La reducción del tiempo de explotación es una amenaza: ¿qué puede hacer?

20 de marzo de 2023 - Equipo de RRPP de TuxCare

Necesitamos una oportunidad para alcanzar nuestros objetivos de ciberseguridad. Cuanto más estrecha sea esta ventana, más difícil será hacer nuestro trabajo de ciberseguridad. Por tanto, los informes recientes que afirman que el tiempo para explotar sigue reduciéndose no son buenas noticias.

En este artículo, explicaremos cómo se ha reducido el intervalo entre la identificación de una vulnerabilidad y su explotación, qué significa esto para la ciberseguridad y qué se puede hacer al respecto.

Todavía hay una ventana...

Hay multitud de fallos de seguridad (vulnerabilidades) en el código de software existente de los que nadie sabe nada, hasta que un investigador o los actores de una amenaza descubren el fallo. De hecho, puede pasar una década antes de que se descubra un fallo oculto a plena vista, como demuestra una vulnerabilidad Sudo que se introdujo en el código en julio de 2011 pero no se descubrió y corrigió hasta 2021.

En la mayoría de los casos, una vulnerabilidad se descubre mucho antes, posteriormente se documenta y se le asigna un CVE. Una vez que la vulnerabilidad se documenta, queda realmente al descubierto. Sí, ahora los usuarios pueden protegerse, pero los actores de amenazas pueden explotar la vulnerabilidad en los sistemas que no están protegidos.

Por lo tanto, hay una diferencia de tiempo entre el momento en que se descubre y documenta una vulnerabilidad y el momento en que se producen los primeros casos de actores de amenazas que explotan la vulnerabilidad. Puede ser cero, en el caso de un exploit de día cero.

A menudo es un poco más largo, desde un par de días hasta unas semanas o meses, dependiendo de lo fácil que sea explotar la vulnerabilidad, de lo que un actor de amenazas pueda conseguir con ella y de lo extendida que esté.

... Pero las estadísticas son alarmantes

En Informe de inteligencia sobre vulnerabilidades Rapid7 2022 pone de relieve una tendencia preocupante: el tiempo transcurrido entre la divulgación de una vulnerabilidad y su explotación está disminuyendo. El informe muestra que el 56% de las vulnerabilidades se explotaron en los siete días siguientes a su divulgación pública. Esto supone una clara mayoría de vulnerabilidades que se explotan en la semana siguiente a su divulgación.

Es preocupante, por supuesto, pero también lo es el ritmo del cambio: El 56% es un aumento significativo (12%) desde 2021, y 2021 fue un aumento aún mayor (87%) desde 2020. Es una tendencia al alza, si no otra cosa.

Los limitados recursos para clasificar y solucionar las vulnerabilidades hacen que los equipos de seguridad tengan dificultades para seguir el ritmo de la afluencia de vulnerabilidades. Y vale la pena hacerse esta pregunta: ahora que la mayoría de las vulnerabilidades se aprovechan en un plazo de 7 días, ¿con qué rapidez parchean las empresas?

Varía de una encuesta a otra. Por ejemplo una encuesta de 2022 de Edgescan sugiere que es de unos dos meses. El Instituto Infosecpor su parte, sugiere que es entre 60 y 150 días, afirmando que "los equipos de seguridad tardan al menos 38 días en publicar un parche".

El tiempo que se tarde en parchear probablemente dependa en cierta medida de la gravedad de la vulnerabilidad y del nivel de prensa que reciba, pero, en cualquier caso, es evidente que hay una brecha entre los "medios". El tiempo medio para parchear es mucho mayor que el tiempo medio para explotar.

¿Por qué se cierra la ventana de explotación?

Ha sido un largo camino y una lenta acumulación... pero los tiempos han cambiado. Hace décadas se tardaba meses y meses en explotar una vulnerabilidad, si es que se explotaba alguna vez, y -cuando era posible- solía requerir acceso interno.

Internet ha brindado oportunidades sin precedentes a empresas, particulares y gobiernos por igual. Pero, con la evolución de Internet, la amenaza de los ciberataques ha aumentado drásticamente. Los piratas informáticos son ahora mucho más rápidos a la hora de explotar vulnerabilidades recién descubiertas. ¿Por qué?

El aumento de la conectividad y del intercambio de información facilitó a los piratas informáticos la rápida explotación de las vulnerabilidades.
El creciente número de hackers y grupos de piratas informáticos también ha empeorado la situación. Con tantos actores en busca de vulnerabilidades, no es de extrañar que se descubran con mucha más rapidez.
También han aumentado la sofisticación de las herramientas y técnicas de pirateo, incluida la capacidad de escanear automáticamente miles de sistemas en busca de vulnerabilidades.
Mayor conectividad de los dispositivos (por ejemplo, IoT) también contribuye a reducir el tiempo necesario para explotar una vulnerabilidad.

En general, significa más actores actuando en una mayor superficie de ataque. Como resultado, es más fácil para los hackers encontrar vulnerabilidades y explotarlas rápidamente.

Qué significa esto en la práctica

El resultado neto es que las organizaciones tienen que actuar con más rapidez y dureza para proteger sus sistemas. Siempre es una competición entre prioridades y recursos... pero al reducirse el tiempo para explotar, la presión es mucho mayor.

En teoría, al menos las organizaciones deberían tener tiempo suficiente para parchear una vulnerabilidad. Sin embargo, para los actores de amenazas decididos, las vulnerabilidades para las que no existen correcciones, o que no han sido corregidas por el usuario, tienen un enorme atractivo. Por ejemplo, algunos de los mayores y más conocidos ciberataques se basaron en la brecha entre el descubrimiento y la corrección:

Gusano Stuxnet: En 2010 se descubrió el gusano Stuxnet, diseñado para atacar e interrumpir el programa nuclear iraní. Utilizaba una vulnerabilidad de día cero en Microsoft Windows para infectar el sistema y propagarse por las redes.
Filtración de datos de Equifax: En 2017, Equifax, una de las mayores agencias de crédito de Estados Unidos, sufrió una filtración masiva de datos que afectó a más de 147 millones de personas. Los hackers utilizaron una vulnerabilidad de día cero en Apache Struts para acceder al sistema de Equifax.
Spyware Pegasus: En 2021, se descubrió que el spyware Pegasus se utilizaba para atacar a periodistas, activistas y políticos. El programa espía utilizaba una vulnerabilidad de día cero en iMessage de Apple para infectar dispositivos y robar información confidencial.

Ahora que los actores de las amenazas explotan las vulnerabilidades cada vez más rápido, es probable que veamos ataques cada vez más exitosos, a menos que las organizaciones logren responder con mayor celeridad.

Responder a una ventana que se estrecha

Dedicar más recursos, actuar más rápido y con mayor eficacia. Es tan sencillo como eso, pero como todos sabemos a estas alturas, la teoría de la ciberseguridad es una cosa, pero la ejecución es harina de otro costal.

El informe Rapid 7 sugiere que los equipos de seguridad deben priorizar las vulnerabilidades en función de su impacto potencial y de la probabilidad de explotación, en lugar de centrarse únicamente en las vulnerabilidades más recientes y más publicitadas.

También recomiendan que las organizaciones inviertan en tecnologías que puedan automatizar el análisis de vulnerabilidades y la aplicación de parches para ayudar a reducir la carga de trabajo de los equipos de seguridad. Como siempre, se trata de un esfuerzo concertado: atacar el mayor número posible de puntos correctos de la forma más exhaustiva posible:

Control continuo: Si no sabía de la existencia de una amenaza o no podía mitigarla, al menos esté atento por si ocurre algo malo. Establezca una supervisión 24/7 que explore continuamente la actividad de los actores de amenazas para poder detectar anomalías o actividades sospechosas en cuanto se produzcan, lo que le permitirá tomar medidas proactivas para mitigarlas.
Priorizar vulnerabilidades: No todas las vulnerabilidades son iguales, por eso existen las puntuaciones CVE. Si la prensa de ciberseguridad dice que es alarmante, probablemente lo sea, pero haga también sus propios deberes para no perder un tiempo precioso. No te quedes atascado arreglando vulnerabilidades menos amenazantes.
Organícelo: Las empresas deben contar con un programa de gestión de parches sólido y organizado para desplegar rápidamente actualizaciones y parches de seguridad tan pronto como estén disponibles. La coherencia y la persistencia pueden ayudar a mitigar las vulnerabilidades y reducir la ventana MTTE.
Utilizar las mejores herramientas disponibles: La automatización de la seguridad es clave, desde las herramientas de gestión de eventos e información de seguridad (SIEM) hasta las plataformas de orquestación, automatización y respuesta de seguridad (SOAR). Lo mismo ocurre con la aplicación de parches: automatice todo lo que pueda, y aplique parches en vivo a todos y cada uno de los sistemas que sean compatibles con los parches en vivo..

La formación de los empleados es y será siempre otra herramienta importante. Incluso los exploits de día cero requieren a veces una "pequeña ayuda" de alguien interno a la organización. La formación para educar a los usuarios sobre las estafas comunes de ingeniería social puede ser muy eficaz.

Emparejar minuciosidad con minuciosidad

Los piratas informáticos tardan menos tiempo en explotar las vulnerabilidades porque son más meticulosos en lo que hacen. Las organizaciones deben ser igual de meticulosas y corregir las vulnerabilidades incluso más rápido que antes. Afortunadamente, las herramientas existen.

La automatización es de gran ayuda, al igual que las herramientas especializadas. Por ejemplo, la tecnología de aplicación de parches en directo de TuxCare garantiza una aplicación de parches más coherente porque reduce la tensión de los trabajadores y minimiza la planificación y las interrupciones asociadas a la aplicación de parches. También permite a las empresas olvidarse de priorizar qué vulnerabilidades parchear, ya que todos los parches publicados se aplican automáticamente en segundo plano sin tiempo de inactividad.