Autor: XDEV para Ciberprisma
Cuestionando datos del 2020
Un vistazo sobre el año 2020 y las lecciones que pudo o podrá dejarnos desde la óptica cibernética. Las estadísticas ponen en evidencia un año complicado en temas de ciberseguridad/defensa. La cantidad de vulnerabilidades encontradas el pasado año superó la media anual que junto con la complejidad de una pandemia dejó en evidencia los desafíos no resueltos y complejos que tenemos por delante. La realidad de las vulnerabilidades y su camino, que por ahora no encuentra patch.
Rápida mirada sobre la terminología
¿Qué es una vulnerabilidad ?
Una vulnerabilidad es una debilidad o error dentro de un sistema/software o dispositivo, generada en la mayoría de los casos por fallas humanas. Merece la pena destacar que un error o BUG no es necesariamente una vulnerabilidad, pero una vulnerabilidad sí es una falla o error (ya que su resultado no fue ni es deseado). La diferencia radica en que la vulnerabilidad permite comprometer de alguna manera la confidencialidad, integridad y disponibilidad de la información.
Ejemplo: Una aplicación «A» de celular podría funcionar perfecto con una versión determinada de android/iOS pero con una nueva versión la información de la aplicación «A»en pantalla se ve segmentada o desordenada. Esto sería sencillamente un error/bug de la aplicación. Si por otro lado, éste error permitiera modificar o agregar información en la pantalla del usuario se transformaría en un error que es a su vez es una vulnerabilidad. Esto se debe a que dicho error permite comprometer la confidencialidad, integridad y/o disponibilidad.
¿Qué es un patch?
Simplemente la solución que logra salvar o evitar una vulnerabilidad. Normalmente, las compañías de software trabajan a contrarreloj para poner a disposición de sus usuarios la solución al problema.
¿Qué es un exploit?
El exploit es el “programa” (líneas de código y/o comandos/instrucciones) que permite explotar o hacer uso de una vulnerabilidad determinada con el fin de comprometer uno o más pilares de la seguridad de la información (confidencialidad, integridad y disponibilidad).
¿Qué es el phishing?
Recibe ese nombre el conjunto de técnicas para engañar a una víctima, haciéndose pasar por otro (persona, compañía, servicio). El fin es que la víctima realice acciones que favorezcan al atacante.
¿Qué es el ransomeware?
No es más que un software con la capacidad de restringirnos el acceso a nuestros propios archivos. Por lo general cifrando archivos, backups, etc para luego solicitar un rescate por los mismos.
2020
El 2020 fue un año que marcó a la humanidad en muchísimos aspectos. Creo, desde lo personal, que debemos mirar el 2020 como un año cargado de lecciones por aprender. Quien por el contrario sólo lo considere como un año fatídico y excepcional se está privando de hacer uso de uno de los maravillosos procesos de la mente humana: el aprendizaje.
Sin lugar a dudas, la pandemia no solo otorgó grandes ventajas estratégicas a los ciberdelincuentes y ciberespías sino que también permitió que sus objetivos fueran de mayor tamaño, lo que aumentó sus posibilidades de éxito. Con la mayoría del planeta trabajando en forma remota, permitiendo el uso de dispositivos hogareños, otorgando credenciales de acceso y todo a contrarreloj se incrementaron los ataques al usuario final, algo que se mantendrá seguramente en los próximos años. Según EDGESCAN, se observó un 40% de aumento en servicios de escritorios remotos inseguros o expuestos. Por otra parte, la imposibilidad de transitar o acceder a locales físicos aumentó drásticamente las operaciones de e-commerce haciendo escalar consigo el apuro por los comercios en “estar online”, lo que resultó en otra gran ventaja para el ciberdelito.
Dentro de los hechos más importantes podemos citar el caso de SOLARWINDS, uno de los más grandes de la historia, tomando por sorpresa a organizaciones y corporaciones junto a unas 250 agencias del gobierno de los Estados Unidos. Un caso con tela para cortar en otro momento.
Datos
18 mil vulnerabilidades publicadas en el año 2020.
La base nacional de vulnerabilidades del gobierno de los EEUU, NVD (National Vulnerability Database) registró 18.353 vulnerabilidades, un número algo mayor que los años anteriores: 17.305 (2019) y 16.511 (2018). Los listados pueden obtenerse mediante búsquedas en el siguiente link o en los listados de cada año por mes: link
La modalidad phishing de la mano del ransomeware representó un incremento cercano al 50% en el pasado 2020. Ahora bien, analicemos los siguientes gráficos de densidad de riesgo realizados por la organización EDGESCAN en los años 2019 / 2020 / 2021. Los riesgos analizados son obtenidos mediante la criticidad que tienen las vulnerabilidades anteriormente mencionadas en 2 áreas y 2 capas diferentes: aquellas áreas externas tanto en capas de red como de aplicación y aquellas que son internas en las mismas capas.
Realizando una mirada rápida de los gráficos vemos un aumento importante y generalizado de vulnerabilidades de riesgo alto y crítico desde el 2019 al corriente año, sin importar si hablamos de redes internas o de redes expuestas a Internet. Sin embargo desde el 2019 a la actualidad, el tiempo medio de respuesta de emparchado (solución a la vulnerabilidad) disminuyó en 5 días aproximadamente. Los valores fueron de 65 días para el año 2019 y de 60,3 días para el año 2020. Este valor se encuentra representado en los reportes de EDGESCAN y se lo conoce como MTTR o tiempo medio para remediar (Mean Time to Remediate). En pocas palabras los riesgos aumentan y las soluciones siguen tardando más o menos lo mismo. Aunque es interesante aclarar que la manera de reducir los tiempos cuando uno busca cierto grado de certeza en el desarrollo de una solución es algo más que complejo y que no responde de forma lineal (entiéndase, a más empleados menor tiempo).
Mirando este panorama uno podría pensar que 45-60 días no es una ventana de tiempo tan grande e importante. Pero para nuestro pesar, debemos ver estadísticas y datos como los siguientes:
- La vulnerabilidad más antigua vista en el pasado 2020, data de 1999 (21 años): CVE-1999-0517
- Muchas de las herramientas de explotación utilizadas durante el 2020 aprovechan vulnerabilidades que datan del 2017 al 2019.
Exponemos a continuación las estadísticas que reflejan cómo la ventana de tiempo para los NO amantes de las actualizaciones es transformada en una gran pared de vidrio.
Porcentajes de vulnerabilidades de los diferentes años, explotadas durante 2019, 2020 y 2021.
Teniendo parte de estos datos en nuestra cabeza: densidad de riesgo, tiempos de respuesta, vulnerabilidades de años anteriores, los invito a hacerse algunas preguntas. Esos porcentajes/números representados de manera muy agradable ¿Cómo son medidos? ¿Quién y cómo pondera el riesgo? ¿Existirán diferentes formas de medirlo? ¿Éstas bases de datos poseen la totalidad de las vulnerabilidades? ¿Los valores de riesgo son iguales en todos los reportes? ¿Todas las organizaciones reportan actividades anómalas en sus redes ? entre tantas otras preguntas que pueden dispararse en sus mentes. Asumo que la gran mayoría terminará por ver lo poco que se sabe sobre el ecosistema de las vulnerabilidades y cómo, por el contrario, sus estadísticas son citadas en todos los ámbitos. Leemos a diario noticias con números, porcentajes y cifras estadísticas que muchas veces sólo intentan fundamentar o respaldar determinados títulos.
Si llegaron hasta acá realmente tienen cierta tenacidad, ¡felicitaciones!
Para aprender un poco más ver PARTE 2
NOTA DE COLOR:
Lo importante de preguntarse: al leer en la siguiente nota del 15 de enero de 2021 datos sobre vulnerabilidades cautivó mi atención cierta diferencia entre números de vulnerabilidades. Más precisamente en el punto 7, al hablar de una fuente (cvedetails.com) donde cita que el 13% de 123.000 vulnerabilidades son críticas, cuando al inicio del mismo artículo habla de una existencia de 150.000 CVE’s. Buscando quién fue el autor de la fuente accedo al sitio personal de su creador (link) donde él mismo aclara que el sitio citado como fuente es administrado por terceros desde 2016 y que no mantienen al día la información (ni siquiera el “quiénes somos”).
01010011 01100001 01101100 01110101 01100100 01101111 01110011 00101100 00100000 01101101 01101001 01110011 00100000 01100011 01110101 01110010 01101001 01101111 01110011 01101111 01110011 00100000 01101100 01100101 01100011 01110100 01101111 01110010 01100101 01110011 00100001
FUENTE: INFORMES DE EDGESCAN 2019/2020/2021
https://info.edgescan.com/hubfs/Edgescan2021StatsReport.pdf
https://www.edgescan.com/edgescans-2020-vulnerability-stats-report-released/
https://www.edgescan.com/wp-content/uploads/2019/02/edgescan-Vulnerability-Stats-Report-2019.pdf
Ciberprisma - alianza por la ciberseguridad 