Siguen aumentando los ciberataques con éxito
Al leer el informe de Verizon sobre investigaciones de filtraciones de datos en 2022, se hace evidente -y también triste- que 2021 fue una vez más un año con considerables ciberataques exitosos:
- Hemos visto brechas que aprovechaban vulnerabilidades zero-day y CVE críticas, algunas múltiples en MS Exchange (Hafnium) y con Log4J.
- El año siguiente a SolarWinds, volvieron a producirse bastantes ataques a la cadena de suministro, como el de Kaseya.
- Sin embargo, muy a menudo, muchas infracciones seguían estando causadas por simples errores y configuraciones erróneas.
El resultado o "fin del juego" de estas brechas -muy a menudo vinculadas a una Amenaza Persistente Avanzada (APT), o deberíamos decir hoy APT "altamente evasiva"- es robar datos o implantar ransomware. Muy a menudo, de hecho, ambos se aprovechan en paralelo, la llamada "doble extorsión".
Un examen más detallado de la rúbrica de ransomware muestra que Verizon observó un aumento del 13% interanual, con lo que el ransomware es responsable del 25% de todos los incidentes de ciberseguridad.
En cuanto al modus operandi de una APT, vemos que un ataque de este tipo en la mayoría de los casos, si no siempre, resulta ser una operación por fases. Esto suscita la pregunta de por qué se sigue prestando tanta atención al resultado de un ataque, el ransomware, en lugar de debatir las similitudes que pueden observarse para llegar a ese "fin del juego".
Por si fuera poco, todas las empresas que sufren una brecha ya tienen desplegada una combinación de soluciones de seguridad, que van desde la red hasta el punto final, aprovechando las firmas y el "nuevo patrón oro", la IA/ML.
El problema de las estrategias preventivas de ciberseguridad
Entonces, ¿por qué sigue ocurriendo una y otra vez? ¿Por qué no podemos detectar y prevenir estos ataques antes de que tengan éxito?
Centrémonos en algunas cifras de investigación para añadir algo de contexto. Por ejemplo, repasemos el número de Vulnerabilidades y Exposiciones Comunes (CVE) con las que debemos lidiar:
- El año pasado se revelaron más de 20.000 nuevas CVE, un 10% más que el año anterior.
Según Tanium, la más antigua descubierta tenía 21 años y surgió en SNMPv2, que todavía se utiliza ampliamente para gestionar dispositivos en una red IP. - Más del 10% de estas CVE están calificadas como "críticas". Son más de 2000. O más de 165 al mes. Aunque no todas sean aplicables a su entorno, tendrá que enfrentarse a muchas de ellas.
- En el primer trimestre de 2022, la National Vulnerability Database (NVD), que observa los CVE, ya cuenta con más de 8.000 CVE (un 25% más que en el mismo periodo del año pasado).
Las estadísticas anteriores son impresionantes, ya que indican la tarea imposible de investigar, detectar y parchear todas ellas en el entorno correspondiente. Simplemente no es posible por la cantidad, pero también por el riesgo de desconectar los sistemas críticos el tiempo suficiente para parchearlos. Por no hablar de los sistemas que no se pueden parchear en absoluto porque no se atreven a tocarlos...
El problema de las estrategias preventivas y correctivas se hace aún más evidente cuando se empiezan a examinar los ataques que se han producido realmente, aprovechando estos CVE:
- El 75% de los ataques en 2020 utilizaron vulnerabilidades de más de 2 años de antigüedad, según informó Check Point en su Informe de Ciberseguridad 2021.
El 18% tenía incluso al menos 7 años ...
- La mayoría de estos CVE críticos se habían convertido en armas/explotado mucho antes de que el CVE se publicara y se pusiera a disposición de los cazadores de amenazas.
Según Palo Alto Networks, estamos hablando del 80% de los exploits públicos publicados antes de que el CVE se hiciera público.
Hubo una media de 23 días antes de que se publicara el CVE.
- Por último, el tiempo medio de remediación (MTTR) sigue rondando los 58 días, según Edgescan.
Y no olvides añadir la media de 23 días antes de que se publicara la CVE.
Una mirada sobria a estos datos revela, me atrevo a decir, que los enfoques basados en firmas, ya sea para prevenir amenazas o detectarlas (después de los hechos), simplemente no son suficientes para mantener su patrimonio libre de ciberataques.
Está claro que muchas infracciones iniciales no son detectables por las capacidades preventivas principales, ya sea porque no se conocen o porque pueden eludir las capacidades preventivas existentes.
Además, una investigación reciente de SRLabs, con sede en Berlín, reveló que la evasión de EDR es un problema real y que ahora puede racionalizarse. Señalan que ya no es una "artesanía". Su conclusión es bastante sorprendente y debería leerse como una llamada de atención: "En general, los EDR añaden aproximadamente un 12% o 1 semana de esfuerzo de pirateo al comprometer una gran empresa, basándose en el tiempo de ejecución típico de un ejercicio de equipo rojo".
En otras palabras, EDR no es el santo grial: No es más que un componente necesario de una estrategia de seguridad por capas.
Revisemos nuestras mejores prácticas en materia de ciberseguridad
Para mitigar el problema, tenemos que revisar nuestras mejores prácticas de ciberseguridad:
- Los conceptos de confianza cero no son suficientes, también por la complejidad que implica su implantación completa.
- La seguridad por capas es imprescindible.
- Las capacidades preventivas por sí solas también son insuficientes: Siempre habrá al menos un laberinto en la red.
- Hay que invertir en una capacidad de detección de red no evasiva, combinada con una práctica de orquestación integral para responder.
Toda empresa preocupada por la continuidad de su actividad debe considerar la ciencia de datos eficaz como una herramienta para ampliar sus prácticas de operaciones de ciberseguridad y garantizar su eficacia.
Sin embargo, la ciencia de datos no puede procesar fácilmente una sobrecarga de indicadores de amenazas. La aplicación económica consiste en aprovechar la ciencia de datos para pasar rápidamente de no procesar muchos indicadores a obtener el valor real revelando solo un número limitado de incidentes de seguridad de gran valor y confianza.
Es la única manera de encontrar incidentes significativos antes de que se conviertan en una brecha. En realidad es muy sencillo.
Todo el mundo conoce el reto de encontrar una aguja en un pajar. Abrirse camino a través del heno es su factor limitante, incluso si la ciencia de datos puede ayudarle a procesar más heno. Pero, ¿no sería mejor no producir un pajar para procesar en primer lugar, de modo que veas la aguja que tienes delante?
Aprovechar la ciencia de datos significa no centrarse en bloques de construcción, como encontrar una vulnerabilidad zero-day o un exploit que la utilice. Son demasiado numerosos e interminables. La mejor opción es utilizar el potencial de la ciencia de datos para comprender y ver lo que un atacante podría hacer una vez que aplica una de esas vulnerabilidades para aterrizar en un sistema. En otras palabras, utilizarlo para identificar TTPs y aplicarlo junto con un buen marco, como el de MITRE.
Las acciones o tácticas disponibles tras el zero-day cero no son numerosas pero sí muy constantes.
Al igual que Hansel, que se esforzó por crear un rastro de vuelta a casa para él y Gretel utilizando adoquines, un atacante también crea un rastro dentro de su red. Vectra puede ayudar a identificar ese rastro y convertir los adoquines en migas de pan para que el atacante se pierda y pueda ser identificado.
Conclusión
No intente impedir el juego final del atacante; céntrese más bien en detectar y bloquear el camino que se está creando antes incluso de que pueda producirse un juego final.
Fuentes:
https://www.verizon.com/business/resources/reports/dbir/
https://www.comparitech.com/blog/information-security/cybersecurity-vulnerability-statistics/