Cada infraestructura TI es única y los ataques más peligrosos son aquellos especialmente planificados teniendo en cuenta las vulnerabilidades de una organización en particular. Cada año, el departamento de Servicios de Seguridad de Kaspersky Lab realiza un simulacro de posibles escenarios de ataque para ayudar a identificar vulnerabilidades en sus redes y evitar daños financieros, operacionales y de reputación. El objetivo del informe anual de tests de penetración es hacer que los especialistas en seguridad TI estén al tanto de las vulnerabilidades y los vectores de ataque relevantes contra los sistemas de información corporativos modernos, y de este modo fortalecer la protección de su organización.
Los ataques más peligrosos son aquellos especialmente planificados
Los resultados de 2017 muestran que el nivel general de protección contra los atacantes externos se evaluó como bajo o extremadamente bajo en el 43% de las empresas analizadas. En 2017, el 73% de los ataques externos con éxito en el perímetro de red de las organizaciones se logró utilizando aplicaciones web vulnerables. Otro vector común para introducirse en el perímetro de la red fue atacando a las interfaces de administración disponibles públicamente que cuentan con credenciales débiles o predeterminadas. En el 29% de los tests de penetración, los analistas de Kaspersky Lab consiguieron hacerse con los privilegios más altos en toda la infraestructura TI, incluidos el acceso de nivel administrativo a los sistemas comerciales más importantes, servidores, equipos de red y estaciones de trabajo de empleados, todo ello simulando ser un “atacante” en Internet y sin conocimiento interno de la organización.
La situación de la seguridad de la información en las redes internas de las empresas fue aún peor. El nivel de protección contra ciberatacantes internos se identificó como bajo o extremadamente bajo para el 93% de las empresas analizadas. Los privilegios más altos en la red interna se consiguieron en el 86% de las empresas analizadas, y para el 42% de ellas solo se necesitaron dos pasos de ataque para lograrlo. En promedio, fueron identificados dos o tres vectores de ataque con los cuales obtener los mayores privilegios en cada proyector. Una vez que los atacantes los obtienen, pueden hacerse con el control completo sobre la totalidad de la red, incluidos los sistemas críticos para el negocio.
La famosa vulnerabilidad MS17-010, utilizada extensamente tanto en ataques individuales dirigidos, así como por ransomware como WannaCry y NotPetya/ExPetr, fue detectada en el 75% de las empresas que se sometieron a pruebas de penetración interna después de que se publicara información sobre la vulnerabilidad. Algunas de estas organizaciones no actualizaron sus sistemas Windows hasta incluso 7 u 8 meses después de que se lanzara el parche. En general, se identificó software obsoleto en el perímetro de red del 86% de las empresas analizadas, demostrando que, lamentablemente debido a la implementación deficiente de los procesos básicos de seguridad de TI, muchas empresas pueden convertirse en objetivos fáciles para los atacantes.
De acuerdo con los resultados de los tests de seguridad, las aplicaciones web de las administraciones y organismos públicos resultaron ser las más inseguras, con vulnerabilidades de alto riesgo encontradas en el 100% de todas las aplicaciones. Por el contrario, las aplicaciones de comercio electrónico están mejor protegidas ante posibles interferencias externas. Solo un poco más de la cuarta parte tiene vulnerabilidades de alto riesgo, lo que las convierte en las más protegidas.
“La implementación cualitativa de las soluciones de seguridad más sencillas, como el filtrado de la red y la política de contraseñas, aumentaría significativamente la seguridad. Por ejemplo, la mitad de los vectores de ataques podrían evitarse restringiendo el acceso a los interfaces de gestión”, señala Sergey Okhotin, analista sénior de servicios de seguridad de Kaspersky Lab.