Decodificar el informe Verizon DBIR: una mirada privilegiada …



Para comprender realmente las tendencias de seguridad cibernética, debemos mirar más allá de los titulares y pedir más datos. Lo que aprendas puede sorprenderte.

Durante los últimos 13 años, el «Informe de investigaciones de violación de datos» (DBIR) de Verizon ha sido el recurso definitivo de la industria para documentar y comparar el estado world-wide de la ciberseguridad. Como siempre, el equipo Verizon DBIR hace un trabajo admirable al examinar un conjunto de datos impresionantemente grande para descubrir las tendencias subyacentes que están impulsando el mercado.

Pero como Miles Davis, el legendario trompetista de jazz, dijo una vez: «No son las notas que tocas, son las notas que no tocas». En otras palabras, es el silencio entre las notas lo que permite al oyente interpretar y apreciar el significado y el contexto más profundos de la música. Al leer un amplia encuesta de la industria como el DBIR, también es instructivo mirar más allá de los titulares en negrita y hacer más preguntas sobre los datos para comprender mejor el significado detrás de estas tendencias.

Esto es lo que quiero decir.

Titular # 1: La amenaza world wide de malware se está evaporando
De acuerdo con DBIR: El equipo Verizon DBIR documenta una disminución abrupta de las amenazas relacionadas con el malware, del 50% en 2016 a solo el 6%, afirmando que «creemos que otros tipos de ataques como piratería y violaciones sociales se benefician del robo de credenciales, lo que hace que no ya es necesario agregar malware para mantener la persistencia. Por lo tanto, si bien definitivamente no podemos afirmar que el malware ha seguido el camino de la cinta de ocho pistas, es una herramienta que se encuentra inactiva en la caja de herramientas del atacante en escenarios de ataque más simples «.

Más allá del titular: Por supuesto, es alentador leer que las amenazas de malware están disminuyendo, y estoy de acuerdo con la interpretación de que la amplia disponibilidad de credenciales de usuario ha evitado, en gran medida, la necesidad de que los actores de amenazas empleen malware para mantener la persistencia. ¿Por qué molestarse en subir a través de una pequeña ventana del sótano si solo puede abrir la puerta principal, verdad?

Sin embargo, a pesar de esta tendencia a la baja, pocos investigadores de amenazas que conozco se sentirían cómodos con este pronunciamiento solo, ni presumirían que el malware es una amenaza por la que ya no necesitan preocuparse. Más bien, la disminución podría atribuirse al hecho de que los kits de explotación que alguna vez fueron la provincia de unos pocos actores sofisticados de amenazas ahora están ampliamente disponibles para una población más grande a través de servicios de suscripción fáciles de usar que no requieren el uso de malware avanzado comprometer la crimson (sin mencionar que la industria en su conjunto ha mejorado colectivamente su capacidad para detectar y bloquear amenazas de malware en basic).

Otra fuerza detrás de la disminución es que los actores de la amenaza dependen menos del malware como un instrumento contundente para obtener acceso y más bien aprovechan las utilidades y herramientas legítimas del sistema con fines maliciosos. Quizás esto se ejemplifique mejor con el surgimiento de «binarios que viven de la tierra» (LOLBins). Por lo general, los actores de amenazas abusarán de aplicaciones legítimas como PowerShell con scripts maliciosos para evitar ser detectados por las herramientas antivirus convencionales.

Titular # 2: Todavía se trata de los Benjamins, pero …
De acuerdo con DBIR: Las recompensas financieras siguen siendo el principal motivador para los actores de amenazas. Sin embargo, los autores de DBIR reconocieron un issue motivador «secundario», para el cual la infraestructura comprometida «no es el objetivo principal, sino un medio para un fin como parte de otro ataque.«

Más allá del titular: Lo que los autores llaman secundaria es una forma conveniente de agrupar un amplio espectro de motivaciones dispares bajo un solo paraguas. Sin embargo, también insinúa otra tendencia subyacente, que es que los actores de amenazas son más selectivos a la hora de desplegar malware y utilizan cada vez más cepas evasivas de malware para llevar a cabo operaciones de recopilación de inteligencia a más largo plazo.

Con respecto a los goteros y troyanos, los autores señalan que si bien encuentran que estas amenazas particulares disminuyen con el tiempo, «sus capacidades de management remoto y puerta trasera siguen siendo una funcionalidad clave para que los atacantes más avanzados operen y logren su objetivo». Hemos visto una amplia evidencia de esto en nuestro trabajo en VMRay analizando una variedad de troyanos bancarios (por ejemplo, Trickbot y Ursnif). Hemos visto de primera mano cómo se aprovechan cada vez más para llevar a cabo una amplia gama de reconocimiento de información secundaria, desde consultar a la red los ajustes de configuración, registrar qué application y servicios están instalados y en funcionamiento, hasta violar los sistemas de recursos humanos y nómina, todos los cuales atacantes puede aprovechar para futuros ataques.

Esto respalda el caso de que los atacantes más sofisticados, ya sean estados nacionales u organizaciones criminales, aprovechan las cepas de malware conocidas y las reutilizan para campañas extendidas cuyo objetivo principal es mantener la persistencia.

Titular # 3: Sesgo de supervivencia inversa (es decir, es lo que no estamos viendo lo que realmente podría estar lastimándonos)
De acuerdo con DBIR: «Nuestro cuerpo de incidentes sufre lo contrario del sesgo de supervivencia. Las violaciones e incidentes son registros de cuándo la víctima no sobrevivió … El malware bloqueado por sus controles de protección es un ejemplo de sesgo de supervivencia donde la víctima potencial no lo hizo obtenga el malware «… y que» es importante reconocer que el porcentaje relativo de malware que vemos presente en las infracciones e incidentes puede no corresponder a sus experiencias de lucha, limpieza y cuarentena de malware en toda su propia organización «.

Más allá del titular: Quizás el ejemplo más conocido de sesgo de supervivencia proviene del estadístico Abraham Wald, quien durante la Segunda Guerra Mundial tuvo en cuenta este sesgo al considerar cómo minimizar la pérdida de bombarderos al fuego enemigo. Observó que fueron los aviones que nunca llegaron a casa, en lugar de los que lo hicieron a pesar de estar acribillados con agujeros de bala, especialmente en sus alas, lo que debería informar la decisión sobre dónde deberían reforzarse los bombarderos con armadura adicional (el área del fuselaje) .

Es bueno ver que los autores de DBIR reconocen y destacan este problema en specific porque incluso los conjuntos de datos más completos solo cuentan una parte de la historia. Además de su observación de que el malware está bloqueado por los controles de protección como un ejemplo de sesgo de supervivencia donde la víctima potencial no recibió el malware, la pregunta abierta sigue siendo cuántas amenazas de malware nunca llegaron a la población de la muestra, no porque fueran bloqueado, sino más bien porque lograron evadir la detección. Es lógico pensar que el malware de 2019 es significativamente mejor para ocultar sus huellas que el malware de 2014.

El DBIR de Verizon se ha convertido en un recurso realmente priceless para los investigadores de amenazas y los analistas de seguridad que se encargan continuamente de planificar cada variedad de escenarios de «qué pasaría si». Sin embargo, más que nada, el informe es una muestra de la colaboración entre industrias en su máxima expresión, con una creciente participación de una variedad de diversos proveedores de seguridad, agencias gubernamentales y organizaciones sin fines de lucro. Independientemente de lo que digan los datos sobre el estado del entorno de amenaza genuine, este tipo de cooperación abierta incluso entre los competidores más feroces representa nuestra mejor esperanza para mantener nuestro futuro seguro.

(Nota: VMRay se encuentra entre las organizaciones contribuyentes del informe).

Contenido relacionado:

Chad Loeven ha estado involucrado en la seguridad empresarial por más de 20 años. Antes de VMRay, administró alianzas tecnológicas en RSA, la división de seguridad de EMC. Se incorporó a RSA a través de la adquisición de Silicium Stability y el ECAT ETDR de Silicium (Endpoint Menace Detection and … Ver biografía completa

Lectura recomendada:

Más suggestions





Enlace a la noticia unique