Los actores de amenazas encuentran y comprometen los servicios expuestos en un plazo de 24 horas

Los investigadores configuraron 320 honeypots para ver qué tan rápido los actores de amenazas apuntan a los servicios en la nube expuestos e informan que el 80% de ellos se vieron comprometidos en menos de 24 horas.

Los actores maliciosos buscan constantemente en Internet servicios expuestos que podrían ser explotados para acceder a redes internas o llevar a cabo otras actividades maliciosas.

Para realizar un seguimiento de qué software y servicios están siendo atacados por los actores de amenazas, los investigadores crean honeypots de acceso público. Los Honeypots son servidores que están configurados para que parezca que están ejecutando varios software para monitorear las tácticas de los actores de amenazas.

Un cebo tentador

En un nuevo estudio realizado por la División 42 de Palo Altos Networks, los investigadores establecieron 320 honeypots y encontraron que el 80% de los honeypots estaban comprometidos dentro de las primeras 24 horas.

Los honeypots proporcionados incluyeron aquellos con el Protocolo de escritorio remoto (RDP), el Protocolo de Shell seguro (SSH), el Bloque de mensajes del servidor (SMB) y los servicios de base de datos Postgres y se mantuvieron activos desde julio hasta agosto de 2021.

Estos honeypots se han implementado en todo el mundo, con instancias en América del Norte, Asia-Pacífico y Europa.

Así se mueven los atacantes

El tiempo hasta el primer compromiso es análogo a la intensidad con la que se dirige el tipo de servicio.

Para los honeypots SSH más atacados, el tiempo promedio hasta el primer compromiso fue de tres horas y el tiempo promedio entre dos ataques consecutivos fue de alrededor de 2 horas.

La Unidad 42 también observó un caso notable de un actor de amenazas que comprometió el 96% de los 80 honeypots de Postgres del experimento en solo 30 segundos.

Este hallazgo es muy preocupante, ya que puede llevar días, si no más, implementar nuevas actualizaciones de seguridad a medida que se publican, mientras que los actores de amenazas solo tardan horas en explotar los servicios expuestos.

En última instancia, con respecto a si la ubicación marca la diferencia, la región APAC recibió la mayor atención de los actores de amenazas.

¿Ayudan los cortafuegos?

La gran mayoría (85%) de las IP de los atacantes se observaron en un solo día, lo que significa que los actores rara vez (15%) reutilizan la misma IP en ataques posteriores.

Este cambio constante en IP hace que las reglas de firewall de capa 3 sean ineficaces contra la mayoría de los actores de amenazas.

Lo que podría tener una mejor oportunidad de defenderse contra los ataques es bloquear las IP extrayendo datos de proyectos de escaneo de red que identifican cientos de miles de IP maliciosas todos los días.

Sin embargo, la Unidad 42 probó esta hipótesis en un subgrupo de 48 honeypots y descubrió que el bloqueo de más de 700.000 IP no suponía una diferencia significativa en el número de ataques entre el subgrupo y el grupo de control.

Para proteger eficazmente los servicios en la nube, la Unidad 42 recomienda lo siguiente para los administradores:

• Cree una barandilla para evitar que se abran los puertos privilegiados.
• Cree reglas de auditoría para monitorear todos los puertos abiertos y servicios expuestos.
• Cree reglas de corrección y reacción automatizadas para corregir automáticamente las configuraciones incorrectas.
• Implemente firewalls de próxima generación (serie WFA o VM) frente a las aplicaciones.

Por último, siempre debe obtener las últimas actualizaciones de seguridad tan pronto como estén disponibles, ya que los actores de amenazas se apresuran a explotar las nuevas vulnerabilidades tan pronto como se publican.