Más vectores potenciales de ataque, menos visibilidad y control de infraestructuras
Noticias de tecnologia Un informe desvela que las ciberdefensas automatizadas son críticas para luchar contra el Cybercrime-as-a-Service.
Fortinet, líder mundial en soluciones de ciberseguridad de alto rendimiento, ha publicado las conclusiones de su último Informe Global de Amenazas, entre las que destaca que la cadena de destrucción de la ciberseguridad se centra en tres aspectos fundamentales: los exploits de aplicaciones, el software malicioso y las botnets. La investigación revela que mientras que los ataques de alto perfil siguen copando los titulares de los medios, la realidad es que la gran mayoría de amenazas a las que deben enfrentarse las organizaciones son de carácter oportunista impulsadas por la infraestructura del Crime-as-a-Service.
Para Phil Quade, chief information security officer en Fortinet “En el pasado año, los incidentes de ciberseguridad elevaron la concienciación pública sobre como nuestros televisores y teléfonos pueden ser manipulados para denegar a otros el acceso a Internet y han mostrado la utilización de ransomware para interrumpir un servicio vital como el de la atención al paciente. Pero la concienciación no es suficiente. Por desgracia, a medida que las organizaciones adoptan tecnologías con el objetivo de reducir costes, como servicios cloud o incorporan dispositivos inteligentes a sus redes, la visibilidad y el control de su seguridad está en riesgo. Mientras tanto, los atacantes compran o reutilizan herramientas propias. Las estrategias de ciberseguridad deben adoptar una segmentación fiable de la red y un alto grado de automatización para prevenir y detectar los esfuerzos de los delincuentes para atacar los nuevos flancos a los que están expuestos empresas y gobiernos”.
Entre las principales conclusiones del informe de Fortinet, cabe destacar:
1) Las herramientas de ataque nunca olvidan y están siempre dispuestas para actuar, en cualquier momento y lugar
Las herramientas modernas y las infraestructuras de Crime-as-a-Service permiten a los cibercriminales operar a escala mundial a la velocidad de la luz. Internet no está limitado por distancias geográficas o fronterizas, por lo que la mayoría de las amenazas son más globales que regionales. Los atacantes están siempre preparados, buscando el elemento sorpresa, siempre que les resulte posible, con un enfoque global.
Cuanto mejor entendamos los exploits o cómo funciona y se extiende el ransomware, mejor podremos evitar el impacto causado por el próximo WannaCry. El ransomware malicioso y sus variantes tuvieron un gran alcance afectando a cientos de organizaciones en todo el mundo de forma simultánea.
· Ransomware: Entorno a un 10% de las organizaciones detectaron actividad relacionada con ransomware. En un día cualquiera, un promedio del 1.2% tuvo que enfrentarse a botnets de ransomware que estaban operativas en su entorno. Los días de mayor actividad fueron los fines de semana, con la esperanza de aprovechar la ausencia del personal de operaciones de seguridad. A medida que aumentaba el volumen medio de tráfico de varias botnets de ransomware, también aumentó el promedio de empresas impactadas por ellas.
· Tendencias en exploits: El 80% de las organizaciones registraron exploits de gravedad alta o crítica contra sus sistemas. La mayoría de estas vulnerabilidades habían sido publicadas en los últimos cinco años, pero hubo escasos intentos contra los CVEs. El alcance de los exploits ha sido consistente en todas las regiones ,debido probablemente a que la actividad del exploit está prácticamente automatizada a través de herramientas que exploran de forma metódica Internet buscando fallos que puedan aprovechar.
2) La hiperconvergencia y el IoT están acelerando la extensión del malware
A medida que las redes y los usuarios comparten más información y recursos, se acelera el alcance de los ataques a través de áreas geográficas distribuidas y una amplia variedad de industrias. Estudiar el malware puede ayudar a proporcionar opiniones sobre las etapas de preparación e intrusión de estos ataques. La protección contra el malware móvil es particularmente difícil porque los dispositivos no están protegidos en la red interna, con frecuencia se unen a redes públicas y, a menudo, no están bajo la propiedad o control corporativo
· Malware móvil: La presencia del malware móvil se mantuvo estable desde el Q4 2016 al Q1 2017, un 20% de organizaciones lo han detectado. Durante el primer trimestre del año, las familias de malware para Android siguen copando el top 10 por volumen y prevalencia. La tasa global de todos los tipos de malware fue de 8.7% en el Q1, comparado con el 1.7% en el Q4.
· Presencia regional: La frecuencia de malware móvil subió en todas las regiones, excepto en Oriente Medio. La tasa de crecimiento fue estadísticamente significativa en todos los casos. Comparado con otras amenazas a nivel regional, el malware para Android pareció tener tenencias geográficas más acusadas.
3) La visibilidad de las infraestructuras distribuidas y elásticas se reduce
Las tendencias de las amenazas son un reflejo del entorno en el que se producen, por lo tanto, es importante comprender cómo las TI, los servicios, los controles y los comportamientos cambian con el tiempo. Puede servirnos como ventana para ver las políticas de seguridad y los modelos de gobierno y es valioso para controlar la evolución de exploits, malware y botnets a medida que las redes se vuelven cada vez más complejas y distribuidas.
La visibilidad y el control de las infraestructuras de hoy en día está disminuyendo a medida que aumenta el número de posibles vectores de ataque en la red. La tendencia a adoptar soluciones de nube privadas y públicas, el crecimiento de IoT, la variedad y el volumen de dispositivos inteligentes que se conectan a la red, y los vectores de amenazas fuera de banda, como el shadow IT, llevan a los profesionales de seguridad a tener que ejercer su control más allá de los límites de la red.
· Tráfico cifrado: La tasa media del tráfico de HTTPS a HTTP ha marcado un hito, alcanzando casi el 55%. Aunque es útil para mantener la privacidad, esta tendencia presenta desafíos para la vigilancia y detección de amenazas. Muchas herramientas defensivas tienen poca visibilidad en las comunicaciones cifradas. Las organizaciones -especialmente aquellas con mayores proporciones de HTTPS- podrían enfrentarse a amenazas camufladas dentro de las propias comunicaciones cifradas.
· Aplicaciones: La media de aplicaciones cloud utilizadas por organización fue de 62, lo que representa casi un tercio de las aplicaciones detectadas, alcanzando las aplicaciones IaaS su punto álgido. Para muchas de estas organizaciones, el reto es que la visibilidad de los datos se reduce significativamente cuando se mueven a la nube. Además, los datos almacenados en estas aplicaciones y servicios continúan creciendo en vez de reducirse, lo cual es un problema.
· Sectores: El análisis de clústeres por sector muestra que la superficie de ataque en la mayoría de las industrias era la misma, con algunas excepciones como los sectores de educación y telco. Esto significa que los atacantes pueden explotar fácilmente superficies de ataque similares entre industrias, especialmente a través de herramientas automatizadas.
