Un nuevo informe posterior a la intrusión muestra un aumento en los indicadores de ciberatacantes que se propagan por las redes.

Vectra Networks, líder en la detección en tiempo real de ciberataques en curso, ha anunciado hoy los resultados de la segunda edición de su Informe posterior a la intrusión, un estudio real sobre las amenazas que eluden las defensas perimetrales y lo que hacen los atacantes una vez que acceden a la red.

Los datos del informe se recopilaron durante seis meses a partir de 40 redes de clientes y clientes potenciales con más de 250 000 hosts, y se comparan con los resultados del informe del año pasado. El nuevo informe incluye detecciones de todas las fases de un ciberataque y expone las tendencias en malware , las técnicas de comunicación de los atacantes, el reconocimiento interno, el movimiento lateral y la exfiltración de datos.

Según el informe, se produjo un crecimiento no lineal en las detecciones de movimientos laterales (580 %) y de reconocimiento (270 %), que superó el aumento del 97 % en las detecciones generales en comparación con el año pasado. Estos comportamientos son significativos, ya que muestran signos de ataques dirigidos que han penetrado el perímetro de seguridad.

Mientras que las comunicaciones de comando y control registraron el menor crecimiento (6 %), las detecciones de alto riesgo de Tor y acceso remoto externo aumentaron significativamente. En el nuevo informe, las detecciones de Tor se dispararon más de un 1000 % en comparación con el año pasado y representaron el 14 % de todo el tráfico de comando y control, mientras que el acceso remoto externo se disparó un 183 % con respecto al año pasado.

El informe es el primero en estudiar los túneles ocultos sin descifrar el tráfico SSL mediante la aplicación de la ciencia de datos al tráfico de red. Una comparación entre los túneles ocultos en el tráfico cifrado y el tráfico sin cifrar muestra que HTTPS es preferible a HTTP para los túneles ocultos, lo que indica la preferencia de los atacantes por el cifrado para ocultar sus comunicaciones.

«El aumento de los movimientos laterales y las detecciones de reconocimiento muestra que los intentos de llevar a cabo ataques dirigidos siguen aumentando», afirmó Oliver Tavakoli, director tecnológico de Vectra Networks. «El promedio de bateo de los atacantes no ha cambiado mucho, pero un mayor número de turnos al bate se ha traducido inevitablemente en más golpes».

Puede descargar una copia del Informe posterior a la intrusión en info.vectranetworks.com/post-intrusion-report-2015.

Otras conclusiones clave del estudio incluyen:

• El comportamiento de monetización de las redes de bots creció de forma lineal en comparación con el informe del año pasado. El fraude de clics en anuncios fue el comportamiento de monetización de redes de bots más comúnmente observado, representando el 85 % de todas las detecciones de redes de bots.
• Dentro de la categoría de detecciones de movimientos laterales, los ataques de fuerza bruta representaron el 56 %, la replicación automatizada el 22 % y los ataques basados en Kerberos el 16 %. Aunque solo ocupan el tercer lugar en frecuencia de detección, los ataques basados en Kerberos crecieron de forma no lineal un 400 % en comparación con el año pasado.
• De las detecciones de reconocimiento interno, los escaneos de puertos representaron el 53 %, mientras que los escaneos de la red oscura representaron el 47 %, lo que concuerda bastante con el comportamiento detectado el año pasado.

Los datos del informe posterior a la intrusión se basan en metadatos de clientes y clientes potenciales de Vectra que optaron por compartir métricas de detección de sus redes de producción. Vectra identifica amenazas activas mediante la supervisión del tráfico de red en estos entornos. Se supervisa el tráfico interno de host a host y el tráfico hacia y desde Internet para garantizar la visibilidad y el contexto de todas las fases de un ataque.

El último informe ofrece un análisis de primera mano de las amenazas activas «in situ» que eluden los cortafuegos de última generación, los sistemas de prevención de intrusiones, malware , las soluciones de seguridad basadas en host y otras defensas empresariales. El estudio incluye datos de 40 organizaciones de los sectores de la educación, la energía, la ingeniería, los servicios financieros, la administración pública, la sanidad, el ámbito jurídico, los medios de comunicación, el comercio minorista, los servicios y la tecnología.

Acerca de Vectra Networks

Vectra Networks™ es líder en la detección en tiempo real de ciberataques en curso. La solución automatizada de gestión de amenazas de la empresa supervisa continuamente el tráfico interno de la red para detectar los ciberataques en el momento en que se producen. A continuación, correlaciona automáticamente las amenazas con los hosts que están siendo atacados y proporciona un contexto único sobre lo que están haciendo los atacantes, de modo que las organizaciones puedan prevenir o mitigar rápidamente las pérdidas. Vectra da prioridad a los ataques que suponen un mayor riesgo para el negocio, lo que permite a las organizaciones tomar decisiones rápidas sobre dónde centrar su tiempo y sus recursos. En 2015, Gartner nombró a Vectra «Cool Vendor» en inteligencia de seguridad por abordar los retos de la detección de amenazas tras una brecha de seguridad. Entre los inversores de Vectra se encuentran Khosla Ventures, Accel Partners, IA Ventures y AME Cloud . La empresa tiene su sede en San José, California, y opera en Europa desde Zúrich. Para más información, visite www.vectranetworks.com.

###

Vectra Networks y Threat Certainty Index son marcas comerciales registradas de Vectra Networks en Estados Unidos y otros países. Todas las demás marcas, productos o nombres de servicios son o pueden ser marcas comerciales o marcas de servicio de sus respectivos propietarios.