Frente a la pandemia silente, en el Reporte sobre el Panorama de Amenazas de VMware 2020 vea qué evadió las defensas de perÃmetro.
Por: Chad Skipper
La pandemia de 2020 cambió para siempre la forma en que trabajamos, vivimos, aprendemos y jugamos. Muchos de nosotros ahora accedemos a aplicaciones desde el perÃmetro de la red en sitios de trabajo remotos, oficinas en casa y mesas de comedor.
Los actores de amenazas aprovecharon de forma inmediata esta nueva realidad, utilizando la ansiedad pandémica como un desencadenante de ataques de ingenierÃa social.
Estos ataques se enfocaron cada vez más en la ejecución de ransomware, especialmente atacando vÃctimas de alto perfil.
Asimismo, ha habido un resurgimiento de vulnerabilidades anticuadas, probablemente dirigidas a computadoras en mal estado. Lo sabemos porque lo hemos visto.
Hoy, VMware publicó su reporte inaugural sobre el panorama de amenazas que CISO y los profesionales de seguridad pueden utilizar para obtener una mejor idea de las amenazas actuales que evaden las defensas de los perÃmetros.
El reporte fue compilado por la Unidad de Análisis de Amenazas de VMware, un equipo de analistas de malware altamente cualificados y profesionales de seguridad de VMware.
Este es un resumen del mismo, con los datos y hallazgos claves que observan millones de redes/segmentos de red desde julio hasta diciembre de 2020.
También se destacan las amenazas que evadieron las defensas del perÃmetro y que fueron identificadas por los sensores de VMware ubicados dentro del perÃmetro.
Este reporte detalla especÃficamente las principales amenazas detectadas que la tecnologÃa de VMware identificó luego de que las mismas evadieran los controles de seguridad perimetral actuales.
La Amenaza del Correo Electrónico sigue vigente según VMWare
Sorprendentemente o no, el correo electrónico sigue siendo utilizado como el vector de ataque inicial más común para obtener acceso.
El análisis muestra que más del cuatro por ciento de todos los correos electrónicos empresariales analizados contenÃan un componente malicioso.
Los autores de correos electrónicos malintencionados son inteligentes e implacables, y están constantemente desarrollando nuevas formas o, al menos diferentes, de engañar y atacar.
Aunque las cargas maliciosas que se encuentran en los ataques basados en correos electrónicos cambian frecuentemente, se ha observado que la gran mayorÃa de los cibercriminales utilizan tres estrategias básicamente:
- Archivos adjuntos maliciosos,
- Enlaces a páginas web maliciosas
- Y engaños para realizar transacciones
Las soluciones de seguridad perimetral como herramientas antivirus, anti-malware y anti-phishing no son eficaces contra las amenazas avanzadas basadas en correos electrónicos y, lo cual explica por qué los actores malintencionados continuarán utilizando el correo electrónico como un vector.
Los atacantes dan prioridad más que nada a la evasión
Observamos que la evasión de la defensa es la táctica MITRE ATT&CK más utilizada por el malware, seguida de la ejecución y el descubrimiento. Lo primero que hace un actor de amenaza es evadir la detección.
Los actores malintencionados están mejorando en la evasión y están recurriendo cada vez más a tipos de archivos raros o esotéricos para aumentar la probabilidad de evadir tecnologÃas de seguridad poco sofisticadas.
Una vez que se logra la evasión, es esencial que el malware se torne persistente dentro de su entorno mediante la ejecución de artefactos maliciosos que le permiten comenzar a descubrir procesos del sistema y activos de red.
Uso generalizado del protocolo de escritorio remoto para el movimiento lateral
Más del 75% de los eventos de difusión lateral observados se realizaron mediante el Protocolo de Escritorio Remoto que, con frecuencia, utiliza credenciales robadas para iniciar sesión en otros hosts de la red.
Aunque hay varias formas diferentes de propagarse lateralmente, el inicio de sesión en hosts a través de RDP utilizando contraseñas de texto no cifrado expuestas a través de la red, cuentas válidas o credenciales forzadas sigue siendo la técnica más común.
Al proporcionar visibilidad y contexto autoritativo, este reporte deberÃa alentar a los equipos de seguridad empresarial a pensar de forma más audaz en cómo proteger a los usuarios, las aplicaciones y los datos en el mundo moderno y de nube múltiple de hoy.
Hay demasiadas superficies por defender, demasiados silos y demasiados pocos contextos.
Los profesionales de seguridad ya no pueden simplemente endurecer las defensas de la red y esperar que el perÃmetro se mantenga.
La realidad es que, tan pronto como los actores malintencionados sean capaces de penetrar el perÃmetro, básicamente tendrán libertad para propagarse lateralmente e infectar más dispositivos, más aplicaciones y más sistemas comerciales.
La seguridad empresarial para redes modernas requiere soluciones que se interconecten, aprovechando la infraestructura para proporcionar un contexto autoritativo de servicios de seguridad distribuidos que tengan puntos de control conectados para interrumpir las amenazas que ya se encuentran en la red.
Esta es un área en la que la seguridad de VMware puede ser de ayuda.
Descargue aquà el reporte para obtener más información sobre las amenazas que evaden las defensas perimetrales y considerar cómo puede aplicar las capacidades avanzadas de detección y prevención de amenazas de VMware para proteger mejor el tráfico de Oriente-Occidente dentro del centro de datos.
Acerca del autor:
Chad Skipper se desempeña como tecnólogo de seguridad global en la unidad de negocios de redes y seguridad de VMware.
Con más de 25 años en seguridad de la información, Chad se ha desempeñado en muchos roles de estratega y tecnólogo de seguridad ejecutivo de endpoint, red, nube y servicios de seguridad alojados en Lastline, adquirido por VMware; Cylance, adquirido por Blackberry; Dell, Cisco, Symantec, además de que es un veterano de la USAF.