F5 anunció los resultados del Informe 2021 Application Protection Report: Of Ransom and Redemtion basado en 729 incidencias.
Como se sabe, la misión del profesional de la seguridad de la información se ha vuelto muy compleja, ya que a menudo el entorno empresarial se distribuye no solo entre varios equipos dentro de la misma organización, sino también entre socios y proveedores de servicios. Con esta dispersión de la responsabilidad, surgen desafíos adicionales en la visibilidad y la respuesta a incidentes.
Hallazgos iniciales
• Ransomware creció de manera muy importante durante 2020. Por sí solo fue el principal motivo de aproximadamente 30% de las infracciones en Estados Unidos.
• La nueva popularidad del ransomware entre los atacantes se debe a una estrategia de monetización, más que a sus características como malware.
• En 2020 los sectores de finanzas/seguros, educación, atención médica y servicios profesionales/técnicos, experimentaron una mayor cantidad de infracciones.
• Las organizaciones que aceptan tarjetas como medio de pago son también un gran objetivo de ataques de inyección web, conocidos como formjacking. Formjacking representó más de la mitad de las infracciones en el sector minorista, de igual manera se dirigió a cualquier organización que tomara información de pago a través de la web, ya fuera vendiendo un producto o solo recepción de pagos.
• El correo electrónico empresarial (BEC) representó 27% de las infracciones. Muchos de estos incidentes carecían de otra información, pero se sospecha que son ataques de relleno de credenciales.
• Todos los incidentes e infracciones de la nube están relacionados con una configuración incorrecta; ya que la inconsistencia de los límites de responsabilidad en los sistemas en la nube hace que las posibilidades de una mala configuración sean muy altas.
• Dos tercios de los incidentes de API en 2020 se atribuyeron a la falta de autenticación, autorización o autenticación y autorización fallidas.
• El análisis de las infracciones como cadenas de ataque hace evidente la necesidad de una estrategia de seguridad global que implemente una defensa en profundidad y una arquitectura de seguridad coordinada.
• De acuerdo a los análisis de violaciones, los controles más importantes para lidiar con el panorama de amenazas son la administración de cuentas privilegiadas, la segmentación de la red, la restricción de contenido basado en la web, la copia de seguridad de datos y la protección contra vulnerabilidades (en forma de firewall de aplicaciones web [WAF]).
• La naturaleza de los incidentes de API y nube en 2020 también ilustra la importancia del inventario, la gestión de la configuración y el control de cambios.
Incidencias y Ataques
• Ataques de autenticación
Durante los últimos tres años los ataques de autenticación representaron 32% de todos los incidentes de seguridad reportados
Las organizaciones de servicios financieros alcanzaron el porcentaje más alto (46%) de incidentes de ataques de autenticación reportados, seguidos por las organizaciones del sector público con 39%.
Compañías de Estados Unidos y Canadá obtuvieron el porcentaje más alto (45%) de incidentes de ataques de autenticación reportados.
• Exploits web
Los ataques web contribuyeron aproximadamente en 15% de las infracciones confirmadas en Estados Unidos durante 2020.
Formjacking, la categoría predominante de ataque web en los últimos años, representa 61% de las infracciones web.
Las técnicas de pirateo de formularios varían según el actor de la amenaza y el software, pero es común hacerse pasar por un servicio o archivo legítimo en todas las etapas de la cadena de ataque.
Incumplimientos e incidentes en la nube
La mala configuración representó todas las brechas en la nube
Doce casos de nubes específicas comprometidas se debieron a la falta de control de acceso.
Cerca de 20.000 bases de datos en la nube no seguras fueron borradas por agentes malintencionados.
Recomendaciones tácticas
• Gestión de cuentas privilegiadas. Surge como una posible mitigación para los exploits web que constituyen aproximadamente 30% de las técnicas conocidas en las infracciones.
• Segmentación de la red. El aislamiento de los sistemas críticos de Internet surge como una estrategia valiosa para mitigar las vulnerabilidades web.
• Restringir el contenido basado en la web. Las extensiones que bloquean los scripts maliciosos y el malware, así como los proxies que controlan el uso de los servicios web.
• Copias de seguridad. Es la única mitigación recomendada para el ransomware
• Protección contra exploits. La prevalencia de ataques de formjacking que dependen de exploits web significa que se está hablando de WAF. Se sigue considerando a WAF como mínimo para cualquiera que ejecute una aplicación web pública.