La importancia de la protección avanzada
Si miramos la lista de los 20 países es los que se producen más detecciones de ciberamenazas por endpoint, aparecemos nosotros.
Con los ciberataques en constante evolución y aumento, los profesionales de la ciberseguridad deben mirar más allá de lo tradicional y dejar a un lado estrategias puramente reactivas para adoptar un enfoque más proactivo y progresista. Proteger el endpoint como se ha hecho hasta ahora ya no es suficiente; las amenazas actuales se multiplican y cambian tan rápido que las empresas no pueden depender de una gestión manual y humana de las herramientas de defensa para garantizar la ciberdefensa.
Además, en este 2020 cualquier entorno o infraestructura IT debe tener en cuenta lo que está por venir. Así, se debe contar con soluciones de ciberseguridad multicapa que monitoricen en tiempo real el malware para encontrar patrones de comportamiento y eliminar todas las amenazas persistentes avanzadas, ataques sin archivos u otras actividades maliciosas que puedan suponer un peligro para la organización. Los endpoints deben protegerse con un enfoque que reúna capacidades avanzadas de protección en el endpoint (EPP) y de detección y respuesta del mismo (EDR), unido a una postura de seguridad zero trust respaldada por inteligencia artificial.
PandaLabs, el laboratorio de seguridad de Panda Security, multinacional española líder en soluciones y servicios de ciberseguridad avanzada y en herramientas de gestión y control, ha elaborado el informe Threat Insights 2020 para arrojar luz sobre la importancia de una protección avanzada. Para ello, ha analizado y desgranado varios aspectos clave para el ámbito de la ciberseguridad:
• Percepciones basadas en datos, no en la intuición. La seguridad para el endpoint requiere la recopilación y el análisis de una cantidad ingente de datos que alimenta desde la inteligencia artificial que analiza los comportamientos y crea patrones, hasta los servicios de Threat Hunting, encargados de interceptar las amenazas antes de que ataquen.
En la ciberdefensa, los datos del endpoint proporcionan una visibilidad que es esencial para poder ofrecer una protección de primer nivel y ver qué está pasando en cada dispositivo, red y conexión, y así poder detectar los cambios, tendencias y anomalías en el panorama global de amenazas. Sin este nivel tan alto de visibilidad, hoy y en el futuro, los ciberdelincuentes seguramente podrán moverse en las redes con facilidad.
• Hotspots globales, ¿atacantes o atacados? Según los datos recopilados por PandaLabs, Tailandia está a la cabeza del top 20 países con más detecciones por endpoint (40,88) y España, a la cola (0,07). Las regiones de Oriente Medio y Sudamérica son donde hay mayor concentración de objetivos.
Las cifras arrojan una llamativa conclusión: estos países son objetivos atractivos para los ciberatacantes porque hay muchos sistemas expuestos y poco protegidos, de manera que los hackers les han impactado con mayor frecuencia y han tenido mayor éxito. Además, se puede suponer que no se trata de objetivos finales, sino de sistemas comprometidos que son fuente de otros ataques contra objetivos de todo el mundo.
•· Persistencia de los ataques basados en archivos. Los malhechores usan extensiones de archivos para llevar a cabo su actividad. Detrás de cada una hay una vulnerabilidad en el diseño del archivo que puede ser explotada mediante todo tipo de técnicas (por ejemplo, phishing).
En el ranking de las extensiones de archivo a las que se consiguió acceder en 2019, las que cuentan con mayor número de eventos de acceso únicos registrados son .pdf, .odf, .job, .pem y .mdb. Otras como .xls, .doc o .ppt también están dentro de las dos decenas principales.
• Los límites de las listas blancas. Hoy en día, con el aumento de la seguridad basada en políticas zero trust, muchos profesionales de la ciberseguridad descuidan la protección de las aplicaciones de las listas blancas al creerlas seguras. Pero estas listas, al igual que las negras, tienen límites; y las nuevas amenazas no solo son capaces de sortear las aplicaciones de seguridad empleadas en estos espacios, sino que pueden explotar el software que hay en ellas.
Por suerte, la monitorización activa de todo el software y procesos va más allá de los límites de las listas blancas. Si la totalidad de la actividad del endpoint se monitoriza, el malware se identifica y no puede ejecutarse, y el goodware no se puede usar para fines ilegítimos.
• Ataques sin archivos, una amenaza incipiente. Hay algunas herramientas de productividad, navegadores o componente que están en la gran mayoría de los endpoints y que suelen aparecer en las white lists, de forma que no se clasifican como sospechosas o como malware. Esto las convierte en los vectores ideales para desplegar ataques sin fichero, hacking en vivo, ataques Living-off-the-Land (LotL), etc., de manera que se hace necesario contar con tecnología anti-exploit para la protección.
Tal y como recogen los datos recabados, el top tres de aplicaciones más explotadas son Firefox, Microsoft Outlook e Internet Explorer.
• Una solución, múltiples capas. No todas las ciberamenazas son iguales, y cuando el sistema detiene una, puede dejar pasar otras. Por ello, se necesita una combinación de herramientas locales basadas en las firmas, tecnologías asentadas en la nube y el análisis de comportamiento basado en contextos para detectar y responder a las ciberamenazas de forma adecuada.
“Las ciberamenazas nunca han sido tan diferentes como ahora. En un día, un endpoint puede sufrir una estafa de phishing con un enlace a malware, descargar un ransomware de un sitio web falsificado, o ser víctima de un ataque sin archivo que se mantiene oculto durante mucho tiempo. En un momento en el que el número de amenazas crece y evoluciona constantemente, los profesionales de IT deben utilizar todas las herramientas de las que disponen para mantener la seguridad de sus redes”, explica el equipo de PandaLabs.