Informe de Cisco: prevén nuevos ataques de DeOS
Así surge del Reporte de Ciberseguridad de Mitad de año (MCR) de Cisco 2017. Además, se espera un crecimiento en la escala y el impacto de las amenazas. La compañía advierte que “industrias clave necesitan mejorar las medidas de seguridad al tiempo que convergen la tecnología de la información y la operativa”.
El Informe revela la rápida evolución de las amenazas y la creciente magnitud de los ataques, llevando a los investigadores a pronosticar actividades maliciosas potenciales de “destrucción de servicios” (DeOS) que podrían eliminar las copias de seguridad y las redes de seguridad de las organizaciones, que son necesarias para restaurar los sistemas y datos después de sufrir un ataque.
Los recientes ataques como WannaCry y Nyetya han mostrado la rápida propagación y el amplio impacto de los ataques de tipo ransomware, que en realidad pueden llegar a ser más destructivos. Esto presagia lo que Cisco ha llamado ataques de “Destrucción de Servicios”, que pueden ser inmensamente más perjudiciales que los tradicionales, dejando a las empresas sin ninguna opción a recuperarse.
“Con la llegada del Internet de las Cosas, las principales industrias están realizando más operaciones en línea, aumentando sus vulnerabilidades, la escala y el impacto potencial de los ataques”, advierte Cisco.
De acuerdo con Cisco el IoT sigue ofreciendo nuevas oportunidades para que los piratas informáticos exploten las debilidades de seguridad, jugando un papel central en la habilitación de estas campañas con un impacto cada vez mayor. “La actividad reciente de IoT Botnet sugiere que algunos criminales pueden estar sentando las bases para un ataque de gran alcance y alto impacto que podría perturbar la propia Internet”, sostiene.
En este sentido, medir la efectividad de las prácticas de seguridad de frente a esos ataques es crítico. Cisco registra progreso en el tiempo de detección (TTD), la ventana de tiempo entre un sistema comprometido y el tiempo de detección de un ataque.
Cisco asegura haber disminuido el TTD desde poco más de 39 horas en noviembre de 2015, hasta llevarla a alrededor de 3.5 horas en el período de noviembre de 2016 a mayo de 2017. Estas cifras se basan en la telemetría provenientes de los equipos de la marca desplegados a nivel mundial.
Qué es caliente y qué no lo es
Durante la primera mitad de 2017, los investigadores de seguridad de Cisco han observado la evolución del malware e identificaron cambios en la forma en que los piratas informáticos están adaptando sus técnicas de entrega, propagación y evasión.
Específicamente, la compañía se dio cuenta que estos delincuentes obligan cada vez más a la víctima a tomar medidas para activar una amenaza, como el hecho de hacer clic en un enlace o abrir un archivo; desarrollando malware sin programas instalados completamente en la memoria. Esto genera que sean más complicados de detectar o investigar a medida que se anulan cuando un dispositivo se reinicia, y también genera obstáculos y desconfianza en la infraestructura anónima y descentralizada, como un servicio proxy Tor, para ocultar las actividades de mando y control.
Cisco ha notado una importante disminución en los kits de explosión, pero otros ataques tradicionales están resurgiendo:
El volumen de spam aumenta significativamente, ya que muchos piratas informáticos recurren a métodos comprobados en el pasado, como el correo electrónico, para distribuir malware y generar ingresos. Los investigadores de las amenazas de Cisco anticipan que el volumen del spam con los accesorios maliciosos continuará aumentando, mientras que el panorama del kit de la explotación continúa en flujo.
El spyware y el adware, que a menudo son desechados por los profesionales de seguridad por considerarlos más molestias que potenciales daños, son formas de malware que persisten y traen riesgos a la empresa. La investigación de Cisco siguió a 300 compañías durante un período de cuatro meses y encontró que tres familias predominantes del spyware infectaron el 20% de la muestra.
La evolución de ransomware, como el crecimiento de ransomware-como-servicio, facilitan a cualquier criminal llevar a cabo estos ataques, independientemente de sus habilidades.
Si bien esta amenaza ha estado ocupando los titulares durante meses y supuestamente aportó más de mil millones de dólares en 2016, desde Cisco advierten que esto puede estar distrayendo a algunas organizaciones que se enfrentan a una amenaza aún mayor. Por ejemplo, el compromiso comercial de correo electrónico (BEC), un ataque de ingeniería social en el que un correo electrónico diseñado para engañar a las organizaciones a transferir dinero al atacante, se está convirtiendo en un vector de amenazas altamente lucrativo. Entre octubre de 2013 y diciembre de 2016, US$ 5.3 mil millones fueron robados a través de BEC de acuerdo a The Internet Crime Complaint Center.
Industrias únicas que enfrentan desafíos comunes
A medida que la tecnología de la información y la tecnología operativa convergen en la Internet de las Cosas, las organizaciones están luchando para mantener la privacidad. Como parte del Estudio de Benchmark de Capacidades de Seguridad, Cisco consultó alrededor de 3,000 líderes de seguridad en 13 países y encontró que en todas las industrias, los equipos de seguridad están cada vez más abrumados por el volumen de ataques que combaten, lo que hace que muchos se vuelvan más reactivos en sus esfuerzos de protección.
Entre otros hallazgos, el informe advierte que no más de dos tercios de las organizaciones están investigando las alertas de seguridad, y en ciertas industrias, como la salud y el transporte, este número está más cerca del 50 por ciento. Incluso en las industrias más sensibles, como las finanzas y la atención sanitaria, las empresas están debilitando menos del 50 por ciento de los ataques que saben legítimos.
En la mayoría de las industrias las brechas impulsaron al menos modestas mejoras de seguridad en al menos el 90 por ciento de las organizaciones, aunque algunas industrias (como el transporte) son menos sensibles, cayendo por encima del 80 por ciento
En cuanto al sector público, de las amenazas investigadas, el 32 por ciento son identificadas como legítimas, pero sólo el 47 por ciento de esas amenazas legítimas son finalmente remediadas.
En Venta al por menor, 32 porciento dijo que había perdido ingresos debido a los ataques en el último año, con un promedio de pérdida de clientes u oportunidades de negocio que giran alrededor del 25 por ciento
En cuanto a Manufactura, 40 por ciento de los profesionales de seguridad de esta industria dijeron que no tienen una estrategia de seguridad formal, ni siguen las prácticas estandarizadas de políticas de seguridad de la información como ISO 27001 o NIST 800-53.
En Servicios, los profesionales de seguridad dijeron que los ataques dirigidos (42 por ciento) y las amenazas persistentes avanzadas, o APT (40 por ciento) eran los riesgos de seguridad más críticos para sus organizaciones.
En el Sector salud, el 37 por ciento de las organizaciones de Salud dijo que los ataques dirigidos son riesgos de alta seguridad para sus organizaciones
Consejos de Cisco
Para combatir los ataques cada vez más sofisticados de hoy en día, las organizaciones deben tomar una postura proactiva en sus esfuerzos de protección. Cisco Security recomienda:
• Mantener actualizada la infraestructura y las aplicaciones, para que los atacantes no puedan explotar las debilidades públicamente conocidas
• Combatir la complejidad a través de una defensa integrada. Limitar las inversiones aisladas.
• Involucrar a los principales líderes ejecutivos para asegurar una comprensión completa de los riesgos, las recompensas y las restricciones presupuestarias
• Examinar el entrenamiento de seguridad de los empleados con capacitación basada en funciones frente a una capacitación igual para todos.
• Equilibrar la defensa con una respuesta activa. No “ponga y olvide” los controles o procesos de seguridad.
“La complejidad continúa obstaculizando los esfuerzos de seguridad de muchas organizaciones. Es obvio que los años de invertir en productos puntuales que no pueden integrarse están creando enormes oportunidades para los atacantes, que pueden identificar fácilmente vulnerabilidades pasadas por alto o vacíos en los esfuerzos de seguridad. Para reducir eficazmente el tiempo de detección y limitar el impacto de un ataque, la industria debe pasar a un enfoque más integrado y arquitectónico que aumente la visibilidad y la capacidad de gestión, lo que permite a los equipos de seguridad cerrar las brechas “, dijo David Ulevitch, vicepresidente senior y gerente general del Grupo de Negocio de Seguridad, Cisco.
Vía: ItWareLatam