Lo que puede revelar un año de pruebas de penetración sobre el estado de la ciberseguridad


Desde fallas en la aplicación internet hasta la falta de 2FA, Fast7 encontró muchos objetivos blandos comunes en las redes que violaron en nombre de los clientes.

Concepto de contraseña fácil. Mi contraseña 123456 escrita en un papel.

Imagen: Getty Pictures / iStockphoto

La firma de SecOps Fast7 ha lanzado su análisis anual del estado de la industria de las pruebas de penetración, con hallazgos que incluyen un aumento significativo en la cantidad de conexiones VPN vulnerables, una falta generalizada de autenticación multifactor y un alto volumen de redes internas mal configuradas que facilitan a los atacantes moverse lateralmente una vez dentro.

Los hallazgos de Swift7 se compilan a partir de pruebas de penetración que él y sus subcontratistas realizaron entre junio de 2019 y junio de 2020, con 206 compromisos en total. Puede que no parezca un gran conjunto de datos, pero es significativo: «El pen tester particular person más ocupado del mundo tiende a participar en menos de 25 pruebas de penetración al año», según el informe.

Swift7 hizo mención certain de tres problemas comunes (mencionados anteriormente) y dijo que ninguno de ellos es particularmente impactante. Solo eso es una señal preocupante para las empresas que buscan protegerse en 2020, especialmente con la pandemia COVID-19 que coloca a tantos trabajadores en conexiones VPN potencialmente vulnerables sin la autenticación multifactor habilitada. Cuando se consideran junto con el resto del informe, esos tres problemas destacados son aún más alarmantes.

Es muy fácil adivinar una contraseña

Se supone que las contraseñas deben mantenerse en secreto, afirma el informe, pero «los humanos y sus cerebros de carne lamentablemente poco originales» hacen que adivinar esas contraseñas sea mucho más fácil de lo que puede considerarse seguro.

La pulverización de contraseñas, en la que un atacante utiliza algunos nombres de usuario conocidos y una breve lista de contraseñas comunes, relevantes y no originales, se clasifica como, con mucho, la forma más común de obtener con éxito una combinación de nombre de usuario y contraseña que funcione.

VER: Política de protección contra robo de identidad (TechRepublic Premium)

Las reglas de contraseñas de la organización a menudo requieren restablecerse cada 90 días, y la persona promedio está más preocupada por algo fácil de escribir, fácil de recordar y fácil de cambiar en un horario de 90 días, según el informe. Eso significa hacer lo mínimo para cumplir con los requisitos organizacionales, lo que lleva a contraseñas fáciles de adivinar como «¡Verano 2020!» y otras combinaciones básicas, rotativas estacionalmente.

Speedy7 descubrió que las contraseñas descifradas que se pueden adivinar se clasifican más comúnmente en tres categorías: una combinación de temporada y año, alguna parte del nombre de la empresa y variaciones de la palabra «contraseña».

Además de eso, el 65% de las organizaciones que se probaron durante el período considerado por el informe no utilizaron la autenticación multifactor. «Para ser eficaz, 2FA debe cubrir todos los puntos de salida, lo que significa que todos los sistemas de autenticación secundarios necesitan 2FA o deben emplear una contraseña diferente y única», indica el informe.

VPN: un problema creciente

En comparación con 2019, las fallas de seguridad de VPN aumentaron significativamente en términos de la frecuencia con la que se descubrieron. 2020 encontró un problema común de VPN como el 18 ° defecto de seguridad más común, y ese mismo defecto fue el 50 ° más común en 2019.

VER: Ingeniería social: una hoja de trucos para profesionales de negocios (PDF gratuito) (TechRepublic)

La falla unique en cuestión son las VPN con soporte para el modo agresivo de intercambio de claves de Web (IKE), lo que resulta en conexiones más rápidas que son menos seguras. El modo agresivo IKE envía claves precompartidas (PSK) en un mensaje no cifrado que puede ser interceptado por herramientas de software package comúnmente disponibles.

El aumento de las VPN con el modo agresivo IKE habilitado «casi con certeza refleja la nueva realidad de la dependencia de VPN en la mitad de una pandemia para conseguir que una población repentinamente enorme de trabajadores a domicilio esté on the net y sea productiva», dijo Speedy7. Sin embargo, a pesar de su importancia para permitir que las empresas se mantengan a flote, la compensación es que sus organizaciones ahora son menos seguras y los empleados remotos están más abiertos a los ataques.

Cómo proteger su purple contra la penetración

Los profesionales de la seguridad de redes deben leer todo el informe: hay demasiada información para cubrir en un solo artículo.

Si no tiene tiempo para leer las 32 páginas, Rapid7 hace tres recomendaciones que no debe ignorar:

  • Repensar la gestión de contraseñas: Es demasiado común, dijo Speedy7, que una prueba de penetración devuelva «listas y listas de contraseñas generadas por humanos mal elegidas». La buena gestión de credenciales debe ser una función de tiempo completo de los equipos de seguridad, recomienda, y se debe hacer que los usuarios utilicen contraseñas controladas por máquina y autenticación multifactor.

  • Revise las estrategias de administración de parches: Todo el mundo tiene «rincones oscuros y llenos de telarañas de su infraestructura de TI (que) no están siendo revisados ​​de forma rutinaria», según el informe. Encuentre esos rincones, actualícelos ahora y revise toda su arquitectura para verificar el cumplimiento de la instalación de parches. «Si una empresa confía en que los usuarios hagan lo correcto y hagan clic en esas pantallas molestas para obtener actualizaciones, es casi seguro que sus probadores de penetración se verán abrumados con tantas vulnerabilidades explotables que solo escuchará sobre los ejemplos más atroces», Fast7 dijo.

  • Segmenta tu pink: Como se mencionó anteriormente, una arquitectura de crimson deficiente period un defecto que se encontraba comúnmente en los pentests de Rapid7. «El nombre del juego aquí es reprimir a los atacantes, tanto delincuentes como probadores de penetración, y dificultar el paso de un activo a otro en busca de sistemas que sean puntos de lanzamiento comprometibles y útiles para el próximo compromiso», dice el informe. . Los segmentos pequeños y manejables pueden ser la diferencia entre atrapar a alguien en un grupo de algunas máquinas y darle las claves de toda su arquitectura.

Las empresas que carecen incluso de uno de esos tres fundamentos, concluye el informe, son fácilmente comprometidas por un atacante experimentado. Dada la opción entre pagar por un pentest caro y estar al tanto de las vulnerabilidades mientras se recupera de un ataque, la elección es obvia.

«Para ser honesto, pagar por una prueba de penetración cuando no se siguen una o más de estas prácticas es probablemente una pérdida de tiempo para todos», dijo Swift7.

Ver también



Enlace a la noticia first