La seguridad cibernética es un juego: las empresas deben adaptarse
La seguridad cibernética a menudo se declara como un problema que las organizaciones deben enfrentar, pero es un problema que nunca se solucionará por completo. En lugar de ver la seguridad cibernética como un problema, las organizaciones deben comenzar a ver su seguridad cibernética como un juego y los adversarios cibernéticos como desafiantes en ese juego. La diferencia es que los problemas, como 1 + 1, tienen una respuesta singular. ¿Demasiada carga de tráfico de red para su perímetro de seguridad? Eso es un problema, instale otro firewall: listo. Los juegos, por otro lado, nunca se “terminan”. Los juegos son dinámicos y requieren que los equipos se adapten a los movimientos realizados por una amplia variedad de otros jugadores.
Los desafíos de seguridad actuales involucran a los malos actores que van desde los hacktivistas y el crimen organizado hasta los estados-nación, todos contribuyendo al “Juego de Adversarios” de la seguridad de la información. Se trata de ecuaciones complejas con variables que cambian constantemente. Como resultado, necesitamos soluciones de seguridad cada vez más adaptables que puedan evolucionar rápidamente para abordar los cambios continuos en los ataques de nuestros adversarios, cualesquiera que sean esos cambios.
Los ataques se trasladan a los canales digitales
Tradicionalmente, los equipos de seguridad se han centrado en mantener seguro todo dentro del firewall corporativo. Pero como cualquier juego moderno, las últimas adaptaciones de la batalla de la seguridad cibernética se han extendido a los canales digitales, áreas expuestas más allá del firewall y cada vez más fuera del perímetro. Algunos de los ataques que evolucionan más rápidamente se producen en nuestros canales digitales principales (web, dispositivos móviles y redes sociales), lo que dificulta obtener visibilidad de lo que hacen los adversarios fuera de la red mediante controles de seguridad tradicionales como firewalls, agentes de host y sensores de red.
Esto queda claramente ilustrado por la evolución del phishing. De acuerdo con la Verizon DBIR durante los últimos años, «más de dos tercios de los incidentes que componen el patrón de ciberespionaje han presentado phishing». Aproximadamente el 50% de los objetivos «abren correos electrónicos y hacen clic en enlaces de phishing dentro de la primera hora» después de recibirlos, lo que lleva a un resultado en el que el 60% de las organizaciones objetivo se ven comprometidas «en cuestión de minutos».
La detección del phishing ya no es un problema analizable por humanos, y las reglas de detección estática se han vuelto ineficaces, lo que obliga al jugador del juego de seguridad. Los adversarios están utilizando tecnología de desarrollo de software sofisticada para personalizar y modificar rápidamente sus ataques de phishing, al tiempo que los extienden a todos los canales digitales. Detectar estas amenazas y mantener el ritmo de su ritmo de cambio requiere la implementación de técnicas sofisticadas de automatización y aprendizaje automático (ML).
Los clientes, los empleados y los ingresos se están moviendo hacia los canales digitales, por lo que este es un campo de batalla clave para el juego de la seguridad de la información en la actualidad, y los adversarios están apareciendo aquí armados hasta los dientes.
Como resultado, dos de las nuevas amenazas externas más grandes y de más rápido crecimiento en el juego de la seguridad cibernética son:
1) Phishing a través de las redes sociales
2) Los adversarios desplazan sus recursos de ataque a través de grandes extensiones de infraestructura de amenazas para la ofuscación.
Ataques deshonestos a las redes sociales
Durante los últimos años, los atacantes han estado cambiando sus campañas de phishing desde los tradicionales ataques web y por correo electrónico a las aplicaciones móviles. Más recientemente, han comenzado a utilizar plataformas de redes sociales como Twitter. Estas plataformas son entornos ricos para apuntar con cientos de millones de usuarios creados con autenticidad débilmente verificada. Los delincuentes pueden usar fácilmente temas populares, membresías de grupos o afiliación falsamente reclamada con marcas confiables para apuntar a grupos específicos y hacer que ellos mismos y sus actividades maliciosas parezcan creíbles.
Lo que hace que estos ataques sean especialmente difíciles de detectar y derrotar es su alta velocidad y duración limitada. Muchas campañas solo duran de cinco a ocho horas, y la mayoría de los daños ocurren en las primeras horas.
Encontrar y cerrar cuentas de redes sociales deshonestas incluso 24 horas después de que comience un ataque es similar a cerrar la puerta del granero después de que todos los proverbiales cuadrúpedos hayan sido robados. Si queremos detener estas campañas, debemos detectar los ataques y responder a ellos con mayor rapidez. Esto requiere tecnología que pueda detectar el phishing en todos los canales digitales: web, móvil y redes sociales utilizando el aprendizaje automático para identificar campañas nuevas / modificadas rápidamente, sin conocimiento previo.
Las infraestructuras de amenazas son un objetivo en movimiento
Para agravar este problema, los atacantes están creciendo y escalando rápidamente su infraestructura de amenazas mientras diversifican sus vectores de ataque a través de nuevos canales. Para hacer esto, han adoptado un desarrollo de software ágil y herramientas de implementación rápida basadas en la nube. Los atacantes aprovechan los mismos servicios en la nube y los mismos proveedores de alojamiento de terceros que utilizan las empresas legítimas para ejecutar su infraestructura de manera más económica y eficiente.
Usan esta infraestructura para alojar múltiples copias de cargas útiles y archivos maliciosos, por lo que pueden cambiar rápidamente sus recursos de ataque. Una de las técnicas nuevas más avanzadas que se utilizan para ocultar ataques y evadir el análisis de seguridad es crear servicios de distribución de tráfico en capas (TDS). Se trata esencialmente de secuencias de redirectores para hacer rebotar el tráfico una docena o más de veces en un intento de confundir a los productos de seguridad y a los analistas acerca de dónde se encuentra realmente el destino final (la carga útil maliciosa).
Estas infraestructuras de amenazas avanzadas se utilizan para el phishing; campañas de publicidad maliciosa; distribución de malware más tradicional y, más recientemente, para ayudar a lanzar ataques a través de las redes sociales. Sin embargo, aquí también hay buenas noticias.
Ganar el juego de los adversarios
Hay muchos indicadores que se pueden rastrear y usar para identificar y analizar la infraestructura de amenazas de un adversario como un todo colectivo. Como mínimo, requiere información de registro de certificados PDNS, Whois y SSL, junto con una capacidad automatizada para correlacionarlos con campañas de amenazas conocidas. Con estos indicadores, los analistas de seguridad pueden controlar mejor el juego de la seguridad cibernética, comprender lo que están haciendo los atacantes y trazar su infraestructura para que pueda bloquearse y / o eliminarse de una vez. Esto también tiene el potencial de prevenir futuros ataques antes de que sucedan, cubriendo efectivamente todos los agujeros en la máquina whack-a-mole al mismo tiempo.
El juego de la seguridad cibernética nunca terminará, los atacantes continuarán construyendo nuevas infraestructuras y cambiando de táctica. Sin embargo, al utilizar la tecnología y las técnicas de automatización adecuadas, las organizaciones están en mejores condiciones de detectarlos, detenerlos y aumentar significativamente el costo de hacer negocios para los delincuentes, mientras se protegen a sí mismos y a sus usuarios.
Por Ben Harknett, vicepresidente de EMEA, RiskIQ