Organizaciones públicas y privadas deberán reducir el espacio operativo de los ciberatacantes

28/07/2016

Susana de Pablos.

Lo destaca el Informe Semestral de #Ciberseguridad 2016 de Cisco.

“A medida que las organizaciones adoptan nuevos modelos de negocio como resultado de la transformación digital, y que las ciberamenazas se vuelven más sofisticadas y rentables, la seguridad es el componente más crítico. Los atacantes permanecen sin detectar y están ampliando su tiempo para operar. Para cerrar esta ventana de oportunidad, las organizaciones deben reforzar su visibilidad de red y mejorar procesos como el parcheo o la retirada de la infraestructura obsoleta”, advierte Marty Roesch, vicepresidente y arquitecto jefe de Seguridad en Cisco.

Reducir la oportunidad de los ciberataques es la mayor prioridad para las organizaciones. Así lo destaca el Informe Semestral de Ciber-seguridad 2016 de Cisco, que examina los últimos análisis de inteligencia frente a amenazas recopilados por la división Cisco Collective Security Intelligence. El Informe proporciona conclusiones clave basadas en datos de la industria sobre las tendencias y amenazas de ciberseguridad para la primera mitad del año, así como recomendaciones para mejorar las políticas de seguridad.

Según este informe, limitar el espacio operativo de los atacantes es el mayor reto al que se enfrentan las organizaciones, y la dificultad para lograrlo es la mayor amenaza de cara a su transformación digital. Hacer frente a futuras cepas de ransomware más sofisticado, el mayor foco en los ataques a la infraestructura servidor, la continua evolución de los métodos de ataque y el creciente uso de tráfico cifrado para ocultar su actividad, son cuestiones para las que las organizaciones están incapacitadas.

Esta incapacidad se debe principalmente al amplio margen de actuación de los adversarios, resultado de una frágil infraestructura, redes infectadas y un lento ratio de detección. En este sentido, la escasa visibilidad a lo largo de la red y de los terminales es un grave problema; de media, las organizaciones tardan hasta 200 días en identificar nuevas amenazas, mientras que Cisco en el primer semestre de 2016 ha logrado reducir el tiempo medio de detección de amenazas desconocidas hasta cerca de 13 horas, frente a las 17,5 horas de media en octubre de 2015.

Una detección más rápida es algo esencial para limitar el espacio operativo de los atacantes y minimizar el daño derivado de las intrusiones. Por otra parte, a medida que los atacantes innovan, las organizaciones siguen teniendo problemas para mantener la seguridad de sus dispositivos y sistemas. Los sistemnas descatalogados y no actualizados crean oportunidades adicionales para los atacantes, incluyendo un acceso sencillo, una mejor capacidad de ocultación y la posibilidad de maximizar los daños y los beneficios, una situación que se repite a escala global.

El ‘malware’ más rentable
Hasta la fecha, el ransomware se ha convertido en el tipo de malware más rentable de la historia. Cisco espera que esta tendencia continúe incluso con ransomware aún más destructivo. Nuevas cepas de ransomware modular podrán cambiar sus tácticas rápidamente para maximizar su eficacia. Por ejemplo, los futuros ataques de ransomware ocultarán su detección limitando el uso de CPU y evitando acciones command-and-control. Estas nuevas cepas se extenderán con mayor rapidez y se auto-replicarán en las organizaciones antes de poder limitarlas.

Mientras las organizaciones de sectores críticos como atención sanitaria han experimentado un significativo incremento de los ataques en los últimos meses, el informe señala que todos los segmentos verticales y países son objetivo del malware. Es más, las organizaciones benéficas, las ONG y las plataformas de comercio electrónico se han enfrentado a un mayor número de ataques en la primera mitad de 2016.

Igualmente, los problemas geopolíticos incluyendo la complejidad regulatoria y las contradictorias políticas de ciberseguridad de los países, complican aún más esta situación. La necesidad de controlar los datos podría limitar y poner en riesgo el comercio internacional ante un escenario de amenazas cada vez más sofisticado.

El tiempo es oro
Para los atacantes, un mayor tiempo para operar sin ser detectados supone mayores beneficios, que durante la primera mitad de 2016 han crecido exponencialmente debido a:

Foco ampliado. Los atacantes están ampliando su foco pasando de explotar vulnerabilidades en dispositivos cliente a ataques dirigidos a los servidores, evitando su detección y maximizando el daño y los beneficios potenciales

  • Las vulnerabilidades de Adobe Flash siguen siendo uno de los principales objetivos del malvertising y de los kits de explotación. En el conocido kit de explotación Nuclear, Flash sumó el 80 por ciento de los intentos de explotación con éxito.
  • Cisco también ha detectado una nueva tendencia en ataques de ransomware que explotan vulnerabilidades servidor, especialmente en los servidores JBoss: el 10% de los servidores JBoss conectados a Internet a escala global estaban infectados. Muchas de las vulnerabilidades de JBoss utilizadas para comprometer estos sistemas fueron identificadas hace 5 años, de forma que el parcheo básico y las actualizaciones de los proveedores podrían haber prevenido dichos ataques con facilidad.

Evolución de los métodos de ataque. Durante la primera mitad de 2016, los adversarios han seguido evolucionando sus métodos de ataque para aprovechar la falta de visibilidad de las organizaciones.

  • La explotación de vulnerabilidades Windows Binary se ha convertido en el principal método de ataque web en los últimos seis meses. Este método permite al malware afianzarse en las infraestructuras de red y conseguir que los ataques sean más difíciles de identificar y eliminar
  • Los métodos de engaño mediante ingeniería social vía Facebook han caído a la segunda posición, desde el primer puesto que ocupaban en 2015.

Mayor capacidad para ocultar el rastro. Para complicar aún más los problemas de visibilidad de las organizaciones, los atacantes están incrementando el uso del cifrado como método para ocultar varios componentes de sus operaciones.

  • Cisco ha detectado un incremento en el uso de Bitcoins, del protocolo TLS y de la red Tor, que permiten la comunicación anónima a través de la web.
  • El malware cifrado HTTPS utilizado en campañas de malvertising creció un 300% entre diciembre de 2015 y marzo de 2016. El malware cifrado facilita aún más la capacidad de los adversarios para ocultar su actividad web y ampliar su tiempo de operación.

Dificultad para reducir vulnerabilidades y oportunidades. En este escenario de ataques sofisticados, recursos limitados e infraestructura obsoleta, las organizaciones tienen problemas para combatir a los adversarios, siendo uno de los principales problemas la ‘higiene de red’ -como el parcheo-, especialmente grave en los sistemas críticos para los negocios. Por ejemplo:

  • En el segmento de navegadores, entre el 75 y el 80 por ciento de los usuarios de Google Chrome (que emplea un sistema de auto-actualizaciones) utilizan la última versión del navegador o la versión anterior.
  • Sin embargo, en el apartado de software, un tercio de todos los sistemas Java examinados corren la versión Java SE 6, que ha sido descatalogada por Oracle (la actual versión es la SE 10).
  • En Microsoft Office 2013, versión 15x, el 10% o menos de los usuarios están utilizando el último service pack.

Este problema es sistémico en todos los proveedores y terminales. Cisco también ha detectado que una gran parte de su infraestructura ya está descatalogada o tiene vulnerabilidades conocidas. De los 103.121 dispositivos de Cisco conectados a Internet que han sido analizados, se ha descubierto que:

  • Cada dispositivo tenía de media 28 vulnerabilidades conocidas.
  • Los dispositivos han estado funcionando activamente con vulnerabilidades conocidas una media de 5,64 años.
  • Más del 9% de las vulnerabilidades conocidas tienen más de 10 años.

Cisco también ha examinado la infraestructura de software de otros proveedores en más de tres millones de instalaciones. La mayoría eran Apache y OpenSSH, con una media de 16 vulnerabilidades conocidas corriendo durante una media de 5,05 años.

Las actualizaciones de los navegadores son las más sencillas de realizar para los terminales, mientras las actualizaciones de aplicaciones empresariales y de la infraestructura servidor resultan más complicadas y por tanto pueden causar problemas de continuidad del negocio. En esencia, cuanto más crítica es la aplicación para las operaciones de negocio, menor la probabilidad de estar actualizada con frecuencia, creando mayores oportunidades para los atacantes.

 

Más información
⇒ Leer el artículo Cómo proteger la actividad de las organizaciones
⇒ Descargar el Informe Semestral de Ciber-seguridad 2016 de Cisco
Leer el Blog de Cisco sobre el informe
Infografía sobre el Informe
⇒ Seguir en Twitter a Cisco España (@cisco_spain) y a Cisco Security: @CiscoSecurity
⇒Perfil de Cisco Seguridad en Facebook
Vídeo en YouTube de los directivos de Seguridad de Cisco:

¿Te ha parecido interesante?

(+1 puntos, 1 votos)

Cargando...

Aviso Legal
Esta es la opinión de los internautas, no de diarioabierto.es
No está permitido verter comentarios contrarios a la ley o injuriantes.
Nos reservamos el derecho a eliminar los comentarios que consideremos fuera de tema.
Su direcciónn de e-mail no será publicada ni usada con fines publicitarios.