La Agencia de Seguridad Nacional (NSA) y la Agencia de Seguridad de
Infraestructura y Ciberseguridad (CISA) revelaron hoy las
Diez configuraciones erróneas de ciberseguridad más comunes
descubiertas por sus equipos rojo y azul en las redes de grandes
organizaciones.
El aviso detalla qué Tácticas, Técnicas y Procedimientos (TTP) utilizan los
actores de amenazas para explotar con éxito estas configuraciones erróneas con
diversos objetivos, incluido obtener acceso, moverse lateralmente y apuntar a
información o sistemas confidenciales.
La información incluida en el informe fue recopilada por los Red/Blue Team de
las dos agencias durante las evaluaciones y durante las actividades de
respuesta a incidentes.
«Estos equipos han evaluado la postura de seguridad de muchas redes en el
Departamento de Defensa (DoD), el Poder Ejecutivo Civil Federal (FCEB), los
gobiernos estatales, locales, tribales y territoriales (SLTT) y el sector
privado»,
dijo la NSA.
«Estas evaluaciones han demostrado cómo las configuraciones erróneas
comunes, como las credenciales predeterminadas, los permisos de servicio y
las configuraciones de software y aplicaciones; la separación inadecuada de
los privilegios de usuario/administración; la supervisión insuficiente de la
red interna; la mala gestión de parches, ponen a todos los estadounidenses
en riesgo»,
dijo Eric Goldstein, subdirector ejecutivo de ciberseguridad de CISA.
Las 10 configuraciones de red más frecuentes descubiertas durante las
evaluaciones incluyen:
- Configuraciones predeterminadas de software y aplicaciones
- Separación inadecuada de privilegios de usuario/administrador
- Monitoreo insuficiente de la red interna
- Falta de segmentación de la red
- Mala gestión de parches
- Omisión de controles de acceso al sistema
- Métodos de autenticación multifactor (MFA) débiles o mal configurados
-
Listas de control de acceso (ACL) insuficientes en recursos compartidos y
servicios de red - Mala higiene de credenciales
- Ejecución de código sin restricciones
Como se indica en el
aviso conjunto, estas configuraciones erróneas comunes representan vulnerabilidades
sistémicas dentro de las redes de numerosas organizaciones grandes. Esto
subraya la necesidad crítica de que los fabricantes de software adopten
principios de seguridad desde el diseño, mitigando así el riesgo de
compromiso.
Goldstein instó a los fabricantes de software a adoptar un conjunto de
prácticas proactivas, con el objetivo de abordar eficazmente estas
configuraciones erróneas y aliviar los desafíos que enfrentan los defensores
de la red.
Estos incluyen la integración de controles de seguridad en la arquitectura del
producto desde las etapas iniciales de desarrollo y durante todo el ciclo de
vida del desarrollo del software.
Además,
los fabricantes deberían dejar de utilizar contraseñas predeterminadas
y garantizar que comprometer un único control de seguridad no ponga en peligro
la integridad de todo el sistema. También es esencial tomar medidas proactivas
para eliminar categorías enteras de vulnerabilidades, como utilizar lenguajes
de codificación seguros para la memoria o implementar consultas
parametrizadas.
Por último, Goldstein dijo que
es imperativo exigir la autenticación multifactor (MFA) para los usuarios
privilegiados y establecer MFA como una característica predeterminada, convirtiéndola en una práctica estándar en lugar de una opción opcional.
La NSA y CISA también alientan a los defensores de la red a implementar las
medidas de mitigación recomendadas para reducir el riesgo de que los atacantes
aprovechen estas configuraciones erróneas comunes.
Las mitigaciones que tendrían este efecto incluyen:
-
eliminar las credenciales predeterminadas y fortaleciendo las
configuraciones; -
desactivar servicios no utilizados e implementar estrictos controles de
acceso; -
garantizar actualizaciones periódicas y automatizar el proceso de parcheo,
dando prioridad al
parcheo de vulnerabilidades conocidas que han sido explotadas; -
y reducir, restringir, auditar y monitorear de cerca las cuentas y
privilegios administrativos.
Además de aplicar las mitigaciones descritas, la NSA y CISA recomiendan
«ejercitar, probar y validar el programa de seguridad de su organización
contra los comportamientos de amenazas asignados al marco
MITRE ATT&CK
for Enterprise»
en el aviso de hoy. Las dos agencias federales también recomiendan probar el
inventario de controles de seguridad existentes para evaluar su desempeño
frente a las técnicas de ATT&CK descritas en el aviso.
Fuente:
BC
Los comentarios están cerrados.