La seguridad de Fortune 500 muestra avances y obstáculos



Las empresas de Fortune 500 han mejorado la seguridad del correo electrónico y los programas de divulgación de vulnerabilidades, pero tienen dificultades en la gestión de activos y los servicios de alto riesgo.

Una inmersión profunda en la seguridad de las organizaciones Fortune 500 revela que han mejorado, aunque «de manera lenta y desigual», con avances en la seguridad del correo electrónico y los programas de divulgación de vulnerabilidades (VDP) y el progreso en la gestión de activos y los servicios de alto riesgo, informan los investigadores.

El «Informe de exposición cibernética en World-wide-web» de Speedy7 tiene como objetivo destacar los problemas de seguridad críticos para el CISO, el particular de seguridad de TI y los socios comerciales internos de una empresa. Su análisis se desglosa en cinco áreas de riesgo: seguridad del correo electrónico, cifrado para aplicaciones internet públicas, gestión de versiones para servidores website y de correo electrónico, protocolos riesgosos no aptos para Online y aumento de VDP.

Comenzando con las tendencias positivas, la seguridad del correo electrónico mejoró dentro de Fortune 500, ya que las configuraciones válidas de autenticación, informes y conformidad de mensajes basados ​​en dominios (DMARC) alcanzaron 379, un aumento del 13% desde 314 a fines de 2019. Esto significa aproximadamente el 76% de Fortune 500 tiene implementaciones DMARC válidas, aunque la adopción es más alta en finanzas.

Un sistema DMARC implementado correctamente puede identificar correos electrónicos ilegítimos y determinar cómo deben manejarse esos mensajes. Dependiendo del administrador de TI, DMARC se puede configurar para manejar correos electrónicos sospechosos con diferentes grados de gravedad. El sistema puede ayudar a bloquear los ataques de compromiso del correo electrónico empresarial (BEC), un ataque común contra Fortune 500.

«Eso se vuelve un poco más difícil cuando tienes un buen DMARC», dice Tod Beardsley, director de investigación de Fast7, sobre BEC. Si un empleado recibe un correo electrónico del director financiero solicitando una transferencia bancaria, es más possible que sea el director financiero quien envíe la solicitud.

Otro hallazgo prometedor fue el crecimiento de los VDP. De las 100 principales empresas estudiadas, 46 tienen un VDP. Si bien el porcentaje de todas las empresas de Fortune 500 que ejecutan un VDP es más bajo, con un 20%, es más del doble del 9% que tenía un VDP en 2019.

No todos los VDP son iguales por ejemplo, algunos pueden ejecutar un programa de recompensas por errores con una gran cantidad de términos que pueden disuadir a los investigadores bien intencionados. «Pero lo que sí les dice a los investigadores es que lo han pensado, tienen un procedimiento, tienen la capacidad de clasificar», señala.

Aún así, existen diferencias significativas en la adopción de VDP entre industrias. La tecnología es la única industria de Fortune 500 en la que la mayoría de las empresas tienen un VDP. Si bien todas las empresas importantes tienen algunos componentes técnicos, casi el 80% de las principales empresas estadounidenses fuera del sector tecnológico carecen de un VDP official, lo que desalienta la divulgación responsable de vulnerabilidades y fugas de datos.

Espacio para la mejora: gestión de activos y parches
La gama de sistemas, tecnologías y procesos comerciales de la lista Fortune 100 presenta desafíos diarios incluso para las organizaciones más grandes y los equipos de seguridad más maduros.

Los investigadores de Fast7 encontraron dentro de una sola pila de tecnología (servidores net), empresas de servicios comerciales, finanzas, salud, ocio, industriales, medios y tecnología exponen 10 o más versiones diferentes de Apache y / o Nginx. Todas las industrias tienen una o más empresas que exponen al menos tres versiones diferentes de Web Facts Products and services (IIS). Esto expande la superficie de ataque e impide el parcheo.

«Hay al menos más de 81 versiones distintas de Nginx, 70 versiones distintas de Apache y 15 – sí, 15 – versiones distintas de IIS que se ejecutan en los miembros de Fortune 500». los investigadores informan. En Fortune 500, este problema puede deberse a adquisiciones frecuentes de organizaciones más pequeñas.

«Una determinada empresa de Fortune 500 tenderá a adquirir otras empresas, y tienden a dividirse en diferentes empresas, pero tienen mucha rotación en su crimson», explica Beardsley. A medida que una gran empresa compra empresas más pequeñas, su huella cambia. Un CISO de Fortune 500 puede haberse asegurado de que estaba ejecutando una versión de Nginx, pero su empresa adquirida puede tener menos disciplina.

Aconseja a las juntas directivas que involucren al CISO en las discusiones de fusiones y adquisiciones, «porque será él quien tenga que arreglarlo una vez que las adquiera». Actualizar sistemas a la misma versión no es una tarea que pueda esperar. Si una nueva empresa ingresa al entorno y se estandariza en algo diferente, es esencial tener un proceso que lleve a todos al mismo punto.

Por supuesto, las empresas recién adquiridas no son el único obstáculo al que se enfrentan las empresas Fortune 500 cuando se trata de parches y gestión de activos. Como muchas empresas más antiguas, tienen muchos sistemas heredados de los que preocuparse. Si bien las empresas emergentes más pequeñas creadas en la nube a menudo no tienen infraestructura, las empresas de Fortune 500 aún tienen activos en los centros de datos para administrar.

«La gestión de activos es un gran problema», dice Beardsley. «La administración de activos es una especie de precursor de la administración de vulnerabilidades y la administración de parches. Si no maneja bien la administración de sus activos … todo lo demás sufre por eso».

El peligro de los servicios orientados a Web
Los investigadores de Swift7 buscaron saber qué tan bien le estaba yendo a Fortune 500 al dejar expuestos los servicios de alto riesgo en Online, por lo que se enfocaron en Server Message Block (SMB), Distant Desktop Protocol (RDP) y Telnet porque se usan comúnmente en estos negocios.

De los hosts que exponen SMB, el 95% proporcionó un nombre de host, el 91% filtró el nombre DNS del host y el 92% filtró el nombre de dominio totalmente calificado configurado en el host. Se detectaron servicios RDP 403 en 61 empresas, especialmente en tecnología, salud y finanzas. La industria financiera tuvo la mayor exposición a Telnet, con el 61% del overall.

Los investigadores señalan que «cualquier número distinto de cero» de estos servicios puestos a disposición de la Net pública se considera inaceptable en empresas con programas de seguridad maduros. Si bien ha pasado un tiempo desde el último brote importante de gusanos, NotPetya (SMB), WannaCry (SMB) y Mirai (Telnet) aprovecharon los protocolos antes mencionados.

«En mi opinión, no hay ninguna razón para exponer SMB, que es el protocolo &#39Windows todo&#39», dice Beardsley. «Es autenticación, es intercambio de archivos, es entrega de trabajos de impresión, es todo … Poner eso en Internet está invitando a problemas, y vemos que eso sucede una y otra vez».

Los investigadores también encontraron que casi el 40% de las organizaciones Fortune 500 todavía tienen al menos un servidor Microsoft Trade orientado a Internet que maneja el correo electrónico crítico para la empresa. «Cuando medimos a principios del primer trimestre de 2021, Exchange estaba por todas partes», dice Beardsley. Después de la reciente divulgación de los días cero de Trade Server y los continuos ataques activos, las organizaciones comenzaron a centrarse más en la seguridad de los servidores Trade.

«Vimos un cambio bastante significativo hacia Exchange alojado cosas que están en la infraestructura Azure de Microsoft frente a Trade regional», agrega. «Eso tiende a ser bueno».

Kelly Sheridan es la editora de private de Darkish Reading through, donde se centra en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic