Los puntos más débiles en el perímetro externo de las empresas son la compatibilidad con el protocolo TLS versión 1.0/1.1, el uso de algoritmos de cifrado no resistentes en SSL y el vencimiento del certificado SSL. Estas vulnerabilidades provocan que el canal de conexión a un recurso remoto, por ejemplo, un sitio web, no esté protegido, o que los navegadores modernos avisen a los usuarios de que el recurso no es seguro, lo que en última instancia puede provocar la pérdida de clientes.
También se incluyeron en el anti-ranking los certificados SSL autofirmados, la falta de aplicación del encabezado HSTS (RFC 6797), el uso en SSL/TLS del módulo Diffie-Hellman <= 1024 bits (Logjam), la firma del certificado SSL con un algoritmo de hash no resistente.
Además de las vulnerabilidades enumeradas, en el top 10 se incluyeron parámetros como el uso de una versión no compatible del servidor web, la compatibilidad con el conjunto de cifrado débil RC4 y una cadena de certificados SSL que contiene claves RSA de tamaño inferior a 2048 bits.
"Los empleados del servicio de seguridad de la información pueden simplemente no conocer los nuevos servicios desplegados por la división de TI. Para ello, es necesario realizar regularmente un inventario del perímetro externo: a diario, semanalmente. Las vulnerabilidades pueden ser tanto la causa de un proceso de gestión de vulnerabilidades (vulnerability management) mal estructurado, como la consecuencia de la exclusión de DevSecOps en el proceso de desarrollo de servicios digitales", comenta Andrey Makarenko, jefe del departamento de desarrollo de negocio de Angara Security.
Entre las recomendaciones, Angara Security también destaca el uso de servicios de monitorización continua de la seguridad del perímetro externo. Por un lado, esto permite identificar en tiempo real los activos digitales atacados y, por otro, verificar la criticidad de las ciberamenazas según diversos indicadores de forma automatizada.