Informe de protección de aplicaciones revela los matices en la relación entre los atacantes y sus objetivos

Las organizaciones y los atacantes no son grupos uniformes, por lo que no todas las combinaciones de características del atacante y del objetivo se manifiestan con la misma frecuencia.

F5 (NASDAQ: FFIV) anuncia los hallazgos del Informe de Protección de Aplicaciones de F5 Labs para 2022, que da a conocer la relación entre las características del objetivo y el comportamiento del atacante para que cada organización pueda centrarse en las amenazas más aplicables a ellos.

Hallazgos clave.

• La incidencia de malware en las filtraciones de datos siguió aumentando y representó casi un tercio de las causas conocidas de filtraciones en EE. UU. en 2021.

• Los eventos de ransomware continuaron aumentando en frecuencia y el malware sin cifrado creció aún más rápidamente. Ambas estrategias de malware hicieron un uso intensivo de métodos de exfiltración para eliminar datos de los entornos de las víctimas.

• Las vulnerabilidades para delitos cibernéticos disminuyeron, del 19 % en 2019 al 10 % en 2021.

• Los ataques de secuestro de formularios, como Magecart, constituyeron la mayor parte de las vulnerabilidades web y se centraron en gran medida en la industria minorista.

• Los ataques de acceso fueron la causa más frecuente de infracciones.

• Las altas tasas de compromiso del correo electrónico empresarial (24 % de todas las infracciones), combinadas con las bajas tasas de notificación de Credential Stuffing y los ataques de phishing, sugieren que este tipo de ataques sean difíciles de detectar y/o no se denuncien; no es que el Credential Stuffing o el phishing sean bajos. amenazas de grado.

• Las infracciones en la nube ocurren con mayor frecuencia debido a configuraciones incorrectas, aunque el riesgo de que surjan infracciones de terceros para los clientes de la nube es significativo, las vulnerabilidades web o el relleno de credenciales, aún se aplican en la nube.

Análisis de violación de datos 2021.

• El uso de malware en ataques siguió creciendo en 2021.

• Además del crecimiento del ransomware, el uso de malware sin cifrado creció significativamente.

• La incidencia de técnicas de exfiltración aumentó significativamente, tanto en conjunto con malware como por sí solas.

• Disminución de la prevalencia de las vulnerabilidades para el delito cibernético.

• Los ataques de formjacking constituyeron la vulnerabilidad predominante que condujo a la divulgación de infracciones.

• Las organizaciones minoristas y las asociaciones con superficies de pago de membresía en línea fueron, con mucho, las más propensas a sufrir ataques de secuestro de formularios.

• El sector manufacturero experimentó un crecimiento significativo en los ataques de ransomware.

• Los ataques de acceso fueron prominentes contra Finanzas y Seguros; Servicios Profesionales, Científicos y Técnicos; y los sectores de Salud y Asistencia Social.

• Destacaron los ataques de malware contra el Comercio Mayorista; Fabricación; Servicios Profesionales, Científicos y Técnicos; y los sectores de Finanzas y Seguros.

La mayoría de las características clave de las infracciones disminuyeron proporcionalmente en comparación con 2020. La incidencia de vulnerabilidades web en las infracciones se redujo en casi un 33%. El compromiso del correo electrónico comercial y el ransomware, las dos características de violación más comunes en ambos años experimentaron una pequeña caída.

Si bien el ransomware siguió siendo una táctica común en las filtraciones de datos en 2021, disminuyó ligeramente en comparación con 2020.

El ransomware continuaría creciendo a expensas de otras rutas de monetización, y que los únicos tipos de víctimas que no experimentarían este tipo de ataque serían aquellos que tuvieran un ataque aún más directo y lucrativo: formjacking. contra objetivos minoristas.

Los ataques de ransomware contra casi todo tipo de organizaciones han seguido aumentando, y el formjacking, aunque de alcance limitado, sigue siendo el patrón más claro y enfocado de atributos de destino y técnicas de ataque en los datos.

Algunos actores de amenazas optan por exfiltrar datos y venderlos con fines fraudulentos; otros prefieren rescatar los datos de vuelta a las víctimas. En ambos casos, las estrategias de monetización están impulsando los TTP, como suelen hacer con los actores de amenazas criminales.

La disminución comparativa de las vulnerabilidades web en general, y del formjacking en particular, es una señal de que los atacantes se están adaptando a los controles, no una señal de que los ataques web van a desaparecer.

Mitigaciones Recomendadas.

Copias de seguridad – Una estrategia robusta de ransomware debe comenzar con la copia de seguridad, pero no puede terminar ahí. Los comportamientos anteriores del atacante, los métodos de acceso inicial, movimiento lateral, ejecución, persistencia y exfiltración también deben controlarse.

Aislamiento de aplicaciones y Sandboxing – Este tipo de control puede ayudar a mitigar una serie de enfoques basados en vulnerabilidades observados en 2021, incluida la Explotación para la ejecución del cliente, la Explotación de aplicaciones de cara al público y el Compromiso de robo.

Protección contra vulnerabilidades – La forma más obvia de protección contra vulnerabilidades es el uso de un firewall de aplicaciones web (WAF). A pesar de la disminución de la prevalencia de vulnerabilidades web en los datos, un WAF sigue siendo fundamental para operar una aplicación web moderna. También es un requisito para el estándar de seguridad de datos de la industria de tarjetas de pago (PCI-DSS), que ha sido objeto de ataques de secuestro de formularios.

Segmentación de red – Este objetivo de control puede cerrar una gran cantidad de vectores de ataque, cinco de los cuales se observaron en los datos de 2021: Explotación de aplicaciones públicas, Exfiltración automatizada, Exfiltración a través de servicios web, Servicios remotos externos y Explotación de servicios remotos.

Gestión de cuentas privilegiadas – Las cuentas con privilegios deben auditarse con regularidad para asegurarse de que se desactiven cuando ya no se necesiten.

La actualización del software (y realmente toda la gestión de vulnerabilidades) debe ser la piedra angular de cualquier programa de seguridad contemporáneo.

Escaneo de vulnerabilidades – Las organizaciones deben escanear con regularidad, preferiblemente a diario, e incluir tanto un escaneo público desde Internet para evaluar la apariencia de un entorno para los atacantes como un escaneo interno para conocer la escala real del problema.

Firma de código – Los encabezados de integridad de subrecursos (SRI) pueden garantizar que los scripts externos no se hayan modificado cuando se los llama en tiempo de ejecución.

Restringir contenido basado en la web – El bloqueo de tipos de archivos específicos, direcciones IP maliciosas conocidas, scripts externos y similares. Este enfoque tiene el potencial de cerrar una amplia gama de vectores de ataque, incluida la inyección de secuencias de comandos maliciosas, el phishing y la “publicidad maliciosa”.

Prevención de intrusiones en la red – Este control es valioso como parte de una defensa en profundidad, enfoque que también utiliza un WAF y otros controles.

Antivirus/Antimalware – De manera similar a la copia de seguridad de datos como estrategia de ransomware, este no debe ser el único control contra el malware, y debe existir en una estrategia más holística.

Deshabilitar o quitar función o programa – Esta recomendación se incluye aquí por su cobertura más que por su frecuencia. Si bien se observó en sólo el 12% de un Atacar cadenas, deshabilitar o eliminar funciones o programas mitigaría cinco técnicas observadas en los datos de 2021: Intérprete de secuencias de comandos y comandos, Exfiltración a través del servicio web, Servicios remotos externos, Explotación de servicios remotos y API de metadatos de instancias en la nube

Seguridad en la nube.

• Las infracciones divulgadas públicamente indican que la pérdida de datos de terceros es la fuente más probable de un incidente en la nube legalmente significativo.

• Los informes de noticias e inteligencia de fuente abierta indican que es más probable que una mala configuración del control de acceso conduzca a la exposición de los datos que cualquier otra causa.

• Los escaneos de bloques de direcciones IP que se sabe que están en la nube indican que las prácticas de administración de sistemas obsoletas son comunes entre las distintas nubes.

• Muchas organizaciones se acercan a los entornos de nube ya sea como sistemas locales o como sistemas llave en mano que simplemente se pueden consumir; ambos enfoques son limitados.

Varias partes son responsables del manejo de datos en una nube distribuida moderna, y esto es parte del problema. La nube no es idéntica a la infraestructura local, ni es un servicio de tecnología omnipotente que uno puede consumir como usuario final.

Las organizaciones que ofrecen un aaS basado en la nube a otras organizaciones corren un riesgo de ataque particularmente alto porque contienen muchos datos de organizaciones diferentes.

Para obtener más información sobre el informe y los hallazgos, descargue el Informe de Protección de Aplicaciones de F5 Labs para 2022, (documento PDF de 47 páginas en inglés, no requiere registro).


Únase a la conversación

Contacto | Diario TI es una publicación de MPA Publishing International Ltd., Reino Unido. © Copyright 1997-2022