LastPass Labs es el centro de contenidos del equipo de inteligencia, mitigación y escalada de amenazas (TIME) en LastPass. Centramos nuestros esfuerzos en el análisis en profundidad de los desarrollos en seguridad más recientes, y estamos pendientes de la tecnología a futuro y las perspectivas de amenazas únicas.
La ciberseguridad es una necesidad en todas las empresas, desde las grandes multinacionales hasta las start-ups formadas por una sola persona. Aunque algunas compañías tienen la suerte de poder destinar partidas importantes a este frente, otras se ven obligadas a priorizar los esfuerzos con unos recursos limitados en busca de los mejores resultados posibles. Además de imponer unos estrictos controles sobre el correo (para detectar y bloquear mensajes maliciosos) y ofrecer formación a los empleados para reducir el riesgo de sufrir ataques de ingeniería social, la gestión de las vulnerabilidades es un pilar clave de cualquier programa básico de ciberseguridad y ofrece una rentabilidad inmediata. La explotación de las vulnerabilidades se sitúa en lo alto en la lista de causas de ciberincidentes. En el informe M-Trends de 2023, Mandiant reveló que en el 36% de sus investigaciones sobre intrusiones aparecía la explotación de una vulnerabilidad.
Conocer su infraestructura tecnológica y los dispositivos que forman parte de su red a través de la gestión de activos es fundamental según varios esquemas de ciberseguridad, como el del National Institute of Standards and Technology (NIST). Cuando una empresa (sea del tamaño que sea) tiene controlado su inventario tecnológico resulta más fácil identificar el impacto de nuevas vulnerabilidades y tomar las medidas adecuadas para corregirlas. Es imposible proteger algo si no sabemos que lo tenemos. La importancia de identificar la presencia de vulnerabilidades en su entorno y corregirlas lo antes posible está más que justificada. Según el informe 2022 Vulnerability Intelligence de Rapid7, más de la mitad de las vulnerabilidades estudiadas se explotaron en los siete días posteriores a su divulgación, lo que representa un aumento del 12% con respecto a 2021 y del 87% en relación con 2020.
Aunque en general se asocian las vulnerabilidades a los grandes proveedores de software, el uso de software de código abierto complica todavía más el panorama. Según un estudio elaborado por OpenUK, el 90% de las empresas utiliza software de código abierto, lo que aumenta los posibles riesgos de seguridad en la cadena de suministro más allá de los problemas estándar con los sistemas operativos y/o el software de propiedad. Además, Gartner asegura que el 45% de las organizaciones van a sufrir un ataque en su cadena de suministro de software antes de que termine 2025. Por su propia naturaleza, el software de código abierto crea dependencias que pueden resultar difíciles de identificar si no se examinan específicamente. Por ejemplo, un año después de su divulgación inicial y pese a contarse entre las vulnerabilidades más explotadas de 2022, la vulnerabilidad Apache Log4j (CVE-2021-44228) seguía apareciendo en el 5% de las bases de código auditadas por Synopsys según su informe Open-Source Security and Risk Analysis de 2023.
Por último, el incremento del teletrabajo y de los programas de uso de dispositivos personales ha aumentado la superficie de exposición a ataques más allá de los límites tradicionales de la infraestructura de la mayoría de empresas, por lo que las compañías se han visto obligadas a actuar sobre posibles vulnerabilidades que están fuera de su control directo. Para reforzar todos estos frentes, es imprescindible contar con políticas sólidas de corrección de errores, así como programas de formación de los empleados y comunicación.
¿Qué medidas se pueden tomar?
- Establecer unas políticas y procedimientos de gestión de vulnerabilidades y parches acordes con las prioridades de la empresa y las prácticas recomendadas en el sector. Cuando contamos con políticas claras que nos dicen cómo responder frente a nuevas vulnerabilidades, la situación se resuelve de forma más rápida y sencilla.
- Cuando sea posible, invertir en herramientas que faciliten la detección automática de activos y vulnerabilidades y/o errores con una posible influencia.
- Elaborar un inventario exhaustivo con el software privado de su entorno, pero tener también muy en cuenta las dependencias del código abierto que puedan existir en sus aplicaciones. Las listas de material de software son útiles para identificar qué componentes de código abierto pueden ser críticos para sus operaciones y abrir la puerta a una respuesta más rápida en caso de que aparezca una nueva vulnerabilidad.
- Siempre que sea posible, la activación de las actualizaciones automáticas permite responder a las vulnerabilidades con la máxima celeridad. Si es necesario hacer pruebas para tener la seguridad de que la actualización no afectará a la actividad de la empresa, es importante realizarlas lo antes posible.
- La cantidad de vulnerabilidades identificadas cada año es escalofriante: en 2022 se publicaron más de 25.000. Ante tal magnitud, hay que priorizar la corrección de las vulnerabilidades en función de su gravedad y la explotación activa por parte de los actores maliciosos. Para facilitar este proceso, la CISA, la Agencia de Seguridad de Infraestructuras y Ciberseguridad de Estados Unidos, dispone de un catálogo con las vulnerabilidades explotadas conocidas que actualiza periódicamente (el catálogo se puede consultar aquí). La lista es pública y gratuita. Se trata de un recurso fundamental para saber qué parches priorizar teniendo en cuenta el nivel de amenaza que representan realmente. El Forum of Incident Response and Security Teams (FIRST) ha creado también un sistema de puntuación para la predicción de explotaciones (EPSS), que puede ayudar a tomar decisiones en función de la probabilidad de explotación de las vulnerabilidades.
- La creación de una metodología de priorización personalizada puede resultar también de gran ayuda para responder con rapidez y acierto cuando aparecen nuevas vulnerabilidades. Este modelo depende de una serie de elementos externos, como la puntuación CVSS de la vulnerabilidad y las pruebas de explotación activa, y también de elementos internos como si los activos afectados son críticos y se utilizan en la interacción de cara al público.
- Definir unas políticas claras sobre la actualización de los dispositivos personales utilizados en el trabajo y comunicar estas expectativas a los empleados. Explicarles las nuevas vulnerabilidades que pueden afectar a estos dispositivos (como teléfonos móviles y ordenadores) para que tomen las medidas adecuadas lo antes posible.