El volumen de ataques cibernéticos y registros comprometidos continúa creciendo a pesar del aumento del gasto en ciberseguridad, ya que las empresas intentan mitigar el daño financiero y a la reputación que una violación puede costar a su organización. Entonces, ¿por qué se disparan los ataques exitosos si las empresas tienen más defensas instaladas?
Los Ataques siguen evolucionando
Los atacantes continúan evolucionando sus tácticas para obtener acceso a datos confidenciales. Están utilizando métodos más sofisticados que evaden las soluciones tradicionales de perímetro o punto final.
De hecho, la investigación encuentra que casi el 50% de las violaciones de datos en los últimos años se originaron en la capa de aplicación web. Si bien esta no es una tendencia nueva, los atacantes continúan utilizando la inyección SQL (SQLi) o la ejecución remota de código (RCE) para explotar las vulnerabilidades en las aplicaciones web que están conectadas a los almacenes de datos de una organización.
Las organizaciones necesitan repensar su postura de seguridad y las herramientas en su pila tecnológica. La protección de la capa de aplicaciones web ha sido un enfoque de la industria durante años y, sin embargo, los atacantes todavía están encontrando formas de entrar. En parte, hay un problema operativo que resolver. Cuando la seguridad de las aplicaciones y los datos es administrada por equipos separados, se crean brechas que los atacantes inteligentes y motivados pueden explotar.
Los equipos de seguridad deben prepararse para un año inquietante y sin precedentes, ya que estamos en camino de ver 40 mil millones de registros comprometidos para fines de 2021, más del doble del total del año pasado, según Imperva Research Labs.
Es hora de un cambio de mentalidad: proteger todos los caminos hacia los datos.
Los incidentes de seguridad como Sunburst y la violación de Accellion subrayan la naturaleza cambiante de los ataques y el impacto generalizado que estos eventos tienen en los clientes, socios y la economía global.
Los ataques están aumentando debido a la naturaleza cambiante del desarrollo de aplicaciones y la infraestructura de TI. Las aplicaciones monolíticas se han descompuesto en un mar de API, microservicios y funciones sin servidor.
La modernización de DevOps está permitiendo un desarrollo más rápido y más servicios digitales de vanguardia para los usuarios finales. Si bien está creando experiencias de usuario mejoradas y eficacia de la aplicación, está expandiendo el panorama de amenazas de formas nuevas y complejas.
Cada parte del ciclo de vida del desarrollo de software interactúa con una variedad de almacenes de datos para permitir resultados en tiempo real y una mejor funcionalidad del usuario, configurando posibles peligros para la seguridad de los datos.
Para los equipos de seguridad, el desafío es descubrir cómo obtener visibilidad en tiempo real de estas cargas de trabajo efímeras, ya que son más difíciles de monitorear. Además, el volumen de API de primera y tercera parte que tienen acceso a los datos de la organización se multiplica por la segunda, lo que crea un riesgo adicional de un ataque de violación de datos.
De hecho, la cantidad de nuevas vulnerabilidades de API creció un 4% en 2020, y la exposición de datos confidenciales se clasificó como la vulnerabilidad más común. Con ese contexto, está claro por qué las violaciones de datos que se originan en la capa de aplicación son una tendencia creciente.
Sin capas efectivas de seguridad para monitorear o bloquear la actividad maliciosa desde el borde hasta la aplicación o la API hasta el almacén de datos, ¿cómo pueden las organizaciones mantenerse al día con la seguridad?
Las cadenas de suministro de software vulnerables son el campo de juego de los atacantes.
A medida que los entornos de aplicaciones web se vuelven más complejos, cualquier sistema puede ser un camino para que atacantes externos, o incluso personas internas, logren su objetivo principal: obtener acceso a datos confidenciales.
Mantener una base de datos completamente parcheada y utilizar funciones de seguridad nativas, como el cifrado de datos y listas definidas de usuarios y autorizaciones, puede parecer suficiente para proteger los datos almacenados. Si bien es un buen lugar para comenzar, los equipos de seguridad no deben volverse complacientes.
Estos controles no son suficientes para defenderse de ataques sofisticados que comienzan en la capa de aplicación. Los ataques SQLi tienen la capacidad de evadir las defensas y luego controlar el acceso o modificar y eliminar registros en las bases de datos subyacentes. En algunos casos, incluso pueden acceder a los sistemas operativos de los servidores que albergan los servicios de la base de datos.
Los atacantes están motivados para acceder a información confidencial, independientemente de su composición y estructura. Es por eso que las organizaciones necesitan implementar seguridad para todos sus almacenes de datos, con un enfoque en proteger los datos en sí mismos, no solo las aplicaciones y redes que los rodean e interactúan con ellos.
Ya sea para la seguridad preventiva proactiva o para la respuesta posterior a un incidente, o ambos, es vital comprender dónde se encuentran los datos, si están clasificados, si se implementan los controles de acceso adecuados y asegurarse de que existan herramientas sólidas para la auditoría y la detección de anomalías.
Con todo esto en mente, un enfoque tradicional de la seguridad no funcionará, ya que necesita visibilidad en todo el entorno y comprender los movimientos laterales que ocurren durante la cadena de muerte cibernética.
Solo adoptando un enfoque holístico y unificado, que priorice la seguridad de los datos en sí, puede mantener a su organización fuera de los titulares.
