¿Cuánto tiempo puede tardar un ciberdelincuente en explotar vulnerabilidades y acceder a los sistemas de TI de una empresa? Según un reciente estudio, una vez identificada una vulnerabilidad, el acceso a un entorno corporativo puede ser cuestión de menos de 5 horas.
La seguridad de los entornos corporativos se ha convertido en un aspecto crucial para muchos de los negocios de hoy en día. Esto está llevando a que las organizaciones incrementen sus inversiones en tecnologías de seguridad que garanticen su protección. Sin embargo, el empleado de técnicas cada vez más sofisticadas por parte de los ciberdelincuentes hace necesario seguir destinando importantes esfuerzos para mantener su seguridad.
Según un reciente estudio realizado por el Instituto SANS a 300 hackers éticos, alrededor del 40% señala que pueden acceder a la mayoría de los entornos en los que lo intentan, si no en todos. Además, el 60% apunta que necesita 5 hora, o incluso menos, para acceder a un entorno corporativo una vez que tiene identificada una vulnerabilidad.
En concreto, se apunta que, de media, estos hackers necesitarían cinco horas para cada paso de una cadena de ataque: reconocimiento, explotación, escalada de privilegios y filtración de datos, con un ataque de extremo a extremo en menos de 24 horas.
Sin duda, esto pone de manifiesto la necesidad de que las empresas redoblen sus esfuerzos y mejoren la media de tiempo de detección y contención.
Cómo explotar vulnerabilidades en tiempo récord
La explotación de vulnerabilidades es algo que los ciberdelincuentes realizan cada vez con mayor rapidez. Otro de los aspectos más relevantes que pone de relevancia el estudio es que, en el caso del 57% de los hackers encuestados, necesitó 10 horas o menos para identificar una vulnerabilidad, mientras que el 16% lo hizo entre 6 y 10 horas y un 25% entre 3 y 5 horas.
Pero también es posible detectarlas en menos tiempo. En concreto, un 11% necesita de una a dos horas y un 5% menos de una hora. No obstante, muchos no realizan un seguimiento que les permita saber con exactitud cuánto tiempo puede llevar detectar una vulnerabilidad.
¿Cómo consiguen hacerlo? La experiencia es, sin duda, un factor que contribuye a ello. Más de dos terceras partes de los encuestados en el citado estudio señala que trabajan o han trabajado en equipos de seguridad interna. Además, la mitad ha trabajado como consultor para proveedores de seguridad y el 90% dispone de una certificación en seguridad de la información.
Esto les permite contar con una experiencia clave para avanzar en esta detección de vulnerabilidades. Pero también señalan que hay una serie de factores que llevan a que se produzcan esta serie de exposiciones. Las conexiones de terceros, el rápido ritmo de desarrollo e implementación de aplicaciones, la adopción de infraestructura en la nube, el trabajo remoto, así como las fusiones y adquisiciones son algunos de ellos.
Esto lleva a que, a menudo, se encuentren con configuraciones incorrectas, software vulnerable, servicios web expuestos, exposición de información confidencial y problemas de autenticación o control de acceso.
La necesidad de mejorar la calidad de los desarrollos
Todas estas deficiencias constatan que las organizaciones desarrollan e implementan aplicaciones que exponen vulnerabilidades, inseguridades y configuraciones inadecuadas que pueden ser aprovechadas para atentar contra su ciberseguridad.
Una posible buena noticia para los equipos de seguridad es que solo el 38% de los encuestados indica que «en la mayoría de los casos» podrían pasar con éxito a un nuevo método de ataque que podría eludir las defensas que bloquearon su vector de ataque inicial.
Esto supone que tener buenos métodos de detección y prevención vale la pena para bloquear los intentos de intrusión, especialmente porque los ciberdelincuentes suelen ir por el camino de menor resistencia y pasar a un objetivo más fácil si no tienen éxito.
Además, el 59% de los encuestados dijo que confía en herramientas de código abierto en sus intrusiones y el 14% dijo que usa paquetes de exploits públicos. Solo el 6% utiliza exploits privados y el 7% usa herramientas personalizadas que ellos mismos escribieron.
En consecuencia, los equipos de seguridad podrían obtener mucho valor si se centran en la defensa contra herramientas y exploits conocidos y públicos. Desafortunadamente, tres cuartas partes de los encuestados señalan que pocas o algunas organizaciones cuentan con capacidades de detección y respuesta efectivas para detener ataques.
Asimismo, casi la mitad sostiene que las organizaciones son moderadamente o muy incapaces de detectar y prevenir ataques específicos en la nube y de aplicaciones.
Prestar atención a todos estos indicadores para mejorar la calidad de los desarrollos e implementaciones, así como contar con mejores métodos de detección y respuesta será crucial para optimizar la seguridad de los entornos corporativos.
