Esta semana, resumiremos el informe de Verizon sobre investigación de fugas de datos para 2022 y una vulnerabilidad de gravedad crítica en Confluence que se está explotando actualmente.
Principales conclusiones del Informe de Verizon sobre investigación de fugas de datos 2022
Desde 2008, Verizon ha seguido realizando y publicando el Informe anual sobre investigaciones de violaciones de datos (DBIR), y en 2022 se cumple el 15º aniversario del informe. En los últimos 15 años, Verizon ha recopilado casi nueve terabytes de datos que indican cerca de 250.000 violaciones y casi 1.000.000 de incidentes de seguridad únicos. El comienzo -que "nada es seguro"-señala la incertidumbre del sector de la seguridad utilizando análisis creíbles de datos, incluidos gráficos de barras inclinadas, diagramas de puntos, pictogramas y gráficos de espaguetis.
Verizon afirma: "Hay cuatro caminos clave que conducen a tu patrimonio : Credenciales, Suplantación de identidad, Explotación de vulnerabilidades, y Botnets. Los cuatro son omnipresentes en todas las áreas del DBIR, y ninguna organización está a salvo sin un plan para manejar cada uno de ellos."
ransomware
Este año, el ransomware ha continuado su tendencia al alza con un aumento de casi el 13%. Es importante recordar que, aunque omnipresente y potencialmente devastador, el ransomware es simplemente una forma de monetizar el acceso de una organización. Bloquear las cuatro vías clave mencionadas anteriormente ayuda a bloquear las vías habituales que utiliza el ransomware para penetrar en su red.
Aunque la amenaza del ransomware ha aumentado drásticamente, los principales métodos de distribución siguen siendo obvios: el software de compartición de escritorio representó el 40% de los incidentes, y el correo electrónico el 35%, según los datos de Verizon. Esta creciente amenaza puede parecer abrumadora, pero las medidas más importantes que pueden tomar las organizaciones contra estos ataques siguen siendo las fundamentales: concienciar a los usuarios finales sobre los intentos de phishing y mantener las mejores prácticas de seguridad. Consulte nuestra documentación para Ataque de ransomware: Qué es y cómo prevenirlo.
Amenazas para la cadena de suministro
2021 mostró cómo un incidente clave en la cadena de suministro puede tener consecuencias muy diversas. Los actores de las amenazas se centran más en comprometer al socio y a los proveedores adecuados, lo que puede actuar como un multiplicador de fuerza en el impacto.
Las brechas desde Kaseya a SolarWinds -por no mencionar la vulnerabilidad de Log4j- hicieronhincapié en el hecho de que los sistemas de los proveedores son un vector de ataque tan probable como el nuestro. De hecho, según el informe, el 62% de los ciberataques que siguen el patrón de intrusión en sistemas comenzaron cuando los autores de la amenaza aprovecharon las vulnerabilidades de los sistemas de un socio. Aunque los ataques a la cadena de suministro siguen representando algo menos del 10% del total de incidentes de ciberseguridad, según los datos de Verizon, los autores del estudio señalan que este vector sigue representando una parte considerable de todos los incidentes que se producen cada año. Esto significa que es fundamental que las empresas vigilen su propia seguridad y la de sus proveedores.
Elemento humano, errores y desconfiguraciones
El elemento humano sigue contribuyendo a las violaciones. La ingeniería social se convirtió en un problema abrumador el año pasado, lo que pone de relieve el auge de las tácticas de ciberdelincuencia repetidas. "El elemento humano sigue siendo un factor clave en el 82% de las filtraciones y este patrón capta un gran porcentaje de las mismas." Los errores y las malas configuraciones también son una gran tendencia y sobre todo están influenciados por el almacenamiento en la nube mal configurado. Aunque este es el segundo año consecutivo en el que se produce una ligera estabilización de este patrón, no debe descartarse la falibilidad de los empleados.
Por último, el DBIR describe los siguientes patrones de amenazas que explican la mayoría de los incidentes de seguridad y las violaciones de datos: intrusión en el sistema, ingeniería social, denegación de servicios, pérdida y robo de activos, uso indebido de privilegios, errores varios.
Ejecución remota de código en Confluence de Atlassian
El 2 de junio de 2022, Atlassian publicó un aviso de seguridad para CVE-2022-26134, que es una vulnerabilidad de inyección OGNL remota no autenticada que resulta en la ejecución de código que afecta a los productos Confluence Server y Confluence Data Center. Esta vulnerabilidad está siendo explotada actualmente. Todas las versiones compatibles de Confluence Server y Data Center están afectadas.
Dada la naturaleza de la vulnerabilidad, los servidores de Confluence conectados a Internet corren un riesgo muy alto. La vulnerabilidad estaba sin parchear cuando se publicó el 2 de junio. A partir del 3 de junio, ya están disponibles tanto los parches como una solución temporal. En el aviso se incluye una lista completa de las versiones corregidas. También está disponible una solución provisional, que debe aplicarse manualmente.
Comentarios