[06/09/2023] Una nueva investigación de la empresa de seguridad Armis ha revelado cuáles son los activos más arriesgados que introducen amenazas en las empresas mundiales. La investigación de Armis se centró en los activos conectados con el mayor número de intentos de ataque, vulnerabilidades y exposiciones comunes (CVE, por sus siglas en inglés) convertidas en armas y calificaciones de alto riesgo. Basándose en los datos del Motor de Inteligencia de Activos de Armis, descubrió que los activos de Internet de las cosas médicas (IoMT, por sus siglas en inglés) -dispositivos conectados utilizados en entornos médicos/sanitarios- son los más susceptibles a CVE no parcheados y weaponizados, mientras que los activos de tecnología operativa (OT) son los más atacados.
Los activos IoMT son los más susceptibles a CVE sin parchear y convertidos en armas
Los investigadores de Armis identificaron un número significativo de activos conectados a la red susceptibles a CVEs no parcheados y weaponizados, enumerando el mayor porcentaje de dispositivos de cada tipo que tenían estos CVEs entre agosto del 2022 y julio del 2023. Sin parches, estos activos introducen riesgos significativos para las empresas.
Según Armis, los activos más vulnerables a CVEs sin parchear y convertidos en armas son:
- Programadores multimedia (IoMT), 62%.
- Bombas de infusión (IoMT), 26
- Cámaras IP (IoT), 26
- Reproductores multimedia (IoT), 25%.
- Switches (TI), 18
- Estaciones de trabajo de ingeniería (OT), 17
- Relojes inteligentes personales (IoPT), 16
- Routers (TI), 15%.
- Servidores SCADA (OT), 15%.
No es sorprendente ver que los activos médicos encabezan la lista. En enero del 2022, el informe State of IoMT Device Security de Cynerios descubrió que más de la mitad (53%) de los dispositivos de Internet de las cosas (IoT, por sus siglas en inglés) e IoMT utilizados en la asistencia sanitaria estadounidense plantean riesgos críticos de ciberseguridad con vulnerabilidades significativas que podrían poner en peligro la seguridad del paciente, la confidencialidad de los datos o la disponibilidad del servicio si se explotan. En junio de este año, se reveló que un tercio de los fideicomisos del Servicio Nacional de Salud (NHS, por sus siglas en inglés) del Reino Unido no tienen ningún método para rastrear los dispositivos IoT, exponiendo potencialmente la información y los servicios a riesgos de seguridad significativos.
Activos de OT más atacados
Los 10 tipos de activos con mayor número de intentos de ataque se distribuyen entre TI, OT, IoT, IoMT, Internet de las cosas personales (IoPT) y sistemas de gestión de edificios (BMS, por sus siglas en inglés), según Armis. Esto demuestra que los atacantes priorizan el acceso potencial a los activos en lugar de su tipo, lo que refuerza la necesidad de que los equipos de seguridad tengan en cuenta todos los activos físicos y virtuales como parte de su estrategia de seguridad, señaló la firma.
Los 10 tipos de dispositivos con mayor número de intentos de ataque son:
- Estaciones de trabajo de ingeniería (OT)
- Estaciones de trabajo de imagen (IoMT)
- Reproductores multimedia (IoT)
- Computadoras personales (TI)
- Máquinas virtuales (TI)
- Dispositivos de alimentación ininterrumpida (SAI) (BMS)
- Servidores (TI)
- Reproductores multimedia (IoMT)
- Tabletas (IoPT)
- Teléfonos móviles (IoPT)
Según Tom Gol, director técnico de investigación de Armis, las amenazas se dirigen intencionadamente a estos activos porque son accesibles desde el exterior, tienen una superficie de ataque amplia e intrincada, y CVE conocidos como armas. "El impacto potencial de la violación de estos activos en las empresas y sus clientes es también un factor crítico cuando se trata de por qué estos tienen el mayor número de intentos de ataque. Por ejemplo, las estaciones de trabajo de ingeniería pueden estar conectadas a todos los switches de una fábrica, las estaciones de trabajo de diagnóstico por imagen recopilarán datos privados de pacientes de hospitales, y los SAI pueden servir como punto de acceso a entidades de infraestructuras críticas, lo que hace que todos ellos sean objetivos atractivos para los actores maliciosos”, añadió.
Muchos activos tienen altas puntuaciones de vulnerabilidad, amenazas detectadas y tráfico no cifrado
Armis también examinó los tipos de activos con los factores de alto riesgo más comunes. Los dispositivos físicos que tardan mucho tiempo en sustituirse, como los servidores y los controladores lógicos programables (PLC), suelen ejecutar sistemas operativos al final de su vida útil (EOL) o al final de su soporte (EOS). Esto los hace especialmente peligrosos, sobre todo porque los fabricantes ya no ofrecen asistencia ni parches para vulnerabilidades y problemas de seguridad, afirmó Armis.
Algunos activos, incluidos las computadoras personales, demuestran el uso de SMBv1, un protocolo heredado, no cifrado y complicado con vulnerabilidades que fueron blanco de los infames ataques WannaCry y NotPetya. Armis descubrió que el 74% de las organizaciones hoy en día todavía tienen al menos un activo en su red vulnerable a EternalBlue, una vulnerabilidad SMBv1. Mientras tanto, Armis descubrió que el 50% de los sistemas de tubos neumáticos -equipos técnicos en los que contenedores cilíndricos son propulsados a través de una compleja red de tubos- tienen un mecanismo de actualización de software inseguro.
Basado en el artículo de Michael Hill (CSO) y editado por CIO Perú