El 1 por ciento del ruido en la red corporativa proviene de ataques sigilosos y dirigidos
Durante la primera mitad de 2019, sólo un pequeño número, un 1,26 por ciento, de las alertas de los Indicadores de Ataques, IoA, en dispositivos endpoint fue identificado como incidentes de ciberseguridad.
Tal y como revela el Informe de Análisis de Detección y Respuesta de Kaspersky, de las 40.806 alertas generadas a través de IoAs, solamente 515 resultaron ser incidentes detectados. Sin embargo, la mayoría de estos incidentes estaban relacionados con sofisticados ataques dirigidos que utilizan la técnica denominada ‘‘living off the land’’, desplegada por los ciberdelincuentes para ocultar actividades maliciosas dentro del comportamiento legítimo de los usuarios y administradores.
A diferencia de los métodos de detección basados en Indicadores de Compromiso (IoC), los IoAs permiten la identificación de un ataque en función de las tácticas, técnicas y procedimientos de los actores de amenaza, en vez de en archivos maliciosos conocidos u objetos. En otras palabras, en la forma en la que determinados actores tienden a atacar a sus víctimas. Los ataques que utilizan el método “living off the land” son cada vez más populares y los métodos de detección basados en IoA resultan ser los más efectivos.
Esta es una de las conclusiones del informe, basado en los resultados del análisis de múltiples niveles del servicio Kaspersky Managed Protection Service, proporcionado a diversas organizaciones de distintos sectores como el financiero, industrial, transporte, tecnológico, telecomunicaciones o la administración pública.
Mientras que los incidentes de ciberseguridad se identificaron en casi todas las tácticas de la Cyber Kill Chain, el mayor número de ataques se encontró en las etapas consideradas más ‘ruidosas’, (donde el parecido de los falsos positivos es relativamente mayor): ejecución (37%), evasión de defensa (31%), movimiento lateral (16%) e impacto (16%). Al combatir estas tácticas, la investigación descubrió que los productos de protección de endpoints (EPP) son una herramienta eficaz de respuesta a amenazas para el 97% de los incidentes identificados, de los cuales el 47% se clasificó de gravedad media, incluyendo malware como Troyanos y Cryptors, y el 50% de baja gravedad, incluyendo programas no deseados como adware o riskware.
Sin embargo, cuando se trata de amenazas avanzadas y desconocidas, o de aquellas clasificadas como de alta gravedad (3%), las soluciones tradicionales de EPP son, por sí solas, menos eficaces. Este tipo de amenazas, incluyendo ataques dirigidos o malware complejo lanzado a través de tácticas de "living off the land", requieren un nivel adicional de detección basada en TPP, un análisis y búsqueda manual de amenazas.
"Una de las claves de nuestro Análisis de Detección y Respuesta, en el que hemos trabajado en los últimos seis meses, es que si no se ve un gran número de falsos positivos en la red, probablemente se estén perdiendo muchos incidentes de seguridad importantes. Por lo tanto, se debería evolucionar hacia un mayor uso de métodos de Indicadores de Ataque, entre otras herramientas. La existencia de tácticas "living off the land" y otras técnicas de ataque sigiloso sin malware, hacen que sea completamente ineficaz confiar solo en los métodos de detección clásicos basados en IoC u otros conocidos. Aunque las alertas basadas en IoA son mucho más difíciles de investigar debido a la necesidad de realizar un amplio estudio para crear una IoA eficiente, además de análisis manuales (cuando se activan las IoA), y, según nuestras estadísticas, son más propensas a los falsos positivos, resultan las más efectivas y permiten encontrar incidentes realmente críticos", señala Sergey Soldatov, jefe del Centro de Operaciones de Seguridad de Kaspersky.