Los ataques serán más destructivos según aumenta la magnitud y el impacto de las ciberamenazas
La rápida evolución de las amenazas y su mayor magnitud podrían derivar en ataques de Destrucción de Servicio, DeOS, Destruction of Service, capaces de eliminar las redes seguras y de backup que utilizan las organizaciones para restaurar sus sistemas y datos tras un incidente de ciber-seguridad.
Así se desprende del Informe Semestral de Ciber-seguridad (Midyear Cybersecurity Report, MCR) 2017 de Cisco, que destaca también cómo la imparable evolución del Internet of Things en múltiples sectores está incrementando el espacio operativo de los ciber-ataques y su escalabilidad e impacto potencial.
Incidentes recientes como WannaCry y Nyetya han demostrado la rápida capacidad de expansión y el creciente impacto de ciber-ataques que parecen ransomware, pero que son mucho más destructivos. Esta evolución lleva a prever lo que Cisco denomina ataques de Destrucción de Servicio, que podrían resultar mucho más dañinos que los ataques tradicionales al dejar a los negocios sin posibilidad de recuperación.
El Internet of Things amplía aún más las oportunidades para los atacantes. Sus vulnerabilidades de seguridad, listas para explotarse, jugarán un papel fundamental a la hora de facilitar estas campañas de mayor impacto. La reciente actividad de redes botnet compuestas por dispositivos IoT sugiere que algunos ciber-delincuentes podrían estar creando ya las bases para un ataque de grandes dimensiones y alto impacto que tendría incluso el potencial de interrumpir el mismo Internet.
Medir la efectividad de las prácticas de seguridad es esencial. Un menor Tiempo de Detección, el tiempo que transcurre desde que se analiza un archivo hasta que se detecta como amenaza, resulta crítico para limitar el espacio operativo de los atacantes y minimizar el impacto de las intrusiones. Cisco ha logrado reducir su Tiempo medio de Detección desde las más de 39 horas en noviembre de 2015 hasta las cerca de 3,5 horas entre noviembre de 2016 y mayo de 2017. Esta cifra se obtiene mediante telemetría interna de datos procedentes de dispositivos de seguridad de Cisco desplegados a escala global.
Evolución de las amenazas
Durante la primera mitad de 2017, los investigadores de seguridad de Cisco han detectado cambios en las técnicas que utilizan los adversarios para distribuir, ocultar y evitar la detección del malware.
En concreto, los ciber-atacantes recurren cada vez más a la interacción de las víctimas para activar las amenazas, haciendo clic en un enlace o abriendo un archivo. También crean malware ‘sin archivo’ que reside completamente en memoria y es más difícil de detectar o investigar, ya que se elimina al reiniciar el dispositivo. Además, utilizan infraestructura anónima y descentralizada -como servicios proxy de la red Tor- para ocultar las actividades command and control.
Aunque Cisco ha detectado un notable descenso en el uso de kits de explotación (exploit kits), están resurgiendo otros tipos de ataque más tradicionales:
• El volumen de spam crece significativamente. Los adversarios se están apoyando en clásicos pero efectivos métodos de distribución de malware y generación de beneficios, como el e-mail. Cisco prevé que el volumen de spam con adjuntos maliciosos seguirá aumentando mientras la actividad de los exploit kits sigue fluctuando.
• El spyware y el adware, a menudo contemplados por los profesionales de seguridad como más molestos que dañinos, son tipos de malware que siguen persistiendo y generando riesgos para las organizaciones. Tras evaluar una muestra de 300 compañías durante un período de cuatro meses, los investigadores de Cisco descubrieron tres familias predominantes de spyware que infectaron al 20 por ciento de la muestra. En los entornos corporativos, el spyware puede robar información de los usuarios y de la empresa, debilitando la seguridad de los terminales e incrementado las infecciones de malware.
• El incremento del ransomware-como-servicio (Ransomware-as-a-Service) facilita la evolución del ransomware para cualquier ciber-delincuente, ya que no requiere conocimientos técnicos avanzados. Aunque se estima que el ransomware generó un beneficio para los ciber-criminales de 1.000 millones de dólares en 2016, queda lejos de una amenaza mayor y a menudo infravalorada. Business Email Compromise (BEC), un ataque basado en técnicas de ingeniería social que utiliza e-mails corporativos falsos para que las organizaciones transfieran dinero al atacante, se está convirtiendo en un método cada vez más lucrativo. Entre octubre de 2013 y diciembre de 2016, se robaron 5.300 millones de dólares mediante ataques BEC según el Internet Crime Complaint Center.
Retos para las organizaciones
Mientras los ciber-delincuentes siguen incrementando la sofisticación y la intensidad de los ataques, organizaciones de todos los sectores continúan teniendo problemas para cumplir incluso con los requisitos de ciber-seguridad básicos.
La convergencia de las TI (Tecnologías de la Información) y de las TO (Tecnologías de la Operación) en la era del Internet of Things genera problemas de visibilidad y de complejidad para las organizaciones. Según el último Security Capabilities Benchmark Study -estudio realizado por Cisco en el que han participado cerca de 3.000 responsables de seguridad de 13 países- los equipos de seguridad están cada vez más saturados por el creciente volumen de los ataques, traduciéndose en una protección más reactiva que proactiva.
• Sólo las dos terceras partes de las organizaciones investigan las alertas de seguridad, y en ciertos sectores (como atención sanitaria y transporte), esta cifra se reduce a cerca del 50 por ciento.
• Incluso en los sectores más proactivos (como el financiero) las organizaciones están mitigando menos de la mitad de las amenazas identificadas como legítimas o no maliciosas.
• Las vulnerabilidades o agujeros de seguridad sí generan mayor atención. En la mayoría de sectores, al menos nueve de cada diez organizaciones están adoptando mejoras de seguridad básicas para evitar estas brechas, aunque algunos como transporte (ocho de cada diez organizaciones) avanzan menos en este sentido.
Conclusiones destacadas por sector
• Administración Pública. El 32 por ciento de las amenazas investigadas son legítimas, pero sólo el 47 por ciento de ellas se mitigan.
• Retail. El 32 por ciento afirman haber perdido ingresos como consecuencia de los ataques en 2016, siendo uno de cada cuatro comercios minoristas los que han perdido clientes u oportunidades de negocio.
• Fabricación. Cuatro de cada diez profesionales de seguridad en el sector fabricación admiten no tener una estrategia formal de seguridad, y tampoco cumplen con normas estandarizadas como ISO 27001 o NIST 800-53.
• Utilities. Los ataques dirigidos (para el 42 por ciento de los profesionales de seguridad) y las APTs o amenazas persistentes avanzadas (según el 40 por ciento de los consultados) constituyeron los principales riesgos de seguridad para las organizaciones de utilities en 2016.
• Atención sanitaria. El 37 por ciento de las organizaciones de atención sanitaria consideran los ataques dirigidos como amenazas de alto riesgo.
Recomendaciones de Cisco
Para hacer frente a los crecientes y cada vez más sofisticados ciber-ataques, Cisco recomienda a las organizaciones adoptar una protección proactiva:
• Mantener la infraestructura y las aplicaciones actualizadas, de forma que los atacantes no puedan explotar vulnerabilidades conocidas.
• Reducir la complejidad mediante una defensa integrada y limitando el uso de soluciones inconexas.
• Involucrar a los comités directivos con la suficiente antelación para asegurar un correcto entendimiento de los riesgos de seguridad y de las limitaciones de presupuesto.
• Establecer métricas claras y utilizarlas para validar y mejorar las prácticas de seguridad.
• Fomentar la educación de los empleados enfatizando la formación por roles en lugar de la formación genérica.
• Reforzar las defensas con controles o procesos activos en lugar de pasivos.
En el Informe Semestral de Ciber-seguridad 2017 de Cisco ha participado un diverso grupo de diez partners tecnológicos de seguridad, compartiendo datos y estableciendo conclusiones de forma conjunta: Anomali, Flashpoint, Lumeta, Qualys, Radware, Rapid7, RSA, SAINT Corporation, ThreatConnect y TrapX. El ecosistema de partners tecnológicos de seguridad constituye un componente esencial en la visión de Cisco de proporcionar a las organizaciones una seguridad sencilla, abierta y automatizada.
Steve Martino, vicepresidente y CISO en Cisco: “Nuestros adversarios son cada vez más creativos a la hora de diseñar sus ataques, como lo demuestran incidentes recientes como WannaCry y Nyetya. Aunque la mayoría de organizaciones están tomando medidas para mejorar su seguridad tras un incidente, se trata de una lucha constante por vencer a los atacantes. Una seguridad verdaderamente efectiva comienza por mitigar las vulnerabilidades básicas y convertir la ciber-seguridad en una prioridad de negocio”.
David Ulevitch, vice-presidente y director general de la división de Seguridad en Cisco: “La complejidad continúa entorpeciendo muchos de los esfuerzos por reforzar la seguridad. Las múltiples soluciones puntuales y no integradas acumuladas a lo largo de los años crean enormes oportunidades para los atacantes, quienes pueden identificar fácilmente vulnerabilidades ignoradas o brechas de seguridad. Para reducir el Tiempo de Detección con efectividad y limitar así el impacto de los ataques, los proveedores de soluciones debemos apostar por una arquitectura más integrada que mejore la visibilidad y simplifique la gestión, facilitando la eliminación de brechas de seguridad”.