Para la mayoría de las pequeñas y medianas empresas, la realidad de “pasarse a la nube” ha sido una transición gradual, y muchas de ellas ya utilizan entornos híbridos.

Para conocer la realidad actual de la seguridad en la nube para las pymes, Sophos encargó una encuesta a 4.984 profesionales de TI de 31 países cuyas organizaciones utilizan Infraestructura como Servicio (IaaS). Este estudio fue realizado por Vanson Bourne, una importante agencia de investigación independiente.

Los resultados ponen de manifiesto considerables lagunas en las defensas en  la nube de las pymes así como oportunidades de mejora. También demuestran los beneficios reales de una práctica sólida de defensa en la nube contra las ciberamenazas.

La nube es un objetivo creciente de los ciberataques

A medida que aumenta el uso de la nube, también lo hace el foco de atención que recibe por parte de los ciberdelincuentes. La encuesta reveló cambios importantes en la experiencia de ciberataques de los usuarios de IaaS en el último año:

• El 56 % experimentó un aumento del volumen de ataques a su organización
• El 59 % experimentó un aumento de la complejidad de los ataques a su organización
• El 53 % experimentó un aumento del impacto de los ataques a su organización
• El 67 % informó de que su organización fue atacada por ransomware

Está claro que el reto al que se enfrentan los defensores en la nube está aumentando rápidamente.

Una práctica sólida en la nube reduce la exposición a las amenazas

La buena noticia, es que los usuarios avanzados de IaaS, tienen el doble de probabilidades de notificar una disminución del volumen, complejidad e impacto de los ataques durante el último año que los principiantes. Por ejemplo, el 38 % de los usuarios avanzados declararon que el impacto de los ataques había disminuido en el último año, frente al 19 % de los principiantes.

Los datos también revelan que los usuarios avanzados de la nube tienen muchas menos probabilidades de haber experimentado un aumento del volumen, la complejidad y el impacto de un ataque; por ejemplo, el 61% de los principiantes declararon un aumento del impacto de un ataque, frente a sólo el 43% de los usuarios avanzados.

Debilidades en la superficie de ataque

La desconfiguración de recursos y las vulnerabilidades sin parchear dejan la puerta abierta de par en par para que los actores de ransomware y otros adversarios entren en su entorno y lleven a cabo el ataque.

Por desgracia, la mayoría de las pymes están muy expuestas en este ámbito. Solo el 37 % de los encuestados afirma que su organización rastrea y detecta los errores de configuración de recursos en su infraestructura IaaS. Es más, menos de la mitad (47 %) dijo que escanea rutinariamente los recursos IaaS en busca de vulnerabilidades de software.

Los equipos de TI no ven los recursos ni las configuraciones

Los adversarios suelen explotar las credenciales robadas y los datos de acceso para acceder a las cuentas y comprometerlas. Una vez dentro de una organización, a menudo les resulta bastante fácil escalar privilegios y moverse lateralmente por la infraestructura de la víctima para llevar a cabo su ataque.

Un elemento importante de una estrategia eficaz de seguridad en la nube es tener visibilidad de todos los recursos y sus configuraciones, de modo que puedas detectar rápidamente el compromiso y actuar en consecuencia.

Sin embargo, la encuesta revela que se trata de una importante brecha de seguridad para casi dos de cada tres usuarios de la nube. Curiosamente (y preocupantemente) hay poca variación según el nivel de experiencia en la nube: el 34 % de los usuarios principiantes e intermedios de IaaS tienen visibilidad de todos los recursos y sus configuraciones en su infraestructura IaaS, y esta cifra aumenta a solo el 37 % en el caso de los usuarios avanzados. Esto supone una clara oportunidad para que las organizaciones eleven sus defensas contra la nube.

Capacidad de detección de amenazas y respuesta 24/7

La realidad es que no todas las amenazas pueden prevenirse automáticamente, ya que los atacantes explotan cada vez más las herramientas legítimas de TI y las vulnerabilidades no parcheadas para evitar activar las soluciones de protección. Detener los ataques más avanzados de hoy en día requiere una combinación de tecnología y experiencia humana.

La detección y respuesta a las amenazas es una actividad 24/7, ya que los adversarios realizan ataques a cualquier hora del día o de la noche. Sin embargo, el estudio reveló que muy pocas organizaciones disponen de los recursos necesarios para cazar y neutralizar a los adversarios las 24 horas del día.

De hecho, sólo uno de cada tres (33 %) usuarios de IaaS afirma que su organización dispone de los recursos necesarios para detectar, investigar y eliminar continuamente las amenazas en su infraestructura de IaaS. Y solo uno de cada cuatro (40 %) dispone de procesos para responder a los incidentes de seguridad de la infraestructura IaaS 24 horas al día, 7 días a la semana, estando los usuarios de IaaS intermedios y avanzados un poco mejor posicionados que los principiantes.

A medida que aumentan los retos a los que se enfrentan los defensores, muchas organizaciones recurren a servicios gestionados de detección y respuesta (MDR), y Gartner prevé que el 50 % de las organizaciones utilizarán MDR en 2025*.

Acceso seguro a los recursos de la nube

El papel del firewall a la hora de asegurar el acceso a los recursos locales ya está bien establecido. Cuando se trata de asegurar la nube, tienes que aplicar a los firewalls virtuales los mismos principios que utilizaste para los firewalls de hardware.

Dados los paralelismos entre los firewalls tradicionales y los virtuales, quizá resulte sorprendente que la encuesta revelara que menos de la mitad de las organizaciones cuentan con defensas sólidas en este ámbito: sólo el 40 % dispone de IPS para proteger su infraestructura IaaS y solo el 44 % utiliza un WAF para proteger las aplicaciones y API orientadas a la web.

Curiosamente, ésta es un área en la que vemos que los usuarios avanzados informan de una adopción mucho mayor de las prácticas recomendadas que los usuarios principiantes e intermedios. Casi la mitad (49 %) de los usuarios avanzados de IaaS disponen de IPS, frente al 34 % de los principiantes, y el 53 % de los usuarios avanzados utilizan WAF para proteger sus recursos basados en la nube, frente a sólo el 40 % de los que se encuentran en las primeras fases de su andadura en IaaS.

En resumen

Al igual que el uso de la nube es un proceso continuo de transición para muchas organizaciones, también lo es la seguridad en la nube. Muchos de los principios son los mismos que para la seguridad tradicional en las instalaciones, con adaptaciones para reflejar las diferencias en el uso de la nube y el riesgo de amenazas.

Al abordar las lagunas de seguridad destacadas en esta investigación, las organizaciones pequeñas y medianas pueden elevar sus defensas y minimizar el riesgo de sufrir un incidente grave de seguridad en la nube.

fuente: https://news.sophos.com/es-es/2022/12/09/la-realidad-de-la-seguridad-en-la-nube-de-las-pymes-en-2022/

Apple acaba de publicar una actualización de emergencia para dos vulnerabilidades día cero que aparentemente están siendo explotados activamente.

Una es un agujero de ejecución remota de código (RCE) denominado CVE-20220-32893 en el motor de renderizado de HTML de Apple (WebKit), mediante el cual una página web maliciosa puede engañar a iPhones, iPads y Macs para que ejecuten código no autorizado y no fiable.

En pocas palabras, un ciberdelincuente podría implantar un malware en tu dispositivo con simplemente visitar una página web.

Recuerda que WebKit es la parte del motor del navegador de Apple que se encuentra debajo de absolutamente todo el software de renderizado web en los dispositivos móviles de Apple.

Los Mac pueden ejecutar versiones de Chrome, Chromium, Edge, Firefox y otros navegadores “no Safari” con motores HTML y JavaScript alternativos (Chromium, por ejemplo, utiliza Blink y V8; Firefox se basa en Gecko y Rhino).

Pero en iOS y iPadOS, las reglas de la App Store de Apple insisten en que cualquier software que ofrezca cualquier tipo de funcionalidad de navegación web debe estar basado en WebKit, incluyendo navegadores como Chrome, Firefox y Edge que no dependen del código de navegación de Apple en cualquier otra plataforma en la que se puedan utilizar.

Además, todas las aplicaciones para Mac e iDevice con ventanas emergentes, como las pantallas de Ayuda o Acerca de, utilizan HTML como “lenguaje de visualización”, una comodidad a la hora de programar que es comprensiblemente popular entre los desarrolladores.

Las aplicaciones que hacen esto casi seguro que utilizan las funciones del sistema WebView de Apple, y WebView se basa directamente en WebKit, por lo que se ve afectado por cualquier vulnerabilidad en WebKit.

La vulnerabilidad CVE-2022-32893, por lo tanto, afecta potencialmente a muchas más aplicaciones y componentes del sistema que el propio navegador Safari de Apple, por lo que simplemente evitar Safari no puede considerarse una solución, incluso en los Macs donde se permiten navegadores que no sean WebKit.

Hay un segundo día cero

También hay una vulnerabilidad de ejecución de código del kernel denominada CVE-2022-32894, por la que un atacante que ya haya conseguido un punto de entrada en tu dispositivo Apple explotando el fallo de WebKit podría pasar de controlar una sola aplicación en tu dispositivo a tomar el control del propio núcleo del sistema operativo, adquiriendo así el tipo de “superpoderes administrativos” normalmente reservados a la propia Apple.

Esto significa, casi con toda seguridad, que el atacante podría:

• Espiar todas y cada una de las aplicaciones que se estén ejecutando
• Descargar e iniciar aplicaciones adicionales sin pasar por la App Store
• Acceder a casi todos los datos del dispositivo
• Cambiar la configuración de seguridad del sistema
• Recuperar su ubicación
• Realizar capturas de pantalla
• Utilizar las cámaras del dispositivo
• Activar el micrófono
• Copiar mensajes de texto
• Rastrear tu navegación
• Y mucho más

Apple no ha dicho cómo encontraron estos fallos (aparte de dar crédito a “un investigador anónimo”), no ha dicho en qué lugar del mundo han sido explotados, y no ha dicho quién los está usando o con qué propósito.

Sin embargo, en términos generales, un RCE de WebKit que funcione, seguido de un exploit del kernel que funcione, como se ve aquí, suele proporcionar toda la funcionalidad necesaria para montar un jailbreak del dispositivo (por lo tanto, saltarse deliberadamente casi todas las restricciones de seguridad impuestas por Apple), o para instalar un software espía en segundo plano y mantenerte bajo vigilancia exhaustiva.

¿Qué hacer?

¡Parchear ya!

En el momento de escribir este artículo, Apple ha publicado avisos para iPad OS 15 e iOS 15, que pasan ambos a la versión 15.6.1, y para macOS Monterey 12, que pasa a la versión 12.5.2.

En tu iPhone o iPad: Ajustes > General > Actualización de software

En tu Mac: menú Apple > Acerca de este Mac > Actualización de software

También hay una actualización que lleva a watchOS a la versión 8.7.1, pero esa actualización no enumera ningún número CVE, y no tiene un aviso de seguridad propio.

No se sabe si las versiones más antiguas de macOS (Big Sur y Catalina) están afectadas pero aún no tienen actualizaciones disponibles, o si tvOS es vulnerable pero aún no está parcheado.

Para obtener más información, estate atento a este blog, y mantente atento a la página oficial del Boletín de Seguridad de Apple, HT201222.