Las vulnerabilidades del pasado son las vulnerabilidades del futuro

la seguridad cibernética

Las principales vulnerabilidades de software son un hecho de la vida, como lo ilustra el hecho de que Microsoft ha parcheado entre 55 y 110 vulnerabilidades cada mes este año, con 7% a 17% de esas vulnerabilidades críticas.

May tuvo la menor cantidad de vulnerabilidades, con un total de 55 y solo cuatro consideradas críticas. El problema es que las vulnerabilidades críticas son cosas que hemos visto durante muchos años, como la ejecución remota de código y la escalada de privilegios.

Microsoft no es el único gran nombre que parchea regularmente las principales vulnerabilidades: vemos actualizaciones de seguridad mensuales provenientes de Apple, Adobe, Google, Cisco y otros.

Todo lo viejo es nuevo otra vez

Con vulnerabilidades importantes en tantas aplicaciones, ¿hay alguna esperanza de un futuro seguro? La respuesta es, por supuesto, sí, pero eso no significa que no habrá desafíos para llegar allí.

Las vulnerabilidades que se observan pueden no ser nuevas para aquellos de nosotros que nos hemos estado defendiendo de los atacantes durante años o incluso décadas, pero los adversarios cambian continuamente sus tácticas.

No es raro que utilicen recursos legítimos con fines nefastos y puede que no siempre sea posible planificar este uso indebido cuando se crea una aplicación.

es tu privilegio

Dado que el 80 % de las infracciones de seguridad involucran cuentas con privilegios, una de las principales vulnerabilidades que veremos cada vez más explotadas es la escalada de privilegios. Una táctica común de los operadores de ransomware y otros actores de amenazas es lograr privilegios elevados en un sistema para ayudar a legitimar sus acciones y obtener acceso a datos confidenciales.

Si un ladrón de información tiene el mismo acceso que el usuario actual, las posibilidades de filtrar datos confidenciales aumentan significativamente. Mientras tanto, el acceso de administrador casi garantiza el acceso a datos jugosos.

Además de mantener el software actualizado, aquí es donde las iniciativas Zero Trust y el monitoreo del flujo de datos se vuelven críticos. Como mínimo, Zero Trust significa que se debe aplicar el principio de privilegio mínimo y se debe exigir la autenticación multifactor donde esté disponible.

Esencialmente, esto asegura que cualquier persona que no necesite acceso a un sistema o archivo no pueda acceder a él, mientras que aquellos que lo necesiten deben probar que son quienes dicen ser. Supervisar el flujo de datos también puede ayudar a detectar una infracción desde el principio, lo que limita la cantidad de datos robados.

Control remoto

La ejecución remota de código (RCE) no desaparecerá pronto. Estos ataques representaron alrededor del 27 % de los ataques en 2020, frente al 7 % del año anterior. Si un atacante puede encontrar una manera de ejecutar código arbitrario en su sistema de forma remota, tiene mucho más control que si simplemente lograra que un usuario ejecutara una pieza de malware con funciones predefinidas sin darse cuenta.

Si el atacante puede ejecutar código arbitrario de forma remota, obtiene la capacidad de moverse por el sistema y posiblemente por la red, lo que le permite cambiar sus objetivos y tácticas en función de lo que encuentre.

El monitoreo del comportamiento es una de las mejores formas de detectar RCE en sus sistemas. Si una aplicación comienza a ejecutar comandos y acelerar procesos que no forman parte de su comportamiento normal, puede detener un ataque desde el principio. El hecho de que RCE sea tan común también exige que mantenga actualizados los parches de seguridad para detener muchos de estos ataques incluso antes de que comiencen.

¿Quién necesita malware de todos modos?

Hoy en día, uno de los métodos de ataque favoritos es el uso de procesos legítimos y aplicaciones confiables para lograr objetivos nefastos. Estos ataques sin archivos, o que viven de la tierra, pueden ser difíciles de detectar porque no es necesario instalar el malware.

Una de las aplicaciones más comunes que se explota de esta manera es PowerShell. Esto tiene sentido porque PowerShell es una poderosa aplicación que se usa para crear scripts y ejecutar comandos del sistema.

Esta es otra instancia en la que monitorear los comportamientos de las aplicaciones y los procesos puede ser vital para detener un ataque rápidamente. ¿PowerShell realmente necesita deshabilitar las funciones de seguridad?

En la mayoría de los casos, probablemente no. Se pueden monitorear comportamientos como este, incluso desde aplicaciones confiables como PowerShell. Combine este monitoreo con el aprendizaje automático avanzado y la IA, y puede comenzar a tomar huellas digitales de los comportamientos normales en su red, con respuestas automatizadas a actividades inusuales.

Ve y repítete

Si bien es posible que los tipos comunes de ataques no cambien mucho, cualquier cambio en la aplicación o el código tiene el potencial de introducir nuevas vulnerabilidades. Esto no significa que debamos rendirnos y simplemente dejar que los adversarios ganen; significa que ahora es el momento de redoblar nuestros esfuerzos para frustrar sus intentos.

Implemente una estrategia de administración de parches, monitoree la red, use detección de comportamiento y evite la autocomplacencia. El hecho de que los principales proveedores de software corrijan regularmente las principales vulnerabilidades es realmente algo bueno porque los atacantes no se dan por vencidos, por lo que nosotros tampoco deberíamos hacerlo.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática