El Informe de
Ciberseguridad de mitad de año (MCR) de Cisco® 2017 revela la rápida evolución
de las amenazas y la creciente magnitud de los ataques, llevando a los
investigadores a pronosticar actividades maliciosas potenciales de
"destrucción de servicios" (DeOS) que podrían eliminar las copias de
seguridad y las redes de seguridad de las organizaciones, que son necesarias
para restaurar los sistemas y datos después de sufrir un ataque. Con la llegada
del Internet de las Cosas, las principales industrias están realizando más
operaciones en línea, aumentando sus vulnerabilidades, la escala y el impacto
potencial de los ataques.
Los recientes ataques como WannaCry y Nyetya han mostrado la
rápida propagación y el amplio impacto de los ataques de tipo ransomware, que
en realidad pueden llegar a ser más destructivos. Esto presagia lo que Cisco ha
llamado ataques de “Destrucción de Servicios”, que pueden ser inmensamente más
perjudiciales que los ataques tradicionales, dejando a las empresas sin ninguna
opción a recuperarse.
El Internet de las Cosas sigue ofreciendo nuevas
oportunidades para que los piratas informáticos exploten las debilidades de
seguridad, jugando un papel central en la habilitación de estas campañas con un
impacto cada vez mayor. La actividad reciente de IoT Botnet sugiere que algunos
criminales pueden estar sentando las bases para un ataque de gran alcance y
alto impacto que podría perturbar la propia Internet.
Midir la efectividad de las prácticas de seguridad de frente
a esos ataques es crítico. Cisco registra progreso en el tiempo de detección
(TTD), la ventana de tiempo entre un sistema comprometido y el tiempo de
detección de un ataque. Una detección más rápida de detección es crítico para
reducir el espacio operativo de los atacantes y minimizar el daño de las
intrusiones. Desde noviembre de 2015,
Cisco ha disminuido el promedio de tiempo de detección (TTD) desde poco más de
39 horas en noviembre de 2015, hasta llevarla a alrededor de 3.5 horas en el
período de noviembre de 2016 a mayo de 2017. Estas cifras se basan en la
telemetría provenientes de los equipos Cisco desplegados a nivel mundial.
El horizonte de la amenaza - qué es caliente y qué no lo es
Durante la primera mitad de 2017, los investigadores de
seguridad de Cisco han observado la evolución del malware e identificaron
cambios en la forma en que los piratas informáticos están adaptando sus técnicas
de entrega, propagación y evasión. Específicamente, Cisco se dio cuenta que
estos delincuentes obligan cada vez más a la víctima a tomar medidas para
activar una amenaza, como el hecho de hacer clic en un enlace o abrir un
archivo; desarrollando malware sin programas instalados completamente en la
memoria. Esto genera que sean más complicados de detectar o investigar a medida
que se anulan cuando un dispositivo se reinicia, y también genera obstáculos y
desconfianza en la infraestructura anónima y descentralizada, como un servicio
proxy Tor, para ocultar las actividades de mando y control.
Cisco ha notado una importante disminución en los kits de
explosión, pero otros ataques tradicionales están resurgiendo:
El volumen de spam aumenta significativamente, ya que muchos
piratas informáticos recurren a métodos comprobados en el pasado, como el
correo electrónico, para distribuir malware y generar ingresos. Los
investigadores de las amenazas de Cisco anticipan que el volumen del spam con
los accesorios maliciosos continuará aumentando, mientras que el panorama del
kit de la explotación continúa en flujo.
El spyware y el adware, que a menudo son desechados por los
profesionales de seguridad por considerarlos más molestias que potenciales
daños, son formas de malware que persisten y traen riesgos a la empresa. La
investigación de Cisco siguió a 300 compañías durante un período de cuatro
meses y encontró que tres familias predominantes del spyware infectaron el 20%
de la muestra. En un ambiente corporativo, el spyware puede robar información
de usuarios y empresas, debilitar la postura de seguridad de los dispositivos y
aumentar las infecciones de malware.
La evolución de ransomware, como el crecimiento de
ransomware-como-servicio, facilitan a cualquier criminal llevar a cabo estos
ataques, independientemente de sus habilidades. Ransomware ha estado ocupando
los titulares durante meses y supuestamente aportó más de mil millones de
dólares en 2016, pero esto puede estar distrayendo a algunas organizaciones que
se enfrentan a una amenaza aún mayor. El compromiso comercial de correo
electrónico (BEC), un ataque de ingeniería social en el que un correo
electrónico diseñado para engañar a las organizaciones a transferir dinero al
atacante, se está convirtiendo en un vector de amenazas altamente lucrativo.
Entre octubre de 2013 y diciembre de 2016, US$ 5.3 mil millones fueron robados
a través de BEC de acuerdo a The Internet Crime Complaint Center.
Industrias únicas que enfrentan desafíos comunes
A medida que los delincuentes aumentan la sofisticación e
intensidad de sus ataques, las empresas de una variedad de sectores se
enfrentan al reto de mantenerse al día, incluso con algunos de los requisitos
fundamentales de ciberseguridad. A medida que la tecnología de la información y
la tecnología operativa convergen en la Internet de las Cosas, las
organizaciones están luchando para mantener la privacidad. Como parte del
Estudio de Benchmark de Capacidades de Seguridad, Cisco consultó alrededor de
3,000 líderes de seguridad en 13 países y encontró que en todas las industrias,
los equipos de seguridad están cada vez más abrumados por el volumen de ataques
que combaten, lo que hace que muchos se vuelvan más reactivos en sus esfuerzos
de protección.
• No más de dos tercios de las organizaciones están
investigando las alertas de seguridad, y en ciertas industrias, como la salud y
el transporte, este número está más cerca del 50 por ciento
• Incluso en las industrias más sensibles, como las finanzas
y la atención sanitaria, las empresas están debilitando menos del 50 por ciento
de los ataques que saben legítimos.
• Las brechas son una llamada de atención. En la mayoría de
las industrias las brechas impulsaron al menos modestas mejoras de seguridad en
al menos el 90 por ciento de las organizaciones, aunque algunas industrias
(como el transporte) son menos sensibles, cayendo por encima del 80 por ciento
Los hallazgos importantes por industria incluyen:
Sector público -- De las amenazas investigadas, el 32 por
ciento son identificadas como legítimas, pero sólo el 47 por ciento de esas
amenazas legítimas son finalmente remediadas.
Venta al por menor – 32 porciento dijo que había perdido
ingresos debido a los ataques en el último año, con un promedio de pérdida de
clientes u oportunidades de negocio que giran alrededor del 25 por ciento
Manufactura – 40 por ciento de los profesionales de
seguridad de esta industria dijeron que no tienen una estrategia de seguridad
formal, ni siguen las prácticas estandarizadas de políticas de seguridad de la
información como ISO 27001 o NIST 800-53.
Servicios – Los profesionales de seguridad dijeron que los
ataques dirigidos (42 por ciento) y las amenazas persistentes avanzadas, o APT
(40 por ciento) eran los riesgos de seguridad más críticos para sus
organizaciones.
Sector salud -- El 37 por ciento de las organizaciones de
Salud dijo que los ataques dirigidos son riesgos de alta seguridad para sus
organizaciones
Consejos de Cisco para las organizaciones
Para combatir los ataques cada vez más sofisticados de hoy
en día, las organizaciones deben tomar una postura proactiva en sus esfuerzos
de protección. Cisco Security recomienda:
• Mantener actualizada la infraestructura y las
aplicaciones, para que los atacantes no puedan explotar las debilidades
públicamente conocidas
• Combatir la complejidad a través de una defensa integrada.
Limitar las inversiones aisladas.
• Involucrar a los principales líderes ejecutivos para
asegurar una comprensión completa de los riesgos, las recompensas y las
restricciones presupuestarias
• Examinar el entrenamiento de seguridad de los empleados
con capacitación basada en funciones frente a una capacitación igual para
todos.
• Equilibrar la defensa con una respuesta activa. No
"ponga y olvide" los controles o procesos de seguridad.
Para el MCR de 2017 se invitó a un diverso conjunto de
partners de tecnología de seguridad a compartir datos a partir de los cuales
podríamos sacar conclusiones sobre el espacio de amenazas. Entre los partners
que contribuyeron al informe se encuentran Anomali, Flashpoint, Lumeta, Qualys,
Radware, Rapid7, RSA, SAINT Corporation, ThreatConnect y TrapX. El ecosistema
de partners de tecnología de seguridad de Cisco es un componente clave de
nuestra visión para brindar seguridad simple, abierta y automatizada a los
clientes.
Comentarios
"Como lo demuestran los incidentes recientes como
WannaCry y Netya, nuestros contrincantes se están volviendo más creativos en la
forma en la que diseñan sus ataques. Mientras que la mayoría de las
organizaciones tomaron medidas para mejorar la seguridad después de una
violación, las empresas de toda la industria están en una carrera constante
contra los piratas informáticos. La eficacia de la seguridad comienza con el
cierre de los vacíos obvios y de la seguridad como una prioridad
comercial".
-- Steve Martino, Vicepresidente y Jefe de Seguridad de la
Información de Cisco
"La complejidad continúa obstaculizando los esfuerzos
de seguridad de muchas organizaciones. Es obvio que los años de invertir en
productos puntuales que no pueden integrarse están creando enormes
oportunidades para los atacantes, que pueden identificar fácilmente
vulnerabilidades pasadas por alto o vacíos en los esfuerzos de seguridad. Para
reducir eficazmente el tiempo de detección y limitar el impacto de un ataque,
la industria debe pasar a un enfoque más integrado y arquitectónico que aumente
la visibilidad y la capacidad de gestión, lo que permite a los equipos de
seguridad cerrar las brechas ".
-- David Ulevitch, Vicepresidente Senior y Gerente General
del Grupo de Negocio de Seguridad, Cisco
Acerca del Reporte
El Informe de Seguridad Cibernética de mitad de año de Cisco
2017 examina la última inteligencia de amenazas recopilada por Cisco Collective
Security Intelligence. El reporte proporciona información sobre la industria
basada en los datos y las tendencias de seguridad cibernética en la primera
mitad del año, junto con recomendaciones prácticas para mejorar las acciones en
seguridad. Se basa en datos de una vasta huella, que asciende a un consumo
diario de más de 40 mil millones de puntos de telemetría. Los investigadores de
Cisco traducen inteligencia en protecciones en tiempo real para nuestros
productos y ofertas de servicios que son entregados inmediatamente a los
clientes de Cisco.
No hay comentarios:
Publicar un comentario