¿Su red necesita un vigilante?

/0 Comentarios/en /por

Supongamos que ha decidido usted abrir un bar. Contrata al mejor decorador, compra la mejor selección de botellas que pueda imaginar y contrata al mejor barman que encuentra. Abre el bar, obtiene una excelente respuesta, e inmediatamente se convierte en el lugar más de moda de la ciudad.

En un mes, está cerrado. Al parecer, dejar entrar —o salir— a cualquiera no es una buena práctica de negocio.

Esto es doblemente válido en el ámbito de la ciberseguridad. Imagine que su empresa no tuviera visibilidad alguna de una fuente de problemas común ni del incumplimiento normativo. Lamentablemente, es posible que sea el caso, ya que muchas empresas todavía no dan prioridad a la inspección del tráfico cifrado.

En primer lugar, veamos qué son las amenazas cifradas: en términos sencillos, la SSL (Capa de conexión segura) puede crear un túnel cifrado para proteger los datos a través de una conexión a Internet. La TLS (Seguridad de la capa de transporte) es una versión más nueva y segura de la SSL.

Mientras que los estándares de cifrado TLS y SSL proporcionan ventajas de seguridad legítimas para las sesiones Web y las conexiones a Internet, los cibercriminales cada vez los utilizan más para ocultar malware, ransomware, ataques de día cero, etc. Actualmente, se estima que el 35% de las amenazas están cifradas, porcentaje que va en aumento (Fuente Gartner).

Los problemas son el miedo a la complejidad y la falta de concienciación acerca de la necesidad de inspeccionar el tráfico SSL y TLS — en particular utilizando inspección profunda de paquetes (DPI) — de forma responsable en busca de ciberataques maliciosos. Esta actitud resulta especialmente peligrosa, ya que los controles de seguridad tradicionales no ofrecen la capacidad ni la potencia de procesamiento necesarias para detectar, inspeccionar y mitigar los ciberataques enviados a través del tráfico HTTPS.

En nuestro ejemplo del bar, contratar a un vigilante hubiera marcado la diferencia entre continuar teniendo éxito y tener que cerrar por no controlar el tráfico

o por no controlarlo suficientemente. De forma similar, a medida que la cantidad de amenazas cifradas continúa aumentando, la inspección del tráfico cifrado podría marcar la diferencia entre reconocer y bloquear una amenaza y verse obligado a paliar las consecuencias de un ciberataque perpetrado con éxito.

Imagine que su bar tiene un código de vestimenta. Ya sea ropa discotequera moderna o americana y corbata, sin un vigilante o portero, no hay forma de hacer que se cumpla. Y lo que es peor, sin nadie que controle los abrigos, no se sabría si alguien podría llevar una camiseta de hockey o una camiseta con un mensaje político inadecuado bajo su gabardina de color caqui.

La interacción entre las soluciones de filtrado de contenido y el tráfico cifrado es similar. Con entre un 80 y un 90% del tráfico transmitido a través de conexiones cifradas con HTTPS, sus soluciones de filtrado de contenido pierden toda precisión (Fuente: Google Transparency Report). Tienen una eficiencia limitada a la hora de identificar la página web de destino y de decidir cómo abordar las posibles amenazas. Además, si no puede ver lo que ocurre bajo la superficie, corre el riesgo de que las amenazas pasen desapercibidas.

De forma similar, las soluciones de sandboxing tienen una utilidad limitada cuando se trata de amenazas cifradas. Si un cibercriminal consigue establecer una conexión cifrada entre su controlador y un punto terminal, podría transferir archivos en ambas direcciones—incluidos más archivos de malware. En la mayoría de los casos, las organizaciones tienen una única solución de sandboxing que es capaz de escanear todos los archivos y de asegurarse de que no sean maliciosos antes de permitir su acceso.

Sin embargo, si la comunicación está cifrada, la solución de sandboxing pierde su utilidad, ya que no le permite capturar los archivos que viajan entre un sistema C2 y el punto terminal. La solución detecta que hay tráfico cifrado entre dos IPs, pero no puede ver lo que está ocurriendo.

En el ejemplo de nuestro vigilante, pongamos que es un profesional experimentado. Tiene una lista mental de las personas conflictivas de los últimos 20 años y puede detectarlos desde lejos. Sin embargo, si no tenemos a alguien en la puerta que reconozca a las personas que pueden constituir un peligro para ellas mismas y para los demás, éstas pueden entrar sin problema al local—y para alguien que no se dedique a detectar a este tipo de personas, son un cliente más hasta que ya sea demasiado tarde.

A veces no se trata simplemente de quién entra en el bar (o en la red), sino de quién sale.  Muchas soluciones de seguridad están diseñadas para prevenir la pérdida de datos. No obstante, el cifrado tiene la capacidad de hacer que ésta pase desapercibida. Gracias a ello, los perpetradores de ataques maliciosos (de dentro y fuera de la organización) pueden robar datos privados o confidenciales sin que nadie se dé cuenta y, una vez que tienen suficiente información para hacerle chantaje, a menudo recurren al ransomware.

Desafortunadamente, los dispositivos de pasarela normales, sin descifrado disponible/activado, no son capaces de identificar este tráfico. Y los riesgos van más allá de los troyanos, el ransomware y el malware; este tipo de exfiltración de datos también podría hacerle incumplir leyes como HIPAA, las normas PCI o el RGPD, lo cual conllevaría multas importantes.

¿Su bar cerró porque los clientes fueron descubiertos saliendo de él con bebidas? ¿O alguien vio a los empleados sacando botellas en un bolso a escondidas? Estos comportamientos no solo son ilegales para ellos, también lo son para usted. Y a veces las multas por incumplimiento, ya sea de ordenanzas locales para bares o de leyes nacionales para organizaciones de gran tamaño, pueden suponer una amenaza para un negocio, o incluso llevar al cierre del mismo.

En ambos casos, la solución es la misma: un defensor valiente y efectivo que sea lo suficientemente inteligente para saber a quién dejar entrar y a quién no—y lo suficientemente experimentado para hacer que se cumpla sin provocar colas en la puerta.

Si desea obtener más información sobre lo que debe hacer para inspeccionar el tráfico cifrado de su organización, haga clic aquí e inscríbase en el último seminario virtual Mindhunter: “¿Su red necesita un vigilante?”, que tendrá lugar el 22 de abril a las 12:00 h CET

Punto de inflexión: El último informe de SonicWall revela altísimos niveles de amenazas y cambios históricos

/0 Comentarios/en /por

La ciberseguridad es un campo dinámico, y cada año observamos la aparición de nuevos vectores de ataque, cambios en los blancos más comunes y mejoras en las técnicas de los cibercriminales.

No obstante, muy pocos años hemos experimentado un cambio como el de 2020.

El año 2020 estuvo marcado por dos eventos históricos: la pandemia de COVID-19 y el ataque de cadena de suministro sufrido por SolarWinds. La pandemia causó una interrupción tan profunda que logró cambiar algo tan básico como nuestra forma de trabajar. El ataque a SolarWinds, por su parte, golpeó duramente al mundo de las TI, provocando una reacción en cadena que afectó a miles de empresas, y desvelando un tipo de brecha inmune a prácticamente todas las defensas existentes.

Entre tanto, los cibercriminales intensificaron sus esfuerzos, convirtiendo en armas las herramientas basadas en la nube y llevando numerosos vectores de amenazas a nuevos niveles. Con demasiada frecuencia, dirigieron sus ataques contra quienes estaban menos equipados para soportarlos: trabajadores remotos inconscientes de los riesgos existentes fuera del perímetro corporativo, instalaciones sanitarias saturadas y escuelas y universidades con dificultades en la transición al aprendizaje remoto.

Los investigadores de amenazas de SonicWall Capture Labs hicieron un seguimiento de estos cambios radicales en tiempo real y ahora presentan sus hallazgos en el Informe de ciberamenazas 2021 de SonicWall. Aquí tiene un avance de lo que han descubierto:

El ransomware alcanza un nuevo récord

Las cifras récord en el precio del Bitcoin ayudaron al ransomware a registrar nuevas cifras máximas: SonicWall observó un aumento interanual del 62% en el número de intentos de ataques de ransomware.

Fue especialmente preocupante la cantidad de intentos de Ryuk, una familia de ransomware más reciente pero que crece rápidamente y continúa adquiriendo nuevas habilidades, así como el fuerte aumento de la cantidad de ataques contra el sector sanitario.

Nuestra tecnología patentada RTDMI mejor que nunca

En 2020, la tecnología SonicWall Real-Time Deep Memory Inspection™ (RTDMI) detectó 268.362 variantes de malware “nunca antes vistas”, lo cual supone un aumento interanual del 74%. Mientras que la capacidad de bloquear en tiempo real nuevos ataques masivos de malware resulta crucial, la tecnología RTDMI también es capaz de mitigar devastadores ataques de canal lateral, como el recientemente descubierto que afecta a los chips M1 de Apple.

El malware de IoT aumenta un 66%

Aunque la cantidad de dispositivos de IoT lleva años creciendo, la pandemia de COVID-19 ha acelerado esta tendencia, incrementando la cifra de ataques a 56,9 millones — un aumento del 66% con respecto a 2019. En Norteamérica, este pico ha sido todavía más pronunciado: los ataques han experimentado un increíble aumento del 152%.

El cryptojacking continúa sin Coinhive

El Bitcoin no fue la única forma de criptomoneda cuyo valor se disparó en 2020: los precios de Monero también aumentaron, ayudando al cryptojacking a alcanzar su cifra máxima en tres años. Sin embargo, las predicciones del fin del cryptojacking no eran del todo erróneas: es cierto que el cryptojacking basado en navegador ha experimentado una caída importante, pero la cantidad de intentos de cryptojacking basado en archivos la han compensado con creces.

Aumentan los intentos de intrusión, cambian los patrones de ataque

En 2020, se observó un aumento global del 112% de los intentos de intrusiones maliciosas — si bien la naturaleza de estos ataques ha cambiado. Los intentos de “directory traversal” pasaron del 21% al 34% del total de los intentos de ataques maliciosos, mientras que los intentos de RCE perdieron fuerza, pasando del 21% al 16%.