Los datos demuestran la clara necesidad de estrategias de seguridad integrales que tengan en cuenta todos los activos conectados gestionados y no gestionados.
Armis, la empresa líder en visibilidad y seguridad de activos, ha publicado un nuevo estudio que identifica los activos conectados más peligrosos que suponen una amenaza para las empresas de todo el mundo. Los hallazgos destacan el riesgo que se introduce en las organizaciones a través de una variedad de activos conectados a través de clases de dispositivos, enfatizando la necesidad de una estrategia de seguridad integral para proteger toda la superficie de ataque de una organización en tiempo real.
"Continuar educando a las empresas globales sobre la evolución y el aumento del riesgo que se introduce en su superficie de ataque a través de activos gestionados y no gestionados es una misión clave para nosotros", dijo Nadir Izrael, director de tecnología y cofundador de Armis. "Esta inteligencia es crucial para ayudar a las organizaciones a defenderse de los ciberataques maliciosos. Sin ella, los líderes empresariales, de seguridad y de TI están en la oscuridad, vulnerables a los puntos ciegos que los malos actores tratarán de explotar."
La investigación de Armis, analizada desde el Motor de Inteligencia de Activos de Armis, se centra en los activos conectados con el mayor número de intentos de ataque, Vulnerabilidades y Exposiciones Comunes (CVEs) weaponizadas y calificaciones de alto riesgo para determinar los activos más arriesgados.
Activos con mayor número de intentos de ataque
Armis descubrió que los 10 tipos de activos con mayor número de intentos de ataque se distribuían entre los siguientes tipos de activos: TI, OT, IoT, IoMT, Internet de las Cosas Personales (IoPT) y Sistemas de Gestión de Edificios (BMS). Esto demuestra que los atacantes se preocupan más por su acceso potencial a los activos que por el tipo, lo que refuerza la necesidad de que los equipos de seguridad tengan en cuenta todos los activos físicos y virtuales como parte de su estrategia de seguridad.
Los 10 tipos de dispositivos con mayor número de intentos de ataque:
- Estaciones de trabajo de ingeniería (OT)
- Estaciones de trabajo de imagen (IoMT)
- Reproductores multimedia (IoT)
- Ordenadores personales (TI)
- Máquinas virtuales (TI)
- Dispositivos de alimentación ininterrumpida (SAI) (BMS)
- Servidores (TI)
- Reproductores multimedia (IoMT)
- Tabletas (IoPT)
- Teléfonos móviles (IoPT)
"Los actores maliciosos se dirigen intencionadamente a estos activos porque son accesibles desde el exterior, tienen una superficie de ataque amplia e intrincada y CVEs conocidos como armas", dijo Tom Gol, CTO de Investigación en Armis. El impacto potencial de la violación de estos activos en las empresas y sus clientes es también un factor crítico cuando se trata de por qué estos tienen el mayor número de intentos de ataque". Las estaciones de trabajo de ingeniería pueden estar conectadas a todos los controladores de una fábrica, las estaciones de trabajo de diagnóstico por imagen recopilarán datos privados de pacientes de hospitales y los SAI pueden servir como punto de acceso a entidades de infraestructuras críticas, lo que hace que todos ellos sean objetivos atractivos para actores maliciosos con agendas variadas, como desplegar ransomware o causar destrucción a la sociedad en el caso de ataques de estados-nación". Los responsables de TI deben priorizar la ciberseguridad de la inteligencia de activos y aplicar parches para mitigar este riesgo."
Activos con CVEs sin parchear y con armas vulnerables a la explotación
Los investigadores identificaron un número significativo de activos conectados a la red susceptibles a CVEs sin parchear y weaponizados publicados antes del 1/1/2022. Haciendo zoom en el mayor porcentaje de dispositivos de cada tipo que tenían estas CVE entre agosto de 2022 y julio de 2023, Armis identificó la lista reflejada en el gráfico "Figure A" (arriba). Sin parches, estos activos introducen un riesgo significativo para las empresas.
Activos de alto riesgo
Armis también examinó los tipos de activos con los factores de alto riesgo más comunes:
- Muchos dispositivos físicos de la lista cuya sustitución lleva mucho tiempo, como servidores y controladores lógicos programables (PLC), funcionan con sistemas operativos al final de su vida útil (EOL) o al final del soporte (EOS). Los activos EOL se acercan al final de su vida funcional pero siguen en uso, mientras que los activos EOS ya no reciben soporte activo ni parches del fabricante para vulnerabilidades y problemas de seguridad.
- Algunos activos, incluidos los ordenadores personales, demostraron el uso de SMBv1. SMBv1 es un protocolo heredado, no cifrado y complicado con vulnerabilidades que han sido blanco de los infames ataques Wannacry y NotPetya. Los expertos en seguridad han aconsejado a las organizaciones que dejen de usarlo por completo. Armis descubrió que el 74% de las organizaciones actuales todavía tienen al menos un activo en su red vulnerable a EternalBlue, una vulnerabilidad SMBv1.
- Muchos de los activos identificados en la lista mostraban altas puntuaciones de vulnerabilidad, se les habían detectado amenazas, se les había marcado por tráfico no cifrado o todavía tenían las vulnerabilidades CDPwn que afectaban a la infraestructura de red y VoIP.
- Se descubrió que la mitad (50%) de los sistemas de tubos neumáticos tenían un mecanismo de actualización de software inseguro.
Armis dispone de estudios adicionales sobre los dispositivos OT e ICS más arriesgados en los sectores de infraestructuras críticas, así como sobre los dispositivos médicos y IoT más arriesgados en entornos clínicos.
(Armis)
