Los principales retos que afectan al intercambio de inteligencia de amenazas
McAfee ha presentado su informe de amenazas McAfee Labs Threats Report: April 2017.
El estudio analiza los desafíos a los que se enfrenta la industria en relación al intercambio de información sobre amenazas, investiga la arquitectura y el funcionamiento interno de los botnes Mirai, evalúa los ataques en las diferentes industrias y, por último, revela las tendencias en crecimiento del malware, ransomware, malware móvil y otras amenazas acaecidas en el último trimestre de 2016.
"La industria de la seguridad se enfrenta a desafíos cruciales en sus intentos por compartir conocimientos sobre amenazas entre las organizaciones y los diferentes fabricantes”, asegura Vincent Weafer, vicepresidente de McAfee Labs. “Trabajar en equipo es sinónimo de éxito. Abordar estos desafíos determinará la efectividad de los equipos de ciberseguridad respecto a automatizar la detección y mejorar las respuestas y, en última instancia, inclinar la balanza de la ciberseguridad a favor de los defensores”.
El informe examina el contexto y los impulsores del intercambio de información sobre amenazas, diferentes elementos de la inteligencia de amenazas, las fuentes, así como los modelos de uso compartido. Algunos de los desafíos identificados son:
• Volumen. Un problema masivo en la relación señal/ruido continúa afectando a los defensores que intentan clasificar, procesar y actuar ante cualquier incidente de seguridad en la mayor brevedad posible.
• Validación. Los atacantes pueden presentar falsos informes de amenazas para engañar o despistar a los sistemas de inteligencia de amenazas. Además, los datos de fuentes legítimas pueden ser manipulados si no se gestionan adecuadamente.
• Calidad. Si los proveedores se centran sólo en recopilar y compartir datos sobre amenazas, existe el riesgo de que una gran parte de estos se duplique, malgastando, en consecuencia, tiempo y esfuerzo. Los sensores deben capturar los datos más valiosos que ayuden a identificar elementos estructurales clave de los continuos ataques.
• Velocidad. Aunque la información para prevenir un ataque sea recibida demasiado tarde, continúa siendo valiosa para el proceso de limpieza. Los sensores y sistemas de seguridad deben compartir la información sobre amenazas en tiempo casi real para igualar a la velocidad de ataque.
• Correlación. El hecho de no identificar patrones relevantes y datos clave en la información sobre amenazas hace imposible convertir los datos en inteligencia y, por consiguiente, en conocimiento que pueda informar y dirigir a los equipos de operaciones de seguridad.
Para promover el intercambio de inteligencia de amenazas al siguiente nivel de eficiencia y eficacia, McAfee Labs sugiere enfocarse en tres áreas:
• Selección y priorización. Simplificar la categorización de las amenazas y proporcionar un mejor entorno para que los profesionales de la seguridad investiguen amenazas de alta prioridad.
• Conectar la información. Establecer relaciones entre los indicadores de posibles amenazas para que los profesionales entiendan las conexiones con los ataques.
• Mejores modelos para compartir. Mejorar las formas de compartir inteligencia de amenazas entre nuestros propios productos y con otros proveedores.
“Los ataques más sofisticados están evadiendo los sistemas de defensa. Además, los sistemas aislados, que no comparten información, están permitiendo el acceso a amenazas que han sido neutralizadas en otros lugares”, continúa Weafer. “El intercambio de inteligencia de amenazas nos permite aprender de las experiencias de otros, obteniendo información basada en diferentes características que construyen una imagen más completa del contexto de los ciberacontecimientos”.
Proliferación de botnet Mirai
Mirai fue responsable del famoso ataque DDoS del cuarto trimestre en Dyn, un importante proveedor de servicios de DNS. Mirai se caracteriza por detectar e infectar dispositivos IoT escasamente protegidos, transformándolos en robots para atacar sus objetivos.
La publicación, en octubre pasado, del código fuente de Mirai originó una proliferación de bots. No obstante, la mayoría parecían estar gestionados por script kiddies y su impacto fue relativamente limitado. Además, la publicación del código fuente también ha originado “DDoS as-a-service” basadas en Mirai. Esto ha propiciado que atacantes no sofisticados ejecutaran ataques DDoS aprovechando la escasa protección de los dispositivos IoT. Los ataques DDoS basados en botnet de Mirai están disponibles como un servicio en el mercado del cibercrimen por valores comprendidos entre 50$ y 7.500$ por día.
McAfee Labs estima que alrededor de 2,5 millones de dispositivos IoT fueron infectados por Mirai a finales del Q4 de 2016. Además, aproximadamente cinco direcciones IP de dispositivos IoT fueron añadidas cada minuto a los botnes Mirai durante ese período.
Ultimo trimestre 2016 Actividad de las amenazas
En el cuarto trimestre de 2016, la red global de inteligencia de amenazas de McAfee Labs registró un notable crecimiento de las ciberamaenazas y en incidentes relacionados con ciberataques a diferentes industrias.
• Crecimiento del malware. El número de nuevas muestras de malware disminuyó en un 17% durante el Q4, mientras que el número total creció un 24% en 2016 alcanzando las 638 millones de muestras.
• Malware móvil. El número de nuevas muestras de malware móvil disminuyó un 17% en el Q4, mientras que el total de malware móvil creció un 99% en 2016.
• Crecimiento del Ransomware. El número de nuevas muestras de ransomware cayó un 71% en el Q4, debido, principalmente, a una reducción de las detecciones genéricas de ransomware, así como a una disminución en la actividad del ransomware Locky y CryptoWall. El número de muestras de ransomware creció un 88% en 2016.
• Malware para Mac OS. Aunque sigue siendo pequeño en comparación con las amenazas de Windows, el número de nuevas muestras de malware de Mac OS creció un 245% en el Q4 debido a la agrupación de adware. El malware total de Mac OS creció un744% en 2016.
• Spam botnes. Los mensajes de spam de los 10 principales botnets se redujeron en un 24% durante el Q4, lo que se traduce en 181 millones de correos electrónicos. Además, los spam botnes generaron 934 millones de mensajes spam en 2016.
• Incidentes de seguridad registrados. McAfee registró 197 incidentes de seguridad que fueron difundidos públicamente en el Q4 y 974 incidentes de seguridad durante 2016. Estos comprometen la integridad, confidencialidad o disponibilidad de los activos de información. Algunos de estos incidentes son violaciones que se producen por la divulgación (no sólo por la exposición) de los datos.
• Ciberataques en el sector público. El sector público experimentó, con diferencia, el mayor número de incidentes. No obstante, McAfee cree que esto puede deberse a dos motivos. El primero, es que este sector tiene unos procedimientos más estrictos a la hora de notificar los incidentes; el segundo, por los ataques relacionados con los procesos electorales de Estados Unidos, en su mayoría incidentes en bases de datos de votantes.
• Ataques bancarios y a juegos. Un aumento en el número de incidentes del Q3 relacionado con el sector del desarrollo de software fue causado por un aumento de los ataques a las plataformas de juego. En el sector bancario, los ataques a través de SWIFT propiciaron un aumento de los incidentes en el segundo trimestre.
• Actividad Botnet. La botnet KelihosC, un proveedor de fármacos falsos y suministros de automóviles rusos (como "neumáticos de invierno y verano a precios competitivos"), aumentó su volumen durante el cuarto trimestre.