Hoy en día, organizaciones de todos los sectores y tamaños atraviesan por un momento decisivo respecto a la adaptación que debe haber durante la transformación digital, pues con la llegada de la pandemia por COVID-19 se ha acelerado vertiginosamente, representando para las empresas una serie de retos para los cuales no estaban preparadas, uno de los más importantes y que acapara cada vez mayor protagonismo es sin duda la ciberseguridad y así lo demuestra según datos del Foro Económico Mundial donde a partir de 2019, los ataques cibernéticos son considerados entre los cinco principales riesgos para la estabilidad global. A partir de la pandemia se encuentra en los primeros tres.
La Ciberseguridad es la respuesta a la filtración de datos
La ciberseguridad es la protección de los sistemas informáticos en una organización contra el robo, daño de hardware o datos electrónicos, así como, contra la interrupción o el desvío de los servicios que se brindan. Tomando esto en cuenta, las grandes amenazas que enfrentan las empresas en materia de ciberseguridad tienen que ver con la violación de datos, esto es, los incidentes confirmados que pueden conducir al acceso no autorizado o la divulgación de datos sensibles, confidenciales u otros datos protegidos.
Las violaciones de datos afectan generalmente a la información de salud de identificación personal (PHI), la información de identificación personal (PII), la propiedad intelectual, los datos financieros como números de tarjetas de crédito o cuentas bancarias, datos personales como números de seguro social o credenciales de usuario, o datos comercialmente confidenciales como listas de clientes o procesos de manufactura por mencionar algunos de los datos sensibles que resguarda una empresa.
Quizás te interese nuestro artículo » El costo de la violación de datos en 2021 y cómo prevenirlo»
Si alguno de los datos sensibles se expone a terceros no autorizados, representa una violación de datos. Las violaciones de datos pueden dañar la reputación de una organización y terminar en grandes pérdidas financieras a corto y mediano plazo. En este sentido, los líderes de TI y Ciberseguridad en las organizaciones son conscientes de este reto y se prevé que el 80% de las empresas planearon aumentar el gasto en seguridad para 2022.
Por ello que en este artículo vamos a mostrarte cual es el modus operandi de los atacantes cuando están llevando a cabo un ataque de filtración de datos y las seis grandes amenazas para las organizaciones.
Los 8 pasos que toma un atacante durante una violación de datos
En primera instancia, prevenir una violación de datos en las empresas depende de lo preparados que se encuentren los equipos de seguridad en las empresas respecto al modus operandi de la ciberdelincuencia. Cyber Kill Chain (CKC) es un modelo de seguridad cibernética desarrollado por el Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT) de Lockheed Martin. El propósito de este modelo es comprender mejor los pasos que toma un atacante durante una filtración de datos, lo que permite que el equipo de seguridad detenga el ataque en cada etapa.
1. Reconocimiento: los atacantes recopilan información sobre la infraestructura de la organización objetivo (Ejemplo; escaneo de puertos, monitoreo de redes sociales, seguimiento).
2. Intrusión: los atacantes intentan penetrar el perímetro de seguridad. (Ejemplo; ataque de VPN, phishing selectivo, compromiso de la cadena de suministro).
3. Explotación: los ciberdelincuentes buscan vulnerabilidades o brechas de seguridad que puedan explotar mientras están dentro de la red (Ejemplo: ataque de PowerShell, ataque de secuencias de comandos, intercambio dinámico de datos).
4. Escalada de privilegios: los ciberdelincuentes intentan obtener privilegios adicionales para extender su alcance a más sistemas o cuentas de usuario. (Ejemplo; manipulación de tokens de acceso, intercepción de ruta, ataque Sudo).
5. Movimiento lateral: los atacantes “se mueven lateralmente” apoderándose de más cuentas, conectándose a más sistemas, en su camino hacia los activos más valiosos. (Ejemplo: secuestro de SSH, phishing de lanza interno, administración remota de Windows).
6. Ofuscación: los atacantes cubren sus huellas manipulando los sistemas de seguridad, eliminando o modificando registros, cambiando las marcas de tiempo, etc. (Ejemplo; relleno binario, firma de código, eliminación de archivos, usuarios ocultos).
7. Denegación de servicio: los atacantes interrumpen los sistemas críticos de una organización, con el objetivo de llamar la atención de seguridad y operaciones, y crear una distracción. (Ejemplo; DoS de punto final, DoS de red, parada de servicio, apagado del sistema).
8. Exfiltración: un atacante finalmente obtiene los datos más confidenciales de la organización. Los atacantes encontrarán una forma discreta, como la tunelización de DNS, para copiar los datos fuera de la organización sin ser detectados. (Ejemplo; datos comprimidos, datos encriptados, exfiltración sobre protocolo alternativo, transferencia programada).
1. Ataques de ingeniería social
El principio de funcionamiento de los ataques de ingeniería social es manipular psicológicamente a los usuarios, haciendo que revelen información confidencial para tomar medidas beneficiosas para los atacantes, como hacer clic en enlaces no seguros o instalar malware. Los ataques comunes de ingeniería social incluyen:
Phishing: los atacantes envían correos electrónicos o mensajes maliciosos que parecen provenir de fuentes legítimas. En estos mensajes, los atacantes le piden al usuario que proporcione información confidencial, descargue un archivo adjunto infectado con malware o haga clic en un enlace a un sitio web malicioso.
Quizás te interese leer nuestro artículo «Los 10 ciberataques más grandes de la historia»
Spear phishing: un tipo de phishing en el que el atacante se dirige a personas con privilegios especiales o roles influyentes, como personal de finanzas o altos ejecutivos.
Ataques homógrafos: los atacantes crean una URL de sitio web falsa que se parece mucho a la dirección del sitio web legítimo. Se engaña a los usuarios para que visiten el sitio web falso y proporcionen sus credenciales u otra información confidencial.
2. Amenazas persistentes avanzadas (APT)
Una APT es una campaña de ataque a largo plazo llevada a cabo por un individuo o grupo, con el objetivo de obtener acceso no autorizado a la red de una organización específica. Los atacantes pueden permanecer en la red durante mucho tiempo; durante este período, utilizan técnicas avanzadas para evadir la detección y, mientras tanto, extraen datos confidenciales.
Las APT requieren un alto nivel de experiencia, coordinación, organización y esfuerzo por parte de los atacantes. Por lo tanto, las APT generalmente se lanzan contra objetivos valiosos como gobiernos, instituciones u organizaciones grandes.
3. Ataques de red
Un ataque a la red tiene como objetivo obtener acceso no autorizado a la red de una empresa, para robar datos o realizar otras actividades maliciosas. Hay dos tipos principales de ataques a la red:
Ataques pasivos; los atacantes supervisan o roban información confidencial accediendo a la red, sin destruir ni cambiar los datos.
Ataques activos; los atacantes no solo obtienen acceso no autorizado, sino que también causan daños al eliminar, cifrar o destruir datos.
Los ataques de red son un término general para muchos tipos de ciberataques:
Acceso no autorizado: un atacante obtiene acceso no autorizado a la red.
Ataques de denegación de servicio distribuido (DDoS): los atacantes crean botnets al comprometer una gran cantidad de dispositivos vulnerables y los usan para enviar tráfico falso masivo a redes o servidores.
Ataques Man in the middle (MiTM): los atacantes roban datos o credenciales al interceptar el tráfico en una red corporativa o el tráfico de Internet entrante/saliente.
Ataques de inyección de código y SQL: los atacantes completan formularios o realizan llamadas a la API y, en lugar de respuestas válidas, envían código malicioso que luego se ejecuta en el servidor.
Escalada de privilegios: un atacante que ya ha penetrado en la red puede elevar los privilegios, ya sea acceder a otros sistemas adyacentes u obtener privilegios más altos en los mismos sistemas.
Amenazas internas: los internos malintencionados que ya tienen acceso privilegiado a los sistemas de la organización abusan de ellos para atacar a la organización.
4. Secuestro de datos
El ransomware se ha convertido en una gran amenaza para organizaciones de todo tipo, desde pequeñas hasta grandes empresas, instituciones y gobiernos. El ransomware es malware que infecta una máquina, encripta sus datos y muestra un aviso que le pide a la víctima que pague un rescate para desbloquear sus datos. En muchos casos, el pago no es efectivo y el ransomware destruye los datos de todos modos.
Una vez que se ha producido un ataque de ransomware, es muy difícil recuperarlo, por lo que la forma principal de proteger una organización es la prevención. Un programa de prevención de ransomware incluye cuatro pasos, te recomendamos leer nuestro artículo “
5. Amenazas internas
Una amenaza interna es un acto malicioso dirigido a una organización, ejecutado por el personal de la organización u otras personas a las que la organización ha otorgado deliberadamente acceso a sus sistemas. El actor de la amenaza (generalmente un empleado o contratista) es una persona que tiene acceso existente a la red, las bases de datos, las aplicaciones u otros sistemas de TI de la empresa. Los tipos de amenazas internas son:
Insider descuidado: una persona que accidental, involuntariamente o por negligencia provoca violaciones de seguridad, exponiendo sistemas o redes a amenazas externas. Esta es la amenaza interna más común.
Insider malicioso: una persona que abusa de los derechos de acceso y las credenciales para realizar acciones maliciosas. Este abuso suele tomar la forma de robo de información para obtener beneficios personales y económicos.
Insider comprometido: un actor de amenazas que compromete una cuenta de usuario existente y finge ser un usuario con derechos de acceso a los sistemas de TI.
6. Amenazas de seguridad nativas de la nube
Cloud native es un nuevo paradigma que simplifica el desarrollo, las pruebas, la implementación y las operaciones de las aplicaciones basadas en la nube. Una aplicación nativa de la nube se crea desde cero para la nube, en lugar de migrarla de un centro de datos tradicional a la nube. “Nube” en este contexto puede significar una nube pública como Amazon Web Services, una nube privada, un entorno híbrido o multinube.
Las aplicaciones nativas de la nube son más difíciles de proteger que las aplicaciones tradicionales debido a su naturaleza dinámica y la gran cantidad de entidades que las componen. Las amenazas de seguridad nativas de la nube incluyen:
Falta de visibilidad: las herramientas de seguridad tradicionales no pueden visualizar un entorno en contenedores o sin servidor, lo que permite a los atacantes operar sin ser detectados.
Gran cantidad de entidades: en lugar de un servidor monolítico, una aplicación ahora puede estar compuesta por docenas de microservicios y miles de contenedores o funciones sin servidor, cada uno de los cuales es vulnerable al compromiso.
Vulnerabilidades en imágenes base: muchas aplicaciones nativas de la nube se basan en contenedores Docker, que se generan a partir de imágenes. Si estas imágenes sufren una vulnerabilidad, todos los contenedores creados a partir de la imagen serán vulnerables.
Permisos sin servidor: los atacantes pueden aprovechar fallas o errores de configuración en la configuración de permisos de una plataforma sin servidor para comprometer las funciones sin servidor.
Componentes de código abierto: las aplicaciones nativas de la nube se basan principalmente en componentes de código abierto con dependencias complejas. Cualquier paquete de código abierto o sus dependencias pueden contener vulnerabilidades de seguridad críticas o problemas de licencia que pueden generar exposición legal.
Cynet 360 es una plataforma autónoma de protección contra infracciones que funciona en tres niveles y proporciona XDR, Automatización de respuesta y MDR 24/7 en una solución unificada. Cynet integra de forma nativa estos tres servicios en una plataforma de protección frente a infracciones completamente automatizada y de extremo a extremo. Lo puedes implementar en miles de terminales en menos de dos horas. Se puede usar de inmediato para descubrir amenazas avanzadas y luego realizar una reparación automática o manual, interrumpir la actividad maliciosa y minimizar el daño causado por los ataques.
NIVEL 1 MDR 24/7
CyOps, el equipo SWAT cibernético de Cynet, está disponible las 24 horas del día, los 7 días de la semana, los 365 días del año, lo que permite que las empresas de todos los tamaños tengan acceso al mismo personal de seguridad experto que protege a las empresas más grandes. Esto es lo que puede esperar del equipo de respuesta a incidentes de CyOps:
Monitoreo de alertas: gestión continua de alertas entrantes: clasifique, priorice y contacte al cliente tras la validación de la amenaza activa.
Disponibilidad 24/7 : operaciones continuas en todo momento, tanto de forma proactiva como bajo demanda según las necesidades específicas del cliente.
Análisis de archivos a pedido: los clientes pueden enviar archivos sospechosos para su análisis directamente desde la consola Cynet 360 y obtener un veredicto inmediato.
A un clic de distancia: los CISO pueden interactuar con CyOps con un solo clic en la aplicación Cynet Dashboard ante la sospecha de una infracción activa.
Instrucciones de remediación: la conclusión de los ataques investigados implica una guía concreta para los clientes sobre qué puntos finales, archivos, usuarios y tráfico de red deben remediarse.
Exclusiones, listas blancas y ajustes: ajuste de los mecanismos de alerta de Cynet 360 al entorno de TI de los clientes para reducir los falsos positivos y aumentar la precisión.
Búsqueda de amenazas: búsqueda proactiva de amenazas ocultas que aprovecha las herramientas de investigación de Cynet 360 y más de 30 fuentes de inteligencia de amenazas.
Investigación de ataques: profundiza en los bits y bytes de ataques validados para obtener una comprensión completa del alcance y el impacto, proporcionando al cliente IoC actualizados.
NIVEL 2 Capacidades EDR de última generación:
Detección avanzada de amenazas de endpoints : visibilidad completa y predice cómo podría operar un atacante, en función del monitoreo continuo de los endpoints y el análisis de comportamiento.
Investigación y validación: busca y revisa datos de incidentes actuales o históricos en terminales, investiga amenazas y valida alertas. Esto permite confirmar la amenaza antes de responder a ella, lo que reduce el tiempo de permanencia y realiza una reparación más rápida.
Implementación y respuesta rápidas: se implementa en miles de terminales en tan solo dos horas. Luego, puedes usarlo para realizar la reparación automática o manual de las amenazas en los endpoints, interrumpir la actividad maliciosa y minimizar el daño causado por los ataques.
NIVEL 3 Proporciona las siguientes capacidades XDR:
Protección de endpoints: protección multicapa contra malware, ransomware, exploits y ataques sin archivos.
Protección de red: protección contra ataques de escaneo, MITM, movimiento lateral y exfiltración de datos.
Protección del usuario: reglas de comportamiento preestablecidas junto con perfiles de comportamiento dinámico para detectar anomalías maliciosas.
Tecnología de engaño: amplia gama de señuelos de red, usuario y archivo para atraer a los atacantes avanzados para que revelen su presencia oculta.
Si deseas conocer más acerca de Ciberseguridad y las mejores herramientas de protección de la mano de los especialistas más reconocidos del mercado, contáctanos ahora y un representante Advance estará encantado(a) de brindarte todo el apoyo que necesitas.
En Advance Networks somos una empresa de telecomunicaciones y ciberseguridad con más de 20 años de experiencia en el mercado y tenemos el propósito de acompañar a las empresas en su camino a la transformación digital, proporcionando soluciones a la medida de las necesidades de nuestros clientes.