Top Network Security Issues, Threats, and Concerns

Ahora que comienza 2021, es un buen momento para reflexionar sobre las amenazas que el grupo Check Point Research vio en 2020 para prepararse para el año que viene. Según el Informe de ciberseguridad 2021, los ataques Sunburst que afectaron a miles de organizaciones gubernamentales y del sector privado fueron solo la punta del iceberg con respecto a los ciberataques de 2020. De hecho, el 87% de las organizaciones experimentaron un intento de explotar una vulnerabilidad conocida.

Además del ataque Sunburst al estilo de un estado-nación, los actores de amenazas con motivación financiera continúan llevando a cabo campañas de malware. Están evolucionando sus técnicas para utilizar phishing de voz (vishing), ransomware de doble extorsión, secuestro de hilos de correo electrónico y ataques dirigidos a infraestructuras de nube. Dicho esto, también hay algunas líneas de plata en el horizonte.

Lea el informe Frost & Sullivan

Principales problemas y tendencias de seguridad de la red

En el Informe de ciberseguridad 2021, el grupo Check Point Research describió los principales problemas, amenazas y tendencias de seguridad de la red de 2020.

#1. Ataques a la cadena de suministro

El 8 de diciembre de 2020, la empresa de ciberseguridad FireEye reveló que habían descubierto el malware Sunburst en su red. La investigación sobre esta infección descubrió una campaña masiva de ciberataques que afectó a 18,000 organizaciones, 425 compañías en la lista Fortune 500 (incluyendo Microsoft) y también dirigida a agencias gubernamentales.

El malware SUNBURST se distribuyó a través de actualizaciones comprometidas del software de administración de red SolarWinds Orion. Los atacantes lograron comprometer SolarWinds mediante un nuevo ataque contra sus cuentas de Office 365, que les permitió falsificar un token de Azure Active Directory para una cuenta privilegiada y utilizar credenciales de administrador comprometidas para obtener acceso al servidor de administración de actualizaciones de la empresa.

Con acceso al servidor de administración de actualizaciones de SolarWinds, los atacantes pudieron modificar las actualizaciones mientras estaban en proceso de desarrollo para incluir el malware de puerta trasera. Este amplio alcance de ataque lo convirtió en el ataque de cadena de suministro conocido más exitoso hasta la fecha. En el ataque SolarWinds, el monitoreo resultó esencial para identificar primero y luego responder al ataque.

La prevención de futuros ataques requiere implementar las mejores prácticas de seguridad tales como:

  • Mínimo privilegio y segmentación de red: estas mejores prácticas pueden ayudar a rastrear y controlar los movimientos dentro de la red de una organización.
  • DevSecOps: la integración de la seguridad en el ciclo de vida del desarrollo puede ayudar a detectar si el software (como las actualizaciones de Orion) se ha modificado maliciosamente.
  • Prevención de amenazas automatizada y caza de amenazas: los analistas de los centros de operaciones de seguridad (SOC) deben defenderse proactivamente contra los ataques en todos los entornos, incluida la red, la terminal, la nube y el móvil.

#2. Vishing

Si bien el phishing es el tipo de ataque de ingeniería social más conocido, otras técnicas pueden ser igual de efectivas. Por teléfono, un visher puede emplear técnicas de ingeniería social para obtener acceso a credenciales y otra información clave, evitar 2FA o persuadir a la víctima para que abra un archivo o instale software malicioso.

Vishing es una amenaza creciente para la ciberseguridad corporativa. En agosto de 2020, CISA y el FBI emitieron una advertencia sobre ataques de vishing, y grupos APT y campañas de malware han utilizado vishing. Un ataque de alto perfil permitió a un adolescente hacerse cargo de varias cuentas de Twitter de celebridades en 2020. La amenaza del vishing solo empeorará a medida que la tecnología de grabación deepfake mejore y esté más disponible.

Vishing es un ataque de baja tecnología, lo que significa que la educación de los empleados es esencial para protegerse contra él. Las empresas pueden educar a sus empleados para que no entreguen información confidencial y que verifiquen de forma independiente la identificación de la persona que llama antes de cumplir con las solicitudes.

#3. ransomware

El ransomware fue una de las ciberamenazas más caras para las organizaciones en 2020. Costó a las empresas 20 mil millones de dólares en 2020, en comparación con 11,5 mil millones de dólares en 2019. En el tercer trimestre de 2020, el pago promedio de rescate fue de $233,817, un aumento del 30% con respecto al trimestre anterior.

En ese trimestre, casi la mitad de todos los incidentes de ransomware incluyeron una doble amenaza de extorsión. Esta innovación está diseñada para mejorar la probabilidad de que la víctima pague el rescate. Lo hace empleando una nueva segunda amenaza además de cifrar archivos, es decir, extraer datos confidenciales y amenazar la exposición pública o la venta de los datos. Si bien las copias de seguridad pueden permitir a una organización recuperarse de un ataque de ransomware sin pagar, la amenaza de una violación de información personal y confidencial proporciona una ventaja adicional al atacante.

El aumento de estos ataques de doble extorsión significa que las organizaciones deben adoptar una estrategia de prevención de amenazas y no depender únicamente de la detección o remediación. Una estrategia centrada en la prevención debe incluir:

  • Soluciones anti-ransomware: las organizaciones deben implementar soluciones de seguridad diseñadas específicamente para detectar y erradicar infecciones de ransomware en un sistema.
  • Gestión de vulnerabilidades: es necesario aplicar parches a los sistemas vulnerables o utilizar tecnologías de parches virtuales, como un sistema de prevención de intrusiones (IPS), para cerrar los vectores de infección de ransomware comunes, como el protocolo de escritorio remoto (RDP).
  • Educación de los empleados: eduque a los empleados sobre los riesgos de abrir archivos adjuntos o hacer clic en enlaces en el correo electrónico malicioso.

#4. Secuestro de hilos

Los ataques de secuestro de hilos utilizan sus propios correos electrónicos en su contra. Después de comprometer una cuenta de correo electrónico interna, un atacante puede responder a un hilo de correo electrónico con un archivo adjunto que contiene malware. Estos ataques aprovechan el hecho de que el hilo de correo electrónico parece legítimo... porque lo es.

El malware bancario Emotet, una de las botnets más grandes, encabezó las clasificaciones de malware y atacó a casi el 20% de las organizaciones globales en 2020. Después de infectar a una víctima, utiliza el correo electrónico de la víctima para enviar archivos maliciosos a nuevas víctimas. Qbot, otro malware bancario, empleó técnicas similares de recopilación de correo electrónico.

Protegerse contra el secuestro de hilos requiere capacitar a los empleados para que observen los correos electrónicos en busca de signos de phishing, incluso cuando provienen de una fuente confiable y, si un correo electrónico parece sospechoso, verificar la identidad del remitente con una llamada. Las organizaciones también deben implementar una solución de seguridad de correo electrónico que utilice IA para detectar phishing y poner en cuarentena los correos electrónicos con archivos adjuntos y/o enlaces maliciosos.

#5. Vulnerabilidad de acceso remoto

El aumento del trabajo remoto a raíz del COVID-19 hizo del acceso remoto un objetivo común de los ciberdelincuentes en 2020. La primera mitad del año vio un aumento dramático en los ataques contra tecnologías de acceso remoto, como RDP y VPN. Casi un millón de ataques contra RDP fueron detectados cada día.

En la segunda mitad, los ciberdelincuentes pasaron a centrarse en portales VPN, puertas de enlace y aplicaciones vulnerables a medida que se conocieron nuevas vulnerabilidades en estos sistemas. La red de sensores Check Point experimentó un aumento en los ataques contra ocho vulnerabilidades conocidas en dispositivos de acceso remoto, incluidos Cisco y Citrix.

Para gestionar los riesgos de vulnerabilidad del acceso remoto, las organizaciones deben parchear los sistemas vulnerables directamente o implementar tecnologías de parcheo virtual como IPS. También deben proteger a los usuarios remotos mediante la implementación de una protección integral de terminales con tecnologías de detección y respuesta de terminales (EDR) para mejorar la remediación y la búsqueda de amenazas.

#6. Amenazas móviles

COVID-19 dominó la esfera de las amenazas móviles. El uso de dispositivos móviles aumentó drásticamente debido al trabajo remoto, al igual que las aplicaciones maliciosas que se hacen pasar por aplicaciones relacionadas con el coronavirus.

Los dispositivos móviles también fueron objetivo de grandes campañas de malware, incluido malware bancario como Ghimob, EventBot y ThiefBot en EE. UU. Los grupos de APT también apuntaron a dispositivos móviles, como la campaña iraní para eludir 2FA para espiar a expatriados iraníes. Las vulnerabilidades notables en dispositivos móviles fueron las debilidades Achilles 400 en los chips Qualcomm y la vulnerabilidad en aplicaciones como Instagram, el sistema de inicio de sesión de Apple y WhatsApp.

Las empresas pueden proteger los dispositivos móviles de sus usuarios con una solución de seguridad móvil liviana para dispositivos no administrados. También deben capacitar a los usuarios para que se protejan a sí mismos instalando solo aplicaciones de tiendas de aplicaciones oficiales para minimizar el riesgo.

#7. Escalada de privilegios en la nube

En nuestra descripción de los principales problemas de seguridad, completamos el círculo con las técnicas de ataque de SolarWinds. A diferencia de los ataques anteriores a la nube, que se basaban en configuraciones erróneas que dejaban expuestos los activos de la nube como los depósitos S3 (y que siguen siendo una preocupación), ahora la propia infraestructura de la nube también está siendo atacada.

Los atacantes de SolarWinds se dirigieron a los servidores de Servicios de federación de Active Directory (ADFS), que también se utilizaron en el sistema de inicio de sesión único (SSO) de la organización para acceder a servicios en la nube como Office 365. En este punto, los atacantes utilizaron una técnica llamada Golden SAML para obtener persistencia y acceso completo difícil de detectar a los servicios en la nube de la víctima.

También fueron notables otros ataques a los sistemas de gestión de identidad y acceso (IAM) en la nube. Se puede abusar de las funciones de IAM utilizando 22 API que se encuentran en 16 servicios de AWS. Estos ataques se basan en un conocimiento profundo de los componentes, la arquitectura y la política de confianza de los proveedores de IaaS y SaaS.

Las empresas necesitan una visibilidad integral en los entornos de nube pública e implementar protecciones nativas de la nube unificadas y automatizadas. Esto permite a las empresas aprovechar los beneficios que ofrece la nube y, al mismo tiempo, garantizar la seguridad y el cumplimiento normativo continuos.

Los ataques a la atención médica no tuvieron precedentes en 2020

El COVID-19 hizo que las organizaciones de atención médica fueran lo más popular para todos, incluidos los ciberdelincuentes. Algunas campañas de malware se comprometieron a abandonar los ataques contra la atención médica, pero las promesas no tenían fundamento: los hospitales seguían siendo el foco de los malware Maze y DopplePaymer.

En octubre, CISA, FBI y DHS publicaron una advertencia sobre ataques contra la atención médica, mencionando el malware Trickbot utilizado para implementar el ransomware Ryuk. Además, los ataques APT patrocinados por la nación se dirigieron a instituciones involucradas en el desarrollo de la vacuna COVID-19.

La atención médica en Estados Unidos fue la más atacada por los ciberatacantes. Check Point Research experimentó un aumento del 71% de septiembre a octubre y un aumento global de más del 45% en noviembre y diciembre.

Forros de plata

Si bien se comprenden las amenazas a los problemas de seguridad de la red de 2020, también es importante tener en cuenta las muchas acciones exitosas de las fuerzas del orden, apoyadas por la comunidad de ciberseguridad, para rastrear y acusar a numerosos individuos y grupos de amenazas involucrados en delitos cibernéticos en todo el mundo.

Algunos ejemplos de operaciones exitosas de aplicación de la ley cibernética en 2020 incluyen:

  • En octubre, la infraestructura Trickbot conectada a más de un millón de hosts infectados fue derribada.
  • La UE encabezó las investigaciones para acabar con las operaciones de Disruptor, en las que 179 vendedores de productos ilícitos fueron arrestados y los bienes ilícitos incautados por las fuerzas del orden.
  • Se han emitido órdenes para los actores de amenazas del grupo APT en Rusia y China.
  • Los esfuerzos liderados por Microsoft, como el derribo de TrickBot, también eliminaron la botnet Necurs.
  • El Centro Nacional de Ciberseguridad Británico (NCSC) eliminó más de 22.000 URL asociadas con estafas relacionadas con el coronavirus.
  • La alianza global de ciberamenazas de la Coalición de Amenazas Cibernéticas (CTC) se unió para compartir los IOC COVID-19.
  • Los investigadores de ciberseguridad continúan encontrando y revelando vulnerabilidades de manera responsable.
  • Check Point encontró y reveló una vulnerabilidad RCE en la nube con una puntuación de riesgo CVE máxima de 10,0 y también la vulnerabilidad SigRed en servidores DNS de Windows.
  • Los investigadores de la industria encontraron errores en Pulse Secure VPN y F5 Big-IP.
  • Se encontraron errores en el malware que ayudan a eliminarlo.
  • Un error de desbordamiento de búfer en Emotet actuó como un interruptor de apagado, lo que permitió el desconexión durante 6 meses, seguido de una retirada de la botnet Emotet en enero de 2021.

Recomendaciones para mantenerse seguro

Las amenazas cibernéticas y las preocupaciones sobre la seguridad de la red de 2020 no se limitan a 2020. Muchas de estas tendencias de ataques continúan y 2021 traerá nuevos problemas de seguridad de red e innovaciones en materia de delitos cibernéticos. Para protegerse contra la evolución del panorama de las amenazas cibernéticas, hemos reunido las siguientes recomendaciones:

  • Centrarse en la prevención en tiempo real: La detección y respuesta de incidentes es importante, pero detectar un ataque una vez que ocurre significa que el daño ya está hecho. Centrarse en la prevención de amenazas en lugar de en la detección limita el daño y el costo asociados con los ciberataques.
  • Asegure todo: Los ciberdelincuentes atacan la fruta del bajo nivel, lo que significa que irán a buscar objetivos fáciles. Las organizaciones necesitan proteger todos los aspectos de su superficie de ataque, incluidos su red, la infraestructura de la nube, los usuarios, los terminales y los dispositivos móviles.
  • Consolidar para ganar visibilidad: Las soluciones independientes de ciberseguridad pueden ser buenas para resolver un problema, pero un lío de soluciones de seguridad desconectadas es abrumador para los equipos de seguridad y da como resultado detecciones perdidas. La unificación de la seguridad hace que los equipos sean más eficientes y más capaces de detectar y responder rápidamente a los ataques.
  • Aplique paradigmas de confianza cero: Los permisos y el acceso excesivos hacen que sea demasiado fácil que un error o una cuenta comprometida se convierta en un incidente de seguridad importante. La implementación de la confianza cero permite a una organización administrar el acceso a los recursos caso por caso, minimizando el riesgo de ciberseguridad.
  • Mantenga actualizada la inteligencia sobre amenazas: el panorama de las amenazas cibernéticas evoluciona constantemente. Las organizaciones necesitan acceso en tiempo real a inteligencia sobre amenazas para protegerse contra las últimas amenazas cibernéticas.

Para obtener más información sobre los principales problemas de seguridad de las redes actuales, consulte el Informe de ciberseguridad 2021 completo. También puede solicitar una revisión de seguridad para identificar los problemas que ponen en riesgo la seguridad de su organización.

Comenzar

Informe de ciberseguridad de 2021

Guía del comprador de ESG SASE

Visión de CISO sobre las tendencias de seguridad de 2020

Temas relacionados

Plan de seguridad en la nube

Folleto de Infinity Total Protection

ESG: la necesidad de una seguridad de red a hiperescala

x
  Comentarios
Este sitio web utiliza cookies para optimizar su funcionalidad y para fines de análisis y marketing.Al seguir usando este sitio web, usted acepta el uso de cookies.Para obtener más información, lea nuestro Aviso de cookies.
Aceptar