Noticias

«En los últimos años, la superficie de ataque ha cambiado por completo»

En los últimos meses, los fabricantes de seguridad están detectando que los ataques a aplicaciones web y APIs, junto con las vulnerabilidades 0-day se han disparado. Especialmente desde la «disponibilidad» de exploits como Log4j y Spring4Shell, los equipos de respuesta a incidentes se han enfrentado a vulnerabilidades 0-day sin descanso que han consumido su tiempo y atención.

Por otro lado, también ha crecido de forma exponencial el número de ataques de ransomware como servicio (RaaS), con grupo de cibercriminales tan activos en los últimos meses como Conti,  que en países como en Estados Unidos ha sido capaz de poner en jaque la cadena de suministro de numerosas empresas.

En este contexto, Akamai ha desgranado en la última conferencia de la RSA, nuevos hallazgos sobre el comportamiento de los ciberdelincuentes a través del tráfico y las técnicas de ataque más populares. Para conocerlos con más detalle, hemos tenido la oportunidad de charlar con Federico Dios, pre-sales manager de Akamai en España. Esto es lo que nos ha contado.

[MuySeguridad] ¿Cómo actúan los cibercriminales en una estrategia de ransomware como servicio? ¿Cuáles son las distintas partes de la cadena y qué importancia tiene esta forma de actuar en la actualidad?

[Federico Dios] En general, casi todas las organizaciones criminales que se dedican al ransomware utilizan las mismas técnicas. Las partes de la cadena son:

  • Encontrar punto de entrada: Lo más frecuente son los ataques de phishing para lograr infectar un dispositivo a través del cual acceder a la organización víctima.
  • Movimiento lateral: Una vez infectado y expuesto el punto de entrada, el objetivo es moverse por la organización y comprometer otros elementos desde los cuales cubrir la mayor parte de la infraestructura que se está atacando.
  • Exfiltración: Antes de realizar cualquier proceso de cifrado, los atacantes roban información de diferente tipo. Un ejemplo habitual es el robo de credenciales, información personal de usuarios o clientes, entre otras cosas.
  • Cifrado: Este punto es el más conocido en todo el proceso de ataque, que consiste en cifrar todos los dispositivos posibles. Mientras mayor sea el porcentaje de infraestructura bloqueada a través de un cifrado potente, mayor será la ganancia para los atacantes.
  • Envío de nota de rescate: Una vez realizadas las acciones anteriores, los atacantes envían la comunicación donde piden el rescate para liberar los datos e infraestructura cifrados.
  • Beneficios: Desafortunadamente, en muchos casos las organizaciones criminales consiguen beneficios como resultado de su ataque. Estos pueden ser bien a través del rescate exigido o por la venta de información obtenida durante el ataque.

Este proceso es complejo y supone un desafío para cualquier organización que quiera defenderse. Si analizamos en detalle cada paso, podremos ver que todos y cada uno de ellos suponen una estrategia específica de defensa. El movimiento lateral, por ejemplo, requiere de una estrategia de protección y control de las comunicaciones entre los diferentes dispositivos a través de una estrategia de micro-segmentación.

[MuySeguridad] Uno de los datos que destacan en el informe es el incremento de amenazas a las aplicaciones web. ¿Qué supone esto para las empresas que están basando su transformación digital en un viaje a la nube o a la modernización de sus aplicaciones?

[Federico Dios] La transformación digital supone un desafío en materia de seguridad debido a la exposición de una superficie de ataque completamente diferente y el uso de plataformas que no son las que se han utilizado históricamente.

En el caso de las aplicaciones web y APIs, la superficie de ataque es más amplia y nuestros equipos de monitorización y Threat Research han detectado una tendencia creciente en ataques de tipo LFI comparado con otro tipo de ataques de inyección más tradicionales en aplicaciones web y APIs.

El proceso de transformación digital de cualquier infraestructura conlleva, en general, un movimiento hacia arquitecturas descentralizadas en las que se favorece el uso de APIs y computación basada en micro-servicios. Esta tendencia va emparejada con el crecimiento significativo de ataques de inyección que hemos detectado desde Akamai.

Es por ello que creemos que una estrategia de seguridad adecuada debe incorporar elementos de protección a nivel de aplicación sin olvidar la importancia de segmentar correctamente los diferentes elementos de la infraestructura.

[MuySeguridad] ¿Cuáles son los principales peligros que presentan exploits como Log4j y Spring4Shell y hasta qué punto esto es preocupante para las organizaciones?

[Federico Dios]  Uno de los peligros más importantes en este tipo de vulnerabilidades es la exfiltración de datos seguido de la posibilidad de ejecutar código remoto. En la actualidad, el robo de información es uno de los principales riesgos de seguridad y que mayor impacto puede tener para cualquier organización. No sólo es un riesgo económico directo por extorsión o las multas por una brecha de datos personales sino también el coste reputacional que puede tener para cualquier organización.

Este tipo de vulnerabilidades es un caso claro de riesgo en la cadena de suministro, pero desde el punto de vista tecnológico. Estas librerías se utilizan de forma masiva y, en muchos casos, están mantenidas por terceros que no necesariamente siguen los mismos criterios de seguridad que las organizaciones que las utilizan.

[MuySeguridad] Otro punto interesante es que el comercio es el sector más afectado por este tipo de ataques. ¿A qué crees que es debido y qué pueden hacer para protegerse?

[Federico Dios] El sector del retail es uno de los más afectados en todo tipo de ataques, pero especialmente cuando el objetivo es el robo y abuso de credenciales, robo de información bancaria como tarjetas de crédito y las herramientas de compra automatizada, como es el caso de campañas para agotar stock y luego venderlo a un precio mayor. Es una industria con un impacto económico significativo y con un alto movimiento de información atractiva para criminales, que lo hace ser un objetivo prioritario.

Para este tipo de organizaciones, es clave desarrollar una estrategia orientada a gestionar el abuso de credenciales y herramientas de gestión de bots avanzadas que permitan controlar el uso que se hace de sus aplicaciones. Identificar y gestionar usuarios legítimos y bots es uno de los principales desafíos al que se tienen que enfrentar diariamente los responsables de seguridad de las compañías del sector retail.

La estrategia de seguridad debe incorporar no sólo elementos de firewall de aplicación sino también contemplar otro tipo de vectores de ataque, como por ejemplo controles anti-botnets como los que comentaba anteriormente.

Finalmente, es importante adoptar también una estrategia de micro-segmentación para evitar vulnerabilidades que puedan ser explotadas por un ransomware. El sector retail también es uno de los más afectados en campañas de ransomware a través de las que las organizaciones víctima pueden quedar paralizadas, generando un serio problema operativo al negocio.

[MuySeguridad] Finalmente, ¿qué papel juega Akamai para proteger a las empresas frente a estas amenazas?

[Federico Dios]  Volviendo al escenario de ransomware, sabemos que es un problema complicado y protegerse contra él se reduce a un principio básico: todos los flujos de tráfico requieren inspección y control, independientemente de los terminales.

Para que el ransomware lleve a cabo su función, tiene que moverse. Desde el punto en el que se origina, debe encontrar un lugar donde poder acceder a datos de gran valor y cifrarlos. Este movimiento requiere, por lo general, varios saltos entre dispositivos y servidores.

Cada salto es un flujo de tráfico que podría ser norte-sur, es decir, entre un dispositivo de usuario y un servidor, o este-oeste, es decir, entre servidores. Bloquear el ransomware se reduce, por lo tanto, a inspeccionar y controlar cada uno de estos flujos de tráfico para confirmar que cuentan con autorización y que no contienen malware.

La unión de Akamai y Guardicore nos ofrece ahora la capacidad de poner en marcha esta estrategia. Con nuestra tecnología combinada, los clientes podrán inspeccionar y controlar el flujo de trabajo de su empresa, de norte a sur y de este a oeste.

Cuando afrontamos la seguridad empresarial, independientemente del usuario final, la ubicación y el dispositivo, con la premisa unificadora de que ningún flujo de tráfico es de confianza, las defensas de una organización son mucho más fuertes. Un enfoque integral Zero Trust que combina la protección tanto de Akamai como de Guardicore logrará que el ransomware lo tenga muy difícil para arruinarle el día.

La entrada «En los últimos años, la superficie de ataque ha cambiado por completo» es original de MuySeguridad. Seguridad informática.

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.