Las empresas deben adoptar enfoques más "innovadores y proactivos" en materia de seguridad en 2022 para combatir las amenazas que surgieron el año pasado, según los investigadores.
Después de un año récord en cuanto a vulnerabilidades y ciberataques en 2021, las organizaciones creen que están librando una "batalla perdida" contra las vulnerabilidades y amenazas a la seguridad, "a pesar de los miles de millones de dólares gastados colectivamente en tecnología de ciberseguridad", según un informe anual de seguridad de BugCrowd.
Esta percepción se produce después de que en 2021 las organizaciones tuvieran que lidiar con las complejidades de los entornos híbridos -con muchos trabajadores corporativos todavía en casa debido a la pandemia-, una explosión de ransomware y la aparición de la cadena de suministro como una importante superficie de ataque, según el informe, Priority One Report 2022.
El sentimiento colectivo de derrota entre los profesionales de la seguridad -así como la continua carencia de competencias en ciberseguridad, con 2,7 puestos de trabajo en ciberseguridad aún por cubrir- "alimentará el interés por enfoques más innovadores y proactivos de la seguridad en 2022", según el informe. En este sentido, los investigadores afirman que se recurrirá a la comunidad investigadora mundial y a sus programas de recompensas por errores y divulgación de vulnerabilidades para ayudar a descubrir y combatir las amenazas.
BugCrowd ofrece un enfoque de crowdsourcing para gestionar las pruebas de penetración, las recompensas por errores, la divulgación de vulnerabilidades y la gestión de la superficie de ataque de las organizaciones. El informe de 2022 -que recopila datos de la actividad de la empresa a lo largo del año- destaca algunas de las principales tendencias en términos de vulnerabilidades que las organizaciones notificaron en 2021, así como los tipos de ataques que se produjeron con mayor frecuencia.
Observaciones sobre las vulnerabilidades
El cross-site scripting (XSS), un exploit en el que el atacante adjunta código a un sitio web legítimo que se ejecutará cuando la víctima cargue el sitio web, fue el tipo de vulnerabilidad más identificado el año pasado, según el informe.
Los atacantes suelen utilizar CSS en ataques que roban las credenciales de las personas, lo que podría ser una razón para que la exposición de datos sensibles también tuviera un perfil más alto el año pasado. Según el informe, esta amenaza pasó del puesto 9 al 3 en la lista de los 10 tipos de vulnerabilidad más identificados en 2021. De hecho, el robo de credenciales es una de las principales formas en que los atacantes penetran en las redes corporativas y luego roban datos a través de ransomware u otros ataques.
Entre las industrias más afectadas por las vulnerabilidades en 2021 se encuentra el sector de los servicios financieros, con estas empresas en la plataforma de Bugcrowd experimentando un considerable aumento del 185% en los últimos 12 meses para la "prioridad 1", o presentaciones P1 - que se refieren a las vulnerabilidades más críticas, según el informe. Los envíos de fallos válidos también aumentaron un 82% en este sector, así como los pagos por identificar fallos, que aumentaron un 106% el año pasado.
Según el informe, el sector gubernamental también experimentó un enorme aumento de envíos de vulnerabilidades válidas en 2021. Los envíos de fallos aumentaron un 1.000% en este sector, que también fue "el principal beneficiario de la participación continua de la comunidad", según el informe.
"La gran mayoría de estos envíos se produjeron en el tercer trimestre, cuando los clientes gubernamentales abrieron los grifos de la seguridad crowdsourced en respuesta a las nuevas directivas de las agencias civiles federales que, por ejemplo, hacen de la divulgación de la vulnerabilidad un requisito clave", según el informe.
Tendencias de seguridad en 2021
Entre las tendencias de seguridad de alto nivel que estuvieron en el punto de mira el año pasado, el ransomware "se convirtió en la corriente principal" en 2021, superando las violaciones de datos personales y provocando una amplia respuesta gubernamental a los ataques perturbadores como el de Colonial Pipeline el pasado mes de mayo, según el informe.
De hecho, el Servicio Federal de Seguridad de Rusia (FSB) informó la semana pasada de que había realizado una redada en 25 lugares para confiscar activos por valor de más de 5,6 millones de dólares de la banda de ransomware REvil, liquidando así el grupo.
El gobierno de Biden también adoptó el año pasado una línea dura contra los actores del ransomware, ampliando las ciberdefensas y las estrategias del gobierno para combatir los ataques.
Aunque importantes grupos de ransomware cerraron el año pasado, otros han surgido para ocupar su lugar, y BugCrowd señaló la evolución de los ataques de ransomware que se está produciendo actualmente.
"Ahora vemos que las bandas de ransomware aplican los principios de las "lean startups" a sus operaciones", escribieron los investigadores en el informe. "Empiezan con equipos esqueléticos que realizan ataques especulativos y dispersos y solicitan sus recompensas en criptografía de forma burda. Después de uno o dos ataques exitosos, estos equipos tratan los rescates pagados como capital inicial, utilizándolo para hacer crecer sus operaciones e invertir en mejor software, talento y exploits."
Los grupos de ransomware más elitistas ahora llevan a cabo procesos que incluyen una investigación detallada para identificar objetivos, comunicaciones avanzadas y relaciones con los medios de comunicación para avivar el miedo y aumentar la probabilidad de que se produzca un pago, señalaron los investigadores. Estos procesos también incluyen el rastreo de vulnerabilidades críticas para encontrar huecos de explotación que no han sido detectados por las organizaciones, lo que aumenta la necesidad de un enfoque de seguridad proactivo por parte de las organizaciones, dijeron.
La cadena de suministro también surgió como una "superficie de ataque principal" en 2021, lo que tendrá un impacto en la forma en que las organizaciones abordan las vulnerabilidades y la seguridad en 2022, según el informe.
Aunque esta tendencia ya ha creado "una próspera industria de escáneres y herramientas automatizadas", las organizaciones aunque tendrán que empezar a pensar como los atacantes y emplear la ayuda de los hackers éticos y otras soluciones de seguridad de origen colectivo para proteger la cadena de suministro este año, dijeron los investigadores.
"Sólo un enfoque que convierta esa vulnerabilidad en una fortaleza -adoptando las mismas herramientas, técnicas y mentalidad que los atacantes para descubrir las vulnerabilidades antes de que lo hagan- conduce al éxito", escribieron.
Fuente: https://threatpost.com/organizations-losing-battle-vulnerabilities/177696/