COVID-19, un año después
El año 2020 fue sin duda decisivo para la ciberseguridad, un año que terminó con la intrusión de SolarWinds, el cual se infiltró en las agencias y organizaciones del gobierno de los Estados Unidos a una escala nunca visto en la historia reciente.
Para los profesionales de ciberseguridad, la naturaleza de este ataque, una intrusión sofisticada y clandestina en las redes de los proveedores que luego se utilizó para “saltar de isla” a otras a lo largo de sus cadenas de suministro, personificó el panorama de amenazas actual según lo reconfigurado por la pandemia.
“Este no es un evento aislado”, señala Tom Kellermann, Jefe de Estrategia de Ciberseguridad, Unidad Comercial de Seguridad de VMware. “Con COVID-19 catalizando la transformación digital y el cambio a los servicios en la nube, este tipo de ataques solo aumentará en frecuencia. Las organizaciones deben darse cuenta de que ya no se trata simplemente de si se puede aprovechar las brechas a lo largo de sus cadenas de suministros para atacarlas, sino de que si las mismas pueden utilizarse para atacar a sus clientes”.
La pandemia hizo más que ampliar la superficie para el ataque: proporcionó el tiempo, el capital y la oportunidad para que el crimen cibernético se industrializara. Los grupos de delitos electrónicos han colaborado para formar empresas avanzadas, que proporcionan ransomware-as-a-service (RaaS), vendiendo puntos de acceso a la red en la dark web (mercado negro) y ejecutando ciberataques destructivos.
Como dice Greg Foss, Estratega Senior de Ciberseguridad de la Unidad Comercial de Seguridad de VMware, “desde el 2019, hemos visto un cambio de los delitos electrónicos por parte de los grupos encubiertos (covert shadow groups) en estos negocios pseudo-legítimos, repletos de canales de servicio al cliente, sitios comerciales claros y métodos de ataque cada vez más sofisticados”.
Aún así, no fueron todas malas noticias durante el 2020. Con el aumento de nuevos métodos de ataque, las organizaciones se han visto obligadas a cambiar su forma de pensar y analizar su enfoque de seguridad en sus aplicaciones, nubes y dispositivos.
“La ciberseguridad se está adaptando a las circunstancias cambiantes”, menciona Rick McElroy, Estratega Principal de Ciberseguridad de la Unidad Comercial de Seguridad de VMware. “La mentalidad de la vieja escuela se ha ido. Los equipos de seguridad se han dado cuenta de que deben cambiar sus arquitecturas, adoptar una mentalidad enfocada en la nube y trabajar juntos para enfrentar los desafíos actuales. El camino que están trazando es bueno”.
A continuación, presentamos un vistazo a lo que vieron las organizaciones durante un año sin precedentes, desde la evolución de los comportamientos de los atacantes hasta el incremento de los delitos electrónicos, y lo que es más importante, lo que los defensores pueden hacer para prepararse para el 2021 y el futuro.
Resultados Importantes
• Los ataques de ransomware son cada vez más sofisticados: casi el 40% de los encuestados dijeron que el ransomware de doble extorsión era la nueva técnica de ataque de ransomware más observada en el 2020.
• Un número creciente de atacantes atacan nuevamente: el 63% de los encuestados presenció respuestas contra incidentes (IR) desde el inicio de la pandemia. La desactivación de las herramientas de seguridad fue la técnica más observada.
• Los atacantes aprovechan una serie de técnicas contra incidentes IR, entre las principales técnicas observadas tenemos: desactivación de herramientas de seguridad (33%); ataques DDoS (denegación de servicio) (26%); desvío de herramientas de seguridad (15%); destrucción de registros de eventos (11%).
• Los equipos de seguridad ahora saben que no se trata de si serán atacados, sino de cuándo, y han adoptado una mentalidad proactiva: el 81% de las organizaciones reportaron tener un programa de búsqueda de amenazas.
• El salto de isla a otra es cada vez más frecuente, ya que los atacantes “saltan” de una red a otra a lo largo de su cadena de suministro: casi la mitad (44%) de los encuestados dijo haber presenciado el salto de isla en más del 25% de todos los compromisos de IR; 13% lo presenció en más del 50% de los compromisos.
• Este año, las principales prioridades de seguridad para las organizaciones incluyen: seguridad para terceras partes/cadena de suministro confiables (24%); seguridad de acceso remoto (24%); seguridad de redes y terminales (22%); controles de identidad y acceso (21%); seguridad de hardware/dispositivos físicos (9%).
Comportamiento del atacante: durante COVID-19, la ola de ataques sofisticados y el aumento del ransomware-as-a-service
En respuesta a la pandemia, las organizaciones han acelerado la adopción de la tecnología en la nube, lo que a su vez ha creado nuevas amenazas de seguridad que los ciberdelincuentes sofisticados han aprovechado como una oportunidad para explotar. La velocidad de la innovación viene con problemas más amplios, como el compromiso de la cadena de suministro. En casos como la intrusión de SolarWinds, el adversario utilizará la red (o nube) de una organización para saltar de una a otra a lo largo de su cadena de suministro. El poder reconocer esta creciente amenaza, la “seguridad para terceros/cadenas de suministro de confianza” fue el área de seguridad de máxima prioridad para las organizaciones para el 2021.
“En el panorama de amenazas actual, las organizaciones deben asumir que los ciberdelincuentes también atacarán a su público”, dijo Kellermann. “El robo se ha convertido en una invasión de hogares, y no solo en una casa, sino en el vecindario”.
Cuando se trata de las técnicas de compromiso de la cadena de suministro más observadas, casi la mitad de los encuestados (46%) seleccionaron atacantes que abusan de las relaciones de confianza al aprovechar las cuentas que pertenecen a proveedores legítimos y otras terceras partes de confianza. Los atacantes que aprovechan la conectividad/redes entre proveedores de terceras partes y empresas (22%) y la faltas en las actualizaciones de software (21%) también obtuvieron una proporción significativa de las respuestas.
“Con frecuencia, las organizaciones descargan los problemas de seguridad en torno a proveedores externos, que incluyen papeleo que requiere mucho tiempo para examinar adecuadamente desde el inicio”, agrega Foss. “Las organizaciones dicen, ‘completaron el cuestionario, pasaron nuestro barómetro’. Incluso si ponen todos los controles correctos en su lugar, los malos actores aún pueden aprovecharse.”
Contra incidentes IR cada vez más destructivo
Una mayoría significativa (63%) de los encuestados presenció contra incidentes IR desde el inicio de la pandemia, muchos de los cuales reflejan la naturaleza cada vez más destructiva del delito cibernético en la actualidad. Por ejemplo, los tipos de contra incidentes IR más observados incluyeron: desactivación de herramientas de seguridad (33%), ataques de denegación de servicio (26%), desvío de herramientas de seguridad (15%), destrucción de registros de eventos (11%), monitoreo de correo electrónico ( 9%) y ataques destructivos (7%).
“Estas respuestas subrayan la importancia de la búsqueda de amenazas”, dice McElroy. “Demuestran que hay un ser humano en el otro extremo del sistema que quiere obtener visibilidad de todo el entorno, mientras implementa malware cada vez más destructivo”.
Foss también señala: “Los atacantes buscan poner el pie en la puerta de su red, luego abrir el cierre una vez que esté seguro, todo muy tranquilo y silencioso al principio, antes de cargar juegos de herramientas más avanzados. Se está convirtiendo en una parte importante del delito electrónico.”
El aumento de RaaS y ransomware de doble extorsión
En el 2020, vimos que el ransomware se generalizó. El 66% de los encuestados reportaron haber sido atacados por ransomware durante el año pasado, gran parte del cual puede haber sido vendido por grupos de delitos electrónicos del dark web como RaaS.
“El ransomware tradicional no va a ningún lado”, dice Foss, “pero hoy en día puede ser difícil saber si ha sido atacado por RaaS o por métodos tradicionales, en gran parte porque los propios grupos de ransomware ahora aprovechan las operaciones de RaaS y los programas de afiliados”.
Peor aún, en un número creciente de casos, estos ataques de ransomware se han vuelto más sofisticados. Por ejemplo, cuando se les preguntó qué nuevas técnicas de ataque de ransomware se observaron más, casi el 40% de los encuestados seleccionaron ransomware de doble extorsión (por ejemplo, cifrado, ex filtración de datos, extorsión). En otras palabras, a medida que las organizaciones se volvieron más efectivas para recuperarse de ataques de ransomware a través de copias de seguridad, los atacantes cambiaron sus tácticas para ex filtrar información confidencial y usarla para chantajear a fin de garantizar ganancias financieras.
“Si hoy te ataca el ransomware, es seguro asumir que el atacante tiene un segundo puesto de mando y control dentro de tu infraestructura”, dice Kellermann. “Y estos métodos solo se expandirán en el 2021; esperamos ver el triple y el cuádruple de ataques de extorsión este año.”
Comportamiento del Defensor: cómo se han adaptado los equipos de seguridad y qué necesitan saber para el 2021
Adaptarse a un nuevo panorama de amenazas
Los defensores al verse obligados a combatir ataques cada vez más sofisticados, en nada menos que en un entorno de trabajo remoto, han intensificado su estrategia. El 81% de los encuestados cuentan ahora con un programa de búsqueda de amenazas. Esto representa un cambio de mentalidad vital, en el que las compañías y los líderes de seguridad no se limitan a defender posibles intrusiones, sino que suponen que ya hay una intrusión que deben descubrir.
“Las organizaciones reconocen que las herramientas de seguridad no les dirán todo”, explica Foss. “Es necesario que seres humanos revisen manualmente la información que se recopila para buscar de forma proactiva pistas y anomalías”.
Ahora bien, es solo cuestión de en qué consisten esas búsquedas de amenazas y con qué frecuencia se llevan a cabo (los estrategas de ciberseguridad de VMware recomiendan hacerlo al menos una vez por semana).
Inversiones y prioridades de seguridad para el 2021
A raíz de la intrusión de SolarWinds y el cambio a entornos en la nube, no es de extrañar que la seguridad para terceros confiables/cadena de suministro de confianza sea la prioridad en materia de seguridad número uno para las organizaciones en el 2021. A esto le siguió la seguridad de acceso remoto (24%), la red y seguridad de terminales (22%), controles de identidad y acceso (21%) y seguridad de hardware/dispositivos físicos (9%).
Este año, veremos los presupuestos de seguridad activados para abordar estas prioridades. Cuando se les preguntó en qué solución de seguridad su organización planeaba invertir más para el 2021, los encuestados compartieron seguridad de red (27%), seguridad en la nube (20%), seguridad de terminales (17%), protección de datos (16%) y servicios de seguridad administrados (12%).
Analizar la pila de seguridad
No hay duda al respecto: el año 2020, y las vulnerabilidades provocadas por COVID-19 sirvieron como catalizador para otra evolución más en la sofisticación y gravedad de los ciberataques. A medida que las organizaciones continúan migrando a redes de nubes públicas y privadas, entornos aptos para “trabajar desde cualquier lugar” y los esfuerzos de transformación digital avanzados, no deberíamos esperar que la oleada de ataques disminuya pronto.
En el lado positivo, la pandemia ha servido como una llamada de atención para los líderes de seguridad como una oportunidad para analizar toda la pila de seguridad. En el 2021, las organizaciones necesitarán la mentalidad, la inversión y las plataformas adecuadas para mantenerse un paso por delante de los atacantes.
Entonces, ¿cuáles son algunas de las mejores prácticas para que los equipos de seguridad se defiendan en el 2021? Esté atento al próximo blog de esta serie con el asesoramiento de expertos de The Howlers.
Metodología de la encuesta de enero de VMware:
VMware realizó una encuesta en línea en enero de 2021 sobre la evolución de las amenazas de ciberseguridad y las tendencias futuras en el 2021. Participaron 180 profesionales de TI, ciberseguridad e IR (incluyendo CTO, CIO y CISO) de todo el mundo. Se pidió a los encuestados que seleccionaran solo una respuesta por pregunta. Debido al redondeo, los porcentajes utilizados en todas las preguntas pueden no sumar el 100%.