Cada día se descubren y publican aproximadamente quince nuevas vulnerabilidades críticas y de alto riesgo (según datos del primer semestre de 2022). Algunas de estas vulnerabilidades fueron explotadas durante años antes de ser descubiertas por la comunidad de seguridad, o antes de que se pusieran a disposición parches de seguridad eficaces. Esto hace que sea muy difícil para los equipos de ciberseguridad realizar un seguimiento y aplicar parches de seguridad antes de que los cibercriminales descubran y exploten las vulnerabilidades. El tiempo medio de aplicación de un parche oscila entre 60 y 150 días, pero los estudios demuestran que algunas vulnerabilidades son identificadas y explotadas por los delincuentes 5 minutos después de ser divulgadas públicamente.
Una vulnerabilidad es un punto débil o un defecto que permite a un cibercriminal vulnerar al menos uno de los tres principios de seguridad: confidencialidad, integridad y disponibilidad. Una parte importante del protocolo de ciberseguridad de una organización debe ser mantener una vigilancia continua en lo que respecta a su exposición a vulnerabilidades. Una vez que se conoce una vulnerabilidad de seguridad, los desarrolladores y los equipos de seguridad colaboran para proporcionar una solución, comúnmente conocido como parche de seguridad.
Además, independientemente de si los componentes de software están parcheados o no, algunas aplicaciones son vulnerables debido a prácticas de desarrollo de software inseguras, al uso de bibliotecas y paquetes de desarrollo comprometidos o a configuraciones de seguridad débiles, especialmente en entornos de nube (con la errónea suposición de que estos entornos son "seguros por defecto").
El impacto de explotar de forma exitosa de una vulnerabilidad puede variar desde revelar datos técnicos o causar una denegación de servicio hasta comprometer completamente un sistema, lo que a menudo conduce a una infiltración en la red. Afortunadamente, hay cosas que las organizaciones pueden hacer para protegerse contra estos ataques
También se anima a las organizaciones a configurar los permisos de acuerdo con los principios del mínimo privilegio. Según el estudio Palo Alto Networks, Unit 42, Inc., el 99% de los usuarios, funciones, servicios y recursos de la nube tienen excesivos permisos. Para empezar, esto puede solucionarse separando los grupos de administración y limitando su alcance. Para ello se puede utilizar, por ejemplo, un modelo de niveles de Active Directory (AD) o el modelo de acceso empresarial de Microsoft. No se debe permitir a los administradores de dominio conectarse remotamente a activos de alto riesgo, como servidores que exponen servicios a Internet, y no se debe ejecutar ningún servicio con privilegios de administrador de dominio en estos activos de alto riesgo. Utilice cuentas de servicio específicas con el principio de mínimo privilegio para garantizar que los permisos no supongan un problema.
Considere la posibilidad de implementar un refuerzo de seguridad y restricciones en los servicios expuestos para garantizar que no se ejecuten scripts o software no firmado (por ejemplo, siguiendo las recomendaciones de referencia del CIS), o de impedir el acceso al proceso Local Security Authority Server Service (Lsass) que almacena localmente las contraseñas de los usuarios en los terminales aplicando la protección de credenciales, reduciendo a dos el número de credenciales almacenadas localmente en caché y ejecutando Lsass como PPL.
Además, asegúrese de cambiar las credenciales predeterminadas, especialmente para las cuentas de administración/gestión integradas (por ejemplo, los puertos iLO e iDRAC).
No se puede proteger completamente una organización contra la posibilidad de un ciberataque. Pero si se adopta un enfoque múltiple para identificar y abordar las vulnerabilidades expuestas, los sistema y los activos estarán mucho mejor protegidos.
Client Experience Manager
Jad Nehmé es director de cyber services del equipo de Beazley Cyber services internacional. Desde Francia presta apoyo a los clientes de Beazley durante un incidente de ciberseguridad o una fuga de datos. También ayuda a los clientes en la gestión de riesgos de privacidad y ciberseguridad, así como en controles preventivos. Antes de incorporarse a Beazley, Jad desempeñó funciones en Alcatel-Lucent y KPMG, cubriendo tanto los aspectos técnicos como organizativos de la ciberseguridad.
Las opiniones expresadas aquí son las del autor.