El acceso remoto a las redes empresariales está aumentando y con ello aumentan las ciberamenazas. Los ciberdelincuentes desarrollan constantemente sus tácticas de ataque.
A medida que la ciberseguridad interna de las empresas se vuelve más protegida y monitoreada, los ciberdelincuentes han evolucionado sus tácticas y se están centrando en nuevos métodos de compromiso que proporcionan una superficie de ataque más grande que nunca. Esto significa que las organizaciones deben mirar más allá de sus límites tradicionales de TI para comprender el alcance completo de las amenazas que podrían conducir a un incidente cibernético.
Amenazas desde afuera
Para comprender mejor este panorama de ataques ampliado, es esencial un análisis continuo de las últimas amenazas, vulnerabilidades y riesgos externos. Esto incluye cualquier amenaza que provenga de las redes internas de las empresas externas, como: B. de proveedores, vendedores y otros terceros, así como amenazas cibernéticas ubicadas en la web clara, profunda y oscura.
Para arrojar luz sobre el estado de la ciberdefensa externa, BlueVoyant compiló recientemente un informe sobre las tendencias emergentes que plantean cuestiones críticas para organizaciones de todo tipo. El informe se basa en observaciones y recopilación de datos derivados del monitoreo continuo de amenazas y la respuesta a los ecosistemas extendidos de las empresas. A continuación, Markus Auer, asesor de seguridad y director de ventas DACH de BlueVoyant, destaca algunos de los hallazgos más importantes.
Phishing cada vez más avanzado y dinámico
Los acontecimientos de los últimos años y el rápido aumento del trabajo remoto han obligado a las empresas a digitalizarse más rápido de lo previsto. Ahora que muchas empresas tienen una gran proporción de su fuerza laboral trabajando desde casa y muchas sucursales físicas están cerradas, la dependencia de las transacciones digitales se ha disparado. Esto también creó más oportunidades para que los piratas informáticos atacaran.
Los analistas ven tácticas de phishing cada vez más sofisticadas que apuntan al eslabón más débil: el usuario final. Los piratas informáticos siempre buscan formas nuevas e innovadoras de llevar a cabo ataques contra empresas y sus usuarios. Han acelerado sus esfuerzos en respuesta a la fuerza laboral distribuida y la creciente digitalización de la economía global.
Los siguientes ejemplos son tres de las muchas tácticas que los actores de amenazas han utilizado cada vez más durante el último año.
- Redirecciones de enlaces de phishing
- Uso de infraestructura DNS dinámica
- Smishing (phishing por SMS)
RDP como vector principal del ransomware
Con la necesidad cada vez mayor de acceso remoto externo a las redes y el aumento de la conectividad de terceros, las tecnologías de asistencia ampliamente utilizadas en las empresas modernas siguen planteando un riesgo importante y son cada vez más el objetivo de los actores de amenazas. Protocolos como RDP (Protocolo de escritorio remoto), SMB (Bloque de mensajes del servidor) y WinRM (Administración remota de Windows) pueden facilitar procesos comerciales importantes, pero también conllevan un mayor riesgo que debe tenerse en cuenta en cualquier análisis de seguridad. RDP en particular parece ser muy popular entre los hackers: el protocolo ha sido explotado con mucha frecuencia y con éxito en el pasado reciente.
Los administradores suelen utilizar RDP, el protocolo propietario de Microsoft que permite a un usuario de una computadora conectarse y controlar una computadora remota, para solucionar un problema en un sistema remoto. En los últimos años se ha vuelto popular en la computación en la nube acceder y/o administrar máquinas virtuales en el entorno de la nube. Desafortunadamente, en muchos casos RDP se convierte en una puerta de enlace cuando el puerto RDP se deja abierto a Internet, p. B. en un sistema olvidado, una instancia de la nube o un segmento de red. Este protocolo, que se descubre y explota fácilmente, puede provocar pérdida de datos, tiempo de inactividad, reparaciones costosas y daños a la reputación de las organizaciones.
En los últimos años, los actores de amenazas han buscado cada vez más puertos RDP abiertos porque pueden encontrar servicios RDP abiertos vulnerables a través de un simple escaneo externo de la red de una organización. Si un puerto RDP se deja abierto en la red de una empresa, es sólo cuestión de tiempo antes de que se convierta en un objetivo para los ciberdelincuentes.
Vulnerabilidades de día cero y sincronización de parches
Las vulnerabilidades de día cero, también conocidas como vulnerabilidades emergentes (EV), representan una amenaza cibernética crítica para las organizaciones porque son impredecibles y urgentes. Casi todas las semanas surgen nuevas vulnerabilidades, y las empresas de todo el mundo y de todos los sectores deben estar constantemente alerta sobre qué vulnerabilidades pueden afectarlas. Uno de los mayores desafíos para mitigar el riesgo en un ecosistema ampliado es garantizar que tanto las empresas como los proveedores no tengan instancias abiertas y sin parches de software vulnerable. El tiempo promedio para comprometerse con un ataque de día cero recién descubierto es de solo dos semanas o menos, por lo que es extremadamente importante responder rápidamente.
A través de sus servicios de monitoreo continuo, empresas como BlueVoyant identifican rápidamente los vehículos eléctricos dentro de sus conjuntos de datos globales compuestos por las infraestructuras de TI externas de organizaciones de todas las industrias y sectores. Pueden informar el descubrimiento de datos y activos específicos dentro de las empresas. Al aprovechar esta capacidad, en la mayoría de los casos, se pueden identificar las vulnerabilidades en cuestión y registrar la tasa de remediación para todas las organizaciones dentro de los datos. Se pueden sacar varias conclusiones sobre cómo deberían responder mejor las empresas a la divulgación de nuevos vehículos eléctricos.
Recomendaciones de mitigación
Para contrarrestar las ciberamenazas provenientes de vulnerabilidades emergentes, se deben tener en cuenta los siguientes hallazgos y recomendaciones en vista de las tendencias mencionadas anteriormente:
- Las amenazas deben rastrearse de forma proactiva
- Para identificar amenazas que evolucionan rápidamente, se debe recopilar información actualizada.
- Construir procesos de seguridad ágiles es de suma importancia
- Es importante tener siempre una visión general de todo el ecosistema externo.
- Se deben priorizar los riesgos y se deben implementar planes de contingencia.
Acerca de BlueVoyant
BlueVoyant combina capacidades de ciberdefensa internas y externas en una plataforma nativa de la nube basada en resultados al monitorear continuamente su red, puntos finales, superficie de ataque, cadena de suministro y la web clara, profunda y oscura en busca de amenazas. La plataforma de defensa cibernética de espectro completo ilumina, valida y repara rápidamente las amenazas para proteger su organización. BlueVoyant aprovecha tanto la automatización impulsada por el aprendizaje automático como la experiencia dirigida por humanos.