Errar es humano: configuraciones erróneas y empleado …



La cadena de cyber get rid of es tan fuerte como su eslabón más débil, por lo que las organizaciones deben reforzar ese vínculo con un equipo de seguridad dedicado debidamente equipado.

Las configuraciones incorrectas de los endpoints son responsables de un tercio de todos los incidentes de seguridad, y las políticas de gestión remota deficientes representan cientos de miles de sistemas vulnerables, según la telemetría de Bitdefender. Para empeorar la situación, el 93% de los empleados reciclan contraseñas antiguas, invalidando el trabajo de los departamentos de seguridad.

Mientras que la cultura pop y las producciones de Hollywood muestran a los piratas informáticos trabajando incansablemente para comprometer los sistemas de seguridad y romper los cortafuegos, solo unos pocos ataques requieren este nivel de trabajo intenso. En realidad, el trabajo de los piratas informáticos es mucho más sencillo. Los empleados y los sistemas mal configurados hacen la mayor parte del trabajo pesado para estos actores de amenazas, creando puntos vulnerables de ataque en cualquier organización. La cadena de muerte cibernética es tan fuerte como su eslabón más débil, que a menudo es su gente.

Las configuraciones incorrectas y los riesgos humanos impulsan la necesidad de seguridad
A pesar de las innumerables precauciones de seguridad que ha tomado una organización para evitar intrusiones, es un desafío tener en cuenta el elemento humano. Sin embargo, el mistake humano no es solo que alguien abra un archivo adjunto que contenga malware o un empleado que se deje engañar por un esquema de phishing. En cambio, incluye todo lo que tuvo que salir mal para que ese mensaje llegara al empleado, para que el malware pudiera hacerse cargo o para que el evento de seguridad pasara desapercibido.

El elemento de riesgo humano comienza con la configuración incorrecta de las políticas de seguridad de toda la empresa. No hay nada que les guste más a los piratas informáticos que los errores de TI causados ​​por una configuración incorrecta de las políticas en el software program, como parches, regulate de acceso e incluso servicios como Windows Distant Management (WinRM).

El análisis de la telemetría de Bitdefender muestra que WinRM encabezó esa lista de configuraciones erróneas en la primera mitad de 2020, con el 55,5% de todos los puntos finales analizados. Los atacantes buscan vulnerabilidades de WinRM y políticas mal configuradas porque permiten el handle remoto completo, lo que les permite ejecutar código malicioso, cambiar claves de registro, otorgar acceso a PowerShell o simplemente marcar de forma remota en las máquinas.

Y aunque WinRM no es un vector de ataque en sí mismo, puede tener un impacto devastador si se configura incorrectamente. Las políticas como «permitir tráfico no cifrado» o «permitir autenticación básica» deben estar deshabilitadas porque los atacantes pueden usarlas para descubrir hosts que ejecutan WinRM y acceso de fuerza bruta. Poner en peligro una cuenta o un sistema de confianza permite a un atacante acceder a la carcasa del dispositivo, plantar ransomware y moverse lateralmente por la organización.

Por supuesto, WinRM es una herramienta necesaria y simplemente desactivarla por completo no es una solución practical. Tampoco es limitar el acceso a los usuarios para minimizar la superficie de ataque. La seguridad es siempre un compromiso entre la funcionalidad y la protección, y las organizaciones eligen proporcionar a sus empleados las políticas adecuadas para el trabajo correcto.

A medida que examinamos más a fondo los problemas de configuración incorrecta, un reciente ESG y Bitdefender informe muestra esa mala configuración de los puntos finales representa el 27% de los puntos de entrada explotados por los atacantes. Para agravar el problema, las malas políticas relacionadas con las cuentas, el almacenamiento de contraseñas y la administración de contraseñas son las configuraciones erróneas de terminales más comunes causadas por personas.

La configuración de World wide web es otra categoría de política de seguridad importante y que a menudo se pasa por alto, y representa el 73,1% de todas las configuraciones incorrectas de los terminales. Por ejemplo, los usuarios no deberían poder ejecutar componentes de .Web Framework sin firmar desde World-wide-web Explorer, pero esto sucede con frecuencia. Otro problema surge con los ataques de degradación de SSL 3., que permiten a los atacantes realizar ataques de intermediario en lo que de otro modo deberían ser comunicaciones cifradas.

El poder ignorado de las políticas empresariales
La configuración de políticas dentro de una organización siempre debe ser una prioridad, que a veces puede tener prioridad. Son tantos los problemas que surgen de una brecha en las políticas de seguridad que es difícil contarlos todos. Una cosa es segura: la mayoría de los problemas de seguridad se pueden solucionar fácilmente adaptando el acceso, las herramientas y los sistemas operativos de los usuarios para que no puedan traspasar sus límites.

Además, los empleados pueden aumentar el riesgo de la organización al eludir las políticas de seguridad en favor de procedimientos más vulnerables que se sienten más rápidos. Las políticas para evitar la interferencia de los empleados en los procedimientos de seguridad deben ser aplicadas por TI y respaldadas por la alta dirección.

Además, uno de los errores que suelen cometer los equipos de seguridad es hacer cumplir políticas y medidas en toda la empresa demasiado drásticas, lo que dificulta las operaciones diarias para los empleados. Si bien puede parecer contradictorio, existe demasiada seguridad.

La reutilización de contraseñas se identifica como una de las malas prácticas de seguridad más comunes, reinando como el mayor riesgo humano en una empresa, con un enorme 93,1% de empleados que reciclan credenciales antiguas. La reutilización de la misma contraseña en varios servicios, incluido el trabajo, permite a los malos actores acceder fácilmente.

De acuerdo a Informe de Investigaciones de Violación de Datos 2020 de Verizon, «más del 80% de las infracciones debidas a piratería implican ataques de fuerza bruta o credenciales perdidas o robadas. Y eso nos lleva al círculo completo hacia la aplicación de políticas, que es especialmente necesaria cuando se trata de contraseñas de los usuarios.

Cuando es demasiado para TI manejar la seguridad
Con todos los posibles errores de configuración que se avecinan en el horizonte, las empresas tienen diferentes opciones, según su tamaño y perfil de riesgo. En algunas situaciones, el departamento de TI puede tener suficientes recursos para lidiar con la configuración de políticas y seguridad. Cuando ya no pueden cubrir esas tareas de manera adecuada, es prerrogativa de la organización expandir esos recursos, ya sea internamente mediante la construcción de un centro de operaciones de seguridad o mediante el uso de un equipo de terceros.

Como muestran los estudios y las noticias interminables de violaciones de datos que afectan a millones, las configuraciones incorrectas y las vulnerabilidades son una realidad, y las organizaciones rara vez están equipadas para identificarlas y remediarlas. Dado que la cyber destroy chain es tan fuerte como su eslabón más débil, las organizaciones deben reforzar ese vínculo con un equipo de seguridad dedicado equipado para reducir la superficie de ataque y ocuparse de la mayoría de los problemas que mantienen al CISO despierto por la noche, implementando las políticas adecuadas, y llenar los vacíos de seguridad que son inevitables en cualquier empresa.

Liviu Arsene es un investigador de ciberseguridad international para Bitdefender, con una sólida experiencia en seguridad y tecnología. Investigando tendencias y desarrollos globales en ciberseguridad, se enfoca en amenazas persistentes avanzadas e incidentes de seguridad mientras evalúa su impacto … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic