Los dispositivos de almacenamiento y 'backup' para empresas presentan, de media, 14 vulnerabilidades
El informe 'State of Storage and Backup Security Report 2023' pone de manifiesto una brecha significativa en el estado de la seguridad del almacenamiento y las copias de seguridad de las empresas en comparación con otras capas de seguridad de TI y de red.
De media, los dispositivos de almacenamiento y de backup (copia de seguridad) de una empresa albergan 14 vulnerabilidades, tres de las cuales son de riesgo alto o crítico y podrían suponer un peligro importante si se explotan. Así se desprende del informe State of Storage and Backup Security Report 2023 de Continuity, que revela una brecha significativa en el estado de la seguridad del almacenamiento y las copias de seguridad de las empresas en comparación con otras capas de seguridad de TI y de la red. Las conclusiones se basan en evaluaciones de 245 entornos con 8.589 dispositivos de almacenamiento y copia de seguridad de proveedores líderes como Dell, NetApp, Veritas e Hitachi Vantara.
La mayoría de las organizaciones estudiadas pertenecían al sector bancario, aunque también se evaluaron empresas de los sectores sanitario, de telecomunicaciones y de servicios informáticos. Dada la creciente dependencia de las organizaciones de las copias de seguridad de los datos como parte de los planes de recuperación frente al ransomware, las conclusiones de Continuity sobre la prevalencia de las vulnerabilidades que afectan a los dispositivos de almacenamiento y copia de seguridad son significativas.
Las organizaciones no abordan los riesgos de seguridad de las copias de seguridad de datos
Según el informe, Continuity detectó un total de 9.996 problemas de seguridad específicos (vulnerabilidades y errores de configuración de seguridad), que abarcaban más de 270 principios de seguridad que no se cumplían adecuadamente. La estadística de que el dispositivo medio de almacenamiento/copia de seguridad de una empresa presenta 14 riesgos de seguridad (tres de ellos con calificaciones de riesgo alto o crítico) es casi idéntica a la del Informe sobre el estado de la seguridad del almacenamiento y las copias de seguridad del año pasado, lo que indica que se ha hecho poco por abordar esta área de alto riesgo.
Las vulnerabilidades no parcheadas de los sistemas de almacenamiento y copia de seguridad son los principales puntos de ataque de la mayoría del ransomware, pero no hay conciencia de que las herramientas tradicionales de gestión de vulnerabilidades no cubren bien esos sistemas, afirma Continuity.
"Proteger los sistemas de almacenamiento y copia de seguridad de las empresas se ha convertido en una parte fundamental de las estrategias de ciberresiliencia de las organizaciones", según Dennis Hahn, analista principal de Omdia. "Por muy importante que sea la rápida recuperación de datos para la continuidad de la empresa en caso de pérdida o robo de datos, podría decirse que es aún más importante proteger los datos dondequiera que vivan y no dejar que los propios sistemas de almacenamiento y copia de seguridad se conviertan en un punto de entrada para los ataques".
Los grandes riesgos
Los cinco principales riesgos para la seguridad de los dispositivos de almacenamiento y copia de seguridad detectados por Continuity en su último análisis son: configuraciones de red inseguras (uso de protocolos vulnerables, cifrados de encriptación); vulnerabilidades y exposiciones comunes (CVE) no abordadas; problemas de derechos de acceso (sobreexposición); gestión y autenticación de usuarios inseguras; y registro y auditoría insuficientes.
Otros riesgos menos frecuentes pero de alta prioridad detectados son las vulnerabilidades en la gestión de la cadena de suministro de software, la configuración incorrecta o la no utilización de funciones antiransomware, y las API/CLI no documentadas e inseguras.
Entre los factores que contribuyen a los riesgos a los que se enfrentan las organizaciones se encuentran las implicaciones cibernéticas del conflicto entre Rusia y Ucrania, los retos en materia de cumplimiento y seguros y las divisiones entre la infraestructura de TI y los equipos de seguridad, según el informe.
Cómo abordar los riesgos de seguridad de los dispositivos de almacenamiento y backup
El informe describe las posibles repercusiones para la empresa de los cinco riesgos más comunes para la seguridad de los dispositivos de almacenamiento y copia de seguridad, junto con recomendaciones para abordarlos.
Según el informe, los ciberdelincuentes pueden aprovecharse de una configuración de red insegura para recuperar y manipular información de configuración y datos almacenados. Para hacer frente a los riesgos de las configuraciones de red inseguras, Continuity aconseja llenar las lagunas de conocimiento sobre los conceptos, riesgos y mejores prácticas de seguridad de las redes de almacenamiento y copia de seguridad, definir los requisitos internos para adaptar las recomendaciones del sector, identificar y remediar las lagunas entre los requisitos y las configuraciones reales, y crear procesos eficaces y continuos para evaluar continuamente la postura de seguridad del almacenamiento y la copia de seguridad.
Según Continuity, entre los riesgos empresariales de los CVE no abordados se incluye la capacidad de exfiltrar archivos, iniciar ataques de denegación de servicio (DoS) e incluso apropiarse de archivos y bloquear dispositivos. Aconseja a las empresas mejorar la identificación proactiva de CVE con herramientas específicas de almacenamiento para escanear entornos de almacenamiento y copia de seguridad en busca de CVE, y reducir el tiempo de reparación de vulnerabilidades importantes, identificando y parcheando las CVE con puntuaciones CVSS críticas y altas lo antes posible.
Los problemas de derechos de acceso ponen en peligro a las organizaciones por la exposición y comprensión de los datos y sus copias. En algunos casos, puede llevar a comprometer los sistemas operativos de los hosts que utilizan el almacenamiento. Los equipos deben implantar modelos adecuados de acceso con mínimos privilegios para el acceso a los datos, así como planos de gestión y control, y auditar y corregir las exposiciones con frecuencia.
Una configuración incorrecta e insegura puede permitir a los ciberdelincuentes hacerse con el control total de los sistemas de almacenamiento y copia de seguridad, lo que les permitiría filtrar y destruir los datos y sus copias. Las medidas paliativas incluyen bloquear y renombrar o eliminar los usuarios predeterminados de fábrica (siempre que sea posible), eliminar el uso de cuentas de usuario locales, separar las responsabilidades y las funciones de acceso para las copias de datos primarias y las copias de datos secundarias, y habilitar la autenticación multifactor (MFA).
Un registro/auditoría inadecuados pueden ayudar a los ciberdelincuentes a enmascarar actividades maliciosas e interferir con la capacidad de las herramientas centrales de seguridad para detectar anomalías, reza el estudio. Para limitar los riesgos, las empresas deben registrar en repositorios externos, configurar objetivos de registro redundantes para cada dispositivo, configurar el cronometraje externo utilizando al menos dos fuentes NTP y garantizar un registro granular como mínimo, registrando todos los fallos de autenticación, los eventos de configuración administrativa/de seguridad y los eventos de acceso al almacenamiento de datos críticos o sensibles.
