Los sistemas de almacenamiento, un eslabón débil en la seguridad de la infraestructura de TI

Según un informe de la empresa de ciberseguridad Continuity Software, los sistemas de almacenamiento tienen una postura de seguridad significativamente más débil que las otras dos capas de infraestructura de TI, a saber, equipos de TI (PC y servidores) y redes. El análisis de los datos de más de 400 dispositivos de almacenamiento empresarial reveló que, en promedio, cada dispositivo de seguridad empresarial estaba expuesto a 6.300 problemas de seguridad discretos relacionados con 15 vulnerabilidades. El análisis cubrió equipos de proveedores como Brocade, Cisco, Dell EMC, IBM, Hitachi Data Systems y NetApp.

"De las tres categorías principales de infraestructura de TI (computación, red y almacenamiento), el almacenamiento es a menudo el más valioso, tanto desde una perspectiva de seguridad como comercial", dijo en un comunicado. nota de prensa Gil Hecht, fundador y CEO de Continuity. “Las vulnerabilidades de seguridad y las configuraciones incorrectas de los dispositivos de almacenamiento representan una amenaza significativa, especialmente porque las empresas han sido blanco de ataques de ransomware en los últimos años. Sin embargo, según nuestro análisis, la postura de seguridad de la mayoría de los sistemas de almacenamiento empresarial es sorprendentemente débil ”, agregó el director ejecutivo de Continuity.

“Las empresas deben actuar de inmediato para proteger mejor sus sistemas de almacenamiento y respaldo para mantener sus datos a salvo del ransomware y otros ataques cibernéticos”, dijo Hecht. De las 15 principales vulnerabilidades detectadas en esta investigación, tres eran particularmente críticas y estaban expuestas a riesgos de seguridad muy altos. El informe también informa que los equipos de las empresas objeto de este análisis no siguieron correctamente 170 principios de seguridad.

Protocolos vulnerables, entre los principales riesgos de seguridad

Las tres vulnerabilidades principales destacadas por el informe se relacionan con el uso de protocolos o parámetros de protocolo vulnerables, vulnerabilidades de vulnerabilidad y exposición comunes (CVE) sin parches y problemas de derechos de acceso. Otras vulnerabilidades importantes se relacionan con la administración y autenticación de usuarios inseguras, así como con un registro insuficiente. El informe señala que los protocolos o configuraciones de protocolo vulnerables a menudo están vinculados a la falta de desactivación, o la autorización predeterminada del uso de versiones anteriores, de protocolos de almacenamiento como SMB (Server Message Block) versión 1 y NFS (Network File System) versión 3. Los protocolos o configuraciones de protocolo vulnerables también resultan del uso de suites como TLS (Transport Layer Security) 1.0 y 1.1, SSL (Secure Sockets Layer) 2.0 y 3.0, que los expertos en seguridad ya no recomiendan.

El informe también indica que las herramientas de gestión de vulnerabilidades que suelen utilizar las empresas no detectan muchos CVE relacionados con el almacenamiento, sino que se centran en el sistema operativo del servidor, los equipos de red tradicionales y los productos de software. Esto significa que un gran porcentaje de los dispositivos de almacenamiento (casi el 20%) están expuestos. Se han detectado más de 70 vulnerabilidades CVE diferentes en los entornos cubiertos por la investigación. Los principales problemas con los derechos de acceso son una gran cantidad de dispositivos afectados por una configuración incorrecta, incluido el acceso ilimitado al almacenamiento compartido, la configuración de enmascaramiento y zonificación no recomendada, la capacidad de acceder a elementos de almacenamiento desde redes externas, etc. una variedad de problemas, incluido el uso no aprobado de usuarios locales, el uso de cuentas administrativas no individuales, la falta de cumplimiento de las restricciones de administración de sesiones y la segregación inapropiada de funciones o roles.

Vulnerabilidades identificadas en varias tecnologías de almacenamiento

Continuity ha recopilado datos anónimos de más de 20 entornos de clientes en América del Norte y EMEA (Europa, Oriente Medio y África), que abarcan servicios bancarios y financieros, transporte, atención médica, telecomunicaciones y otros. sectores industriales. El análisis se centró en la configuración de sistemas de almacenamiento de bloques, objetos e IP, SAN / NAS, servidores de gestión de almacenamiento, dispositivos de almacenamiento, SAN virtuales, conmutadores de red de almacenamiento, protección de datos de dispositivos, sistemas de virtualización de almacenamiento y otros dispositivos de almacenamiento.

El motor de detección automática de riesgos de Continuity Software se utilizó como parte de la investigación para evaluar múltiples errores de configuración y vulnerabilidades de almacenamiento que podrían representar una amenaza para la seguridad de los datos corporativos. “Trajimos científicos de datos, pero usamos principalmente la recopilación de información sin procesar. Hicimos esto con nuestras propias herramientas de mapeo de datos. Por lo tanto, uno de los problemas que enfrentan las empresas, en todos los aspectos de la administración de TI, no solo en los datos y el almacenamiento, es la visibilidad, es decir, encontrar todos sus activos. activos, comprender cómo están configurados, capturar datos de configuración, realizar un seguimiento a lo largo del tiempo ”, dijo Doron Pinhas, CTO de Continuity.

Según el CTO, parte de la metodología de Continuity consistía en utilizar una amplia base de conocimientos que describiera las posibles vulnerabilidades. Continuity también utilizó su tecnología para examinar los datos recopilados y determinar las vulnerabilidades existentes. Luego ingresó la información en una base de datos para analizarla usando varias métricas. Entre otros problemas menos importantes detectados por el estudio, el informe cita el uso incorrecto de las funciones de protección contra ransomware, API / CLI no documentadas e inseguras, así como la vulnerabilidad y la falta de supervisión de la administración. de la cadena de suministro del software de almacenamiento. El informe también señala que existe una correlación débil entre la ubicación geográfica y la madurez de la seguridad del almacenamiento, lo que significa que la frecuencia y la gravedad de las amenazas observadas no cambian con un cambio de ubicación.

Cómo protegerse

Entre las recomendaciones que se hacen en el informe se encuentran la evaluación de los regímenes de seguridad interna existentes para verificar que tengan suficientemente en cuenta la infraestructura de almacenamiento, la identificación de posibles lagunas de conocimiento sobre la seguridad del almacenamiento. y el desarrollo / mejoramiento de programas de seguridad para abordar estas brechas. El informe también fomenta el uso de la automatización para evaluar continuamente el estado de la seguridad de la infraestructura de almacenamiento. “En particular, recomendamos que los clientes mapeen rápidamente las clasificaciones de datos, un área donde los CISO reconocen que no son buenos”, dijo Doron Pinhas. “Las empresas deberían tener una visión muy clara de sus conceptos básicos de seguridad, especialmente conociendo sus activos, entendiendo cómo pueden ser atacados y teniendo una muy buena imagen de la superficie de ataque. La buena noticia es que tenemos los recursos y las tecnologías ”, agregó. En un informe similar publicado por Gartner el mes pasado, la firma de investigación dijo que la mayoría de los ataques de ransomware tenían como objetivo conjuntos de datos no estructurados en recursos compartidos de la red. En este género, las soluciones de almacenamiento de archivos centralizado representan un objetivo muy atractivo para el cifrado a cambio de rescate y / o la exfiltración de grandes cantidades de datos.