Por Marvin Soto
El ciberespacio es un enorme mundo de aventuras y negocios, un ecosistema que mueve economías, emociones, sentimientos, pasiones y hasta voluntades; pero es también una zona de guerra. La acelerada transformación digital ha motivado la masiva migración de las actividades cotidianas del ser humano a esta enorme red de redes.
Así las cosas, en esta entrega les comparto las seis principales ciberamenazas en el radar global, así como algunos atisbos de cómo identificarlas y/o neutralizarlas.
Hemos escrito y compartido reiteradamente en conversatorios y conferencias desde 2020 que el ransomware es el rey del baile. La razón es sencilla, es fácilmente la mayor amenaza de red porque ofrece a los atacantes el mayor recaudo de dinero con un mínimo esfuerzo. El ransomware se ha convertido en una de las industrias criminales más rentables del mundo debido a su capa de anonimato y un pago potencialmente alto. Sumado; les ofrece una probabilidad relativamente baja de ser atrapado, aprovecha un vehículo para servirlo en el destino que no requiere fuerza bruta o violencia, ofrece anonimato y no expone al atacante a dejar algún tipo de trazabilidad contra el origen.
Otra ventaja que ofrece a los ciberdelincuentes es que hay una barra baja en la categoría de habilidades para entrar en este tipo de cosas, dado que han emergido muchas empresas que ofrecen ransomware como servicio (RaaS), las cuales están más que felices y dispuestas a garantizar a los ciberactores maliciosos que tenga las herramientas que necesita para desatar una campaña de ransomware. Estos “proveedores de servicios” enfrentan un riesgo mínimo, pues en fondo ellos no están lanzando ningún ataque. Además, el pago viene en forma de criptoactivos, por lo que son difíciles de rastrear.
Establecer por defecto una filosofía de confianza cero (Zero Trust), políticas y procedimientos de seguridad sólidos y la capacitación de concienciación en ciberseguridad, son medulares para evitar convertirse en una víctima de ransomware. Agregar a esto, el diseño seguro por defecto tanto de arquitectura como de sistemas, planes actualizados y procedimentados de continuidad de negocios y de recuperación ante desastres, la actualización constante de sistemas e infraestructura, la aplicación de parches y mejoras sobre sistemas y aplicaciones, la segregación o segmentación de espacios virtuales para sistemas vulnerables y para datos críticos.
La segunda amenaza es sin lugar a duda los botnets zombies. Estas redes de equipos comprometidos se crean para comandar y ejecutar acciones maliciosas específicas, como ataques distribuidos de denegación de servicio (DDoS), secuestro de datos en vivo (memoria) y para orquestar campañas de spam.
Se pueden considerar amenazas potencialmente devastadoras, porque pueden usarse para hacer cosas como robar su identidad o paralizar una red completa con un solo ataque. Cada dispositivo -dispositivos inteligentes de Internet de las cosas (IoT)-, en una botnet se describe como un zombie, debido al hecho de que tanto el dispositivo como su propietario, no saben que están realizándose acciones maliciosas desde allí. Particularmente los dispositivos de IoT son a menudo la forma más fácil en que los atacantes tienen acceso a los sistemas empresariales, por lo que debe restringirse la capacidad de cada dispositivo para abrir conexiones entrantes y requerir contraseñas seguras en todos los sistemas conectados, esto; como parte de las recomendaciones fundamentales, más allá de la lista contra el ransomware citada supra, en este mismo artículo.
En tercer lugar, figuran las políticas y los procesos desactualizados. Es penoso, pero es una realidad. Un buen porcentake de empresas públicas y privadas escriben los postulados del gobierno de TI, de la seguridad de la información y luego se olvidan de mantener esos instrumentos vigentes, acordes a la realidad actual, con disciplina de revisión continua.
Esta amenaza es gran medida autoinfligida. El número de vulnerabilidades emergentes aumenta exponencialmente día a día, ¡es una parafernalia que no se detiene!
Los procesos y las políticas de una organización deben permitir la agilidad y la velocidad para que la organización pueda pivotar y responder rápida y automáticamente debido a las ciberamenazas. Cada día nos encontramos organizaciones que se han quedado atrás o incluso descuidado por completo los procesos de actualización, cargando una enorme deuda técnica que expande sin cesar su propia superficie de ataque.
La recomendación en este acápite es que medida que se realizan cambios -cuales sean-, los procesos y las políticas relacionadas deben ser revisados, actualizados, probados y socializados.
Nuestro cuarto vector son los ataques de hombre en el medio (MitM). Se trata de un tercero que intercepta la comunicación entre dos partes que no sospechan estar siendo escuchadas o que sus comunicaciones están siendo alteradas en alguna forma. Los ataques tipo MitM puede lograrse de diversas maneras: falsificar direcciones IP, direcciones físicas de los dispositivos, a través de servidores proxy malicioso, a través de la alteración de las cabeceras de un protocolo; (HTTP(s) por ejemplo, o mediante la puesta en escena de algún intermediario o espía en redes que usan medios guiados o no guiados en general.
En fin, un ataque MitM puede ser relativamente simple; incluso se puede emplear para crear un subterfugio sofisticado que redirija a las víctimas a un sitio web o aplicación falsa, altamente realista; que está diseñada para lograr un objetivo nefasto particular. Lo cierto es que, en cualquiera de sus formas, un ataque MitM puede ser devastador, ya que una vez dentro de una red, un intruso puede moverse lateralmente, descubriendo vulnerabilidades que le permitan robar información y/o lograr persistencia iniciando sesión con credenciales “válidas” exfiltradas, por lo que a menudo es difícil detectar la intrusión.
Los ataques MitM a menudo se pasan por alto o se subestiman, porque se suele pensar que la amenaza se puede solucionar con el cifrado de datos en tránsito, pero esto solo aborda una pequeña parte del problema. Este tipo de ataques afectan inclusos ambientes externos o remotos como los servicios alojados en nubes.
Se recomienda agregar seguridad basada en “dhcp snooping”, usando características de seguridad para los puertos de red, la inspección del protocolo de resolución dinámica de direcciones (dynamic Address Resolution Protocol (DARP)), así como actualizar a IPv6. También sugiere reemplazar a ARP con un protocolo más nuevo llamado Protocolo de descubrimiento de vecinos (Neighbor Discovery Protocol (NDP)).
Nuestro quinto vector es el compromiso de correo electrónico comerciales (Business Email Compromise (BEC)) el cual es una seria amenaza que enfrentan las organizaciones de todos los tamaños, en todas las industrias.
Para entenderlo, debemos regresar a nuestro primer vector; el ransomware… pues el correo es el principal medio de distribución para esta amenaza. BEC ofrece la capacidad de dirigir el ataque a la organización objetivo. Sumarle a esto que a medida que las organizaciones adoptan cada vez más políticas de acceso condicional y reducen su superficie de ataque, los visos de oportunidad los ofrece el correo electrónico. Si Señores, el phishing y todas sus variantes son esa alcantarilla o cloaca para entrar a la fortaleza. ¡Claro! Ahora entendemos porque hacemos tanto ruido alrededor de la concienciación y la alfabetización digital en ciberseguridad.
Un ataque BEC conduce directamente al compromiso de credenciales. Es un tipo de ataque difícil para detectar y bueno, es claro que, robados los datos; es uno de los vectores en el que el atacante ingresa por la puerta principal con credenciales válidas. Con las credenciales comprometidas, puede obtener acceso a controles críticos e información confidencial en toda la organización
Por cierto, desde 2019 se ha visto un aumento del 50% en el uso de servicios de VPN para acceder a cuentas comprometidas. La razón nuevamente es simple; el uso de estos servicios permite a los atacantes evitar las políticas de acceso condicional como el acceso solo desde ciertos países (Geo-IP).
Gritamos a voces la adopción de mallas de ciberseguridad (Cybersecurity Mesh Architecture (CSMA)), porque la diversidad de herramientas que propician silos de información y dificultan el objetivo de tener visibilidad centralizada y transversal dificulta la detección, inteligencia y la gestión de respuestas ante amenazas.
Esta es una ciberamenaza en el radar global, ¡increíble no! Pero es real, la complejidad cibernética causada por la expansión de las herramientas y la falta de una gestión fácil de la ciberseguridad deja a los equipos de monitoreo y respuesta ante incidentes, abiertos a ciberataques devastadores. Un estudio de
Un estudio de Perimeter81, señala que el 71% de los CIO y ejecutivos relacionados con el tema, creen que un alto número de herramientas cibernéticas hace que sea más difícil detectar ataques activos o defenderse de las violaciones de seguridad.
Volviendo al tema de Zero Trust, la recomendación es confiar en nada y segmentar todo. Asegurarnos de evitar la confianza implícita. Aplicar a todo y a todos los que acceden a la red la autenticación, sin importar dónde, cuándo y a que acceden y quiénes son, ejecutando procedimientos de respuesta de forma rápida y más intuitiva en caso de incidentes. En contraparte, adoptar la filosofía CSMA, para lograr una verdadera visibilidad centralizada y transversal.
Tomado de Marvin Soto con permiso de su autor
No hay comentarios:
Publicar un comentario