Dentro del equipo de investigación de Check out Issue …



El equipo arroja luz sobre cómo funciona su organización y lo que están viendo en el panorama de amenazas.

CPX 360 – New Orleans, La. – Los equipos de investigación de seguridad en toda la industria siempre están buscando nuevas amenazas y vulnerabilidades para que las organizaciones puedan mejorar sus defensas. Pero, ¿cómo deciden estos expertos qué investigar a continuación? ¿Qué temas les preocupan más?

El equipo de Check Point Exploration (CPR) consta de 150 a 200 personas centradas en el análisis de malware y la investigación de vulnerabilidades. La RCP tiene como objetivo generar una conciencia más amplia sobre las amenazas mediante el descubrimiento y la comprensión de las últimas técnicas de ataque y luego compartirlas con la industria. El grupo se divide en dos partes: las personas que descubren nuevas amenazas y las que las investigan.

En un espacio tan complejo y en evolución como el panorama moderno de amenazas, puede ser difícil decidir qué investigar. Maya Horowitz, directora de inteligencia de amenazas en Examine Place, dice que algunos trabajos son dictados por los intereses de los analistas. Como ejemplo, explain a un investigador interesado en la lingüística que descubrió a un ciberdelincuente de Libia usando Fb para propagar malware. Notó errores tipográficos en una publicación de Facebook y la conectó a otras que contenían errores similares.

El trabajo de algunos investigadores se centra en problemas comúnmente conocidos dentro de la industria de la seguridad, pero rara vez se discuten fuera de ella. Horowitz cita las aplicaciones móviles maliciosas y las configuraciones incorrectas de la nube como dos problemas que exigen una mayor conciencia pública, especialmente dada la creciente prevalencia de los dispositivos móviles y la nube entre los consumidores y las empresas. Si alguien sabe que una aplicación de una tienda legítima podría contener malware, puede pensarlo dos veces antes de descargarla.

«Nos motivan las cosas que están ahí afuera», dice ella. Además de investigar ataques y vulnerabilidades comunes, la RCP también analiza las amenazas más raras. Los archivos maliciosos enviados a clientes en un país específico, por ejemplo, pueden no ser un problema worldwide, pero aún así merecen una investigación de RCP.

«En realidad, no se pueden vender productos para infraestructuras de defensa sin saber realmente cómo funciona el hacker», dice Oded Vanunu, jefe de investigación de vulnerabilidad de productos en Look at Stage.

Vanunu desglosa el proceso en mayor detalle: algunos investigadores son responsables de analizar la infraestructura y los sensores, de los cuales recopilan registros y datos en bruto que les dicen lo que está sucediendo en World-wide-web. «Estamos hablando de millones de registros cada hora miles de millones después de un día», agrega. Los analistas profundizan en este tesoro de datos para detectar rupturas de patrones que podrían indicar un ataque.

«Si hay malos actores haciendo cosas, podemos interceptar de inmediato, podemos atacar de regreso, o podemos decidir que queremos ver qué está pasando», dice Vanunu. Este tipo de anomalías llevó a los investigadores a descubrir vulnerabilidades en TikTok, Fortnite y, más recientemente, en la plataforma de videoconferencia Zoom. Las tres investigaciones comenzaron con un nivel inusual de inteligencia de amenazas que condujo a descubrimientos de errores en cada plataforma.

«Hoy los ataques son muy complejos», dice Vanunu. «Los ataques son diferentes. Los ataques requieren múltiples vectores hoy en día, que se mueven de una tecnología a otra. Para evitarlo, debes aprender el ataque debes saber qué está haciendo el atacante».

¿Qué es lo que más te preocupa?

El equipo de RCP trabaja con una gran cantidad de datos que indican qué están haciendo los atacantes, lo que plantea la pregunta: ¿qué ven que les preocupa más?

Horowitz señala primero la creciente complejidad de los ataques de ransomware. «Vemos menos ataques de ransomware», dice ella. «Pero los que estamos viendo son los más sofisticados, dirigidos a empresas que tienen muchos datos y mucho dinero».

Como hemos visto en el último año, agrega, un objetivo no tiene que ser una gran empresa para tener dinero o datos que temen perder. «No necesariamente persiguen a los bancos, sino a ciudades y hospitales que en realidad no invierten demasiado en ciberseguridad», continúa Horowitz.

Las organizaciones que no adoptan las herramientas adecuadas también pueden estar en riesgo: si bien la mayoría ha invertido en herramientas de seguridad tradicionales, incluso las grandes empresas han frenado la seguridad en la nube y móvil, el sandboxing y otras tecnologías defensivas. «Una gran empresa podría invertir mucho en ciberseguridad, pero no siempre en los lugares correctos», dice ella.

Para los atacantes de hoy, el correo electrónico es solo la primera etapa de un ataque de ransomware. Muchos implementan una botnet y luego instalan Trickbot para que puedan robar datos de las máquinas de destino y enviarlos de vuelta a un servidor controlado por el atacante. Este acceso proporciona una foundation amplia para implementar una campaña de ransomware. Los adversarios buscan inteligencia de amenazas sobre las víctimas para saber cuánto dinero pueden exigir.

Las amenazas móviles, otra preocupación, son cada vez más peligrosas y generalizadas. Los atacantes se han movido más allá del molesto adware y clickbait a amenazas diseñadas para Laptop. El adware es molesto, como señala Horowitz, pero un ladrón de información en un dispositivo móvil puede levantar información corporativa confidencial. Los mercados para malware móvil se están volviendo más comunes, haciendo que estas amenazas sean accesibles.

La nube está evolucionando como un objetivo de ataque a medida que las empresas continúan adoptando tecnologías de nube pero no mejoran su postura de seguridad para proteger las aplicaciones que usan y desarrollan.

«Hoy todo está conectado a la nube», dice Vanunu. «Una de las peores cosas que estamos viendo, todo el tiempo, es que los proveedores están creando software package … y el computer software actual es fácil de crear, pero a su alrededor hay cientos de API». Las API se utilizan para autenticación, cifrado, VoIP, estadísticas, pagos y muchas otras tareas. Esta dependencia de las API significa que las empresas dependen de las empresas de software para hacer su trabajo en la protección de las API, pero «no está funcionando así», agrega.

Actualmente, muchas aplicaciones comunes son software program como servicio (SaaS), lo que significa que los atacantes solo necesitan una vulnerabilidad para comenzar a moverse entre usuarios y clientes, continúa. Los atacantes lo saben, por eso las vulnerabilidades de seguridad tienen una gran demanda, y están dispuestos a pagar mucho por ellas. Las aplicaciones empresariales en la nube son muy demandadas, pero las aplicaciones de consumo populares podrían ser puertas de enlace más lucrativas.

«Las aplicaciones empresariales en la nube son menos relevantes, porque si quiero ejecutar un ataque, lo haré a través de la aplicación que todos tienen», explica. Es por eso que las vulnerabilidades en aplicaciones como TikTok son particularmente peligrosas. En un momento en que las personas usan los mismos dispositivos en el hogar y en la oficina, una vulnerabilidad del consumidor puede dar a los atacantes acceso a un grupo más grande de objetivos.

Contenido relacionado:
9 cosas que los campeones de seguridad de aplicaciones deben tener éxito
Evaluación del riesgo de ciberseguridad en la empresa actual
Cómo administrar la seguridad de la API
Repensar la defensa de datos empresariales

Kelly Sheridan es la Editora de personalized de Dim Reading, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que previamente reportó para InformationWeek, donde cubrió Microsoft, y Insurance & Technological innovation, donde cubrió asuntos financieros … Ver biografía completa

Más suggestions





Enlace a la noticia original