Tecnología

Los actores de amenazas encuentran y comprometen los servicios expuestos en 24 horas

abejas

Los investigadores configuraron 320 honeypots para ver qué tan rápido los actores de amenazas atacarían los servicios en la nube expuestos e informaron que el 80% de ellos se vieron comprometidos en menos de 24 horas.

Los actores malintencionados escanean constantemente Internet en busca de servicios expuestos que podrían explotarse para acceder a las redes internas o realizar otras actividades malintencionadas.

Para rastrear qué software y servicios son el objetivo de los actores de amenazas, los investigadores crean honeypots de acceso público. Los Honeypots son servidores configurados para que parezca que están ejecutando varios software como señuelos para monitorear las tácticas de los actores de amenazas.

Un señuelo tentador

En un nuevo estudio realizado por la Unidad 42 de Palo Altos Networks, los investigadores instalaron 320 honeypots y encontraron que el 80% de los honeypots estaban comprometidos dentro de las primeras 24 horas.

Los honeypots implementados incluían los que tenían el protocolo de escritorio remoto (RDP), el protocolo de shell seguro (SSH), el bloque de mensajes del servidor (SMB) y los servicios de base de datos de Postgres, y se mantuvieron activos de julio a agosto de 2021.

Estos honeypots se implementaron en todo el mundo, con instancias en América del Norte, Asia Pacífico y Europa.

Infraestructura del experimento de Honeypot
Infraestructura del experimento de Honeypot
Fuente: Unidad 42

Cómo se mueven los atacantes

El tiempo hasta el primer compromiso es análogo a cuánto se dirige el tipo de servicio.

Para los honeypots SSH que fueron los más específicos, el tiempo medio para el primer compromiso fue de tres horas, y el tiempo medio entre dos ataques consecutivos fue de aproximadamente 2 horas.

Tiempo medio entre dos ataques consecutivos
Tiempo medio entre dos ataques consecutivos
Fuente: Unidad 42

La Unidad 42 también observó un caso notable de un actor de amenazas que comprometió el 96% de los 80 honeypots de Postgres del experimento en solo 30 segundos.

Este hallazgo es muy preocupante, ya que podría llevar días, si no más, implementar nuevas actualizaciones de seguridad a medida que se publican, mientras que los actores de amenazas solo necesitan horas para explotar los servicios expuestos.

Finalmente, con respecto a si la ubicación marca alguna diferencia, la región APAC recibió la mayor atención de los actores de amenazas.

Ataques contra cada tipo de servicio por región
Ataques contra cada tipo de servicio por región
Fuente: Unidad 42

¿Ayudan los cortafuegos?

La gran mayoría (85%) de las IP de los atacantes se observaron en un solo día, lo que significa que los actores rara vez (15%) reutilizan la misma IP en ataques posteriores.

Este cambio constante de IP hace que las reglas de firewall de ‘capa 3’ sean ineficaces contra la mayoría de los actores de amenazas.

Lo que podría tener mejores posibilidades de mitigar los ataques es bloquear las IP extrayendo datos de proyectos de escaneo de red que identifican cientos de miles de IP maliciosas diariamente.

Sin embargo, la Unidad 42 probó esta hipótesis en un subgrupo de 48 honeypots y descubrió que el bloqueo de más de 700.000 IP no tenía una diferencia significativa en el número de ataques entre el subgrupo y el grupo de control.

Comparación entre grupos de cortafuegos y sin cortafuegos
Comparación entre grupos de cortafuegos y sin cortafuegos
Fuente: Unidad 42

Para proteger los servicios en la nube de manera efectiva, la Unidad 42 recomienda que los administradores hagan lo siguiente:

  • Cree una barandilla para evitar que se abran los puertos privilegiados.
  • Cree reglas de auditoría para monitorear todos los puertos abiertos y servicios expuestos.
  • Cree reglas de respuesta y corrección automáticas para corregir errores de configuración de forma automática.
  • Implemente firewalls nextgen (WFA o VM-Series) frente a las aplicaciones.

Finalmente, instale siempre las últimas actualizaciones de seguridad a medida que estén disponibles, ya que los actores de amenazas se apresuran a utilizar exploits para nuevas vulnerabilidades a medida que se publican.

Leave a Comment

You may also like

Más