6 aspectos de seguridad en los que fracasan las compañías
Un nuevo informe sugiere que muchas organizaciones están fracasando en los esfuerzos básicos de ciber higiene, quedando expuestos a los ataques perpetrados por los hackers.
Mientras que los ataques avanzados siguen atrayendo los principales titulares de los medios de comunicación, a menudo las empresas se vuelven más vulnerables al no adherirse a los principios básicos de las mejores prácticas de seguridad cibernética. Tripwire publicó recientemente su informe sobre el estado de la higiene cibernética, en el que se analiza en qué medida las organizaciones están implementando los controles de seguridad básicos a los que el Centro para la Seguridad de Internet (CIS) se refiere como "higiene cibernética". Entre ellas se incluyen la supervisión, la evaluación, la aplicación de parches, así como la configuración y remediación.
El estudio, basado en una encuesta llevada a cabo entre 306 profesionales de seguridad de TI, sugiere que muchas organizaciones están fallando en lo que denominamos fundamentos de seguridad que pueden ayudar a endurecer las defensas de una organización y reducir las posibilidades de ataques.
1.- Eliminar los dispositivos no autorizados en la red
En ocasiones, el proceso de desconexión de dispositivos no autorizados presentes en una red puede complicar las cosas a un departamento de TI. Aunque puedan parecer inofensivos los nuevos dispositivos, sus usuarios o invitados no llegan a ser conscientes del potencial que tiene un teléfono al conectarse a la misma. Estos pueden contener malware que intenta escalar los privilegios de acceso a la red corporativa.
El 62% de las organizaciones informaron que les llevó incluso horas, en el mejor de los casos, poder descubrir nuevos dispositivos no autorizados conectados a la red, y otras tantas horas para eliminar su presencia y rastro. Barajando estos tiempos, un atacante con intenciones maliciosas puede causar estragos y daños potenciales dentro de cualquier organización.
Mejores prácticas: Las organizaciones necesitan un inventario preciso de los dispositivos autorizados con la autenticación consentida a nivel de red para evitar la conexión no autorizada.
2.- Fallo en la supervisión de los programas que corren en la red
Puede que vivamos en una era de autoservicio tecnológico a la hora de contratar soluciones cloud. Sin embargo, la presencia de ciertas aplicaciones que corren en la sombra, pueden suponer un serio peligro para las organizaciones. Verificar la veracidad de los programas y reducir la posibilidad de que se filtre malware o datos corporativos, es mucho más fácil si realmente sabemos qué software está ejecutándose en nuestras redes.
El 30% de las organizaciones no tiene, ni la mitad del software que corre por sus infraestructuras, rastreado en un inventario.
Mejores prácticas: Las listas blancas de aplicaciones garantizan que sólo el software autorizado se ejecute en la red, ayudando a reducir las posibilidades de que las aplicaciones y el software malicioso entren en su organización.
3.- Análisis para detectar vulnerabilidades y parches
En el supuesto de que determinados ataques avanzados puedan llegar a evitar la detección, siempre hay que tener en cuenta que la mayoría proceden de vulnerabilidades conocidas y, por tanto, detectables. Mientras que la gran mayoría de las empresas realizan exploraciones de vulnerabilidades, el 41% sólo realiza exploraciones mensuales o tiempos superiores. Entre las organizaciones que han implementado DevOps, el 46% están analizando las vulnerabilidades a través de la integración e implementación continua (CI/CD).
A la hora de manejar parches de seguridad, conviene abordarlos a la mayor brevedad posible para evitar agujeros de seguridad. Desafortunadamente, el 44% de las empresas afirman que el despliegue de parches de seguridad les suele llevar incluso semanas, y casi el 30% llega a superar el mes como tiempo para su implantación total.
Mejores prácticas: La exploración de vulnerabilidades debe estar soportada por sistemas de gestión de parches que cubran tanto el sistema operativo como las aplicaciones de terceros con el fin de automatizar al máximo los procesos y liberar al equipo de TI.
4.- Cambio de contraseñas predeterminadas
Si no vigila de cerca el acceso a las cuentas de administración, es mejor que no defienda sus datos confidenciales. Menos de la mitad de las organizaciones utilizan estaciones de trabajo dedicadas para actividades administrativas, más de la mitad no utilizan autenticación de doble factor para acceder a las cuentas administrativas, y el 43% no obligan a utilizar contraseñas diferentes para cada uno de los sistemas o servicios. Todas ellas dejan potencialmente abiertas cuentas de usuario que los atacantes puedan utilizar para escalar privilegios. Casi un tercio informó que no cambiaron las contraseñas predeterminadas.
Mejores prácticas: Obligue a que los empleados cambien las contraseñas predeterminadas y despliegue autenticación multifactor. También conviene utilizar estaciones de trabajo dedicadas y segmentadas para actividades administrativas siempre que sea posible. Asegúrese de que los usuarios no tengan más privilegios de los necesarios.
5.- Detectar cambios de configuración en una red
Las configuraciones erróneas son un fallo habitual que suelen aprovechar los hackers, con el aliciente de que una configuración incorrecta puede causar interrupciones en la prestación de servicios. Más de un tercio de las empresas admiten que tienen dificultades para aplicar los ajustes de configuración.
Mejores prácticas: Implemente herramientas de gestión en la configuración del sistema para aplicar y volver a implantar automáticamente los ajustes de configuración, tanto en entornos locales como de nube.
6.- Monitorizar registros
La monitorización de registros es una de las mejores maneras de detectar actividades sospechosas o inusuales con signos de intrusión. En este sentido, la mayoría de las organizaciones no llevan estos registros desde una ubicación centralizada, lo que significa que los registros a menudo sólo se revisan semanal o mensualmente. Casi tres cuartas partes de los encuestados dijeron que sólo revisaban sus registros semanalmente. Una cuarta parte de las organizaciones sólo revisan los registros cuando revisan una alerta de SIEM.
Mejores prácticas: Recopile y supervise tantos registros como sea posible, y luego escalelos a un sistema central que ofrezca la posibilidad de filtrarse y revisarse con mayor facilidad.
