Ataques Informáticos para el 2022
Los ataques a menudo se discuten en términos de amenazas de lado izquierdo o derecho cuando se ven a través de una cadena de ataque como el marco MITRE ATT&CK. En el lado izquierdo de la cadena de ataque se encuentran los esfuerzos realizados antes del ataque, que incluyen estrategias de planificación, desarrollo y armamento. A la derecha está la fase de ejecución de los ataques
El ransomware será más destructivo:
eguirá habiendo una expansión del crimeware y el ransomware seguirá siendo un foco de atención en el futuro. Los atacantes de ransomware ya aumentan el impacto, combinando el ransomware con la denegación de servicio distribuida (DDoS), con la esperanza de abrumar a los equipos de TI para que no puedan tomar acciones de último momento para mitigar el daño de un ataque. Si se añade la “bomba de relojería” del malware wiper, que podría no sólo destruir los datos, sino también los sistemas y el hardware, se crea una urgencia adicional para que las empresas paguen rápidamente. El malware Wiper ya ha hecho un regreso visible, apuntando a los Juegos Olímpicos de Tokio, por ejemplo. Dado el nivel de convergencia observado entre los métodos de ataque de los ciberdelincuentes y las amenazas persistentes avanzadas (APT), es sólo cuestión de tiempo para que se sumen los conjuntos de herramientas de ransomware con las capacidades destructivas como el wiper malware. Esto podría ser una preocupación para los entornos de borde emergentes, las infraestructuras críticas y las cadenas de suministro.
Los ciberdelincuentes utilizan IA para dominar las falsificaciones profundas:
La inteligencia artificial (IA) ya se utiliza de forma defensiva de muchas maneras, como la detección de comportamientos inusuales que pueden indicar un ataque, normalmente de botnets. Los ciberdelincuentes también están aprovechando la IA para frustrar los complicados algoritmos utilizados para detectar su actividad anormal. En el futuro, esto evolucionará a medida que las falsificaciones profundas se conviertan en una preocupación creciente porque aprovecharán la IA para imitar las actividades humanas y podrán utilizarse para mejorar los ataques de ingeniería social. Además, el espacio para crear falsificaciones profundas se reducirá gracias a la continua comercialización de aplicaciones avanzadas. Éstas podrían acabar dando lugar a suplantaciones en tiempo real a través de aplicaciones de voz y video que podrían pasar el análisis biométrico, lo que supondría un reto para las formas seguras de autenticación como las huellas de voz o el reconocimiento facial.
Más ataques contra sistemas de menor alcance en la cadena de suministro:
En muchas redes, Linux ejecuta muchos de los sistemas informáticos de back-end, y hasta hace poco, no ha sido un objetivo principal de la comunidad de ciberdelincuentes. Recientemente, se han detectado nuevos binarios maliciosos dirigidos a Windows Subsystem for Linux (WSL) de Microsoft, que es una capa de compatibilidad para ejecutables binarios de Linux de forma nativa en Windows 10, Windows 11 y Windows Server 2019. Además, ya se está escribiendo malware de botnet para plataformas Linux. Esto amplía aún más la superficie de ataque en el núcleo de la red y aumenta las amenazas de las que es necesario defenderse. Esto tiene ramificaciones para los dispositivos de tecnología operativa (OT) y las cadenas de suministro en general que se ejecutan en plataformas Linux.
Los ciberdelincuentes apuntan a todos lados: tu cartera, el espacio y el hogar
El reto para los defensores en el futuro es mucho más que el creciente número de ataques o la evolución de las técnicas de los cibercriminales. Se están explorando nuevas áreas de explotación que abarcan una superficie de ataque aún más amplia. Esto será especialmente difícil porque, al mismo tiempo, las organizaciones de todo el mundo seguirán ampliando sus redes con nuevos bordes impulsados por el trabajo desde cualquier lugar (WFA), el aprendizaje remoto y los nuevos servicios en la nube. Del mismo modo, el aprendizaje y los juegos conectados en el hogar son actividades habituales y cada vez más populares. Este aumento de la conectividad rápida en todas partes y todo el tiempo, presenta una enorme oportunidad de ataque para los ciberdelincuentes. Los actores de las amenazas destinarán importantes recursos a atacar y explotar los entornos emergentes de los bordes y “en cualquier lugar” de la red extendida, en lugar de dirigirse únicamente a la red principal.
Los ciberdelincuentes prosperan desde el borde:
está surgiendo una nueva amenaza basada en el borde que permite al malware aprovechar el conjunto de herramientas y capacidades existentes dentro de entornos comprometidos para que los ataques y la exfiltración de datos se vean como la actividad normal del sistema y pasen desapercibidos. Los ataques Hafnium en servidores de Microsoft Exchange utilizaron esta técnica para vivir y persistir en los controladores de dominio. Estos ataques son efectivos porque utilizan herramientas legítimas para llevar a cabo sus actividades ilícitas. La combinación de estas técnicas con los troyanos de acceso perimetral (EAD) podría significar que los nuevos ataques se diseñarán para vivir fuera del borde, a medida que los dispositivos de borde se vuelvan más poderosos con más capacidades nativas y, por supuesto, más privilegios. El malware edge podría monitorear las actividades y los datos del borde y luego robar, secuestrar o incluso rescatar sistemas, aplicaciones e información críticos mientras evita ser detectado.
La Dark Web hace que los ataques a la infraestructura crítica sean escalables:
Los ciberdelincuentes han aprendido que pueden ganar dinero revendiendo su malware en línea como un servicio. En lugar de competir con otros que ofrecen herramientas similares, ampliarán su oferta para incluir ataques basados en OT. Pedir un rescate por estos sistemas e infraestructuras críticas será lucrativo para los cibercriminales, pero podría tener consecuencias nefastas como afectar la vida y la seguridad de las personas. Dado que las redes están cada vez más interconectadas, prácticamente cualquier punto de acceso podría ser un objetivo para entrar en la red de TI. Tradicionalmente, los ataques a los sistemas OT eran el dominio de actores de amenazas más especializados, pero tales capacidades se incluyen cada vez más en los kits de ataque disponibles para su compra en la web oscura, lo que los hace disponibles para un conjunto mucho más amplio de atacantes.
La solución
Una plataforma de seguridad basada en una arquitectura de malla de ciberseguridad
El perímetro se ha fragmentado más y los equipos de ciberseguridad suelen operar en silos. Al mismo tiempo, muchas organizaciones están pasando a un modelo multicloud o híbrido. Todos estos factores crean una tormenta perfecta para que los ciberdelincuentes adopten un enfoque holístico y sofisticado. Una arquitectura de malla de ciberseguridad integra los controles de seguridad en y a través de redes y activos ampliamente distribuidos. Las organizaciones pueden beneficiarse de una plataforma de seguridad integrada que protege todos los activos en las instalaciones, en el centro de datos, en la nube o en el borde. Los defensores tendrán que planificar con antelación aprovechando el poder de la IA y el aprendizaje automático (ML) para acelerar la prevención, detección y respuesta a las amenazas. Las tecnologías avanzadas para endpoints como la detección y respuesta (EDR), pueden ayudar a identificar las amenazas maliciosas basándose en el comportamiento.
Asimismo, el enfoque de zero trust network access (ZTNA) será fundamental para el acceso seguro a las aplicaciones con el fin de ampliar las protecciones a los trabajadores móviles y a los estudiantes en línea, mientras que la SD-WAN segura es importante para proteger los bordes de la WAN en evolución. Además, la segmentación seguirá siendo una estrategia fundamental para restringir el movimiento lateral de los ciberdelincuentes dentro de la red y mantener las brechas restringidas a una parte más pequeña.
La inteligencia sobre amenazas procesable e integrada puede mejorar la capacidad de una organización para defenderse en tiempo real, ya que la velocidad de los ataques sigue aumentando. Mientras tanto, en todos los sectores y tipos de organizaciones, los datos compartidos y la colaboración pueden permitir respuestas más eficaces y predecir mejor las técnicas futuras para disuadir los esfuerzos de los criminales. Alinear las fuerzas a través de la colaboración debe seguir siendo una prioridad para interrumpir los esfuerzos de la cadena de suministro de los ciberdelincuentes antes de que ellos lo intenten.