Las amenazas cibernéticas aumentan y evolucionan constantemente. Mientras lees este informe se están desarrollando nuevos ataques, utilizando exploits construidos sobre vulnerabilidades conocidas en todo tipo de sistemas operativos, aplicaciones e incluso adoptando técnicas de ingeniería social que aprovechen la debilidad del comportamiento humano.

En los últimos meses, hemos advertido que la situación generada por la pandemia del COVID-19 ha elevado los incidentes en ciberseguridad. Por citar dos ejemplos,  hemos abordado cómo peligrosos troyanos bancarios utilizan como cebo contenidos sobre el virus o de qué manera los ciberatacantes aprovechan vulnerabilidades de herramientas de teletrabajo dada su gran utilización en estos momentos.

Pero este incremento de los incidentes, con el consiguiente aumento del riesgo para las organizaciones, no se puede atribuir exclusivamente al COVID-19: ya desde el pasado año, los expertos de nuestro laboratorio vienen observando que las amenazas no paran de evolucionar y proliferar. Así lo demuestra el reciente informe Threat Insights 2020  cuyos datos desembocan en una afirmación que no podemos obviar, y es que el futuro de la ciberseguridad no reside en un único método de protección, sino en una combinación de capas efectivas y probadas de tecnología de seguridad y soluciones avanzadas. Este enfoque es la forma más eficiente y efectiva de asegurar proactivamente los puntos finales contra amenazas conocidas y desconocidas. Y, como las amenazas se vuelven cada vez más complejas, los proveedores de TI de todos los tamaños necesitan una solución de ciberseguridad que esté constantemente un paso por delante de los hackers.

Datos, no intuición_

threat insights report cytomicEn total, suponen 1,9 petabytes por millón de endpoints, 70.000 alertas de malware y 426 millones de ejecutables analizados. Todos esos datos fueron después compilados y analizados por el laboratorio de seguridad y gracias a ello, se han analizado y desgranado los siguientes aspectos:

  • Percepciones basadas en datos, no en la intuición. La seguridad para el endpoint requiere la recopilación y el análisis de una cantidad ingente de datos que alimenta desde la inteligencia artificial que analiza los comportamientos y crea patrones, hasta los servicios de Threat Hunting, encargados de interceptar las amenazas antes de que ataquen.

En la ciberdefensa, los datos del endpoint proporcionan una visibilidad que es esencial para poder ofrecer una protección de primer nivel y ver qué está pasando en cada dispositivo, red y conexión, y así poder detectar los cambios, tendencias y anomalías en el panorama global de amenazas. Sin este nivel tan alto de visibilidad, hoy y en el futuro, los ciberdelincuentes seguramente podrán moverse en las redes con facilidad.

  • Hotspots globales, ¿atacantes o atacados? Según los datos recopilados en el reporte, Tailandia está a la cabeza del top 20 países con más detecciones por endpoint (40,88) y España, a la cola (0,07). Las regiones de Oriente Medio y Sudamérica son donde hay mayor concentración de objetivos.

Las cifras arrojan una llamativa conclusión: estos países son objetivos atractivos para los ciberatacantes porque hay muchos sistemas expuestos y poco protegidos, de manera que los hackers les han impactado con mayor frecuencia y han tenido mayor éxito. Además, se puede suponer que no se trata de objetivos finales, sino de sistemas comprometidos que son fuente de otros ataques contra objetivos de todo el mundo.

  • Persistencia de los ataques basados en archivos. Los malhechores usan extensiones de archivos para llevar a cabo su actividad. Detrás de cada una hay una vulnerabilidad en el diseño del archivo que puede ser explotada mediante todo tipo de técnicas (por ejemplo, phishing).

En el ranking de las extensiones de archivo a las que se consiguió acceder en 2019, las que cuentan con mayor número de eventos de acceso únicos registrados son .pdf, .odf, .job, .pem y .mdb. Otras como .xls, .doc o .ppt también están dentro de las dos decenas principales.

  • Los límites de las listas blancas. Hoy en día, con el aumento de la seguridad basada en políticas zero trust, muchos profesionales de la ciberseguridad descuidan la protección de las aplicaciones de las listas blancas al creerlas seguras. Pero estas listas, al igual que las negras, tienen límites; y las nuevas amenazas no solo son capaces de sortear las aplicaciones de seguridad empleadas en estos espacios, sino que pueden explotar el software que hay en ellas.

Por suerte, la monitorización activa de todo el software y procesos va más allá de los límites de las listas blancas. Si la totalidad de la actividad del endpoint se monitoriza, el malware se identifica y no puede ejecutarse, y el goodware no se puede usar para fines ilegítimos.

  • Ataques sin archivos, una amenaza incipiente. Hay algunas herramientas de productividad, navegadores o componente que están en la gran mayoría de los endpoints y que suelen aparecer en las white lists, de forma que no se clasifican como sospechosas o como malware. Esto las convierte en los vectores ideales para desplegar ataques sin fichero, hacking en vivo, ataques Living-off-the-Land (LotL), etc., de manera que se hace necesario contar con tecnología anti-exploit para la protección.

Tal y como recogen los datos recabados, el top tres de aplicaciones más explotadas son Firefox, Microsoft Outlook e Internet Explorer.

  • Una solución, múltiples capas. No todas las ciberamenazas son iguales, y cuando el sistema detiene una, puede dejar pasar otras. Por ello, se necesita una combinación de herramientas locales basadas en las firmas, tecnologías asentadas en la nube y el análisis de comportamiento basado en contextos para detectar y responder a las ciberamenazas de forma adecuada.

Más allá de la protección total para el endpoint_

Estos aspectos muestran que, con los ciberataques en constante evolución y aumento, los profesionales de la ciberseguridad deben mirar más allá de lo tradicional y dejar a un lado estrategias puramente reactivas para adoptar un enfoque más proactivo. Proteger el endpoint como se ha hecho hasta ahora ya no es suficiente; las amenazas actuales se multiplican y cambian tan rápido que las empresas no pueden depender de una gestión manual y humana de las herramientas de defensa para garantizar la ciberdefensa.

Es por ello que conviene contar con soluciones de ciberseguridad avanzada que prevengan, detecten y respondan a cualquier tipo de malware conocido y desconocido, ataques sin archivos y sin malware. Esa es la respuesta que ofrece Cytomic EPDR, que además de integrar esas tecnologías preventivas en el endpoint, conforma una única solución que también contiene capacidades EDR y el Servicio Zero-Trust Application.

threat report cytomic

Al estar compuesta por múltiples capas de tecnologías avanzadas en ciberseguridad, la solución EPDR de Cytomic cubre la demanda que existe actualmente en el mercado, respondiendo a las tendencias de este año y trabajando simultáneamente en defensa y remediación de los ciberataques. Estas capas pueden agruparse en tecnologías de protección de puntos finales (EPP) y en tecnologías de puntos finales Tecnologías de detección y respuesta (EDR). ¿Quieres saber más?