Los expertos de Positive Technologies dieron a conocer un estudio en el que realizaron el análisis de la seguridad de algunos sistemas de información corporativos y preparado una descripción general de las vulnerabilidades de seguridad y los métodos de ataque más comunes.
Con los resultados obtenidos, realizaron algunas recomendaciones para mejorar la seguridad en el informe “Pruebas de penetración de los sistemas de información corporativos”.
El análisis mostró que para el 93% de las empresas, las pruebas de penetración lograron penetrar el perímetro de la red y obtener acceso a la red local. El 77% de los vectores de ataque estaban relacionados con una protección insuficiente de las aplicaciones web.
Las empresas probadas en 2019 incluyeron: finanzas (32%), TI (21%), combustible y energía (21%), agencias gubernamentales (11%), hotelería y entretenimiento (7%), industria (4%) y telecomunicaciones (4%). En las pruebas de penetración externa de Positive Technologies, los expertos pudieron acceder a la red local en el 93% de las organizaciones evaluadas.
El número máximo de vectores de penetración detectados en una sola empresa fue 13. Para una de cada seis empresas probadas, Positive Technologies encontró rastros de ataques anteriores, como web shells en el perímetro de la red, enlaces maliciosos en sitios web oficiales o referencias válidas en vertederos de datos públicos.
Sobre el estudio
Los expertos también han descubierto que la penetración de una red local tarda entre 30 minutos y 10 días.
En la mayoría de los casos, la complejidad del ataque fue baja, lo que significa que el ataque estaba al alcance de un hacker con habilidades básicas. En el 71% de las empresas, hubo al menos un vector de penetración fácil.
El 68% de las organizaciones, los ataques exitosos a las aplicaciones web implicaron forzar brutalmente los ataques a descifrar las credenciales.
Si los hackers fuerzan la contraseña de al menos una cuenta de dominio, pueden descubrir las credenciales de otros usuarios descargando la libreta de direcciones sin conexión, que enumera todas las direcciones de correo electrónico de los empleados de la empresa. En una de las organizaciones probadas, las pruebas de penetración de Positive Technologies obtuvieron más de 9.000 direcciones de correo electrónico utilizando este método.
Las aplicaciones web son el componente más vulnerable del perímetro de la red”, dice Ekaterina Kilyusheva, jefa de investigación y análisis de Positive Technologies.
En el 77% de los casos, los vectores de penetración implican una protección insuficiente de las aplicaciones web.
Para garantizar esta protección, las organizaciones deben realizar evaluaciones periódicas de seguridad de las aplicaciones web.
Las pruebas de penetración se realizan como un escaneo de “caja negra” sin acceso al código fuente, lo que significa que las empresas pueden dejar puntos ciegos en ciertos problemas que podrían no detectarse con este método.
Por lo tanto, las empresas deben utilizar un método de prueba más profundo, como el análisis del código fuente (cuadro blanco).
Las pruebas se basaron en gran medida en la explotación de vulnerabilidades de software conocidas, por ejemplo, en versiones anteriores de Laravel y Oracle WebLogic Server, que permitieron al 39% de las organizaciones acceder a la red local.
Además, las pruebas de penetración descubrieron seis vulnerabilidades de ejecución remota de código de día cero, incluida CVE-2019-19781 en Citrix Application Delivery Controller y Citrix Gateway.
Positive Technologies recomienda instalar las actualizaciones de seguridad del sistema operativo y las últimas versiones de software de manera oportuna y asegurarse de que el software que contenga vulnerabilidades conocidas no aparezca en el perímetro de la red.