Incidentes recientes como WannaCry y Nyetya han demostrado la rápida capacidad de expansión y el creciente impacto de ciberataques que parecen ransomware, pero que son mucho más destructivos.
Esta evolución lleva a prever lo que Cisco denomina ataques de Destrucción de Servicio, que podrían resultar mucho más dañinos que los ataques tradicionales al dejar a los negocios sin posibilidad de recuperación, ya que son capaces de eliminar las redes seguras y de backup que utilizan las organizaciones para restaurar sus sistemas y datos tras un incidente de ciberseguridad.
Así lo confirma el Informe Semestral de Ciber-seguridad (Midyear Cybersecurity Report, MCR) 2017 de Cisco, que destaca también cómo la imparable evolución del Internet de las Cosas en múltiples sectores está incrementando el espacio operativo de los ciberataques y su escalabilidad e impacto potencial. Sus vulnerabilidades de seguridad, listas para explotarse, jugarán un papel fundamental a la hora de facilitar estas campañas de mayor impacto. La reciente actividad de redes botnet compuestas por dispositivos IoT sugiere que algunos ciberdelincuentes podrían estar creando ya las bases para un ataque de grandes dimensiones y alto impacto que tendría incluso el potencial de interrumpir el mismo Internet.
Medir la efectividad de las prácticas de seguridad es esencial. Un menor tiempo de detección, el tiempo que transcurre desde que se analiza un archivo hasta que se detecta como amenaza, resulta crítico para limitar el espacio operativo de los atacantes y minimizar el impacto de las intrusiones.
Cisco ha logrado reducir su tiempo medio de detección desde las más de 39 horas en noviembre de 2015 hasta las cerca de 3.5 horas entre noviembre de 2016 y mayo de 2017. Esta cifra se obtiene mediante telemetría interna de datos procedentes de dispositivos de seguridad de Cisco desplegados a escala global.
Ataques más tradicionales
Durante la primera mitad de 2017, los investigadores de seguridad de Cisco detectaron cambios en las técnicas que utilizan los adversarios para distribuir, ocultar y evitar la detección del malware. En concreto, los ciberatacantes recurren cada vez más a la interacción de las víctimas para activar las amenazas, haciendo clic en un enlace o abriendo un archivo. También crean malware “sin archivo” que reside completamente en memoria y es más difícil de detectar o investigar, ya que se elimina al reiniciar el dispositivo. Además, utilizan infraestructura anónima y descentralizada –como servicios proxy de la red Tor– para ocultar las actividades command and control.
Aunque Cisco ha detectado un notable descenso en el uso de kits de explotación (exploit kits), están resurgiendo otros tipos de ataque más tradicionales: spam, spyware y adware, y ransomware como servicio.
“Nuestros adversarios son cada vez más creativos a la hora de diseñar sus ataques, como lo demuestran incidentes recientes como WannaCry y Nyetya. Aunque la mayoría de organizaciones están tomando medidas para mejorar su seguridad tras un incidente, se trata de una lucha constante por vencer a los atacantes. Una seguridad verdaderamente efectiva comienza por mitigar las vulnerabilidades básicas y convertir la ciberseguridad en una prioridad de negocio”, explicó Steve Martino, vicepresidente y CISO en Cisco.
Consejos de Cisco
Según el estudio, sólo dos terceras partes de las organizaciones investigan las alertas de seguridad, y en ciertos sectores (como salud y transporte), esta cifra se reduce a cerca del 50%. Además, incluso en los sectores más proactivos (como el financiero) las organizaciones están mitigando menos de la mitad de las amenazas identificadas como legítimas o no maliciosas.
Para hacer frente a los crecientes y cada vez más sofisticados ciberataques, Cisco recomienda a las organizaciones adoptar una protección proactiva: mantener la infraestructura y las aplicaciones actualizadas, reducir la complejidad mediante una defensa integrada y limitando el uso de soluciones inconexas, involucrar a los comités directivos con la suficiente antelación para asegurar un correcto entendimiento de los riesgos de seguridad y de las limitaciones de presupuesto, establecer métricas claras y utilizarlas para validar y mejorar las prácticas de seguridad, fomentar la educación de los empleados enfatizando la formación por roles en lugar de la formación genérica, y reforzar las defensas con controles o procesos activos en lugar de pasivos.
Para David Ulevitch, vicepresidente y director general de la división de Seguridad en Cisco: “La complejidad continúa entorpeciendo muchos de los esfuerzos por reforzar la seguridad. Las múltiples soluciones puntuales y no integradas acumuladas a lo largo de los años crean enormes oportunidades para los atacantes, quienes pueden identificar fácilmente vulnerabilidades ignoradas o brechas de seguridad. Para reducir el tiempo de detección con efectividad y limitar así el impacto de los ataques, los proveedores de soluciones debemos apostar por una arquitectura más integrada que mejore la visibilidad y simplifique la gestión, facilitando la eliminación de brechas de seguridad”.