Estuvimos en presentación del Informe Anual de Ciberseguridad de Cisco 2017 y tuvimos la oportunidad de hablar con Juan Marino, su Security Account Manager. Resumimos los principales puntos de la investigación y en cuanto a las Recomendaciones Para el Canal, destacamos algunas de las ideas clave que expuso Marino.
https://www.youtube.com/watch?v=7q34x-H1XsM
PRINCIPALES CONCLUSIONES DEL INFORME
Uno de los argumentos más destacados por Cisco, fue que el compromiso corporativo del correo electrónico (BEC) se ha convertido vector más lucrativo del universo de las amenazas. De acuerdo al Internet Crime Complaint Center (IC3), 5,3 mil millones de dólares fueron robados debido a fraudes basados en BEC entre octubre de 2013 y diciembre de 2016. Si comparamos esto con el efecto económico del Ransomware, éste alcanzó sólo los 1.000 millones en 2016.
Además, el informe reveló que el Spyware que se disfraza como aplicaciones potencialmente no deseadas (PUA), que son una forma de malware y un riesgo que muchas organizaciones subestiman. Sin embargo, Este tipo de Spyware puede robar información del usuario y la compañía, debilitar la configuración de seguridad de los dispositivos y aumentar las infecciones de malware. Los investigadores de amenazas de Cisco estudiaron tres familias de este tipo de Spyware y encontraron que estaban presentes en 20 de las 300 empresas relevadas en el informe.
Por otro lado, Internet de las Cosas (IoT) es una gran promesa para la colaboración empresarial y la innovación, pero a medida que crece, también genera riesgos de seguridad. La falta de visibilidad es un problema clave debido a los siguientes factores:
- Los responsables de seguridad simplemente no son conscientes de lo que los dispositivos de IoT están conectados a su red, por lo que es necesario que tomen medidas inmediatas para abordar este y otros riesgos.
- Los atacantes ya están aprovechando las debilidades de seguridad en los dispositivos IoT que les permiten acceder a las redes con relativa facilidad.
En el informe, Cisco afirma que mejoró los tiempos de detección (TTD) desde noviembre de 2015. Desde entonces, la tendencia ha descendido desde un poco más de 39 horas a cerca de 3.5 horas para el período noviembre de 2016 a mayo de 2017. Además, ha estado observando un aumento general del spam desde mediados de 2016, lo cual parece coincidir con una disminución significativa en la actividad del uso de kits de exploids durante el mismo período. Los atacantes que utilizaron estas herramientas para generar Ransomware por medio de Correo Electrónico no deseado, incluyeron macros en documentos maliciosos que pueden engañar a muchos sandboxing, debido a que cuentan con la interacción del usuario para infectar sistemas y ejecutarse.
Otra de las conclusiones, es que los sistemas interconectados ofrecen a los atacantes una forma de propagación de malware a muchas organizaciones desde un único sitio comprometido. En un ataque estudiado por RSA, la página Web de un proveedor de software logró que se propagara la infección se propague a quienes descargaron sus programas.
Además, el aumento de la frecuencia de los ataques, su complejidad y tamaño durante el último año, sugiere que la Economía del Hacking está en pleno desarrollo. Radware, un socio de Cisco, señaló que la Comunidad de Hackers moderna se está beneficiando del fácil acceso a una gama de recursos útiles y de bajo costo.
Cuando se trata de seguridad empresarial, Cloud es un tema ignorado. El Riesgo de las Autorizaciones Abiertas (OAuth) y la mala gestión de cuentas de usuario con privilegios únicos, crean brechas de seguridad que los adversarios pueden explotar fácilmente. Los hackers ya se han trasladado a la nube y están trabajando sin descanso para romper la nube corporativa.
En el escenario de los kits de exploids, la actividad ha disminuido. La innovación se ha estancado desde que Angler y otros sistemas similares han desaparecido o han cambiado su modelo de negocio. Esta situación se debe a la mayor dificultad de explotar las vulnerabilidades de los archivos creados con la tecnología Adobe Flash, pero es sólo cuestión de tiempo para que se revierta.
Los Servicios de DevOps que se han implementado incorrectamente o fueron dejados abiertos intencionalmente para legítimos usuarios, representan un riesgo significativo para las organizaciones.
A finales de 2016, los investigadores de amenazas de Cisco detectaron tres vulnerabilidades remotas de ejecución de código en Servidores Memcached. Una exploración de Internet unos meses más tarde reveló que el 79 por ciento de los casi 110.000 servidores Memcached expuestos previamente, aún eran vulnerables porque no habían sido parcheados. Esto es una tendencia alarmante que explica el éxito de ataques como los Ransomware que explotan vulnerabilidades de Windows solucionadas meses atrás.
CLAVES PARA EL CANAL
Esta vez resumimos algunas de las ideas claves que expuso Juan Marino:
- La Seguridad Informática no es sólo un negocio, sino también una responsabilidad social.
- El nuevo dogma de Cisco (al que tienden otros Vendors) es: simple, abierto y automatizado.
- La IoT es un negocio, pero debemos ser conscientes que aumenta enormemente la superficie de ataque.
- No perder de vista que la Seguridad Informática es un habilitador de negocios.
- El escenario actual presenta mejores oportunidades para los servicios que para los productos.
