No se puede controlar cuándo ocurrirá la próxima vulnerabilidad crítica. Puede controlar qué parte de su entorno está expuesto cuando se publica. El problema es que la mayoría de los equipos están expuestos a Internet más de lo que creen. El jefe de seguridad de Intruder profundiza en por qué sucede esto y cómo los equipos pueden gestionarlo intencionalmente.
Se reduce el tiempo de explotación
Cuanto mayor sea la superficie de ataque y menos controlada esté, mayores serán las oportunidades de explotación. Y el plazo para abordarlos se está reduciendo rápidamente. Las vulnerabilidades más graves pueden tardar entre 24 y 48 horas en explotarse después de su divulgación. Zero Day Clock predice que para 2028, los exploits tardarán sólo unos minutos.
Este no es mucho tiempo si se considera lo que se requiere antes de implementar un parche: ejecutar un análisis, esperar resultados, generar un ticket, acordar prioridades, implementar, validar la solución, etc. Tomará aún más si la divulgación se realiza fuera de horario.
En muchos casos, los sistemas vulnerables ni siquiera necesitan estar conectados a Internet. La visibilidad de la superficie de ataque permite a los equipos reducir de forma proactiva la exposición innecesaria y evitar por completo las interrupciones cuando surgen nuevas vulnerabilidades.
Si el sábado es día cero
ToolShell era una vulnerabilidad de ejecución remota de código no autenticado en Microsoft SharePoint. Si un atacante obtiene acceso, esto podría provocar la ejecución de código en el servidor. Además, debido a que SharePoint está conectado a Active Directory, los ataques comienzan desde una parte altamente sensible del entorno.
Se trata de un día cero, lo que significa que los atacantes lo explotaron antes de que estuviera disponible un parche. Microsoft reveló el sábado que grupos respaldados por el estado chino lo habían estado explotando durante hasta dos semanas antes de eso. Cuando la mayoría de los equipos se enteraron, los atacantes oportunistas habían escaneado las instancias expuestas y las habían explotado a escala.
La investigación de Intruder encontró que miles de instancias de SharePoint eran de acceso público en el momento de la publicación, a pesar de que SharePoint no requiere una conexión a Internet. Todas estas exposiciones eran innecesarias y cualquier servidor sin parches era una puerta abierta.
¿Por qué se omiten las exposiciones?
Entonces, ¿por qué los equipos de seguridad suelen pasar por alto las infracciones?
Un análisis externo típico tendrá cientos de hallazgos informativos en niveles críticos, altos, moderados y bajos. Sin embargo, esa información puede incluir detecciones que representan un riesgo de exposición real, como:
Un servidor público de SharePoint Una base de datos expuesta a Internet (como MySQL o Postgres) Otros protocolos (normalmente deben reservarse para redes internas) (como RDP o SNMP)
Un ejemplo práctico es:
En la terminología de escaneo de vulnerabilidades, puede tener sentido clasificarlas como informativas. Si el escáner está en la misma subred privada que el objetivo, los servicios expuestos pueden tener un riesgo verdaderamente bajo. Pero cuando esos mismos servicios están expuestos a Internet, conllevan riesgos reales, incluso si no tienen ninguna vulnerabilidad conocida. aún.
El peligro es que los informes de análisis tradicionales tratan ambos casos de la misma manera, lo que permite que el riesgo real pase desapercibido.
¿Qué implica realmente la reducción proactiva de la superficie de ataque?
Hay tres elementos clave para que la reducción de la superficie de ataque realmente funcione.
1. Descubrimiento de activos: definir la superficie de ataque
Antes de poder reducir su superficie de ataque, debe tener una comprensión clara de lo que posee y de lo que es accesible externamente. Comienza con la identificación de la TI en la sombra (sistemas que su organización posee u opera pero que actualmente no está escaneando ni monitoreando).
Es importante cerrar esta brecha y hay tres elementos clave que recomendamos implementar.
Integre con proveedores de nube y DNS para recuperar y escanear automáticamente nueva infraestructura a medida que se crea. Ésta es un área donde los defensores tienen una ventaja real. Los usuarios pueden integrarse directamente con sus propios entornos, pero los atacantes no. Utilice la enumeración de subdominios para descubrir hosts accesibles externamente que no están en su inventario. Esto es especialmente importante después de una adquisición en la que puede heredar una infraestructura de la que aún no tiene visibilidad. Identifique la infraestructura alojada por proveedores de nube pequeños y desconocidos. Es posible que tenga una política de seguridad que requiera que su equipo de desarrollo utilice solo el proveedor de nube principal, pero debe asegurarse de que se siga esta práctica.
Obtenga más información sobre estas técnicas.
. Trate la exposición como un riesgo.
El siguiente paso es tratar la exposición de la superficie de ataque como su propia categoría de riesgo.
Esto requiere capacidades de detección que identifiquen qué hallazgos informativos representan una exposición y asigne un nivel de gravedad apropiado. Por ejemplo, una instancia de SharePoint publicada podría tratarse razonablemente como un problema de riesgo medio.
También significa hacer espacio para este trabajo mediante la forma en que estableces tus prioridades. Cuando iniciativas estratégicas como la reducción de la superficie de ataque siempre compiten con la aplicación de parches urgentes, siempre se pierde. Eso podría significar reservar tiempo cada trimestre para revisar y mitigar los riesgos, o asignar una propiedad clara para que alguien sea responsable de manera regular, no solo cuando ocurre una crisis.
3. Monitoreo continuo
Reducir su superficie de ataque no es un esfuerzo de una sola vez. Las exposiciones cambian constantemente a medida que se editan las reglas del firewall, se implementan nuevos servicios, se olvidan los subdominios y los equipos necesitan detectar esos cambios rápidamente.
Los análisis de vulnerabilidades tardan en completarse y, por lo general, no es posible ejecutar un análisis completo todos los días. Es mejor realizar un escaneo de puertos diario. Esto significa que es liviano, rápido y puede descubrir servicios recién publicados a medida que aparecen. Si alguien edita una regla de firewall y publica accidentalmente un escritorio remoto, lo sabrá el mismo día en que sucede, en lugar de en el próximo análisis programado (que podría realizarse hasta un mes después).
Menos servicios expuestos, menos sorpresas
Si los servicios innecesarios no quedan expuestos en primer lugar, es mucho menos probable que se vean envueltos en una explotación a gran escala tras una exposición significativa. Esto significa menos sorpresas cuando surgen nuevas vulnerabilidades, menos luchas urgentes y más tiempo para responder cuidadosamente.
Intruder automatiza este proceso, desde descubrir TI en la sombra y monitorear nuevas exposiciones hasta alertar a los equipos en el momento en que algo cambia, por lo que los equipos de seguridad siempre pueden ser proactivos en lugar de reaccionar ante las exposiciones.
Si desea ver lo que se expone en su entorno, programe una demostración de Intruder.
Source link
