El ochenta y dos por ciento de los ataques a organizaciones en el primer trimestre de 2022 fueron causados por la exposición externa de vulnerabilidades conocidas en el perímetro externo o la superficie de ataque de la víctima. Esos errores sin parchear eclipsaron las pérdidas financieras relacionadas con la violación vinculadas al error humano, que representaron el 18 por ciento.
Las cifras provienen de Tetra Defense y su informe trimestral que arroja luz sobre un notable aumento en los ataques cibernéticos contra organizaciones de los Estados Unidos entre enero y marzo de 2022.
El informe no permitió que la higiene de seguridad de los empleados, o la falta de ella, quedara libre. Tetra reveló que la falta de mecanismos de autenticación multifactor (MFA) adoptados por las empresas y las credenciales comprometidas siguen siendo factores importantes en los ataques contra las organizaciones.
Exposiciones externas: un importante camino de compromiso
El estudio analiza el punto raíz de compromiso (RPOC) en los ataques. El RPOC es el punto de entrada inicial a través del cual un actor de amenazas se infiltra en una organización víctima y se clasifica como la exposición externa a una vulnerabilidad conocida, o una acción maliciosa realizada por el usuario o una configuración incorrecta del sistema.
"Los incidentes causados por sistemas sin parches cuestan a las organizaciones un 54 por ciento más que los causados por errores de los empleados", según el informe.
El investigador traza una línea de distinción entre "Vulnerabilidades externas" y "Exposiciones externas riesgosas".
Las vulnerabilidades externas, definidas por Tetra Defense, se refieren a incidentes en los que un atacante aprovecha el exploit disponible públicamente para atacar la red de la víctima. La exposición externa riesgosa, por otro lado, incluye prácticas de TI como dejar abierto un puerto orientado a Internet que puede ser utilizado por un adversario para apuntar al sistema.
"Estos comportamientos se consideran 'riesgosos' porque la mitigación se basa en la vigilancia de seguridad continua de una organización y la voluntad de hacer cumplir estándares consistentes durante largos períodos de tiempo", dijo Tetra Defense en el informe.
La exposición externa riesgosa, según el estudio, representa el 57 por ciento de las pérdidas de una organización.
Aprender lecciones de la manera más difícil
Según Tetra Defense, la conciencia generalizada sobre la vulnerabilidad Log4Shell minimiza la explotación activa y fue solo la tercera exposición externa más explotada, representando el 22 por ciento del total de casos de respuesta a incidentes. La vulnerabilidad de Microsoft Exchange ProxyShell supera al Log4Shell y lidera el camino al representar el 33 por ciento de los casos.
La Defensa Tetra reveló que casi el 18 por ciento de los eventos fueron causados por la acción no intencional realizada por un empleado individual de la organización.
"Más de la mitad (54 por ciento) de los incidentes en los que la 'Acción del usuario' fue el RPOC fueron causados por un empleado que abrió un documento malicioso", señaló Tetra Defense. El investigador analizó que la mayoría de los incidentes incluyen campañas de correo electrónico maliciosas dirigidas a individuos y organizaciones al azar.
El otro incidente importante es el abuso de credenciales comprometidas, que contribuye al 23 por ciento de los incidentes involucrados en la acción del usuario. Los informes indican que el uso de la misma contraseña en múltiples sitios es uno de los principales factores que conducen a la fuga de credenciales y la toma de control de la cuenta.
"Si uno de los sitios experimenta una violación y las credenciales se filtran a la web oscura, esas credenciales se pueden usar para comprometer otros sistemas donde se usa el mismo par de nombre de usuario y contraseña", dijo Tetra Defense.
En los hallazgos recientes de Tetra Defense, la industria de la salud lidera con aproximadamente el 20 por ciento del total de incidentes reportados en el primer trimestre de 2022. Además de la atención médica, Tetra Defense recopiló información de doce verticales diferentes, incluidas finanzas, educación, fabricación y construcción.
El imperativo de la aplicación de parches
Según los informes de Tetra Defense, el costo medio de un compromiso de respuesta a incidentes donde la vulnerabilidad externa fue el RPOC es un 54 por ciento más que los eventos en los que la "Acción del usuario" fue el RPOC.
"Abogar por mejores prácticas de aplicación de parches casi se ha convertido en un cliché en este momento, ya que es de conocimiento común que desempeña un papel importante en la reducción del riesgo cibernético", señaló Tetra Defense.
"Para prevenir mejor la explotación de vulnerabilidades externas, las organizaciones deben comprender su superficie de ataque y priorizar la aplicación de parches en función del riesgo, al tiempo que se aseguran de tener las defensas para proteger sus sistemas sabiendo que eso tendrá obstáculos que les impedirán parchear inmediatamente los sistemas vulnerables", agregó Tetra Defense.
El investigador observó múltiples grupos cibercriminales activos en la web oscura. "Con un número tan grande de grupos que se observan activamente, se resaltan los desafíos constantes que tienen las organizaciones para protegerse, porque si incluso un grupo se vuelve inactivo o es derribado por la policía, quedan docenas de otros grupos que intentan comprometerlos activamente", concluyó Tetra Defense.