ENFOQUE EN LAS AMENAZAS CIBERNÉTICAS
El especialista en seguridad John Shier le cuenta las "noticias que realmente puede usar": cómo impulsar su ciberseguridad en función de consejos del mundo real del desplegable Informe de amenazas de Sophos 2023.
Haga clic y arrastre en las ondas sonoras de abajo para saltar a cualquier punto. Tú también puedes escuchar directamente en Soundcloud.
Con Paul Ducklin y John Shier. Música de introducción y final de Edith Mudge.
Puedes escucharnos en SoundCloud, Podcasts de Apple, Podcasts de Google, Spotify, Stitcher y en cualquier lugar donde se encuentren buenos podcasts. O simplemente suelta el URL de nuestro feed RSS en tu cazador de vainas favorito.
LEER LA TRANSCRIPCIÓN
PATO. Hola a todos, bienvenidos al Podcast de Naked Security.
Como puedes escuchar, soy Duck, no Doug.
Doug está de vacaciones por... Iba a decir "Viernes Negro", pero técnicamente, en realidad, por el Día de Acción de Gracias de EE. UU.
Me acompaña mi amigo y colega de Toronto, John Shier, y da la casualidad de que el momento es perfecto porque acabamos de publicar el Informe de amenazas de Sophos 2023:
John, lo has leído con el objetivo de salir al mundo (creo que en este momento estás en Roma) para hablar con la gente sobre lo que debemos, deberíamos y de muchas maneras *necesitamos* hacer estos días para la ciberseguridad.
Entonces… ¡cuéntanos qué tiene que decir el informe de amenazas!
JUAN. Hola, pato... gracias.
Sí, ha sido toda una semana viajando por Europa, pudiendo ver a muchos de nuestros socios y clientes, y a nuestros colegas de todo el mundo, y hablando con ellos sobre el informe de amenazas de este año y algunas de las cosas que hemos encontrado.
El informe de amenazas de este año es realmente interesante porque tiene, quizás, un poco más de profundidad técnica que algunos de nuestros años anteriores.
También tiene mucha información que realmente creo que es procesable.
A partir de eso, básicamente podemos dar la vuelta y decir: "Está bien, en base a eso, ¿qué hacemos para protegernos?"
PATO. ¿Así que eso es lo que a tu amigo y al mío Chester le gusta llamar "Noticias que puedes usar"?
JUAN. Exactamente… ¡“Noticias que puedes usar”!
La información procesable siempre, en mi opinión... especialmente en el contexto de la ciberseguridad, siempre es más valiosa.
Porque podría contarles todas las cosas malas que están pasando, y si son teóricas, ¿y qué?
Además, si te digo cosas que no se aplican a ti, no tienes nada que hacer.
Pero tan pronto como les brinde una información en la que simplemente actuar sobre esa información los hace más seguros, entonces creo que *todos ganamos colectivamente*, porque ahora hay una vía menos para que un ciberdelincuente lo ataque... y eso nos convierte a todos colectivamente más seguros.
PATO. Absolutamente.
Hay un elemento de lo que podría llamarse “altruismo egoísta” en ciberseguridad, ¿no es así?
Realmente importa si estás seguro o no en términos de proteger a los demás... *y* lo haces por ti mismo.
Porque si no investigas, si no te esfuerzas por hacer lo correcto, los delincuentes investigarán por ti.
Y es muy probable que, en estos días, encuentren una forma de entrar.
JUAN. ¡Lo harán, y lo harán!
El hecho es que durante mucho tiempo hemos dicho que *todo el mundo* es un objetivo, *todo el mundo* es una víctima potencial.
Y cuando se trata de violar una red, una de las cosas que harías como ciberdelincuente no es solo determinar en qué tipo de empresa estás, en qué tipo de red estás, dónde están todos los activos valiosos...
…pero también a qué más tiene acceso, qué otras conexiones potenciales existen, qué conexiones B2B [empresa a empresa] existen entre la víctima que está violando actualmente y otras víctimas potenciales.
Al final del día, este es un juego de monetización, y si puedo obtener dos víctimas por el precio de una, entonces gano.
Muchos de estos atacantes más hábiles tienen una penetración bastante profunda en muchas de estas redes.
Quiero decir, la mayoría de ellos terminan en servidores de Active Directory como DomainAdmin.
Pueden recopilar mucha información que puede usarse para otros delitos en el futuro...
PATO. Pero no se trata solo de profundidad, también se trata de amplitud, ¿no es así?
Si es víctima de un ataque de ransomware en el que prácticamente todos los archivos de datos útiles, en todas sus computadoras, incluidos sus servidores, en toda su red, han sido encriptados...
…eso significa que los delincuentes ya tenían acceso de lectura y escritura a todos esos archivos.
Entonces, por lo tanto, podrían, y probablemente lo hicieron, robar todos esos archivos primero.
JUAN. Tiene razón: el ransomware es la fase final del ataque.
Este es el punto del ataque donde *quieren* que sepas que estuvieron allí.
Colocarán las calaveras en llamas en sus escritorios, en sus servidores y en cualquier otro lugar que decidan cifrar, porque necesitan que usted sepa que algo malo sucedió... y necesitan decirle cómo puede pagar.
Pero el hecho es que el ransomware, como dije, es la última fase.
Hay muchas cosas que han salido mal antes de que suceda la última fase.
PATO. Asi que. John, déjame preguntarte rápidamente...
En el caso de un ataque de ransomware, ¿es cierto que es la excepción y no la regla que los delincuentes [HABLANDO MUY RÁPIDAMENTE] vengan y codifiquen los archivos/pidan el dinero/y eso es todo… en minutos u horas ?
Normalmente no es así como funciona, ¿verdad?
JUAN. ¡Correcto!
En Informe de adversario activo de principios de este año, identificamos (este es el estudio de todas las investigaciones de respuesta a incidentes del Grupo de respuesta rápida de Sophos para el año 2021)...
Identificamos que el tiempo medio de permanencia (ese es el tiempo entre el momento en que los atacantes violaron la red por primera vez y luego lanzaron el ransomware, o algún tipo de objetivo al final donde se detectó el ataque... no tiene que ser ransomware, podría sea que detectamos un criptominero y luego hemos hecho la investigación) fue de 15 días:
¡Conoce a tu enemigo! Aprenda cómo entran los adversarios del cibercrimen...
Ahora, esa es la mediana de todos los ataques; para los ataques de tipo no ransomware, fue de 34 días, y específicamente para el ransomware, fue de once días, por lo que se mueven un poco más rápido que la media general.
Entonces, hay mucho tiempo allí.
Y cuando observé algunos de los valores atípicos, una de las víctimas tuvo a alguien en su red durante 496 días, y esto probablemente se deba a la actividad del agente de acceso inicial o IAB.
Tienes a alguien que ingresó a través de una vulnerabilidad, implantó un webshell, se sentó en él durante un tiempo y luego, finalmente, se revendió...
…o de forma independiente, otro ciberdelincuente encontró la misma vulnerabilidad porque no se abordó y pudo atravesar la puerta principal y realizar su actividad.
Hay muchas cosas que pueden suceder, por lo que hay muchas oportunidades para que los equipos defensivos puedan detectar actividad en la red que es anómala, actividad que es una señal de un problema potencialmente mayor en el futuro, como el ransomware.
PATO. John, eso me recuerda que necesito preguntarte sobre algo en el informe de amenazas que tal vez hemos apodado descaradamente el nueve traviesos, que es una forma de recordarle a la gente que los ciberdelincuentes individuales, o incluso las bandas de ciberdelincuentes que trabajan juntos en estos días, no necesitan saberlo todo:
Han adoptado un enfoque de divide y vencerás, donde diferentes grupos se enfocan y luego venden lo que son capaces de hacer en todo tipo de "categorías de negocios" diferentes.
¿Está bien?
JUAN. Sí, es un desarrollo del ecosistema del cibercrimen que parece ser algo cíclico.
Si retrocedemos un poco el reloj y empezamos a pensar en el malware de antaño… generalmente tenías virus y gusanos.
Eran operaciones independientes: había personas que simplemente salían, hacían lo suyo e infectaban un montón de computadoras.
Y finalmente obtuvimos redes de bots que comenzaron a proliferar, y los delincuentes pensaron: "Oye, puedo alquilar esas redes de bots para enviar spam".
Así que ahora tenía un par de entidades diferentes que estaban involucradas en el delito cibernético...
…y seguimos avanzando rápidamente hasta los días de los comerciantes de kits de exploits, donde usaban los servicios de los corredores de kits de exploits, los servicios de dirección de tráfico y todo tipo de otros jugadores en el mercado.
Cada vez que pasamos por el ciclo, parece que se vuelve más grande y más "profesionalizado" que antes, y ahora estamos en una era en la que lo llamamos el "Como servicio" era por buenas razones, porque no solo las empresas legítimas han optado por este modelo, sino que los ciberdelincuentes también lo han adoptado.
Entonces, ahora tiene todo tipo de servicios que se pueden comprar, y la mayoría de ellos están en la web oscura en foros criminales, pero también puede encontrarlos en la web clara.
PATO. Mencionaste, hace un momento, los IAB: corredores de acceso inicial, delincuentes que no están realmente interesados en implementar ransomware o recolectar bitcoins; se lo dejarán a alguien más.
Su objetivo es encontrar una forma de entrar y luego ofrecerla en arrendamiento o venta.
Y ese es solo *uno* de los Naughty Nine “X-como-un-servicio” aspectos, ¿no?
Con los Naughty Nine, con tantas subdivisiones, supongo que el problema es, lamentablemente, que [A] hay mucho espacio y atractivo para todos, y [B] cuanto más se fragmentan las partes, me imagino, más complejo se vuelve para cumplimiento de la ley.
No necesariamente para rastrear lo que está pasando, sino para acumular suficiente evidencia para poder identificar, arrestar y, con suerte, condenar a los perpetradores.
JUAN. Sí, hace que el proceso de investigación sea mucho más difícil, porque ahora hay muchas más partes móviles e individuos específicamente involucrados en el ataque... o al menos ayudando y siendo cómplices en el ataque, diremos; tal vez no estén *directamente* involucrados, pero definitivamente están ayudando e instigando.
En los viejos tiempos de los operadores únicos que hacían ransomware y hacían todo, desde la infracción inicial hasta la fase final del ransomware, es posible que pueda atrapar a su criminal, la persona que estaba detrás de él...
…pero en este caso, ¡ahora tienes que arrestar a 20 personas!
Si bien estos investigadores son buenos en lo que hacen; saben dónde buscar; trabajan incansablemente para tratar de descubrir a estas personas, desafortunadamente, en muchas de las acusaciones que he leído, por lo general se trata de una pobre OpSec (pobre seguridad operacional) que desenmascara a uno de los implicados en el crimen.
Y con un poco de suerte, el investigador puede mover esos hilos y obtener el resto de la historia.
Si todo el mundo tiene su historia clara y su OpSec es estricto, puede ser mucho más difícil.
PATO. En base a lo que acabamos de decir, el hecho de que hay más ciberdelincuencia, involucrando a más ciberdelincuentes, con una gama más amplia de habilidades estratificadas o compartimentadas…
…con todo eso en mente, ¿cuáles son las nuevas técnicas en el bloque que podemos usar para contraatacar contra la amplitud y profundidad aparentemente cada vez mayores del alcance de los ladrones?
JUAN. Bueno, el primero con el que comenzaré no es necesariamente nuevo, creo que hemos estado hablando de esto por un tiempo; Has estado escribiendo sobre esto en Naked Security durante bastante tiempo.
Eso es endurecimiento de la identidad, utilizando específicamente la autenticación multifactor siempre que sea posible.
La desafortunada realidad es que a lo largo de los últimos años, leyendo muchos de los informes de víctimas en el informe Active Adversary, hay una falta fundamental de autenticación de múltiples factores que permite que los delincuentes penetren en las redes con bastante facilidad... muy simple, caminando por la puerta principal con un conjunto válido de credenciales.
Y si bien no es nuevo, creo que debido a que no se ha adoptado lo suficiente, debemos llegar a ese punto.
PATO. Incluso para considerar la 2FA basada en SMS, si en este momento dice: “Es demasiado difícil, así que elegiré una contraseña muy larga; nadie lo adivinará.
Pero, por supuesto, no tienen que adivinarlo, ¿verdad?
El corredor de acceso inicial tiene 20 formas diferentes de robarlo y ponerlo en una pequeña base de datos para venderlo más tarde.
Y si no tiene 2FA en absoluto, esa es una ruta directa para cualquiera más adelante...
JUAN. Otro ladrón ya te ha pedido amablemente tu contraseña y la tiene en alguna parte.
Ahora, esta es solo la segunda fase del ataque, donde alguien más lo está usando.
Más allá de esto, creo que debemos llegar al punto ahora en el que realmente estemos investigar tantas señales sospechosas en la red como sea posible.
Entonces, para muchas empresas esto puede ser imposible, si no muy difícil... ¡porque *es* difícil!
Tener las competencias y la experiencia para hacer esto no va a estar dentro de la capacidad de todas las empresas.
PATO. Ahora, de lo que estás hablando aquí, John, es, creo, lo que a Chester le gusta llamar, "no sentarse a esperar que aparezcan alertas en tu tablero, para decirte cosas malas que ahora sabe que han sucedido, pero en realidad *salir a buscar cosas* que son indicadores de que hay un ataque en camino”.
En otras palabras, para volver a lo que dijiste antes, aprovechando esos primeros 14 días antes del 15° “día medio” en el que los ladrones llegan al punto en que están listos para desatar cosas realmente malas.
JUAN. Sí, puedo darle algunos ejemplos... uno que está respaldado por los datos y el informe Active Advertisary, que en realidad, para mí, respalda las principales tendencias que estamos viendo en el informe de amenazas.
Y eso es exfiltración [la extracción ilegal de datos de la red].
Hay un tiempo entre el momento en que ocurre la exfiltración y el lanzamiento del ransomware en la red.
Muy a menudo, en estos días, habrá alguna exfiltración que precederá al propio ransomware, por lo que se robarán algunos datos.
Y en nuestros hallazgos vimos que hubo una mediana de 1.85 días, por lo que tuvo, nuevamente, casi dos días antes de que llegara el ransomware, donde podría haber visto una señal sospechosa en un servidor que normalmente no ve mucho. de datos salientes.
De repente, "Enviando datos a mega.io” [un servicio de almacenamiento de archivos en línea]... eso podría haber sido un indicador de que algo estaba sucediendo en su red.
Ese es un ejemplo de dónde tenemos señales en la red: no significan "presione inmediatamente el botón de pánico", pero es el precursor de ese evento en particular.
PATO. Entonces, estas son empresas que no fueron incompetentes para buscar ese tipo de cosas, o que no entendieron lo que significaba la exfiltración de datos para su negocio, no sabían que no debía suceder.
Realmente fue solo que, entre todas las otras cosas que deben hacer para mantener la TI funcionando sin problemas en la empresa, realmente no tuvieron tiempo para pensar: “¿Qué nos dice eso? Profundicemos un poco más”.
JUAN. Nadie estaba mirando.
No es que fueran negligentes… es que o no sabían buscar, o no sabían qué buscar.
Y ese tipo de eventos, y los vemos una y otra vez... hay señales definitivas dentro de los ataques de ransomware que son señales de alta fidelidad que dicen: "Algo malo está sucediendo en su red".
Y ese es solo un lado de las cosas; ahí es donde realmente tenemos señales.
Pero en cuanto a su punto, hay otras áreas en las que podríamos usar las capacidades de una herramienta XDR, por ejemplo.
PATO. Fue detección y respuesta extendidas?
JUAN. Eso es correcto.
PATO. Entonces eso no es, “Oh, mira, eso es malware; ese es un archivo que se está encriptando; bloqueémoslo”.
XDR es donde usted le dice activamente al sistema: "Salga y dígame qué versiones de OpenSSL tengo instaladas".
JUAN. Exactamente.
PATO. “Dime si todavía tengo un servidor de Exchange que me olvidé”… ¿ese tipo de cosas?
JUAN. Sí.
Vimos mucha actividad de ProxyShell el año pasado, cuando se lanzó el PoC [prueba de concepto] a mediados de agosto... y como escribiste en Naked Security, incluso aplicar el parche al sistema no iba a salvar necesariamente usted, *si los ladrones hubieran entrado antes que usted y implantado un webshell*.
Serious Security: Webshells explicados después de los ataques HAFNIUM
Así que ahora, al investigar después del hecho, ahora que sabemos que ProxyShell existe, porque hemos visto los boletines, podemos ir y buscar: [1] la existencia de esos parches en los servidores que conocemos; [2] encontrar cualquier servidor que no conozcamos; y [3] (si hemos aplicado el parche) buscar señales de esos webshells.
Toda esa actividad en última instancia lo hará más seguro y potencialmente le permitirá descubrir que hay un problema en la red que luego debe llamar a su equipo de respuesta a incidentes; llamar Respuesta rápida de Sophos; llame a quien sea que esté allí para ayudarlo a remediar estas cosas.
Porque en todas estas siglas que tenemos, la “D”, la detección poco, esa es la tecnología.
La "R", la respuesta Un poco, esos son los humanos... ellos son los que en realidad están saliendo y dando mucha de esta respuesta.
Hay herramientas automatizadas que pueden hacer esto, pero, francamente, los humanos son mucho mejores para hacerlo de una manera más completa que las máquinas.
Los humanos conocen el medio ambiente; los humanos pueden ver los matices de las cosas mejor que las computadoras.
Y por eso necesitamos que tanto el ser humano como la máquina trabajen juntos para resolver estos problemas.
PATO. Por lo tanto, XDR no se trata solo de la detección y prevención de amenazas tradicionales de la vieja escuela, a pesar de lo importante que sigue siendo.
Se podría decir que se trata tanto de encontrar las cosas buenas que se supone que deben estar ahí, pero no lo están...
…ya que se trata de encontrar las cosas malas que no deberían estar allí, pero están.
JUAN. También se puede usar de otra manera, es decir, si está consultando su estado, su red, todos los dispositivos que le informan de telemetría... y no obtiene una respuesta de algunos de ellos.
¿Quizás están apagados?
Tal vez no, tal vez los delincuentes hayan desactivado la protección de esos sistemas y deba investigar más a fondo.
Desea reducir la cantidad de ruido en el sistema para que pueda detectar la señal un poco mejor, y eso es lo que hará la prevención.
Se deshará de todo ese malware basura de gran volumen y bajo costo que nos llega, a todos nosotros, todos los días.
Si podemos deshacernos de eso y obtener una señal más estable, entonces creo que no solo ayuda al sistema en general porque hay menos alertas en el proceso, sino que también ayuda a los humanos a encontrar problemas más rápido.
PATO. John, soy consciente del tiempo, así que me gustaría preguntarte la tercera y última cosa que la gente podría no estar haciendo (o creen que deberían hacerlo, pero aún no lo han logrado)... lo que, en su opinión, da el mejor rendimiento a su inversión en ciberseguridad, para aumentar su resiliencia contra el ciberdelito lo más rápido posible.
JUAN. Algo de lo que he estado hablando con muchos de nuestros clientes y socios es: ahora estamos en este mundo donde las amenazas se han vuelto más complejas, el volumen ha aumentado...
…entonces no tengas miedo de pedir ayuda.
Para mí, ese es un consejo que todos deberíamos tomar en serio, porque no todos podemos hacerlo todo.
Hiciste un ejemplo antes de que comenzáramos a grabar acerca de llamar a un plomero, ¿verdad?
No todo el mundo es capaz de hacer su propia plomería... algunas personas lo son, pero al final del día, pedir ayuda no debe verse como algo negativo o como un fracaso.
Debe ser visto como usted haciendo todo lo posible para ponerse en una buena base de seguridad.
PATO. Sí, porque ese fontanero ha arreglado cientos de tuberías con fugas antes… y la ciberseguridad es muy parecida a eso, ¿no?
Por eso, empresas como Sophos ofrecen Detección y respuesta gestionadas [MDR], donde puedes decir: “Ven y ayúdame”.
Al menos, lo libera para hacer todas las demás cosas de TI que necesita hacer de todos modos... incluidas las cosas cotidianas de seguridad cibernética, el cumplimiento normativo y todas esas cosas.
JUAN. La pericia se adquiere a través de la experiencia, y realmente no quiero que todos nuestros clientes, y todos los demás, tengan que experimentar cientos de ataques diariamente para descubrir la mejor manera de remediarlos; la mejor manera de responder.
Mientras que el conjunto de todos los ataques que vemos a diario, y los expertos que tenemos sentados en esas sillas mirando esos datos... saben qué hacer cuando ocurre un ataque; ellos saben qué hacer *antes* de un ataque de kits.
Pueden detectar esas señales.
Vamos a poder ayudarlo con el aspecto técnico de la remediación.
También podemos darle algunos consejos sobre cómo preparar su red contra futuros ataques, pero al mismo tiempo, también podemos eliminar parte de la emoción de la respuesta.
He hablado con personas que han pasado por estos ataques y es desgarrador, es emocionalmente agotador, y si tienes a alguien allí que tenga experiencia, con la cabeza fría, que no tenga emociones, que pueda guiarte a través de esta respuesta. …
…el resultado va a ser mejor que si estuvieras corriendo con el pelo en llamas.
Incluso si tiene un plan de respuesta, que toda empresa debería, ¡y debería probarse! – Es posible que desee tener a alguien más que pueda guiarlo a través de él, y pasar ese proceso juntos, de modo que al final esté en un lugar en el que esté seguro de que su negocio es seguro y que también puede mitigar cualquier ataque futuro.
PATO. Después de su duodécimo ataque de ransomware, creo que probablemente será tan bueno como nuestros expertos en ejecutar la "máquina del tiempo de la red", retroceder, descubrir todos los cambios que se realizaron y arreglar todo.
Pero no querrá tener que sufrir los once ataques de ransomware primero para llegar a ese nivel de experiencia, ¿verdad?
JUAN. Exactamente.
PATO. John, muchas gracias por tu tiempo y tu pasión… no solo por saber sobre ciberseguridad, sino por ayudar a otras personas a hacerlo bien.
Y no solo para hacerlo bien, sino para hacer *lo correcto* bien, para no perder el tiempo haciendo cosas que no ayudarán.
Así que terminemos, John, diciéndoles a todos dónde obtener el informe de amenazas, ¡porque es una lectura fascinante!
JUAN. Sí, Duck… muchas gracias por invitarme; Creo que fue una buena conversación, y es bueno estar en el podcast contigo nuevamente.
Y si alguien quiere obtener su propia copia del informe de amenazas recién creado, puede ir a:
https://sophos.com/threatreport
PATO. [RISAS] ¡Bueno, eso es fácil y agradable!
Es una gran lectura... no pases muchas noches sin dormir (hay algunas cosas aterradoras allí), pero te ayudará a hacer mejor tu trabajo.
Así que gracias una vez más, John, por dar un paso al frente en tan poco tiempo.
Gracias a todos por escuchar, y hasta la próxima…
AMBAS COSAS. ¡Mantente seguro!
[MÓDEM MUSICAL]
- blockchain
- Coingenius
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- ciberamenazas
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Juan Shier
- Kaspersky
- Ley y Orden
- el malware
- Mcafee
- MDR
- Seguridad desnuda
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- Podcast
- Liderazgo en seguridad
- Las amenazas de seguridad
- más tímido
- Informe de amenazas
- VPN
- seguridad del sitio web
- XDR
- zephyrnet
![T3 Ep 126: El precio de la moda rápida (y el aumento de funciones) [Audio + Texto]](https://platoaistream.net/wp-content/uploads/2023/03/s3-ep-126-the-price-of-fast-fashion-and-feature-creep-audio-text-360x188.png)
![T3 Ep117: La criptocrisis que no fue (y adiós para siempre a Win 7) [Audio + Texto]](https://platoaistream.net/wp-content/uploads/2023/01/s3-ep117-the-crypto-crisis-that-wasnt-and-farewell-forever-to-win-7-audio-text-360x188.png)