Los resultados de Pen-Exam sugieren mejoras en la empresa …



Aunque quedan muchos problemas, las organizaciones están haciendo que los atacantes trabajen más.

Los datos agregados de las pruebas de penetración y los compromisos del equipo rojo sugieren que muchas organizaciones empresariales están progresando en la protección de sus redes contra los ciber adversarios.

Las evaluaciones externas e internas que han llevado a cabo las empresas de pen-tests en los últimos años muestran que, aunque las redes organizacionales continúan presentando múltiples debilidades, los atacantes pueden tener más dificultades para encontrarlas y explotarlas desde fuera de la crimson.

«No diré que los días de &#39señalar, hacer clic y explotar&#39 han terminado, pero seguro que son raros», dice Chris Nickerson, CEO de la firma de pruebas de pluma Lares. Si bien el fortalecimiento de la seguridad, la higiene, la administración de parches, la calidad de la contraseña y la falta de visibilidad siguen siendo grandes desafíos, las organizaciones de seguridad están evolucionando, señala.

Cada vez más, los atacantes se ven obligados a cambiar sus tácticas y a emplear enfoques de «vivir de la tierra» sin malware para ocultar su actividad maliciosa. «Es raro que la &#39explotación&#39 sea el primer enganche al medio ambiente», dice Nickerson. «Ahora se requieren herramientas y tecnología para observar las funciones normales del sistema para determinar si se están utilizando de manera maliciosa».

Recientemente, Lares analizó los datos de cientos de trabajos de prueba de pen para ver qué similitudes podría encontrar en las redes empresariales. los resultados demostró que las cuentas con contraseñas débiles y fácilmente adivinables continúan siendo el mayor problema para la mayoría de las organizaciones. Otras vulnerabilidades comunes y vectores de ataque incluyen debilidades relacionadas con la autenticación Kerberos, permisos excesivos del sistema de archivos, movimiento lateral habilitado para la Interfaz de administración de ventanas (WMI), segmentación de red inadecuada y handle de acceso incorrecto.

Otras empresas de prueba de pluma han encontrado problemas similares. En un informe del año pasado, Coalfire identificó el software desactualizado como la amenaza más comúnmente presente en las organizaciones donde realizó pruebas de pluma. Al igual que Lares, Coalfire descubrió que los defectos de contraseña eran un gran problema. al igual que la gestión de parches, protocolos inseguros. y protocolos de configuración.

Mientras tanto, para el proveedor de seguridad Speedy7, los problemas de seguridad más comunes que encontraron sus probadores de pen incluyen seguridad de capa de transporte débil y vulnerabilidades relacionadas con la administración de contraseñas. En el 72% de los compromisos, los investigadores de Fast7 pudieron capturar una credencial de usuario mediante la aplicación de contraseña genérica, valores predeterminados conocidos o contraseñas fácilmente adivinables.

«En conjunto, estos problemas de exposición de información tienden a ser lo suficientemente graves como para informar al cliente», dice Tod Beardsley, director de investigación de Immediate7. «Pero los probadores de penetración rara vez pueden ejercer estas vulnerabilidades para atravesar el límite entre las redes externas e internas».

Esto se debe a que, en muchos casos, los controles de segmentación de pink que las organizaciones han implementado para separar las redes internas y externas parecen estar funcionando de manera efectiva, dijo Speedy7 en un comunicado. informe de prueba de pluma de su propio año pasado.

En las pruebas de bolígrafo externas el año pasado, los probadores de bolígrafo de Speedy7 solo pudieron obtener acceso LAN interno solo el 21% del tiempo. En las evaluaciones de la seguridad de las aplicaciones world wide web, los probadores de Quick7 lograron un compromiso whole en todo el sitio solo el 3% del tiempo. El proveedor descubrió que el movimiento continuo hacia la nube y el uso creciente de servicios como AWS, Microsoft Azure y Google Cloud para alojar aplicaciones y datos world wide web ha hecho la vida significativamente más difícil para los atacantes.

Para los compromisos centrados internamente, Quick7 descubrió que la mayoría de las vulnerabilidades y exploits estaban relacionadas con Home windows simplemente porque la mayoría de los entornos internos también están basados ​​en Home windows. Las tecnologías de administración remota de Windows como WMI y PsExec continúan brindando oportunidades para que los atacantes se muevan lateralmente en redes violadas. Rapid7 descubrió que la retransmisión SMB sigue siendo la técnica más well-known para que los atacantes logren un punto de apoyo inicial. Pero al igual que otras empresas de prueba de pluma, la propia experiencia de Swift7 sugiere que las organizaciones están ajustando sus controles, dice Beardsley.

Mejora lenta
«La seguridad empresarial entre las organizaciones que evaluamos parece estar mejorando lenta pero seguramente», dice Breadsley. «Pero aún luchamos con los fundamentos: administración de contraseñas, segmentación de red y sistemas heredados».

Una cuestión importante que las organizaciones aún necesitan resolver es lo que Nickerson de Lares explain como una «deuda de herramientas». Con los años, muchas organizaciones han gastado millones en herramientas de seguridad y han seguido agregando y agitándolas. Esto ha creado una situación en la que las organizaciones a menudo tienen una gran cantidad de herramientas mal integradas. «Esto es algo que vemos en todas las capas del programa», dice Nickerson.

Incluso con las principales tecnologías, como las plataformas SIEM y SOAR, algunas organizaciones pueden cambiarlas más de tres veces en cinco años. «Esta turbulencia en defensa hace que sea bastante difícil para la personalización mantenerse vigente», dice Nickerson. «A menudo, se pierde una alerta o detección que se realizó a partir de una prueba anterior» en el caos.

Según las firmas de prueba de pen, las vulnerabilidades y los vectores de ataque que comúnmente encuentran siguen siendo los mismos, independientemente del tamaño de la organización. Pero hay algunas diferencias. Los exploits relacionados con PowerShell, por ejemplo, se están convirtiendo en una amenaza menor para la empresa porque las organizaciones más grandes están agregando más restricciones a su uso, dice Beardsley.

Del mismo modo, si bien las organizaciones grandes y pequeñas tienen problemas relacionados con el manejo de parches, los motivos de la exposición son diferentes. Las organizaciones pequeñas y medianas a menudo son reacias a implementar parches debido a las preocupaciones sobre «romper» su sistema, dice Nickerson.

«En la empresa, termina siendo el tamaño del medio ambiente», agrega. «Siempre parece haber una caja heredada al acecho en las esquinas, fuera del alcance del programa de administración de parches o inventario de activos».

Contenido relacionado:

Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Más concepts





Enlace a la noticia authentic