El reporte Cisco 2014 Midyear
Security Report, emitido en el Black Hat U.S., examina los
"vínculos débiles" en las organizaciones que contribuyen al panorama
cada vez más creciente de amenazas. Estos vínculos débiles -- que podrían ser
software vencidos, malos códigos, propiedades digitales abandonadas, o errores
de usuarios -- contribuyen a la habilidad de los adversarios de explotar
vulnerabilidades con métodos tales como consultas de DNS, kits de explotación,
ataques de amplificación, compromiso del sistema point-of-sale (POS),
malvertising, ransomware, infiltración de protocolos de cifrado, ingeniería
social y spam "life event".
El reporte también muestra que
el foco en las vulnerabilidades de alto perfil más que en las de amenazas de
alto impacto, comunes y sigilosas, pone a las organizaciones en riesgos
mayores. Al proliferar los ataques contra aplicaciones que tradicionalmente son
de bajo perfil e infraestructuras con debilidades ya conocidas, los actores
maliciosos son capaces de escapar a la detección ya que los equipos de
seguridad se concentran en vulnerabilidades audaces como Heartbleed.
Resultados Claves
Los investigadores examinaron
de cerca 16 organizaciones multinacionales, quienes, hasta el año 2013,
controlaban más de $4 millones de millones de dólares estadounidenses en bienes
con ingresos por más de $300 mil millones de dólares estadounidenses. Este
análisis generó tres puntos de vista convincentes que atan a las empresas al
tráfico malicioso:
Los ataques
"Man-in-the-Browser" plantean un riesgo para las empresas: Casi el 94
por ciento de las redes de clientes observadas en el año 2014 han sido
identificadas con tráfico que se deriva hacia sitios web con malware.
Específicamente, las peticiones de DNS en donde la dirección IP que resuelve el
nombre de host es reportada como asociada con la distribución de familias de
malware como Palevo, SpyEye y Zeus, que incorporan la funcionalidad
man-in-the-browser (MiTB).
Botnet hide and seek: Casi el
70 por ciento de las redes fueron identificadas con peticiones de emisión de
DNS para Dynamic DNS Domains (Dominios DNS Dinámicos). Esto comprueba la
evidencia de las redes mal utilizadas o comprometidas con botnets utilizando
DDNS para alterar sus direcciones IP y evitar la detección/ blacklist. Pocos
intentos legítimos de conexión saliente de las empresas buscan dominios DNS
dinámicos aparte de llamadas salientes C&C que buscan disfrazar la
ubicación de su botnet.
Cifrar datos robados: Casi el
44 por ciento de las redes de los clientes observadas en el 2014 han emitido
peticiones de DNS para sitios y dominios con dispositivos que entregan
servicios de canal cifrados, utilizados por actores maliciosos para cubrir sus
huellas exfiltrando los datos por medio de canales cifrados como VPN, SSH,
SFTP, FTP y FTPS para evitar su detección.
Acerca del Reporte
El Reporte de Seguridad de
Cisco de Mitad de Año 2014 (Cisco 2014 Midyear Security Report) examina las tendencias de inteligencia de
amenazas y seguridad cibernética para la primera mitad de 2014 y fue
desarrollado por expertos que son parte del ecosistema Cisco Collective
Security Intelligence (CSI). Cisco CSI es compartido en múltiples soluciones de
seguridad y entrega protección de seguridad y eficacia líder en la industria.
Además de investigadores de amenazas, CSI está impulsado por infraestructura de
inteligencia, producto y telemetría de servicio, información pública y privada
y la comunidad de open source.
El ecosistema Cisco CSI
incluye al recientemente combinado grupo Talos Threat Intelligence y Research
Group, que es un equipo combinado del anterior equipo Cisco Threat Research and
Communications (TRAC), el Sourcefire Vulnerability Research Team (VRT) y el
grupo de Cisco Security Applications (SecApps). La experiencia de Talos abarca
desarrollo de software, ingeniería reversa, priorización de
vulnerabilidades,investigación de malware y recolección de inteligencia y
mantiene el conjunto de reglas oficial de Snort.org, ClamAV, SenderBase.org y
SpamCop.
Comentarios
John N. Stewart,
Vicepresidente Senior, Director de Seguridad, Cisco, dijo: "Muchos
empresas están innovando su futuro con el uso de Internet. Para tener éxito en
este entorno rápidamente emergente, el liderazgo ejecutivo necesita aprovechar
y administrar, en términos comerciales, los riesgos cibernéticos asociados.
Analizar y comprender las debilidades dentro de la cadena de seguridad está en
gran parte basada en la habilidad de organizaciones individuales, y de la
industria, de crear conciencia acerca de los riesgos cibernéticos en los
niveles más elevados, incluyendo los Consejos Directivos -- haciendo de la
seguridad cibernética un proceso de negocios, no de tecnología. Al cubrir todos
los ataques continuos -- antes, durante y después del ataque -- las
organizaciones hoy deben operar soluciones de seguridad que operen en todos los
lugares en donde una amenaza pueda manifestarse."
