Fortinet - Informe de FortiGuard Labs sobre amenazas: La interrupción es la tendencia de amenazas más importante para 2020
5 de marzo de 2021
Bastian Seibel
Fortinet
Fortinet
Cuando FortiGuard Labs de Fortinet analiza el panorama de las amenazas en la última mitad de 2020, a los expertos en seguridad informática solo les viene a la mente una palabra: disrupción. Y esto significa algo más que disrupción empresarial. La primera mitad de 2020 ha exigido cambios rápidos en la forma en que las empresas hacen negocios y se relacionan con sus clientes. Al mismo tiempo, los ciberdelincuentes se han apresurado a explotar los temores y preocupaciones de la pandemia para recopilar información personal o robar datos financieros.
Aunque gran parte de esto continuó en la segunda mitad de 2020, lo que se documenta en el nuevo "Informe sobre el panorama mundial de las amenazas" de FortiGuard Labs es más bien una extensión de esta perturbación inicial a gran escala en todas las verticales y geografías.
Más o menos de la noche a la mañana, el personal de seguridad de TI ha tenido que remodelar sus estrategias de seguridad para defender sus redes corporativas en tres frentes simultáneamente: Los ataques dirigidos a la oficina WFH, los ataques a la cadena de suministro digital y el aumento de los ataques de ransomware a las redes centrales.
1. la oficina en casa sigue siendo un objetivo popular
La barrera que existía entre iniciar sesión en la red corporativa desde una oficina corporativa y desde casa se rompió en muchas empresas en 2020. Las redes corporativas se pusieron patas arriba, y muchos empleados ahora acceden a recursos y aplicaciones de red clave desde sus oficinas en casa. Esta transición se produjo tan repentinamente que hubo poco tiempo para planificar una estrategia de ciberseguridad eficaz. El resultado: cuando una oficina en casa anticuada y a veces insuficientemente protegida es "crackeada", los atacantes ya están un gran paso más cerca de crackear también la red corporativa.
Algunas empresas todavía están tratando de averiguar cómo extender eficazmente la seguridad informática de su empresa a las oficinas domésticas de sus empleados. En la segunda mitad de 2020 en particular, los exploits dirigidos a dispositivos del Internet de las Cosas (IoT), como sistemas de entretenimiento doméstico, routers domésticos y dispositivos de seguridad conectados, se encontraban entre las principales amenazas. Cada uno de estos dispositivos IoT proporciona una nueva superficie de ataque contra la que hay que defenderse.
Mientras tanto, los recursos que antes estaban ocultos detrás de una variedad de soluciones de seguridad de clase empresarial están siendo protegidos en algunas situaciones con poco más que el cifrado SSL. Esto está conduciendo a un mayor éxito de los ciberdelincuentes que atacan las redes domésticas con exploits heredados y luego los utilizan como cabeza de playa desde la que lanzar ataques contra la red corporativa y las aplicaciones y recursos basados en la nube.
2 Las cadenas de suministro digitales están en el punto de mira
Los ataques a las cadenas de suministro tienen una larga historia, pero el asunto SolarWinds ha elevado el debate a un nuevo nivel. FortiGuard Labs rastreó de cerca la información liberada y la utilizó para crear Indicadores de Compromiso (IoCs). La identificación del tráfico relacionado con SUNBURST en diciembre de 2020 muestra que el hack encontró víctimas en todo el mundo, con Five Eyes revelando tasas particularmente altas de IoCs.
3. continúa el ataque del ransomware
La actividad del ransomware se multiplicó por siete en la segunda mitad de 2020 en comparación con la primera mitad del año. El desarrollo continuo del ransomware como servicio, el énfasis en la "caza mayor" (grandes rescates de grandes objetivos) y la amenaza de exponer los datos comprometidos si no se satisfacen las demandas crearon un mercado en la sombra con un crecimiento masivo. A finales de año, estas prácticas se utilizaban como palanca adicional en las campañas de ransomware en una gran proporción de los ataques.
Las campañas de ransomware más activas rastreadas entre julio y diciembre de 2020 fueron "Egregor", "Ryuk", "Conti", "Thanos", "Ragnar", "WastedLocker", "Phobos/EKING" y "BazarLoader". Los sectores objeto de los ataques de ransomware eran diversos e incluían la sanidad, las empresas de servicios profesionales, las organizaciones del sector público y los proveedores de servicios financieros.
Para hacer frente con eficacia al riesgo creciente y en rápida evolución del ransomware, las organizaciones deben introducir cambios fundamentales en la seguridad de sus datos. Junto con el compromiso de la cadena de suministro digital y una fuerza de trabajo que teletrabaja en la red corporativa, existe un riesgo real de que los ataques puedan venir de cualquier parte. Para reducir el riesgo y el impacto de un ataque de ransomware con éxito, deben implantarse soluciones de seguridad basadas en la nube, como SASE, para proteger los dispositivos fuera de la red, soluciones avanzadas de seguridad para puntos finales, como EDR (Endpoint Detection and Response), que pueden interrumpir el malware en medio de un ataque, y estrategias de acceso de confianza cero y segmentación de red que restrinjan el acceso a aplicaciones y recursos en función de políticas.
Tendencias en la propagación de vulnerabilidades
La aplicación de parches es una prioridad constante de las organizaciones para cerrar vulnerabilidades y agujeros de seguridad dentro de una red empresarial. Sin embargo, el reto específico suele ser "¿qué parches?" y "¿cuándo deben desplegarse?". Estas preguntas son difíciles de responder, ya que pocas organizaciones disponen de la escala de datos necesaria para dar una respuesta adecuada. No obstante, Fortinet, con la experiencia de FortiGuard Labs, quiere intentar arrojar algo de luz sobre esta cuestión:
Mediante el seguimiento de la evolución de 1500 exploits durante los dos últimos años, FortiGuard Labs ha podido determinar la rapidez y la amplitud con la que se propagan los exploits. Parece que la mayoría de los exploits, de hecho, no se propagan rápida y ampliamente. Específicamente, de todos los exploits rastreados en los últimos dos años, sólo alrededor del 5% fueron descubiertos por más del 10% de las organizaciones. Si una vulnerabilidad se selecciona al azar, los datos muestran que la probabilidad de que una organización sea atacada es de aproximadamente 1 entre 1000. Alrededor del 6% de los exploits afectan al 1% de las organizaciones en el primer mes, e incluso después de un año, el 91% de los exploits no han superado ese umbral del 1%.
En cualquier caso, sigue siendo aconsejable centrarse en las vulnerabilidades con exploits conocidos y dar prioridad entre estas vulnerabilidades a las que se propagan más rápidamente en la naturaleza. Soluciones especializadas como Greenbone pueden ayudar en este sentido.
Artículo original de Derek Manky, FortinetTraducido del inglés con DeepL
Versión abreviada y corregida por Simon Schmischke