Sólo durante el último año, la humanidad ha presenciado sustanciales avances científicos y tecnológicos que sin duda traerán importantes consecuencias a la forma en la que hoy concebimos nuestra realidad; tal es es caso del descubrimiento y posterior confirmación de las ondas gravitacionales, cuya teoría fue propuesta por Einstein hace casi 100 años y que hoy nos brinda una perspectiva distinta de lo que sucede con el tiempo-espacio en el que vivimos. De la misma forma, eventos como el Internet del DNA o el cultivo de organoides para reemplazar células en el cerebro son sólo algunos ejemplos de los avances que nos trajo el 2015 en temas científicos y tecnológicos.
El estado que guarda la Seguridad de la Información ha sido particularmente retador durante el último año, dado que se han tenido que replantear las técnicas tradicionales de defensa, en tanto la sofisticación de los ataques ha evolucionado y el desarrollo de nuevas tecnologías que nos permitan detenerlos también va en aumento. Con esto en mente, Cisco Security ha lanzado su Informe Anual de Seguridad 2016 en donde presentamos ideas, perspectivas e investigaciones sobre estos desafíos que nos permitan cerrar la brecha existente entre atacantes y estrategias de seguridad sustentables.
Como punto de partida debemos establecer que la guerra silenciosa librada en el ciberespacio entre defensores y atacantes es real, pero más aún, ha sido en extremo lucrativa para estos últimos. Ransomware, palabra lamentablmente cada vez más común en el ciberespacio tiene casi todo que ver con esta afirmación, sobre todo cuando hay un mercado de aproximadamente 34M USD en juego a través de este método de ataque y creciendo cada día. Si a esto sumamos el hecho de que mucho del tráfico utilizado para llevar a cabo estos ataques ha sido encriptado, el panorama no luce nada alentador, sin embargo aún tenemos métodos que pueden ayudar a disminuir la superficie de ataque y el riesgo asociado a este tipo de eventos.
Con esto en mente, demos un vistazo a las secciones más relevantes de nuestro Informe Anual de de Seguridad:
Inteligencia ante amenzas
• Con la ayuda de Level 3 Threat Research Labs y la cooperación del proveedor de alojamiento Limestone Networks, Cisco identificó y neutralizó la operación más grande del kit de ataque Angler en los Estados Unidos, que afectaba a 90 000 víctimas por día y generaba decenas de millones de dólares al año para los artífices de las amenazas por detrás de la campaña.
• SSHPsychos (Group 93), uno de los botnets de ataque de denegación de servicio distribuido (DDoS) más grandes jamás observado por los investigadores de Cisco, fue debilitado considerablemente gracias a los esfuerzos combinados de Cisco y Level 3 Threat Research Labs. Como el caso de estudio Angler antes mencionado, este éxito apunta al valor de la colaboración en el sector para combatir a los atacantes.
• Las extensiones de navegador maliciosas son un problema generalizado y pueden ser una fuente importante de filtración de datos para las empresas. Calculamos que más del 85% de las organizaciones estudiadas son afectadas por extensiones de navegador maliciosas.
• El análisis de malware validado como “malo conocido” de Cisco determinó que la mayor parte del malware (91,3%) usa el servicio de nombre de dominio (DNS) para realizar campañas. Mediante una investigación retrospectiva de consultas de DNS, Cisco descubrió que en las redes de clientes se estaban usando solucionadores de DNS “no autorizados”. Los clientes no estaban al tanto de que sus empleados estaban usando los solucionadores como parte de su infraestructura de DNS.
Perspectivas del Sector
• Al observar las tendencias de 2015, nuestros investigadores sugieren que el tráfico cifrado HTTPS ha llegado a un punto de inflexión: pronto se convertirá en la forma dominante de tráfico de Internet. Si bien el cifrado puede proteger a los consumidores, también puede poner en riesgo la eficacia de los productos de seguridad, lo que dificulta el seguimiento de las amenazas para la comunidad de seguridad. Sumado al desafío, algunos tipos de malware pueden iniciar comunicaciones cifradas a través de un conjunto diverso de puertos.
• Los actores maliciosos están usando sitios web comprometidos creados con la popular plataforma de desarrollo web WordPress para sus actividades delictivas. Allí pueden organizar los recursos de servidores y evadir la detección.
• La infraestructura obsoleta está creciendo y deja a las organizaciones cada vez más vulnerables al riesgo. Analizamos 115 000 dispositivos de Cisco en Internet y descubrimos que el 92% de los dispositivos de la muestra estaba ejecutando software con vulnerabilidades conocidas. Además, el 31% de los dispositivos de Cisco en el campo incluidos en nuestro análisis están en la etapa “fin de venta” y el 8%, en el “fin de vida útil”.
Una mirada hacia delante
• En 2015, los ejecutivos de seguridad mostraron un menor grado de confianza en sus herramientas y procesos de seguridad que en 2014, según el Estudio comparativo sobre capacidades de seguridad 2015 de Cisco. Por ejemplo, en 2015, el 59% de las organizaciones indicó que su infraestructura de seguridad estaba “muy actualizada”. En 2014, el 64% dijo lo mismo. Sin embargo, sus crecientes preocupaciones de seguridad las están motivando a mejorar sus defensas.
• El estudio comparativo muestra que las pymes usan menos defensas que las grandes empresas. Por ejemplo, en 2015, el 48% de las pymes dijo que usaba seguridad web, en comparación con el 59% en 2014. Y el 29% afirmó que usaba herramientas de configuración y revisión en 2015, en comparación con el 39% en 2014. Tales debilidades pueden poner a los clientes empresariales de las pymes en riesgo, ya que los atacantes pueden violar más fácilmente sus redes.
• Desde mayo de 2015, Cisco redujo la media en el tiempo de detección (TTD) de las amenazas conocidas en nuestras redes a unas 17 horas, es decir, menos de un día. Esto supera ampliamente el cálculo actual de TTD del sector, que es 100 a 200 días.
Como conclusión queremos compartir los seis principios que Cisco proponer para lograr una estrategia de defensa ante amenazas:
1. Se necesita una arquitectura de red y seguridad más eficiente para manejar el volumen y la sofisticación en aumento de los artífices de amenazas.
2. Contar con la mejor tecnología de su clase no alcanza para hacer frente al panorama de amenazas actual o futuro; simplemente aumenta la complejidad del entorno de red.
3. Para un mayor tráfico cifrado, se necesitará una defensa ante amenazas integrada capaz de reunir la actividad maliciosa cifrada que hace que determinados productos puntuales se vuelvan ineficientes.
4. Las API abiertas son fundamentales para una arquitectura de defensa ante amenazas integrada.
5. Una arquitectura de defensa ante amenazas integrada requiere menos equipos y software para instalar y administrar.
6. Los aspectos de automatización y coordinación de una defensa ante amenazas integrada ayudan a reducir el tiempo de detección, contención y corrección.