Cisco prevé ataques más destructivosEscrito por Redacción TNI el 25/07/2017 a las 19:22:173470
La rápida evolución de las amenazas y su mayor magnitud podrían derivar en ataques de ‘Destrucción de Servicio’ (DeOS, Destruction of Service), capaces de eliminar las redes seguras y de backup que utilizan las organizaciones para restaurar sus sistemas y datos tras un incidente de ciber-seguridad.
Así se desprende del Informe Semestral de Ciber-seguridad (Midyear Cybersecurity Report, MCR) 2017 de Cisco, que destaca también cómo la imparable evolución del Internet of Things en múltiples sectores está incrementando el espacio operativo de los ciber-ataques y su escalabilidad e impacto potencial.
Incidentes recientes como WannaCry y Nyetya han demostrado la rápida capacidad de expansión y el creciente impacto de ciber-ataques que parecen ransomware, pero que son mucho más destructivos. Esta evolución lleva a prever lo que Cisco denomina ataques de Destrucción de Servicio, que podrían resultar mucho más dañinos que los ataques tradicionales al dejar a los negocios sin posibilidad de recuperación.
El Internet of Things amplía aún más las oportunidades para los atacantes. Sus vulnerabilidades de seguridad, listas para explotarse, jugarán un papel fundamental a la hora de facilitar estas campañas de mayor impacto. La reciente actividad de redes botnet compuestas por dispositivos IoT sugiere que algunos ciber-delincuentes podrían estar creando ya las bases para un ataque de grandes dimensiones y alto impacto que tendría incluso el potencial de interrumpir el mismo Internet.
Medir la efectividad de las prácticas de seguridad es esencial. Un menor Tiempo de Detección, el tiempo que transcurre desde que se analiza un archivo hasta que se detecta como amenaza, resulta crítico para limitar el espacio operativo de los atacantes y minimizar el impacto de las intrusiones. Cisco ha logrado reducir su Tiempo medio de Detección desde las más de 39 horas en noviembre de 2015 hasta las cerca de 3,5 horas entre noviembre de 2016 y mayo de 2017. Esta cifra se obtiene mediante telemetría interna de datos procedentes de dispositivos de seguridad de Cisco desplegados a escala global.
Evolución de las amenazas
Durante la primera mitad de 2017, los investigadores de seguridad de Cisco han detectado cambios en las técnicas que utilizan los adversarios para distribuir, ocultar y evitar la detección del malware.
En concreto, los ciber-atacantes recurren cada vez más a la interacción de las víctimas para activar las amenazas, haciendo clic en un enlace o abriendo un archivo. También crean malware ‘sin archivo’ que reside completamente en memoria y es más difícil de detectar o investigar, ya que se elimina al reiniciar el dispositivo. Además, utilizan infraestructura anónima y descentralizada -como servicios proxy de la red Tor- para ocultar las actividades command and control.
Aunque Cisco ha detectado un notable descenso en el uso de kits de explotación (exploit kits), están resurgiendo otros tipos de ataque más tradicionales:
Retos para las organizaciones
Mientras los ciber-delincuentes siguen incrementando la sofisticación y la intensidad de los ataques, organizaciones de todos los sectores continúan teniendo problemas para cumplir incluso con los requisitos de ciber-seguridad básicos.
La convergencia de las TI (Tecnologías de la Información) y de las TO (Tecnologías de la Operación) en la era del Internet of Things genera problemas de visibilidad y de complejidad para las organizaciones. Según el último Security Capabilities Benchmark Study -estudio realizado por Cisco en el que han participado cerca de 3.000 responsables de seguridad de 13 países- los equipos de seguridad están cada vez más saturados por el creciente volumen de los ataques, traduciéndose en una protección más reactiva que proactiva.
Conclusiones destacadas por sector:
Recomendaciones de Cisco
Para hacer frente a los crecientes y cada vez más sofisticados ciber-ataques, Cisco recomienda a las organizaciones adoptar una protección proactiva:
En el Informe Semestral de Ciber-seguridad 2017 de Cisco ha participado un diverso grupo de diez partners tecnológicos de seguridad, compartiendo datos y estableciendo conclusiones de forma conjunta: Anomali, Flashpoint, Lumeta, Qualys, Radware, Rapid7, RSA, SAINT Corporation, ThreatConnect y TrapX. El ecosistema de partners tecnológicos de seguridad constituye un componente esencial en la visión de Cisco de proporcionar a las organizaciones una seguridad sencilla, abierta y automatizada. |