Lista de los Top 20 Riesgos de Seguridad de acuerdo al SANS Institute

Hace unos días el SANS Institute dio a conocer su listado de los Top 20 riesgos de seguridad. La lista comprende:

Vulnerabilidades en Clientes:
C1. Web Browsers
C2. Office Software
C3. Email Clients
C4. Media Players

Vulnerabilidades en Servidores:
S1. Web Applications
S2. Windows Services
S3. Unix and Mac OS Services
S4. Backup Software
S5. Anti-virus Software
S6. Management Servers
S7. Database Software

Políticas de Seguridad y Personal:
H1. Excessive User Rights and Unauthorized Devices
H2. Phishing/Spear Phishing
H3. Unencrypted Laptops and Removable Media

Abuso de Aplicación:
A1. Instant Messaging
A2. Peer-to-Peer Programs

Dispositivos de Red:
N1. VoIP Servers and Phones

Ataques de Cero-Día:
Z1. Zero Day Attacks

Es interesante la comparación de esta lista con la del 2006. Entre los puntos que el SANS menciona como importantes está la disminución de vulnerabilidades a nivel sistema operativo que lleven a infecciones masivas mediante gusanos informáticos. También reiteran un aumento en las vulnerabilidades en software de usuario como lo son clientes de correo, suites (Office), Mensajeros Instantáneos, Lectores de correo y navegadores. El “Phising” sigue siendo un punto de riesgo importante y ahora más si agregamos las vulnerabilidades en el software del usuario.

Esta lista también demuestra la evolución de la lucha hackers vs. Profesionales de la seguridad. Los servidores, sistemas operativos y equipos de red que fueron los primeros blancos han mostrado una mayor atención por parte de los profesionales de IT y de los vendedores de equipo y software. Esto ha hecho que los blancos no sean tan fáciles de abusar haciendo que los hackers busquen víctimas con mejores retornos de inversión. Y que mejor que los usuarios y el software que usan para lograr su objetivo.

Esta tendencia también ha llevado que aplicaciones como firewalls personales y software anti-virus sean blanco de hackers. Esto con el objetivo de interrumpir su funcionamiento para el usuario final haciendo más sencillo abusar de una aplicación con vulnerabilidades como un lector de correo o un navegador.

Otro punto interesante es la seguridad de laptops con información confidencial y su falta de encriptación. En este sentido nosotros somos los afectados pero la culpa es de la organización que perdió nuestra información. Aquí también se puede ver la evolución de los ataques, antes los hackers atacaban directamente el servicio en línea. Ahora que esto es más complejo de hacer dada el mayor entendimiento de la seguridad por parte de los profesionistas de IT, los hacker voltean a ver a los usuarios que “inocentemente” copian datos confidenciales para trabajar fuera de la oficina como fuente de valiosa información.

El reporte completo del SANS puede accederse aquí y aquí un resumen ejecutivo.