in

Entornos de almacenamiento de datos corporativos llenos de vulnerabilidades



A pesar de un aumento dramático en los ataques de ransomware, los entornos corporativos de almacenamiento y respaldo tienen una posición de seguridad peligrosamente más débil que las capas de computación y red de la infraestructura de TI, muestran nuevos estudios.

Continuity analizó recientemente datos de 423 sistemas de almacenamiento utilizados por clientes en los sectores de banca, servicios financieros, transporte, salud y otros. Los sistemas analizados incluyeron sistemas de almacenamiento de red de área de almacenamiento / almacenamiento conectado a la red (SAN), servidores de administración de almacenamiento, SAN virtuales, sistemas de almacenamiento virtual y dispositivos de protección de datos.

El análisis muestra que muchos entornos de almacenamiento están infestados de vulnerabilidades que aumentan el riesgo de que las organizaciones sufran una interrupción importante en caso de un ataque de ransomware o ataques destinados a robar, clonar, modificar o sabotear datos.

«Si bien no hace falta decir que se encontrarán brechas, no esperábamos tantas», dice Doron Pinhas, director de tecnología de Continuity. El estudio muestra que las fallas de seguridad en los sistemas de almacenamiento y respaldo son generalizadas, dice. «Las brechas son sistémicas y ocurren en varias áreas: conciencia, planificación, implementación y control».

Los investigadores de Continuity encontraron más de 6.300 problemas de seguridad únicos en los 423 sistemas de almacenamiento analizados para el estudio. Había un promedio de 15 vulnerabilidades en cada dispositivo, tres de las cuales eran críticas y, si se explotaban, representaban un riesgo significativo de exposición. Los riesgos de seguridad más comunes incluían registros vulnerables o mal configurados, vulnerabilidades sin parches, derechos de acceso excesivamente permisivos, controles de autenticación y administración de usuarios inseguros y registro inadecuado de actividades administrativas, de seguridad y de acceso.

Algunas de las debilidades se deben probablemente a la falta de conciencia y conocimiento. Otros «simplemente caen entre las grietas», dice Pinhas. Por ejemplo, el equipo de seguridad informática puede conocerlo bien, el equipo de infraestructura de TI no y viceversa.

«Hay una falta de cooperación y no se define un claro sentido de responsabilidad personal», dice.

Problemas de protocolo
Para los protocolos de almacenamiento, Continuity descubrió que muchas de las empresas involucradas en el estudio no habían desactivado las versiones heredadas de varios protocolos, como SMBv1 y NFSv3, o las habían utilizado de forma predeterminada. También fue común el uso continuo de conjuntos de cifrado más antiguos (y que ya no se recomiendan) como TLS 1.0 y TLS 1.1 y la falla al deshabilitar SSL 2.0 y SSL 3.0 en violación de regulaciones como PCI DSS. Además, Continuity descubrió que las organizaciones a menudo no imponen el cifrado en las fuentes de datos críticos.

Un gran porcentaje de los 423 dispositivos en el estudio de Continuity también se configuraron para proporcionar acceso sin restricciones al almacenamiento compartido o para ser accesibles desde redes externas. Continuity descubrió que las organizaciones no eran tan estrictas con la autenticación y el control de acceso basado en roles como lo eran en otros entornos de TI. En muchos casos, las empresas utilizaron cuentas de sistema estándar para tareas de rutina o contraseñas de administrador compartidas.

Los principios básicos de la separación de funciones tampoco se siguieron a menudo. Por ejemplo, los mismos roles que se utilizaron para la gestión de datos también se utilizaron para copias de seguridad de datos y para instantáneas. De manera similar, el 15% o más de 60 de los sistemas de almacenamiento en el estudio de Continuity no registraron ninguna actividad. Un porcentaje significativo de los sistemas que tenían al menos algún registro habilitado estaban configurados para ser a prueba de manipulaciones.

Aunque los nuevos sistemas de almacenamiento ofrecen protección específica contra ataques de ransomware, como bloquear copias retenidas de datos y evitar la manipulación o eliminación de datos, las funciones a menudo se pasan por alto, según Continuity. Si se utilizan, sus configuraciones no siguen las mejores prácticas recomendadas por el proveedor.

El efecto acumulativo de tales problemas es un riesgo significativamente mayor para las organizaciones empresariales, dice Pinhas.

“El ransomware exitoso es solo la punta del iceberg”, dice. Los atacantes que accedan con éxito al entorno de almacenamiento podrían destruir todas las opciones de recuperación disponibles, incluidas las réplicas, las copias de seguridad, las copias inmutables, las instantáneas basadas en el almacenamiento y las claves de recuperación.

Otros riesgos incluían a los atacantes que usaban su acceso a entornos de almacenamiento para clonar o modificar datos confidenciales sin dejar rastros.

«Las soluciones de inteligencia de amenazas existentes no cubren bien el almacenamiento. Los sistemas IDS no notan ningún flujo de datos que se ejecute directamente en el almacenamiento de los planes de respaldo», señala Pinhas.

Técnicamente, los administradores de almacenamiento no deberían tener problemas para identificar las vulnerabilidades de seguridad conocidas (CVE) en el entorno. En la mayoría de las empresas, sin embargo, este aspecto no está automatizado, al menos parcialmente, porque las herramientas de gestión de vulnerabilidades existentes no cubren bien el almacenamiento y la copia de seguridad.

«Algunos no ofrecen cobertura, mientras que otros proveedores simplemente arañan la superficie», dice Pinhas.

De manera significativa, las vulnerabilidades en los entornos de almacenamiento corporativos suelen ser más un problema de personas y procesos que un problema de tecnología. Las organizaciones suelen poseer la mayor parte de lo que necesitan para proteger adecuadamente los sistemas de almacenamiento. Los problemas más grandes tienen que ver con la concienciación, la educación, la planificación y el control informados, dice Pinhas.

Recomienda que las organizaciones comiencen con una comprensión clara del medio ambiente, incluidas las tecnologías y los proveedores que utilizan. Debe establecer los conceptos básicos de seguridad para el almacenamiento y la copia de seguridad, y asegurarse de que los sistemas de almacenamiento sean parte del plan general de respuesta a incidentes comerciales. También es importante la necesidad de determinar si el equipo de seguridad de la información o el equipo de infraestructura es responsable de la seguridad del almacenamiento.

«Debe prestar mucha más atención a la seguridad de sus entornos de almacenamiento y respaldo», dice Pinhas. «Si no lo hace, estará mucho más expuesto a ataques centrados en datos como ransomware y su capacidad de recuperación quedará paralizada».

What do you think?

Written by Alan Kim

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

ForgeCert – Certificados «Dorados»

Virus Bulletin: el malware antiguo nunca muere, solo se vuelve más específico