La pandemia de 2020 cambió para siempre la forma en que trabajamos, vivimos, aprendemos y jugamos. Muchos de nosotros ahora accedemos a aplicaciones desde el perímetro de la red en sitios de trabajo remotos, oficinas en casa y mesas de comedor. Los actores de amenazas aprovecharon de forma inmediata esta nueva realidad, utilizando la ansiedad pandémica como un desencadenante de ataques de ingeniería social. Estos ataques se enfocaron cada vez más en la ejecución de ransomware, especialmente atacando víctimas de alto perfil. Asimismo, ha habido un resurgimiento de vulnerabilidades anticuadas, probablemente dirigidas a computadoras en mal estado. Lo sabemos porque lo hemos visto.
VMware publicó su reporte inaugural sobre el panorama de amenazas que CISO y los profesionales de seguridad pueden utilizar para obtener una mejor idea de las amenazas actuales que evaden las defensas de los perímetros. El reporte fue compilado por la Unidad de Análisis de Amenazas de VMware, un equipo de analistas de malware altamente cualificados y profesionales de seguridad de VMware. Este es un resumen del reporte de datos y hallazgos claves que observan millones de redes/segmentos de red desde julio de 2020 hasta diciembre de 2020. El mismo destaca las amenazas que evadieron las defensas del perímetro y que fueron identificadas por los sensores de VMware ubicados dentro del perímetro.
Este reporte detalla específicamente las principales amenazas detectadas que la tecnología de VMware identificó luego de que estas amenazas evadieran los controles de seguridad perimetral actuales.
La Amenaza del Correo Electrónico sigue vigente
Sorprendentemente, o no, el correo electrónico sigue siendo utilizado como el vector de ataque más común para obtener acceso inicial. El análisis muestra que más del cuatro por ciento de todos los correos electrónicos empresariales analizados contenían un componente malicioso. Los autores de correos electrónicos malintencionados son inteligentes e implacables, y están constantemente desarrollando nuevas formas, o al menos diferentes, de engañar y atacar. Aunque las cargas maliciosas que se encuentran en los ataques basados en correos electrónicos cambian frecuentemente, se ha observado que la gran mayoría de los cibercriminales utilizan tres estrategias básicamente: archivos adjuntos maliciosos, enlaces a páginas web maliciosas y engaños para realizar transacciones. Las soluciones de seguridad perimetral como herramientas antivirus, anti-malware y anti-phishing, no son eficaces contra las amenazas avanzadas basadas en correos electrónicos y, por lo tanto, los actores malintencionados continuarán utilizando el correo electrónico como un vector de ataque.
Los atacantes dan prioridad más que nada a la evasión
Observamos que la evasión de la defensa es la táctica MITRE ATT&CK más utilizada por el malware, seguida de la ejecución y el descubrimiento. Lo primero que hace un actor de amenaza es evadir la detección. Los actores malintencionados están mejorando en la evasión y están recurriendo cada vez más a tipos de archivos raros o esotéricos para aumentar la probabilidad de evadir tecnologías de seguridad poco sofisticadas. Una vez que se logra la evasión, es esencial que el malware se torne persistente dentro de su entorno mediante la ejecución de artefactos maliciosos que le permiten comenzar a descubrir procesos del sistema y activos de red.
Uso generalizado del protocolo de escritorio remoto para el movimiento lateral
Más del 75% de los eventos de difusión lateral observados se realizaron mediante el Protocolo de Escritorio Remoto, que a menudo utiliza credenciales robadas para iniciar sesión en otros hosts de la red. Aunque hay varias formas diferentes de propagarse lateralmente, el inicio de sesión en hosts a través de RDP utilizando contraseñas de texto no cifrado expuestas a través de la red, cuentas válidas o credenciales forzadas sigue siendo la técnica más común.
Al proporcionar visibilidad y contexto autoritativo, este reporte debería alentar a los equipos de seguridad empresarial a pensar de forma más audaz en cómo proteger a los usuarios, las aplicaciones y los datos en el mundo moderno y de nube múltiple de hoy en día. Hay demasiadas superficies por defender, demasiados silos y demasiados pocos contextos. Los profesionales de seguridad ya no pueden simplemente endurecer las defensas de la red y esperar que el perímetro se mantenga. La realidad es que, tan pronto que los actores malintencionados sean capaces de penetrar el perímetro, básicamente tendrán libertad para propagarse lateralmente e infectar más dispositivos, más aplicaciones y más sistemas comerciales.
La seguridad empresarial para redes modernas requiere soluciones que se interconecten, aprovechando la infraestructura para proporcionar un contexto autoritativo de servicios de seguridad distribuidos que tengan puntos de control conectados para interrumpir las amenazas que ya se encuentran en la red. Esta es un área en la que la seguridad de VMware puede ser de ayuda.