La amenaza de la exposición a vulnerabilidades: lo que las organizaciones deben saber

Cada día se descubren y publican aproximadamente quince nuevas vulnerabilidades críticas y de alto riesgo (según datos del primer semestre de 2022). Algunas de estas vulnerabilidades fueron explotadas durante años antes de ser descubiertas por la comunidad de seguridad, o antes de que se pusieran a disposición parches de seguridad eficaces. Esto hace que sea muy difícil para los equipos de ciberseguridad realizar un seguimiento y aplicar parches de seguridad antes de que los cibercriminales descubran y exploten las vulnerabilidades. El tiempo medio de aplicación de un parche oscila entre 60 y 150 días, pero los estudios demuestran que algunas vulnerabilidades son identificadas y explotadas por los delincuentes 5 minutos después de ser divulgadas públicamente.

¿Pero qué es una vulnerabilidad?

Una vulnerabilidad es un punto débil o un defecto que permite a un cibercriminal vulnerar al menos uno de los tres principios de seguridad: confidencialidad, integridad y disponibilidad. Una parte importante del protocolo de ciberseguridad de una organización debe ser mantener una vigilancia continua en lo que respecta a su exposición a vulnerabilidades. Una vez que se conoce una vulnerabilidad de seguridad, los desarrolladores y los equipos de seguridad colaboran para proporcionar una solución, comúnmente conocido como parche de seguridad.

Además, independientemente de si los componentes de software están parcheados o no, algunas aplicaciones son vulnerables debido a prácticas de desarrollo de software inseguras, al uso de bibliotecas y paquetes de desarrollo comprometidos o a configuraciones de seguridad débiles, especialmente en entornos de nube (con la errónea suposición de que estos entornos son "seguros por defecto").

El impacto de explotar de forma exitosa de una vulnerabilidad puede variar desde revelar datos técnicos o causar una denegación de servicio hasta comprometer completamente un sistema, lo que a menudo conduce a una infiltración en la red. Afortunadamente, hay cosas que las organizaciones pueden hacer para protegerse contra estos ataques

• Construir sistemas con "seguridad por diseño”
  Varias prácticas pueden ayudar a reducir el número de vulnerabilidades de sus sistemas. En primer lugar, una buena formación a los desarrolladores y programadores en prácticas de ciberseguridad y proporcióneles herramientas de revisión de seguridad del código fuente. En segundo lugar, definir una estrategia de uso y seguimiento de las bibliotecas y código de fuente abierta. Y, por último, una definición de las directrices de endurecimiento de la configuración para sus tipos de activos críticos más utilizados (especialmente para los recursos en la nube). 
• Reduzca su superficie de ataque
  Una buena forma de proteger sus activos es no exponerlos a Internet. Esto es especialmente válido para los protocolos de administración y gestión remotas. Idealmente, esto significa limitar el acceso a los empleados conectados a su red corporativa, ya físicamente en las instalaciones o utilizando procedimientos seguros de conexión remota (por ejemplo, una VPN con MFA). Esto también se aplica al acceso a aplicaciones y proyectos sensibles en entornos de desarrollo o prueba, donde los archivos de configuración o copia de seguridad pueden ser fácilmente accesibles. En algunos casos en los que una VPN no es una opción, limitar las conexiones a determinadas direcciones IP de origen predefinidas puede ser una solución eficaz.
• Identificar las vulnerabilidades antes de que lo hagan los cibercriminales
  Existen varios métodos para identificar vulnerabilidades. Algunos de ellos pueden automatizarse, mientras que otros requieren intervenciones manuales de profesionales especializados en ciberseguridad. Lo ideal es que una organización utilice una combinación de métodos, incluidos escaneos automatizados de vulnerabilidades (a ser posible mensuales), pen-tests realizados por profesionales especializados (empezando por las aplicaciones sensibles), los programas de recompensas por localizar bugs o errores, la vigilancia diaria o automatizada de la seguridad y la caza de vulnerabilidades.
• Reducir la probabilidad de éxito de una explotación
  Para reducir la probabilidad de que los cibercriminales exploten las vulnerabilidades o comprometan los sistemas existen varias opciones. La más importante es garantizar la aplicación de parches de seguridad u otra protección adecuada, como limitar temporalmente la exposición a Internet o poner el servicio detrás de un WAF correctamente configurado en modo de bloqueo. También se aconseja a las organizaciones desplegar EDR con corrección automática activada en los servidores expuestos a Internet. Esto puede detener en seco algunos intentos de explotación. Por último, se recomienda reforzar la configuración de los servidores que puedan estar exponiendo servicios y aplicaciones en Internet. Esto incluye desactivar u ocultar servicios y funciones innecesarios o inseguros, como protocolos obsoletos.
• Limitar el impacto de una explotación exitosa
  El éxito en la explotación de una vulnerabilidad no tiene por qué conducir necesariamente a comprometer totalmente un servidor o a un movimiento lateral dentro de la red. Hay muchos controles que una organización puede implementar para limitar el impacto de la explotación exitosa de una vulnerabilidad expuesta a Internet, incluyendo el uso de una arquitectura de aplicación de tres niveles con una DMZ para los servidores que exponen servicios a Internet, la segregación de la red interna para diferentes tipos de activos, y la limitación y el control del acceso saliente de los servidores a Internet. 

También se anima a las organizaciones a configurar los permisos de acuerdo con los principios del mínimo privilegio. Según el estudio Palo Alto Networks, Unit 42, Inc., el 99% de los usuarios, funciones, servicios y recursos de la nube tienen excesivos permisos. Para empezar, esto puede solucionarse separando los grupos de administración y limitando su alcance. Para ello se puede utilizar, por ejemplo, un modelo de niveles de Active Directory (AD) o el modelo de acceso empresarial de Microsoft. No se debe permitir a los administradores de dominio conectarse remotamente a activos de alto riesgo, como servidores que exponen servicios a Internet, y no se debe ejecutar ningún servicio con privilegios de administrador de dominio en estos activos de alto riesgo. Utilice cuentas de servicio específicas con el principio de mínimo privilegio para garantizar que los permisos no supongan un problema.

Considere la posibilidad de implementar un refuerzo de seguridad y restricciones en los servicios expuestos para garantizar que no se ejecuten scripts o software no firmado (por ejemplo, siguiendo las recomendaciones de referencia del CIS), o de impedir el acceso al proceso Local Security Authority Server Service (Lsass) que almacena localmente las contraseñas de los usuarios en los terminales aplicando la protección de credenciales, reduciendo a dos el número de credenciales almacenadas localmente en caché y ejecutando Lsass como PPL.

Además, asegúrese de cambiar las credenciales predeterminadas, especialmente para las cuentas de administración/gestión integradas (por ejemplo, los puertos iLO e iDRAC).

No se puede proteger completamente una organización contra la posibilidad de un ciberataque. Pero si se adopta un enfoque múltiple para identificar y abordar las vulnerabilidades expuestas, los sistema y los activos estarán mucho mejor protegidos.