Los equipos de seguridad luchan contra amenazas motivadas por la geopolítica y movimientos laterales en las redes internas
En el contexto de la Black Hat USA 2022, VMware ha lanzado su octavo informe anual Global Incident Response Threat Report, que se sumerge en los retos
afrontados por los equipos de seguridad en un entorno dictado por la pandemia, el síndrome de burnout y ciberataques motivados por la situación geopolítica. El 65 por ciento de los defensores afirman que los ciberataques han incrementado desde la invasión Rusia de Ucrania, según los resultados del informe. El estudio también destaca las amenazas emergentes como los deepfakes, ataques a las API y cibercriminales que apuntan hacia el propio personal de respuesta a los incidentes.
“Los cibercriminales están incorporando deepfakes a sus métodos de ataque para evadir los controles de seguridad”, ha alertado Rick McElroy, estratega en ciberseguridad en VMware. “Dos de cada tres participantes en el estudio han detectado deepfakes malignos como parte de un ataque, un aumento del 13 por ciento respecto al año pasado, con emails como el principal método de difusión. Los cibercriminales han evolucionado más allá del uso de vídeo y audio
sintéticos simplemente para operaciones de influencia o campañas de desinformación. Su nueva meta es usar la tecnología deepfake para intervenir en organizaciones y obtener acceso a su entorno”.Entre los hallazgos clave del informe encontramos:
-
Síndrome de burnout generalizado en los equipos
El 47 por ciento del personal de respuesta a incidentes afirman que han experimentado burnout o estés extremo en los últimos 12 meses, un ligero descenso con respecto al 521 por ciento del año pasado. De este grupo, el 69 por ciento (frente al 65 en 2021) de los participantes han considerado dejar su trabajo como consecuencia. Sin embargo, las organizaciones trabajan para combatirlo; más de dos tercios de los participantes declararon que se habían implementado programas de bienestar en sus lugares de trabajo para afrontar el síndrome de burnout.
-
El ransomware incorpora estrategias de ciberextorsión
El predominio de los ataques de ransomware, con frecuencia reforzados por grupos de colaboración entre cibercriminales a través de la dark web, está lejos de terminar. El 57 por ciento de los participantes se han enfrentado a este tipo de ataque en el último año, y dos tercios (66 por ciento) han descubierto colaboraciones entre grupos de ransomwear, mientras que los ciberdelincuentes siguen extorsionando a las organizaciones a través del soborno, la doble extorsión y subastas de datos.
-
Las API son el nuevo horizonte y representan la siguiente barrera contra los ataques.
En un contexto en el que proliferan las cargas de trabajo y las aplicaciones, el 23% de los ataques ponían en riesgo la seguridad de las API. Los tipos de ataque más frecuente a las API incluyen la revelación de datos (hallada por el 42% de los participantes es el último año), los ataques de inyección SQL y API (37% y 34% respectivamente), y ataques de denegación de servicio (33%).
-
Los movimientos laterales conforman el nuevo campo de batalla.
El movimiento lateral se halló en el 25% de todos los ataques, y los cibercriminales llegaron a comprometer desde script hosts (49%) y almacenamiento de documentos (46%) hasta PowerShell (45%), plataformas de comunicación (41%) y .NET para rebuscar por el interior de las redes. Un análisis de la telemetría dentro de VMware Contexa, una nube de inteligencia contra las amenazas que está integrada en los productos de seguridad de VMware, ha
descubierto que tan solo entre abril y mayo de 2022 casi la mitad de las intrusiones conllevaron un caso de movimiento lateral.
“Para la defensa de la creciente superficie de ataque, los equipos de seguridad necesitan un nivel adecuado de visibilidad en todos los dispositivos, cargas de trabajo, usuarios y redes para detectar, proteger y responder ante las ciberamenazas”, ha declarado Chad Skipper, global security technologist de VMware.
“Cuando los equipos de seguridad toman decisiones en base a datos incompletos o imprecisos, su habilidad para implementar una estrategia de ciberseguridad pormenorizada se ve mermada, mientras que sus esfuerzos para detectar y poner fin al movimiento lateral de los ataques se ven obstaculizados por el limitado contexto de sus sistemas”.
A pesar del turbulento paisaje de amenazas que se detalla en el informe, los responsables de respuesta a los incidentes luchan con fuerza y el 87% declara que a veces (50%) o muy a menudo (37%) son capaces de interrumpir la actividad de un cibercriminal. Además, para hacerlo están usando nuevas técnicas. Tres cuartas partes de los participantes declararon que están desplegando parches virtuales como mecanismo de emergencia. En todos los casos,
cuanta más visibilidad tienen los defensores a lo largo de la superficie de ataque, mejor equipados estarán para capear la tormenta.
Metodología
VMware llevó a cabo una encuesta online acerca de tendencias en el panorama de respuesta a incidentes en junio de 2022, con la participación de 125 profesionales de ciberseguridad y respuesta a incidentes de todo el mundo. Los porcentajes en algunas preguntas exceden el 100% ya que se instó a los participantes a escoger todas las opciones válidas. Debido a los redondeos, es posible que la suma de los porcentajes de algunas preguntas no sea el 100%.
