El cibercrimen es la mayor amenaza para todas las empresas del mundo y uno de los mayores problemas de la humanidad. El impacto en la sociedad se refleja en los números. En agosto de 2016, Cybersecurity Ventures predijo que el cibercrimen le costará al mundo U$S6 mil millones anuales para 2021 [PDF], frente a los U$S3 mil millones en 2015.

Esto representa la mayor transferencia de riqueza económica en la historia, pone en riesgo los incentivos para la innovación y la inversión, y será más rentable que el comercio global de todas las principales drogas ilegales combinadas.

A finales de 2016, una empresa fue víctima de un ataque de ransomware cada 40 segundos, aumentó a 14 segundos para 2019, y Cybersecurity Ventures predice que será de 11 segundos para 2021.

Aquí veremos algunas de las causas más frecuentes de violaciones de datos en 2019 y cómo abordarlas de manera oportuna.

Almacenamiento en la nube mal configurado

Es difícil encontrar un día sin un incidente de seguridad que involucre almacenamiento en AWS S3, Elasticsearch o MongoDB. Un estudio global de Thales y Ponemon Institute afirma que solo el 32% de las organizaciones cree que proteger sus datos en la nube es su responsabilidad. Peor aún, según el mismo informe, el 51% de las organizaciones aún no utilizan cifrado o tokenización para proteger datos confidenciales en la nube.

McAfee confirma, afirmando que el 99% de las configuraciones incorrectas de la nube y IaaS caen en el dominio del control de los usuarios finales y pasan desapercibidas. Marco Rottigni, Director Técnico de Seguridad EMEA en Qualys, explica el problema: "Algunas de las implementaciones más comunes de bases de datos en la nube se instalan sin seguridad o control de acceso como un estándar al inicio del proyecto. Deben agregarse despúes.".

Con un costo promedio global de $3,92 millones por violaciones de datos en 2019, estos hallazgos son bastante alarmantes. Lamentablemente, muchos profesionales de ciberseguridad y TI todavía creen sinceramente que los proveedores de la nube son responsables de proteger sus datos en la nube. Desafortunadamente, la mayoría de sus suposiciones no están de acuerdo con la dura realidad legal.

Prácticamente todos los principales proveedores de nube e IaaS tienen firmas de abogados con experiencia para redactar un contrato hermético que no podrá alterar o negar en un tribunal. Las cláusulas de tinta negra expresamente cambian la responsabilidad financiera de la mayoría de los incidentes a los clientes y establecen una responsabilidad limitada por todo lo demás, a menudo calculado en centavos.

La mayoría de las empresas PyME ni siquiera leen cuidadosamente los términos, mientras que en las grandes organizaciones son revisadas por asesores legales que a menudo están desconectados del equipo de TI. Sin embargo, difícilmente se negociarán mejores condiciones, ya que de lo contrario, el negocio en la nube será tan peligroso y poco rentable que desaparecerá rápidamente. Esto significa que usted será la única entidad a la que culpar y castigar por el almacenamiento en la nube mal configurado, con una violación de datos resultante.

Repositorios de códigos desprotegidos

La investigación realizada por la Universidad Estatal de Carolina del Norte (NCSU) encontró que más de 100.000 repositorios de GitHub han estado filtrando tokens API secretos [PDF] y claves criptográficas, con miles de repositorios nuevos que exponen secretos a diario. El gigante bancario canadiense Scotiabank recientemente apareció en los titulares de las noticias al almacenar el código fuente interno, las credenciales de inicio de sesión y las claves de acceso durante meses en repositorios de GitHub públicamente accesibles.

Los terceros, especialmente los desarrolladores de software externos, suelen ser el eslabón más débil. A menudo, sus desarrolladores carecen de la capacitación adecuada y el requisito de conciencia de seguridad para proteger debidamente su código. Al tener varios proyectos a la vez, plazos difíciles y clientes impacientes, ignoran u olvidan los fundamentos de la seguridad, permitiendo que su código sea de dominio público.

Los cibercriminales son conscientes de estos errores. Los delincuentes especializados en el descubrimiento de datos OSINT rastrean meticulosa y continuamente los repositorios de código. Una vez que encuentran algo de valor, se vende a otras bandas centradas en la explotación y las operaciones ofensivas.

Dado que tales intrusiones rara vez provocan banderas rojas en los sistemas de detección de anomalías, pasan desapercibidas o son detectadas una vez que ya es demasiado tarde. Peor aún, la investigación de tales intrusiones es costosa y casi sin perspectiva. Muchos ataques APT famosos involucraron ataques de reutilización de contraseña con credenciales que se encuentran en repositorios de código.

Software de código abierto vulnerable

La rápida proliferación del software de código abierto (OSS) en los sistemas empresariales exacerba el panorama de las amenazas cibernéticas al agregar aún más incógnitas al juego. Un informe reciente de ImmuniWeb descubrió que 97 de cada 100 bancos más grandes son vulnerables y tienen aplicaciones web y móviles mal codificadas, y están plagadas de componentes, bibliotecas y marcos de código abierto obsoletos y vulnerables. La vulnerabilidad sin parche más antigua encontrada fue conocida y divulgada públicamente desde 2011.

OSS ahorra mucho tiempo para los desarrolladores y dinero para las organizaciones, pero también proporciona un amplio espectro de riesgos concomitantes y en gran medida subestimados. Pocas organizaciones rastrean y mantienen adecuadamente un inventario de innumerables OSS y sus componentes integrados en su software empresarial. En consecuencia, cegados por el desconocimiento, se convierten en víctimas cuando los defectos de seguridad de OSS son explotados por los delincuentes.

Hoy en día, las organizaciones medianas y grandes invierten cada vez más en la seguridad de las aplicaciones, especialmente en la implementación de las pruebas DevSecOps y Shift Left. Gartner insta a la adopción de Shift Left mediante la incorporación de pruebas de seguridad en las primeras etapas del Ciclo de vida de desarrollo de software (SDLC) antes de que sea demasiado costoso y lento reparar las vulnerabilidades. Sin embargo, un inventario holístico y actualizado de su OSS es indispensable para implementar pruebas Shift Left; de lo contrario, simplemente se desperdicia dinero.

Cómo prevenir y remediar

Aquí hay cinco recomendaciones para reducir los riesgos de manera rentable:

1. Mantener un inventario actualizado y holístico de los activos digitales

El software, el hardware, los datos, los usuarios y las licencias deben monitorearse y clasificarse de manera continua. En la era de la nube pública, los contenedores, los repositorios de código, los servicios de intercambio de archivos y la subcontratación, no es una tarea fácil, pero sin ella, puede arruinar la integridad de sus esfuerzos de seguridad y negar todas las inversiones anteriores. No se puede proteger lo que no se ve.

2. Controlar la superficie de ataque externo y la exposición al riesgo

Muchas organizaciones gastan dinero en riesgos auxiliares o incluso teóricos, ignorando sus numerosos sistemas obsoletos, abandonados o simplemente desconocidos accesibles desde Internet. Estos "activos en la sombra" son ideales para los cibercriminales. Los atacantes son inteligentes y pragmáticos; no asaltarán el castillo si pueden entrar silenciosamente por un túnel subterráneo olvidado.

3. Mantener su software actualizado, implementar la administración de parches y los parches automatizados

La mayoría de los ataques exitosos no implican el uso de 0-Days sofisticados y costosos, sino vulnerabilidades divulgadas públicamente a menudo disponibles con un exploit funcional. Los atacantes buscarán sistemáticamente el eslabón más débil en el perímetro de defensa para entrar, e incluso una pequeña biblioteca JS desactualizada puede ser una ganancia inesperada. Se debe implementar un sistema robusto de administración de parches para todos los sistemas y aplicaciones así como el monitoreo continuo de los mismos.

4. Priorizar los esfuerzos de prueba y corrección basados ​​en riesgos y amenazas

Con una visibilidad nítida de los activos digitales y una estrategia de administración de parches correctamente implementada, es hora de asegurar que todo funcione como se esperaba. Se debe implementar un monitoreo de seguridad continuo para todos los activos externos, realizar pruebas exhaustivas, incluidas las pruebas de penetración de las aplicaciones web y API críticas para el negocio. Configurar el monitoreo de cualquier anomalía con notificaciones rápidas.

5. Mantener un ojo en Dark Web y monitorear las fugas de datos

La mayoría de las empresas no se dan cuenta de cuántas de sus cuentas corporativas, expuestas por sitios web y servicios de terceros pirateados, se venden en la Dark Web. El éxito emergente de la reutilización de contraseñas y los ataques de fuerza bruta se derivan de ello. Peor aún, incluso los sitios web legítimos como Pastebin a menudo exponen una gran cantidad de datos filtrados, robados o perdidos accesibles para todos. El monitoreo y análisis continuo de estos incidentes puede ahorrar millones de dólares y, lo más importante, la reputación y buena voluntad.

Fuente: THN