Actualmente, los atacantes disfrutan de tiempo para operar sin límite. Sus campañas, que con frecuencia aprovechan las vulnerabilidades conocidas que las organizaciones y los usuarios finales pueden tener —y deberían conocer y abordar— pueden permanecer activas e inadvertidas durante días, meses o incluso más tiempo.
Los defensores, mientras tanto, se esfuerzan para obtener visibilidad de la actividad en torno a las amenazas y por reducir el tiempo de detección (TTD) de las amenazas nuevas y conocidas. Están haciendo grandes y claros progresos, pero aún tienen mucho por recorrer para debilitar verdaderamente la capacidad de los adversarios de sentar las bases para realizar ataques a fin de contrarrestarlos con un impacto alto y rentable.
El Informe semestral de ciberseguridad 2016 de Cisco® —en el que se presentan investigaciones, conocimientos y perspectivas de Cisco Security Research— actualiza a los profesionales de seguridad sobre las tendencias cubiertas en nuestro informe de seguridad anterior y, al mismo tiempo, examina los desarrollos que podrían afectar el panorama de seguridad más adelante este año. Nuestra observación de los desarrollos recientes dentro y desde la economía informal confirma que los adversarios solo se han centrado más en la generación de ingresos. El ransomware se ha convertido en un negocio rentable particularmente eficaz, y los usuarios empresariales parecen ser el objetivo preferido de algunos operadores.
Muchas de las tendencias de amenazas y seguridad que se presentan en este informe se relacionan con el ransomware, desde técnicas usadas para lanzar campañas y ocultar la actividad de los atacantes hasta nuestras expectativas con respecto a cómo evolucionará la próxima generación de esta amenaza potente.
En este informe, analizamos las muchas maneras en que las organizaciones pueden y deben tomar medidas para comenzar a mejorar sus defensas. Las recomendaciones de los investigadores de Cisco incluyen lo siguiente:
•• Instituir y probar un plan de respuesta ante incidentes que permita un retorno rápido a las operaciones comerciales normales tras un ataque de ransomware
•• No confiar ciegamente en las conexiones HTTPS y en los certificados SSL
•• Moverse rápidamente para corregir las vulnerabilidades publicadas en software y sistemas, incluidos los routers y los switches que son componentes de la infraestructura de Internet fundamental
•• Capacitar a los usuarios sobre la amenaza de infecciones de navegador maliciosas
•• Entender qué es realmente la inteligencia de amenazas procesable
En este informe, cubrimos cuatro temas principales:
I. Noticia destacada sobre las tendencias en delito cibernético: Ransomware
Los investigadores de seguridad de Cisco han vuelto la mira hacia el ransomware, al examinar innovaciones que pueden hacer que este tipo de ataque de malware específico sea mucho más frecuente. También se brindan predicciones sobre la evolución del ransomware, en función de las tendencias anteriores observadas. Además, analizamos cómo las vulnerabilidades en sistemas sin corregir y dispositivos desactualizados proporcionan a los delincuentes tiempo para operar. Los operadores del ransomware ahora se están dirigiendo a los usuarios empresariales. Esta es la razón por la que las organizaciones deben asegurarse de realizar copias de respaldo de los datos críticos en una ubicación protegida y de establecer planes procesables que les permitan reanudar las operaciones comerciales normales lo más rápido posible después de un ataque.
II. Tiempo para operar
En esta sección se examinan los vectores de ataque del lado del cliente que proporcionan a los adversarios tiempo y oportunidad para innovar las amenazas y llevar a cabo sus campañas. El aumento de las vulnerabilidades relacionadas con cifrado y autorización indica que los creadores de amenazas ahora están intentando manipular las conexiones seguras. Se analizan las tendencias de los kits y los vectores de ataque, como el atractivo de los ataques de servidor para los delincuentes en línea que buscan acceso a conjuntos de datos más amplios. También se analiza el surgimiento de la “publicidad maliciosa como servicio” y las complicaciones que crea para los defensores, como también las preguntas que surgen sobre quién debe proteger a los usuarios web.
III. Tiempo para asegurar
En esta sección, los investigadores de seguridad de Cisco exploran la brecha entre la actividad de los atacantes y las soluciones de seguridad. Por ejemplo, si bien los proveedores han acortado el tiempo entre el anuncio de las vulnerabilidades públicas y la disponibilidad de parches, los usuarios se han retrasado en la implementación de tales parches. En esta sección también se incluye una actualización sobre los esfuerzos constantes de Cisco para reducir el tiempo medio de detección (TTD) y el impacto de la “carrera armamentista” en curso entre los atacantes y los defensores. Los investigadores de Cisco también detallan el creciente uso de HTTPS en las campañas maliciosas y el uso del protocolo de seguridad de la capa de transporte (TLS) por parte de los delincuentes para cifrar las comunicaciones.
IV. Perspectiva global y recomendaciones de seguridad
En esta sección se examinan las tendencias geopolíticas actuales relacionadas con la seguridad, incluidas las crecientes inquietudes del gobierno acerca de los desafíos para seguir el ritmo del cambio tecnológico para comprender las amenazas y controlar o acceder a los datos. Se ofrecen también recomendaciones a los defensores para reducir el tiempo para operar de los adversarios. Asimismo, se explica la diferencia principal entre los indicadores de riesgo (IOC) y la inteligencia de amenazas.
Principales conclusiones
•• El ransomware está dominando el mercado del malware. Si bien no se trata de una amenaza nueva, ha evolucionado hasta convertirse en el tipo de malware más rentable de la historia, y las empresas ahora se están convirtiendo en el objetivo de preferencia de algunos operadores de ransomware. En la primera mitad de 2016, las campañas de ransomware dirigidas a personas y a usuarios empresariales se tornaron más amplias y eficaces. En el horizonte: métodos de propagación más rápidos y eficaces que maximizan el impacto de las campañas de ransomware y un aumento de la probabilidad de generar ingresos significativos por parte de los adversarios.
•• Los kits de ataque, que han ayudado al ransomware a convertirse en tal notable amenaza, siguen aprovechando las vulnerabilidades de Adobe Flash. En el análisis reciente de los investigadores de Cisco del popular kit de ataque Nuclear, por ejemplo, Flash representó un 80% de los intentos de ataque con éxito.
•• Las vulnerabilidades en el software de aplicación empresarial JBoss proporcionan a los atacantes un vector nuevo que pueden usar para lanzar campañas como ransomware. La investigación de Cisco muestra que los riesgos relacionados con JBoss hicieron avances significativos dentro de los servidores, lo que los dejó vulnerables a ataques.
•• De septiembre de 2015 a marzo de 2016, los investigadores de seguridad de Cisco observaron que se quintuplicó el tráfico HTTPS relacionado con la actividad maliciosa. El aumento en este tipo de tráfico web puede atribuirse, en gran parte, a inyectores de anuncios maliciosos y al adware. Los creadores de amenazas están aumentando el uso del tráfico HTTPS cifrado para ocultar su actividad en la red y ampliar su tiempo para operar.
•• Si bien hay parches disponibles de importantes proveedores de software casi al mismo tiempo que se anuncian las vulnerabilidades, muchos usuarios siguen sin descargarlos e instalarlos en forma oportuna, según la investigación de Cisco. La brecha entre la disponibilidad y la implementación real de tales parches brinda a los atacantes tiempo suficiente para lanzar ataques.
•• Para dirigir la atención a los riesgos de seguridad que las organizaciones crean al no mantener adecuadamente su infraestructura antigua o al no corregir sistemas operativos vulnerables, los investigadores de Cisco analizaron un conjunto de dispositivos de Cisco de muestra para determinar la antigüedad de las vulnerabilidades conocidas que se ejecutan en la infraestructura fundamental. Descubrimos que el 23% de dichos dispositivos tenían vulnerabilidades desde 2011 y que casi el 16% tenía vulnerabilidades que se habían publicado por primera vez en 2009.
•• Un pequeño pero creciente número de muestras de malware señala que los delincuentes usan el protocolo de seguridad de la capa de transporte (TLS), que permite cifrar el tráfico de red, para ocultar sus actividades. Esto es un motivo de preocupación entre los profesionales de seguridad, ya que torna ineficaz la inspección detallada de paquetes como herramienta de seguridad. La combinación de métodos de aprendizaje mecanizado y visualizaciones de datos nuevos proporciona información sobre esta tendencia de mayor calidad.
•• Para el período de diciembre de 2015 a abril de 2016, Cisco redujo el TTD medio a unas 13 horas, bien debajo de la estimación actual e inaceptable del sector de 100 a 200 días. Los aumentos y las disminuciones en TTD observados durante este período ponen de relieve una acalorada “carrera armamentista” en curso entre atacantes y defensores, en la que los adversarios desencadenan un aluvión constante de amenazas nuevas que hace que los proveedores de seguridad deban moverse rápidamente para identificarlas.
Para mayor información: http://www.cisco.com/c/m/es_mx/offers/sc04/2016-annual-security-report/index.html