De acuerdo con el informe “Business in the crosshairs: analyzing attack scenarios”, publicado por Positive Technologies, un atacante externo se tarda un promedio de dos días en penetrar la red interna de una empresa.
El estudio se realizó entre organizaciones financieras (29%), organizaciones de combustibles y energía (18%), gobierno (16%), industrial (16%), empresas de TI (13%) y otros sectores. Analiza los resultados de los proyectos de pruebas de penetración de Positive Technologies realizados en la segunda mitad de 2020 y la primera mitad de 2021. En el 100% de las empresas analizadas, una persona con información privilegiada puede obtener el control total de la infraestructura.
Refiere en particular que para cualquier empresa, es posible elaborar una lista de eventos inaceptables que, de ocurrir, tendrían un efecto catastrófico en las operaciones. Para un ataque exitoso, un intruso no necesita estudiar la red de la empresa en detalle: basta con obtener acceso a un sistema clave y luego expandir el ataque a varios sistemas de destino, donde el evento inaceptable ocurre directamente.
Durante la evaluación de la protección contra ataques externos, los expertos de Positive Technologies lograron violar el perímetro de la red en el 93% de los casos. Según los investigadores de la compañía, esta cifra se ha mantenido alta durante muchos años, lo que confirma que los delincuentes pueden violar casi cualquier infraestructura corporativa.
A pesar de que las organizaciones financieras se consideran entre las empresas más protegidas, los pentesters de Positive Technologies lograron realizar acciones que podrían permitir a los delincuentes interrumpir los procesos comerciales del banco y afectar la calidad de los servicios prestados. Por ejemplo, obtuvieron acceso a un sistema de administración de cajeros automáticos, lo que podría permitir a los atacantes robar fondos.
El camino de un atacante desde las redes externas a los sistemas de destino comienza con la violación del perímetro de la red. En promedio, se necesitan dos días para penetrar en la red interna de una empresa. El compromiso de credenciales es la principal forma en que los delincuentes pueden penetrar en una red corporativa (71% de las empresas), principalmente debido al uso de contraseñas simples, incluso para las cuentas utilizadas para la administración del sistema.
Un atacante que tenga las credenciales con privilegios de administrador de dominio puede obtener muchas otras credenciales para el movimiento lateral a través de la red corporativa y el acceso a computadoras y servidores clave. Administración, virtualización, protección, o las herramientas de monitoreo a menudo ayudan a un intruso a obtener acceso a segmentos de red aislados. Según el estudio, la mayoría de las organizaciones no tienen segmentación de la red por procesos comerciales, y esto permite a los atacantes desarrollar varios vectores de ataque simultáneamente y desencadenar varios de los eventos inaceptables de una empresa.
Lo sobresaliente del estudio:
- Muy a menudo, se pide a las empresas que evalúen la viabilidad de las siguientes categorías de eventos inaceptables:
– Interrupción de los procesos productivos
– Interrupción de los procesos de prestación de servicios.
– Compromiso de la identidad digital de la alta dirección
– Robo de fondos
– Robo de información sensible
– Fraude contra usuarios - Los atacantes pueden actualizar el 71% de los eventos inaceptables en un mes
- En todos los bancos se pueden llevar a cabo acciones que interrumpan los procesos comerciales e impacten en la calidad del servicio.
- El 87% de los eventos inaceptables se pueden actualizar en las empresas industriales.
- El 93% es la proporción de empresas en las que un atacante externo puede violar el perímetro de la red y obtener acceso a los recursos de la red local.
- En el 100% de las empresas, un atacante interno puede obtener el control total de la infraestructura.
- En el 100% de las empresas, los privilegios máximos de dominio permiten el acceso a otros sistemas clave
El reporte completo de “Business in the crosshairs: analyzing attack scenarios” puede ser consultado aquí.