ISR Q3 21: 6 pasos para reducir los riesgos de incidentes

El último  Internet Security Report, elaborado por el equipo WatchGuardThreat Lab, recopila un análisis que detalla la evolución y las tendencias de malware a partir de los datos recopilados por 35.180 dispositivos Firebox de todo el mundo. Sus principales hallazgos son:

• A finales de septiembre, los ataques de ransomware ya habían alcanzado el 105% de todo el volumen del año 2020 y seguían en camino de llegar al 150%. Además, el Ransomware como servicio (RaaS) como REvil y GandCrap sigue poniendo las cosas más fáciles a los ciberatacantes menos expertos.
• Kaseya fue el gran incidente de ciberseguridad durante ese trimestre y de nuevo puso de manifiesto los riesgos que corren las organizaciones por los ciberataques de cadena de suministro.
• Un 67,2% del malware detectado por los dispositivos fue Zero Day, es decir, desconocido. Además, casi la mitad de malware (47%) llegó a través de conexiones cifradas (TLS). Aunque la mayoría no es malware avanzado, constituye un dato preocupante.
• Las vulnerabilidades, tanto de versiones antiguas como de las más recientes de Microsoft Windows y Office, continúan siendo un gran vector de entrada para que los ciberatacantes introduzcan su malware.
• La gran mayoría de ciberataques (81%) entre los 4.095.320 incidentes detectados   contuvieron una de las 10 principales firmas de malware. De hecho, solo hubo una nueva firma con respecto al informe anterior y la primera posición (una inyección SQL) mantiene su posición desde el segundo trimestre de 2019.
• Siguen a ritmo record los ataques de script: con un 10% más en el trimestre actualizado que en todo el 2020. Hay que tener en cuenta que hasta los ciberatacantes con conocimientos más limitados pueden emplear fácilmente herramientas de scripting como PowerSploit, PowerWare y Cobalt Strike, que son capaces de evadir las soluciones de detección en el Endpoint que no son sean muy avanzadas.
• Los dispositivos Firebox bloquearon 5,6 millones de dominios maliciosos, incluyendo varios que intentaban instalar en los sistemas software para criptomonedas. Se suele poner el foco en el malware que utiliza como vector los dominios maliciosos creados ad hoc, pero incluso los dominios legítimos pueden verse comprometidos: ocurrió por culpa de un fallo de protocolo en Microsoft Exchange Server que permitió a los recopilar credenciales de muchos dominios a priori seguros.

Este contexto de incidentes que ha dibujado el informe para el Q3 de 2021 no parece que haya disminuido en gravedad en los últimos meses. Por estos motivos, las organizaciones deben adoptar varias medidas con el fin de estar mejor preparadas ante las próximas amenazas:

• Enfoque Zero-Trust: Kaseya demuestra que cualquier software por legítimo y fiable que parezca puede ser un vector de entrada para los ciberatacantes. Por eso, es imprescindible que todas las herramientas y medidas de ciberseguridad partan de una premisa de nula confianza para que cualquier binario sea analizado antes de ser ejecutado en los sistemas de la organización.
• Herramientas de protección, detección y respuesta de endpoints (EPDR) avanzadas:  las herramientas básicas de detección el endpoint pueden pasar por alto los ataques de script y los más desarrollados de tipo Living Off The Land que pueden servirse de malware sin fichero. En estos casos, conviene que incorporen soluciones preparadas para ciberataques de última generación.
• Software y los sistemas actualizados: mantener unos procesos adecuados de actualizaciones y gestión de parches para todo el software de la organización es imprescindible para reducir al máximo el número de vulnerabilidades que pueden explotar los ciberatacantes.
• Protección del acceso a los servidores de Microsoft Exchange y el software de Microsoft Office: ambos se encuentran entre los principales vectores de entrada para ataques a redes corporativas.  Para el caso de Exchange, conviene contar con una herramienta de filtrado de DNS para detectar y bloquear conexiones potencialmente peligrosas. Con respecto a Office, es importante no permitir la ejecución de Macros a menos que hayan sido comprobados con su emisor mediante un canal independiente al correo electrónico.
• Realizar segmentaciones de red: los ciberdelincuentes utilizan herramientas para moverse lateralmente dentro de la organización. En este sentido, no solo es importante contar con herramientas de firewall para filtrar los accesos externos, sino también tener segmentada la red. Así, aunque exista una vulnerabilidad en el servidor, la herramienta del ciberatacante no podrá moverse libremente dentro de los sistemas.
• Regular y auditar los permisos de acceso y administración: cuando se conceden determinados permisos a proveedores (por ejemplo, para realizar despliegues locales de red en la organización), se corre el riesgo de que los ciberatacantes puedan escalar y obtener privilegios mayores para el servidor y todos los sistemas de la organización. Para evitarlo, es importante conceder los mínimos privilegios posibles para que puedan operar.