80 - Resumen TOP 20 de SANS Security 2008 (en español) - 16/12/2007


Autor: SANS Institute. SANS Security 2008 Versión 8.0 - 28 de Noviembre de 2007.
Copyright © 2007, SANS Institute. Preguntas y comentarios deben ser dirigidas a [email protected]

Traducción: Lenis Hernandez para Segu-Info

Hace siete años, el instituto SANS y el National Infrastucture Protection Center (NIPC) en el FBI publicaron un documento sumarizando las diez vulnerabilidades de Internet más críticas. Miles de organizaciones confiaron en esa lista, y en la lista expandida Top-20 Lists que siguieron en los siguientes años, para priorizar sus esfuerzos para así poder cerrar los agujeros más peligrosos primero.

Ahora, el panorama de las amenazas es muy dinámico, lo que hace necesario adoptar nuevas medidas de seguridad. Durante el año pasado, los tipos de vulnerabilidades que fueron explotadas fueron muy diferentes de las que habían sido explotadas en los años anteriores.

Aquí hay algunas observaciones:

  • Los sistemas operativos tienen menos vulnerabilidades que pueden conducir a ataque masivos de virus de Internet. Por ejemplo, durante 2002-2005, los virus para Windows de Microsoft tales como el Blaster, Nachi, Sasser y Zotob infectaron un gran numero de sistemas. No ha habido ningún ataque a gran escala de virus para Windows desde el 2005. Del otro lado, vulnerabilidades encontradas, en antivirus, backup u otras aplicaciones de software, pueden resultar en ataques. El mas notable fue el virus que explotaba el defecto del desbordamiento de memoria del antivirus de Symantec el año pasado.
  • Hemos visto un crecimiento significativo en el número de vulnerabilidades del lado del cliente, incluyendo vulnerabilidades en los navegadores de Internet, programas de ofimática, en los reproductores de multimedia y en otras aplicaciones de escritorio. Estas vulnerabilidades están siendo descubiertas en múltiples sistemas operativos y están siendo masivamente explotadas de manera salvaje, frecuentemente para crear redes zombies.
  • Los usuarios que tienen permitidos por su empleadores navegar en Internet se han convertido en una fuente mayor de riesgo de seguridad para sus organizaciones. Unos años atrás, asegurar los servidores y servicios eran visto como una tarea primaria para asegurar una organización. Hoy en día es igualmente importante, quizás aun mas importante, prevenir que las computadoras de los usuarios sean expuestas mediante páginas web maliciosas u otros ataques dirigidos al lado del cliente.
  • Ya sean vulnerabilidades en aplicaciones web de código abierto o en aplicaciones de código cerrado, casi la mitad del total de vulnerabilidades que han sido descubiertas en el año pasado atacan al cliente. Estas vulnerabilidades están siendo explotadas ampliamente para convertir sitios web confiables en servidores maliciosos que sirven para realizar ataques de Phishing del lado del cliente.
  • La configuración por defecto para muchos sistemas operativos y servicios continúan siendo débiles y se siguen usando las contraseñas por defecto. Como resultado de esto, muchos sistemas han sido expuestos usando ataques de diccionario y fuerza bruta en el 2007.
  • Los hackers están encontrado más formas creativas para obtener información sensible de las organizaciones. Por lo tanto, ahora es crítico chequear la naturaleza de cualquier información que sale de los límites de una organización.

El SANS Top 2007 es una lista de vulnerabilidades que requieren solución inmediata. Es el resultado de un proceso que reunió docenas de expertos líderes en seguridad. Estos provinieron de las agencias de gobierno de UK, US y Singapur con mas conciencia sobre seguridad; de los distribuidores líderes de programas de seguridad y firmas consultoras; de los mejores programas de seguridad basado en universidades; del ISC (Internet Storm Center) [2] y de otras muchas organizaciones de usuarios.

La lista del SANS Top 2007 no es "acumulativa". Nosotros incluimos solamente las vulnerabilidades críticas del año pasado. Si no ha parcheado los sistemas por un largo tiempo, sería sabio parchear las vulnerabilidades listadas en el Top 20 del 2006 también como aquellas de las listas anteriores.

La lista de los mayores riesgos de este año difiere de las listas de años anteriores que se concentraban en vulnerabilidades técnicas muy especificas que podían ser reparadas afinando una configuración o aplicando un parche. Porque los atacantes se están moviendo muy rápido hoy en día, esos arreglos quedan desactualizados casi inmediatamente.

Por esa razón, la lista de riesgos de este año se concentra más en áreas a las que los atacante están apuntando y donde las organizaciones necesitan mejorar sus procesos de seguridad para asegurar aplicaciones consistentes de arreglos técnicos.

El SANS Top 2007 es un documento vivo. Este incluye instrucciones paso a paso y notas para información adicional útiles para corregir los defectos de seguridad. Se actualiza la lista y las instrucciones en la medida que más amenazas sean identificadas y agradecemos su retroalimentación en el camino.

Este es un documento de consenso de comunidad, tu experiencia en el combate de atacantes y en eliminación de vulnerabilidades puede ayudar a otros que vienes después de tí.

Buenos Aires, 16 de diciembre de 2007

Con más de 24 años de experiencia compartiendo la mejor información de Seguridad

Contacto