Los defensores no están protegiendo los sistemas de una forma que iguale a los métodos de los atacantes, quienes siguen disfrutando de demasiado tiempo para actuar. La dificultad para limitar el espacio operativo de los atacantes es el mayor reto al que se enfrentan las organizaciones, y la mayor amenaza para avanzar en su transformación digital. Las vulnerabilidades hacen ganar tiempo a los atacantes. A través de los exploit kits, campañas de ransomware y spam de ingeniería social, los atacantes aprovechan los sistemas sin parches y los dispositivos obsoletos para lograr sus objetivos. Así se destaca en un nuevo informe sobre Ciberseguridad presentado a la prensa por Eutimio Fernández, director de seguridad de Cisco.
Tal y como se puso de relieve, la infraestructura descatalogada y no actualizada crea oportunidades adicionales para los atacantes, incluyendo un acceso sencillo, una mejor capacidad de ocultación y la posibilidad de maximizar los daños y los beneficios, una situación que se repite a escala global.
Atacantes: ampliando su tiempo para operar
Siempre según el informe de Cisco, el ransomware está dominando el mercado del malware. Aunque no es una amenaza nueva, ha evolucionado hasta convertirse en el tipo de malware más rentable de la historia. En la primera mitad de 2016, las campañas de ransomware dirigidas a usuarios particulares y de empresas se han extendido y potenciado. Se prevé que en el futuro los métodos de propagación serán más rápidos y más eficaces; maximizarán el impacto de las campañas de ransomware y aumentarán la probabilidad de que los adversarios generen ingresos significativos.
Los rescates se pagan en Bitcoins, las negociaciones se realizan a través de ToR, y se usa el protocolo TLS para reforzar la comunicación anónima a través de la web. Para defenderse, las empresas deben realizar copias de seguridad de sus datos críticos en una ubicación protegida y establecer planes para restablecerlos con rapidez después de un ataque.
Las vulnerabilidades de Adobe Flash siguen siendo uno de los principales objetivos del malvertisíng (publicidad maliciosa) y de los kits de explotación. En el conocido kit de explotación Nuclear, Flash sumó el 80% de los intentos de explotación con éxito.
La explotación de vulnerabilidades Windows Binary se ha convertido en el principal método de ataque web en los últimos seis meses. Este método permite al malware afianzarse en las infraestructuras de red y conseguir que los ataques sean más difíciles de identificar y eliminar. A su vez, los métodos de engaño mediante ingeniería social vía Facebook han caído a la segunda posición, desde el primer puesto que ocupaban en 2015.
También se ha detectado una nueva tendencia en ataques de ransomware que explotan vulnerabilidades servidor, especialmente en los servidores JBoss: el 10% de los servidores JBoss conectados a Internet a escala global estaban infectados. Muchas de las vulnerabilidades de JBoss utilizadas para comprometer estos sistemas fueron identificadas hace 5 años.
Una gran parte de la infraestructura tiene vulnerabilidades conocidas. De los más de 100.000 dispositivos de Cisco conectados a Internet que se han analizado, se ha descubierto que:
• Cada dispositivo tenía de media 28 vulnerabilidades conocidas.
• Los dispositivos han estado funcionando con vulnerabilidades conocidas una media de 5,64 años.
• Más del 9% de las vulnerabilidades conocidas tienen más de 10 años.
Y el problema es sistémico para todos los proveedores. Tras analizar más de 3 millones de instalaciones (la mayoría Apache y OpenSSH), descubrireron una media de 16 vulnerabilidades conocidas corriendo durante una media de 5,05 años.
Este problema de infraestructura obsoleta/envejecida y no actualizada es global:
• El 92% de los dispositivos de Internet analizados en 2015 corrían con vulnerabilidades conocidas (con una media de 26 por dispositivo)
• El 31% ya no tenían soporte.
• El 5% estaban descatalogados.
Para complicar aún más los problemas de visibilidad de las organizaciones, los atacantes están incrementando el uso del cifrado como método para ocultar varios componentes de sus operaciones. El malware cifrado HTTPS utilizado en campañas de malvertising creció un 300 por ciento entre diciembre de 2015 y marzo de 2016. El aumento en este tipo de tráfico web puede atribuirse en gran medida a los inyectores de anuncios y el adware. El malware cifrado facilita aún más la capacidad de los adversarios para ocultar su actividad web y ampliar su tiempo de operación. Igualmente, los atacantes recurren a la seguridad de la capa de transporte (TLS), el protocolo utilizado para cifrar el tráfico de la red, para ocultar sus actividades.
Defensores: reduciendo el espacio operativo
Los proveedores han mejorado a la hora de divulgar las vulnerabilidades y sus parches, gracias a las prácticas del ciclo de vida de desarrollo seguro (SDL). Los primeros cuatro meses de 2016 revelaron un aumento en las alertas anuales acumuladas frente a 2015 (3.000 más), y esperamos que se alcancen las 10.000 a final de año.
Sin embargo, aunque muchas veces al mismo tiempo que se hace pública una vulnerabilidad hay un parche disponible, las empresas tardan demasiado en aplicarlo. Y esta brecha proporciona a los atacantes la oportunidad de lanzar exploit kits. Es fundamental acortar este intervalo, considerando el uso de funciones de actualización automática.
Las actualizaciones de navegador son las más sencillas, mientras las aplicaciones empresariales y la infraestructura servidor resultan más complejas sin que afecten a las operaciones. Como ejemplo, un tercio de todos los sistemas Java examinados corren la versión Java SE 6, que ha sido descatalogada por Oracle (la actual versión es la SE 10). En Microsoft Office 2013, versión 15x, el 10% o menos de los usuarios utilizan el último service pack.
Junto al tiempo de parcheo de vulnerabilidades conocidas, también es esencial mejorar el tiempo de detección (TTD) de amenazas desconocidas, que abarca desde que se analiza un archivo comprometido hasta que se detecta como amenaza. Cisco ha logrado reducir el TTD hasta las 13 horas, cuando la media del sector se sitúa entre los 100 y 200 días.
Mientras las organizaciones de sectores críticos como atención sanitaria han experimentado un significativo incremento de los ataques en los últimos meses, todos los segmentos verticales y países son objetivo del malware. Organizaciones benéficas, ONGs y plataformas de comercio electrónico se han enfrentado a un mayor número de ataques en la primera mitad de 2016. Tampoco hay país o región a salvo. El malware es un problema global.
Igualmente, los problemas geopolíticos incluyendo la complejidad regulatoria y las contradictorias políticas de ciber-seguridad de los países complican aún más esta situación. La necesidad de controlar los datos podría limitar y poner en riesgo el comercio internacional ante un escenario de amenazas cada vez más sofisticado.
Recomendaciones
• Aplicar los parches de vulnerabilidades publicadas con mayor rapidez y reemplazar la infraestructura obsoleta.
• Realizar copias de seguridad de los datos críticos y probar su efectividad.
• Mayor ‘higiene de red’, mediante la monitorización y segmentación de la red y el
despliegue de defensas en el extremo (seguridad web y del e-email, Firewalls de
Próxima Generación y sistemas IPS de Próxima Generación).
• Defensas integradas, mediante una aproximación de ‘arquitectura’ de seguridad frente al despliegue de soluciones de nicho e inconexas.
• Medir el TTD, apostando por reducirlo.
Sobre el Informe
El Informe Semestral de Ciber-seguridad 2016 de Cisco examina los últimos análisis de inteligencia frente a amenazas recopilados por la división Cisco Collective Security Intelligence. El Informe proporciona conclusiones clave basadas en datos de la industria sobre las tendencias y amenazas de ciber-seguridad para la primera mitad del año, así como recomendaciones para mejorar las políticas de seguridad. Apoyándose en datos procedentes de los análisis diarios de más de 40.000 millones de puntos de telemetría, los investigadores de Cisco transforman esta inteligencia en protecciones en tiempo real para nuestros productos y servicios, proporcionando dicha protección de forma inmediata a todos los clientes de Cisco en el mundo.