¿Cuál es el precio de la infraestructura de TI sin protección? La revista Cybercrime dice que los daños globales superarán los $ 6 mil millones tan pronto como 2021 .
Aquí veremos algunas de las causas más frecuentes y emergentes de violaciones de datos en 2019 y veremos cómo abordarlas de manera oportuna.
Almacenamiento en la nube mal configurado
Es difícil encontrar un día sin un incidente de seguridad que involucre almacenamiento AWS S3 sin protección, Elasticsearch o MongoDB. Un estudio global de Thales y el Ponemon Institute afirma que solo el 32% de las organizaciones cree que proteger sus datos en una nube es su responsabilidad. Peor aún, según el mismo informe, el 51% de las organizaciones aún no utilizan cifrado o tokenización para proteger datos confidenciales en la nube.
McAfee confirma, afirmando que el 99% de las configuraciones incorrectas de la nube y de IaaS caen en el dominio del control de los usuarios finales y pasan desapercibidas. Marco Rottigni, Director Técnico de Seguridad EMEA en Qualys, explica el problema: «Algunas de las implementaciones de bases de datos en la nube más comunes se envían sin seguridad ni control de acceso como estándar al principio. Deben agregarse deliberadamente, lo que se puede pasar por alto fácilmente».
Con un costo promedio global de $ 3.92 millones por violación de datos en 2019, estos hallazgos son bastante alarmantes. Lamentablemente, muchos profesionales de ciberseguridad y TI todavía creen sinceramente que los proveedores de la nube son responsables de proteger sus datos en la nube. Desafortunadamente, la mayoría de sus suposiciones no están de acuerdo con la dura realidad legal.
Prácticamente todos los principales proveedores de nube e IaaS tienen firmas de abogados con experiencia para redactar un contrato hermético que no podrá alterar o negar en un tribunal. Las cláusulas de tinta negra cambian expresamente la responsabilidad financiera de la mayoría de los incidentes sobre los hombros de los clientes y establecen una responsabilidad limitada por todo lo demás, a menudo calculado en centavos.
La mayoría de las empresas PYME ni siquiera leen cuidadosamente los términos, mientras que en las grandes organizaciones son revisadas por asesores legales que a menudo están desconectados del equipo de TI. Sin embargo, difícilmente se negociarán mejores condiciones, ya que de lo contrario, el negocio en la nube será tan peligroso y poco rentable que desaparecerá rápidamente. Esto significa que usted será la única entidad a la que culpar y castigar por el almacenamiento en la nube mal configurado o abandonado y una violación de datos resultante.
Repositorios de códigos desprotegidos
La investigación realizada por la Universidad Estatal de Carolina del Norte (NCSU) encontró que más de 100,000 repositorios de GitHub han estado filtrando tokens API secretos y claves criptográficas, con miles de repositorios nuevos que exponen secretos a diario. El gigante bancario canadiense Scotiabank recientemente apareció en los titulares de las noticias al almacenar el código fuente interno, las credenciales de inicio de sesión y las claves de acceso durante meses en repositorios de GitHub públicamente accesibles y accesibles .
Los terceros, especialmente los desarrolladores de software externos, suelen ser el eslabón más débil. A menudo, sus desarrolladores carecen de la capacitación adecuada y el requisito de conocimiento de seguridad para salvaguardar debidamente su código. Al tener varios proyectos a la vez, plazos difíciles y clientes impacientes, ignoran u olvidan los fundamentos de la seguridad, permitiendo que su código sea de dominio público.
Los cibercriminales son conscientes de esta cueva digital de Ali Baba. Las bandas cibernéticas especializadas en el descubrimiento de datos OSINT rastrean meticulosamente los repositorios de código existentes y nuevos en un modo continuo, eliminando cuidadosamente los datos. Una vez que se encuentra algo de valor, se vende a bandas cibernéticas centradas en la explotación y las operaciones ofensivas para entrar.
Dado que tales intrusiones rara vez provocan señales de alerta en los sistemas de detección de anomalías, pasan desapercibidas o detectadas una vez que ya es demasiado tarde. Peor aún, la investigación de tales intrusiones es costosa y casi sin perspectiva. Muchos ataques APT famosos involucraron ataques de reutilización de contraseña con credenciales que se encuentran en repositorios de código.
Software de código abierto vulnerable
La rápida proliferación del software de código abierto (OSS) en los sistemas empresariales exacerba el panorama de las amenazas cibernéticas al agregar aún más incógnitas al juego. Un informe reciente de ImmuniWeb descubrió que 97 de cada 100 bancos más grandes son vulnerables y tienen aplicaciones web y móviles mal codificadas, y están plagadas de componentes, bibliotecas y marcos de código abierto obsoletos y vulnerables. La vulnerabilidad sin parche más antigua encontrada era conocida y divulgada públicamente desde 2011.
OSS ahorra mucho tiempo para los desarrolladores y dinero para las organizaciones, pero también proporciona un amplio espectro de riesgos concomitantes y en gran medida subestimados. Pocas organizaciones rastrean y mantienen adecuadamente un inventario de innumerables OSS y sus componentes integrados en su software empresarial. En consecuencia, cegados por el desconocimiento, son víctimas de incógnitas desconocidas cuando los defectos de seguridad OSS recientemente detectados son explotados agresivamente en la naturaleza.
Hoy en día, las organizaciones medianas y grandes invierten cada vez más en la seguridad de las aplicaciones, especialmente en la implementación de las pruebas DevSecOps y Shift Left. Gartner insta a la adopción de Shift Left prueba de software mediante la incorporación de pruebas de seguridad en las primeras etapas del Ciclo de vida de desarrollo de software (SDLC) antes de que sea demasiado costoso y lento reparar las vulnerabilidades. Sin embargo, un inventario holístico y actualizado de su OSS es indispensable para implementar la prueba Shift Left; de lo contrario, simplemente gastará su dinero en el desagüe.
Cómo prevenir y remediar
Siga estas cinco recomendaciones para reducir sus riesgos de manera rentable:
1. Mantenga un inventario actualizado y holístico de sus activos digitales
El software, el hardware, los datos, los usuarios y las licencias deben monitorearse, clasificarse y evaluarse de manera continua . En la era de la nube pública, contenedores, repositorios de código, servicios de intercambio de archivos y subcontratación, no es una tarea fácil, pero sin ella, puede arruinar la integridad de sus esfuerzos de seguridad cibernética y negar todas las inversiones anteriores en seguridad cibernética. Recuerde, no puede proteger lo que no ve.
2. Controle su superficie de ataque externo y la exposición al riesgo
Muchas organizaciones gastan dinero en riesgos auxiliares o incluso teóricos, ignorando sus numerosos sistemas obsoletos, abandonados o simplemente desconocidos accesibles desde Internet. Estos activos en la sombra son fruto de bajo perfil para los ciberdelincuentes. Los atacantes son inteligentes y pragmáticos; no asaltarán tu castillo si pueden entrar silenciosamente por un túnel subterráneo olvidado. Por lo tanto, asegúrese de tener una vista amplia y actualizada de la superficie de sus ataques externos de manera continua.
3. Mantenga su software actualizado, implemente la administración de parches y los parches automatizados
La mayoría de los ataques exitosos no implican el uso de 0 días sofisticados y costosos, sino vulnerabilidades divulgadas públicamente a menudo disponibles con un exploit funcional. Los piratas informáticos buscarán sistemáticamente el eslabón más débil en su perímetro de defensa para entrar, e incluso una pequeña biblioteca JS desactualizada puede ser una ganancia inesperada para obtener sus joyas de la corona. Implemente, pruebe y monitoree un sistema robusto de administración de parches para todos sus sistemas y aplicaciones.
4. Priorice sus pruebas y esfuerzos de corrección basados en riesgos y amenazas.
Una vez que tenga una visibilidad nítida de sus activos digitales y una estrategia de administración de parches correctamente implementada, es hora de asegurarse de que todo funcione como esperaba. Implemente un monitoreo de seguridad continuo para todos sus activos externos, realice pruebas exhaustivas, incluidas pruebas de penetración de sus aplicaciones web y API críticas para el negocio. Configure el monitoreo de cualquier anomalía con notificaciones rápidas.
5. Mantenga un ojo en Dark Web y monitoree las fugas de datos
La mayoría de las empresas no se dan cuenta de cómo muchos de sus cuentas corporativas, expuesta por los sitios web y servicios de terceros hackeados, se vende en la web oscuro . El éxito emergente de la reutilización de contraseñas y los ataques de fuerza bruta se derivan de ello. Peor aún, incluso los sitios web legítimos como Pastebin a menudo exponen una gran cantidad de datos filtrados, robados o perdidos accesibles para todos. El monitoreo y análisis continuo de estos incidentes puede ahorrar millones de dólares y, lo más importante, su reputación y buena voluntad.
