Entre Log4j, la tensión geopolítica y el ransomware que afecta a hospitales y principales distritos escolares, es más evidente que nunca que la ciberseguridad es un objetivo a perseguir por toda la sociedad. Como orgulloso defensor del Mes de la Concienciación sobre la Ciberseguridad, VMware está creando conciencia sobre las amenazas emergentes al tiempo que proporciona las mejores prácticas para que los equipos de seguridad se defiendan convenientemente contra ellas.
Avivando el fuego: entendiendo los métodos y motivos de los ataques actuales a la ciberseguridad
Una de las amenazas más comunes y destructivas para una organización es el movimiento lateral, una táctica en la que un atacante compromete u obtiene el control de un activo dentro de una red y luego pasa de ese dispositivo a otros dentro de la misma red. Un análisis realizado por VMware Contexa reveló que el 44% de las intrusiones incluían ese movimiento lateral. Los atacantes utilizan este método de entrada para apuntar a los datos y sistemas de gran valor, saltar de una red a otra, filtrar datos y desplegar ransomware, todo ello accediendo a un punto de entrada.
Los actores maliciosos de hoy en día también están incorporando deepfakes en sus métodos de ataque para evadir los controles de seguridad. Un deepfake es un medio de comunicación sintético (audio o vídeo) que se crea en su totalidad o se altera mediante IA o aprendizaje automático para tergiversar de forma convincente lo que alguien hace o dice. En el último Informe Global de Amenazas de Respuesta a Incidentes de VMware, dos de cada tres defensores vieron el uso de deepfakes maliciosos como parte de un ataque, un 13% más desde el año pasado. El correo electrónico fue el principal método de entrega de los deepfakes, lo que se corresponde con el aumento del Business Email Compromise (BEC) en todo el sector.
Como era de esperar, la tensión geopolítica continúa motivando a los actuales ciberdelincuentes, ya que el 65% de los defensores han detectado un aumento de los ciberataques desde que Rusia invadió Ucrania. Estos ataques impulsados por la geopolítica tienen potencial para causar grandes daños. Después de que las web del gobierno y de los bancos ucranios fueran víctimas de un ataque masivo de denegación de servicio distribuido (DDoS), se descubrió un nuevo wiper dirigido a organizaciones ucranias en cientos de máquinas con el fin de borrar los datos de los sistemas objetivo. El potencial de la guerra digital debe tenerse en cuenta en las estrategias de ciberdefensa de las organizaciones, independientemente de su tamaño, sector o ubicación.
Mareas cambiantes: La evolución de las amenazas requiere estrategias de ciberseguridad actualizadas
Los equipos de seguridad deben desarrollar sus estrategias de defensa para hacer frente de manera eficiente y eficaz a los ataques actuales, desde la prevención de los movimientos laterales antes de que se produzcan daños importantes, hasta la incorporación de deepfakes en los programas de formación sobre seguridad. A continuación, se exponen algunas buenas prácticas adicionales para reforzar la protección:
- Centrarse en las cargas de trabajo de manera integral: Muchas empresas se centran en mantener las aplicaciones y dispositivos comprometidos fuera de la red. Pero en lugar de limitarse a buscar comportamientos anómalos y vulnerabilidades en estos puntos de entrada, deben comprender el funcionamiento interno de toda su carga de trabajo.
- Inspeccionar el tráfico en banda: Muchos ataques modernos prosperan disfrazándose de prácticas de TI legítimas. Por ejemplo, utilizando protocolos aceptados (como el LDAP que las empresas utilizan para almacenar nombres de usuario y contraseñas), los atacantes pueden conectarse a sistemas que deberían estar fuera de los límites. No hay que asumir que el tráfico enviado en un envoltorio familiar es seguro.
- Integrar la detección y respuesta de red (NDR) con la detección y respuesta de endpoints (EDR): La tecnología de detección y respuesta emplea la monitorización continua y a tiempo real de los sistemas para detectar e investigar posibles amenazas antes de utilizar la automatización para contenerlas y eliminarlas. Al unir la EDR y la NDR, las empresas pueden tener acceso a un amplio y profundo conjunto de datos para establecer una base de seguridad sólida, y obtener visibilidad tanto en el punto final como en la red, la base de la detección y respuesta ampliada (XDR).
- Adoptar los principios de Zero Trust: Este amplio enfoque de la seguridad asume que cada transacción digital podría ser peligrosa y hace hincapié en las fuertes capacidades de búsqueda de amenazas y de IR con amplia visibilidad para el supuesto de una brecha, así como en una sólida gestión de identidades, accesos y atributos para cada interacción entre usuarios y recursos y entre los propios recursos. Además de la supervisión continua de la seguridad, exige que todos los usuarios estén autentificados y sean capaces de acceder sólo a los sistemas autorizados y relevantes. Esto reduce el radio de explosión de un ataque al desactivar cualquier propagación este-oeste a otros sistemas.
- Búsqueda continua de amenazas: Los equipos de seguridad deben asumir que los atacantes tienen múltiples vías de acceso a su organización. La búsqueda de amenazas en todos los dispositivos puede ayudar a los equipos de seguridad a detectar anomalías de comportamiento, ya que los adversarios pueden mantener una clandestina persistencia en el sistema de una organización.
A pesar de los retos a los que se enfrentan los equipos de seguridad actuales, hay indicios prometedores de que los defensores están adaptando sus respuestas para contraatacar de forma eficaz. Están interrumpiendo cada vez más activamente, hasta el 50% de las veces, las actividades de los ciberdelincuentes. Esto significa que los malhechores pasan menos tiempo dentro de un entorno antes de que se produzca una investigación. Además, los defensores están tomando la iniciativa de adoptar nuevas técnicas, como la aplicación de parches virtuales. Aunque todavía hay un amplio margen de mejora, los defensores son resistentes, ya que han demostrado que, si aprenden continuamente y se adaptan a las nuevas condiciones, pueden capear con éxito incluso la más torrencial tormenta.