¿Podemos mantenernos delante de los cibercriminales?
Imagen: Zdzisław Beksiński
Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad — CSCT™, (ISC)² Certified in Cybersecurity℠ CC, EC-Council Ethical Hacking Essentials (EHE) Certified, Ethical Hacking Certified Associate (EHCA) y líder del Capítulo Querétaro de la Fundación OWASP.
El ransomware ha sido una industria enormemente rentable para las bandas criminales durante los últimos años. El monto total del rescate pagado desde 2020 se estima en al menos $ 2 mil millones de dólares, y esto ha motivado y permitido que los grupos que se benefician de esta actividad se vuelvan más profesionales.
Estos grupos están emulando el ecosistema tecnológico legítimo y buscan mayores eficiencias y ganancias: subcontratan problemas comunes y complejos; subcontratan trabajo; y emplean trabajadores independientes a través de lo que podría denominarse una economía de trabajo de los operadores. La demanda de estos servicios ha llevado a que surjan proveedores de servicios criminales para satisfacer estas necesidades, y en un ciclo casi virtuoso de malicia, esta oferta de servicios de ciberdelincuencia activa todo el panorama de amenazas de ciberdelincuencia.
Los actores ahora pueden comprar malware, infraestructura y phishing como servicio; incluso pueden comprar fácilmente el acceso a las víctimas de los intermediarios de acceso inicial. Este mercado maduro significa que cualquier actor con la motivación (y algo de criptomoneda) puede comprar herramientas maliciosas efectivas e instrucciones sobre cómo usarlas.
No obstante, con la existencia de un mercado de acceso a las víctimas, los incidentes de seguridad pueden evolucionar y cambiar rápidamente. El actor inicial que compromete una red podría vender ese acceso a otro actor que quiera apuntar específicamente a esa víctima, su ubicación vertical o geográfica.
Supongamos que un atacante alcanza el límite de su capacidad técnica y no logra escalar los privilegios en un servidor perimetral. En ese caso, todavía pueden ofrecer ese acceso a la venta, y otro actor más capaz podría entrar y tomar el relevo donde el actor anterior falló.
Además de la naturaleza modular de un solo compromiso en este nuevo ecosistema de ciberdelincuencia profesionalizado, se vuelve más difícil identificar los objetivos del atacante incluso si no hay reventa o transferencia de acceso. Se pueden comprar campañas de phishing, infraestructura prefabricada y malware eficaz para que las herramientas o la infraestructura ya no sean un identificador confiable del atacante activo en un incidente de seguridad.
Sin embargo, los actores que buscan esas ganancias rápidas ahora podrían estar usando exactamente las mismas herramientas y métodos persistentes que los principales grupos de ransomware de extorsión. Es extremadamente difícil diferenciar entre actores hasta que están muy cerca de lograr sus objetivos, por lo que cada incidente de seguridad debe tratarse como si fuera el incidente más grave y peligroso que podría ser.
Se ha observado repetidamente que cuando surge una nueva vulnerabilidad en una pieza de software de Internet de uso común, múltiples actores, desde pandillas de crypto-jacking hasta Amenazas Persistentes Avanzadas respaldadas por naciones, entran en acción y configuran su infraestructura de explotación masiva para apuntar y explotarla. . Al mantenerse al tanto del panorama de amenazas actual y la inteligencia de amenazas que existe, las organizaciones pueden reaccionar rápidamente a las amenazas más recientes.
Para un equipo de seguridad o infraestructura, puede ser el peor sentimiento del mundo descubrir que una red se ha visto comprometida a través de la explotación de una vulnerabilidad que podría haberse parcheado. Aunque es aún peor descubrir que su red se ha visto comprometida porque no parcheó a tiempo.
Las oportunidades para los defensores surgen de este nuevo panorama, sin embargo, si múltiples actores están utilizando las mismas herramientas y métodos, e incluso si es porque son efectivos y eficientes, esa es una superposición en la que se puede enfocar. Los defensores pueden equiparse para enfrentar las herramientas y tácticas comunes, detectar y reconocer las cadenas populares actuales de comportamiento de los atacantes y actuar.
Es posible que no conozca el objetivo final de un actor específico en un compromiso, pero puede:
Conocer a sus enemigos: use la inteligencia de amenazas para mantenerse actualizado sobre las herramientas, los métodos y los objetivos populares de los atacantes. Las grandes tendencias actuales son para el acceso inicial a través de phishing o explotación de servicios vulnerables accesibles externamente.
Las acciones en el objetivo a menudo se logran viviendo de la tierra, es decir, abusando de las herramientas del sistema operativo ya presentes y el uso de marcos comunes de post-explotación de productos básicos como Cobalt Strike, Metasploit y Sliver. Los objetivos comunes de los atacantes son el robo de información, el fraude y la extorsión, es decir, ransomware.
Conocer sus vulnerabilidades: ¿cuáles son sus superficies externas a través de las cuales puede ser atacado? Los servidores web, de correo electrónico y de aplicaciones sin parches siempre han sido grandes objetivos. Aun así, se ha descubierto que incluso la infraestructura de la red, como los cortafuegos de marcas de renombre, contiene vulnerabilidades que han sido explotadas. ¿Cuáles son las rutas de ataque a través de su patrimonio a sus valiosos activos? ¿Existen controles establecidos en torno al acceso a información confidencial o está ejecutando una red plana abierta? ¿Está ejecutando sistemas heredados, Sistemas de Control Industrial o dispositivos de Internet de la Cosas?
Actuar primero: implemente detecciones y controles preventivos para esas herramientas, métodos y rutas comunes, así como controles de acceso y restricciones en torno a datos y funciones. Supervise la actividad inusual en su propiedad, implemente y preste atención a las detecciones de comportamiento basadas en el aprendizaje automático, u obtenga un servicio de detección y respuesta administrada para que lo haga por usted. Instruya proactivamente a su base de usuarios y establezca políticas y procedimientos que aclaren sus responsabilidades y se alineen con sus controles técnicos. Aplique parches de seguridad lo antes posible.
Tener un plan de respuesta a incidentes: si tiene inteligencia de amenazas, autoconciencia, controles y políticas, puede diseñar un plan de acción para que su organización lo siga en caso de un incidente.
Todavía se producirán situaciones impredecibles e impactos durante un incidente de seguridad, pero si ya ha realizado la mayor parte del trabajo, puede tomar medidas mucho más rápido y luego poder concentrarse en los casos extremos impredecibles.
Para más información, visite: https://www.silikn.com/
Se ha observado repetidamente que cuando surge una nueva vulnerabilidad en una pieza de software de Internet de uso común, múltiples actores, desde pandillas de crypto-jacking hasta Amenazas Persistentes Avanzadas respaldadas por naciones, entran en acción y configuran su infraestructura de explotación masiva para apuntar y explotarla. . Al mantenerse al tanto del panorama de amenazas actual y la inteligencia de amenazas que existe, las organizaciones pueden reaccionar rápidamente a las amenazas más recientes.
Para un equipo de seguridad o infraestructura, puede ser el peor sentimiento del mundo descubrir que una red se ha visto comprometida a través de la explotación de una vulnerabilidad que podría haberse parcheado. Aunque es aún peor descubrir que su red se ha visto comprometida porque no parcheó a tiempo.
Las oportunidades para los defensores surgen de este nuevo panorama, sin embargo, si múltiples actores están utilizando las mismas herramientas y métodos, e incluso si es porque son efectivos y eficientes, esa es una superposición en la que se puede enfocar. Los defensores pueden equiparse para enfrentar las herramientas y tácticas comunes, detectar y reconocer las cadenas populares actuales de comportamiento de los atacantes y actuar.
Es posible que no conozca el objetivo final de un actor específico en un compromiso, pero puede:
Conocer a sus enemigos: use la inteligencia de amenazas para mantenerse actualizado sobre las herramientas, los métodos y los objetivos populares de los atacantes. Las grandes tendencias actuales son para el acceso inicial a través de phishing o explotación de servicios vulnerables accesibles externamente.
Las acciones en el objetivo a menudo se logran viviendo de la tierra, es decir, abusando de las herramientas del sistema operativo ya presentes y el uso de marcos comunes de post-explotación de productos básicos como Cobalt Strike, Metasploit y Sliver. Los objetivos comunes de los atacantes son el robo de información, el fraude y la extorsión, es decir, ransomware.
Conocer sus vulnerabilidades: ¿cuáles son sus superficies externas a través de las cuales puede ser atacado? Los servidores web, de correo electrónico y de aplicaciones sin parches siempre han sido grandes objetivos. Aun así, se ha descubierto que incluso la infraestructura de la red, como los cortafuegos de marcas de renombre, contiene vulnerabilidades que han sido explotadas. ¿Cuáles son las rutas de ataque a través de su patrimonio a sus valiosos activos? ¿Existen controles establecidos en torno al acceso a información confidencial o está ejecutando una red plana abierta? ¿Está ejecutando sistemas heredados, Sistemas de Control Industrial o dispositivos de Internet de la Cosas?
Actuar primero: implemente detecciones y controles preventivos para esas herramientas, métodos y rutas comunes, así como controles de acceso y restricciones en torno a datos y funciones. Supervise la actividad inusual en su propiedad, implemente y preste atención a las detecciones de comportamiento basadas en el aprendizaje automático, u obtenga un servicio de detección y respuesta administrada para que lo haga por usted. Instruya proactivamente a su base de usuarios y establezca políticas y procedimientos que aclaren sus responsabilidades y se alineen con sus controles técnicos. Aplique parches de seguridad lo antes posible.
Tener un plan de respuesta a incidentes: si tiene inteligencia de amenazas, autoconciencia, controles y políticas, puede diseñar un plan de acción para que su organización lo siga en caso de un incidente.
Todavía se producirán situaciones impredecibles e impactos durante un incidente de seguridad, pero si ya ha realizado la mayor parte del trabajo, puede tomar medidas mucho más rápido y luego poder concentrarse en los casos extremos impredecibles.
Para más información, visite: https://www.silikn.com/