operativa y su omnipresencia en todas las industrias. Los tipos clave de exposición, en orden de prevalencia, incluyen la toma de control del marco web, los servicios de acceso remoto, la infraestructura de redes y TI, el intercambio de archivos y las exposiciones y vulnerabilidades de bases de datos.
La adquisición de marcos web y las exposiciones a servicios de acceso remoto representaron más del 40% de los tipos de exposición. Estos servicios se utilizan mucho en entornos de trabajo híbridos y son fundamentales para facilitar las operaciones comerciales. Más del 85 % de las organizaciones analizadas tienen RDP accesibles a través de Internet durante al menos el 25 % de un mes determinado, lo que las deja expuestas a ataques de ransomware. Dado que los actores de amenazas explotan vulnerabilidades críticas apenas unas horas después de su publicación, esto representa un grave riesgo de seguridad para las empresas.
El panorama de los ataques ha evolucionado para apuntar a infraestructuras críticas. Estos objetivos son más atractivos para los actores de amenazas porque no han sido mantenidos regularmente en el pasado. Algunas de las industrias con mayor riesgo incluyen varios sectores de infraestructura críticos, como:
- Cuidado de la salud
- Utilidades y energía
- Fabricación
- Educación
- Gobiernos estatales/nacionales
La creciente tendencia a apuntar a infraestructuras críticas es preocupante, ya que hemos visto que ataques como SolarWinds tienen impactos devastadores.
Curiosamente, las empresas de alta tecnología también se encontraban entre las principales organizaciones atacadas por los actores de amenazas. Estas empresas dependen en gran medida de los servicios de acceso remoto, que pueden ser un vector de ataque importante debido a servidores inseguros, protocolos de seguridad inadecuados, configuraciones incorrectas de la nube, exposición de la infraestructura de seguridad (como enrutadores y firewalls), y más. Las organizaciones de todos los sectores pueden beneficiarse de prácticas seguras para limitar su exposición al acceso remoto.
Recomendaciones clave
Los actores de amenazas actuales son expertos en explotar las vulnerabilidades organizacionales para obtener acceso a entornos remotos. Además de implementar las sugerencias a continuación, sugiero monitorear las amenazas emergentes a través de esfuerzos integrales que establecerán una base sólida para su empresa, como un contrato de servicio para sesiones informativas sobre el panorama de amenazas o una auditoría de la superficie de ataque de su organización para detectar riesgos.
A continuación se presentan recomendaciones clave y mejores prácticas que las organizaciones deberían considerar fortalecer su postura de seguridad y administrar activamente sus superficies de ataque.
- Cambia tu mentalidad de vulnerabilidad para identificar sistemas heredados de gestión de vulnerabilidades. Esto ayudará a su organización a resolver problemas antes de que se vuelvan críticos.
- Implementar métodos de autenticación sólidos para sistemas clave conectados a Internet, como la autenticación multifactor. De esta manera, las organizaciones pueden proteger los servicios de acceso remoto y monitorear signos de intentos de acceso no autorizados.
- Garantizar una visibilidad continua en activos locales y en la nube es imprescindible para la seguridad. Al mantener una comprensión en tiempo real de todos los activos de la empresa a los que se puede acceder en línea, usted prepara a sus equipos para tener éxito en la premeditación de ataques.
- Premeditación del ataque es otra forma vital de proteger sus sistemas. Centrarse en abordar las vulnerabilidades más críticas en términos de gravedad y probabilidad a través de la Sistema de puntuación de vulnerabilidad común y Explotar el sistema de puntuación de predicción puntuaciones, respectivamente.
- Aborde las configuraciones erróneas de la nube de frente. Revise y actualice periódicamente las configuraciones de la nube de su organización para alinearse con las mejores prácticas de la industria; haga que sus equipos de seguridad y DevOps trabajen juntos para impulsar implementaciones seguras. Si bien los servicios de acceso remoto son cruciales para los entornos de trabajo híbridos, sus configuraciones defectuosas plantean riesgos importantes para la seguridad de la empresa.
- Responda a las amenazas rápidamente. Es de suma importancia que su equipo de seguridad responda al instante. Instale protocolos y mecanismos para ayudar a su equipo a aprovechar rápidamente las herramientas de administración de la superficie de ataque para priorizar parches y remediar exposiciones comunes.
Comprender las amenazas a las que se enfrenta y lo que necesita para proteger su organización contra ellas es fundamental para un programa de ciberseguridad exitoso. Como muestran las investigaciones, las empresas y las agencias gubernamentales luchan por comprender qué activos las exponen al mayor riesgo. Al implementar estas recomendaciones clave, las organizaciones pueden adoptar un enfoque más proactivo y holístico para mantener el control sobre su infraestructura y evolucionar con la naturaleza cambiante de su superficie de ataque.
Para saber más, visítenos aquí.
Sobre el Autor:
Matt Kraning es el director de tecnología de Cortex en Palo Alto Networks y anteriormente fue director de tecnología y cofundador de Expanse, que fue adquirida por Palo Alto Networks. Matt es un experto en optimización a gran escala, detección distribuida y algoritmos de aprendizaje automático que se ejecutan en sistemas masivamente paralelos. Antes de cofundar Expanse, Matt trabajó para DARPA, incluido un despliegue en Afganistán. Matt tiene una licenciatura, una maestría y un doctorado de la Universidad de Stanford.