Gerentes de Centros de Operaciones de Seguridad son incapaces de determinar potenciales amenazas

Los encuestados reconocen incapacidad de ir al paso de las alertas de Ciberseguridad o seleccionar eventos relevantes para investigación.

Intel Security dio a conocer su Informe de Amenazas de McAfee Labs: Diciembre de 2016, que proporciona conocimiento sobre cómo las empresas están utilizando los centros de operaciones de seguridad (SOC), detalla desarrollos claves en el 2016 de ransomware, e ilustra cómo los atacantes están creando malware difícil de detectar al infectar código legítimo con troyanos y aprovechar la legitimidad para permanecer oculto tanto tiempo como sea posible. El informe de diciembre también detalla el crecimiento de ransomware, malware móvil, malware macro, malware Mac OS y otras amenazas durante el 3er trimestre de 2016.

 “Uno de los problemas más difíciles en la industria de la seguridad es la identificación de las acciones maliciosas de código que fue diseñado para comportarse como software legítimo, con bajos falsos positivos”, dijo Vincent Weafer, Vicepresidente de McAfee Labs de Intel Security. “Mientras más auténtica parezca una porción de código, más probable se pasará por alto. Igual que en 2016 hubo más ransomware con conocimiento de sandbox de seguridad, la necesidad de ocultar la actividad maliciosa está impulsando una tendencia hacia ‘troyanizar’ las aplicaciones legítimas. Dichos desarrollos imponen una carga de trabajo aún mayor en el SOC de la organización – donde el éxito requiere la capacidad de detectar, cazar, y erradicar rápidamente los ataques en curso”.

El estado del SOC en 2016.

 A mediados de 2016, Intel Security encargó un estudio de investigación primaria para tener una mejor comprensión de las formas en que las empresas utilizan los SOCs, cómo han cambiado a lo largo del tiempo, y cómo serán en el futuro. Las entrevistas con casi 400 profesionales de seguridad en diversas áreas geográficas, sectores y tamaños de empresas, proporcionaron información valiosa sobre el estado de los SOCs en 2016:

 Sobrecarga de alertas. En promedio, las organizaciones son incapaces de investigar adecuadamente el 25% de sus alertas de seguridad, sin ninguna variación significativa por país o tamaño de compañía.

  • Problemas de selección. Mientras que la mayoría de los encuestados reconocieron estar abrumados por las alertas de seguridad, tantos que el 93% de ellos, son incapaces de clasificar todas las posibles amenazas.
  • Los incidentes se elevan. Ya sea debido a un incremento en los ataques o a una mejora en sus capacidades de monitoreo, el 67% de los encuestados informaron un incremento en los incidentes de seguridad.
  • Causa del aumento. De los encuestados que informaron un aumento en los incidentes, 57% informaron que estaban siendo atacados con más frecuencia, mientras que 73% creyeron que son capaces de detectar ataques mejor.
  • Señales de amenazas. Las señales de detección de amenazas más comunes para la mayoría de las organizaciones (64%) provienen de los puntos de control de seguridad tradicionales, como antimalware, firewall y sistemas de prevención de intrusiones.
  • Proactivo vs. reactivo. La mayoría de los encuestados afirman estar avanzando hacia el objetivo de una operación de seguridad proactiva y optimizada, pero 26% todavía operan de modo reactivo, con abordajes ad-hoc hacia las operaciones de seguridad, caza de amenazas y respuesta a incidentes.
  • Adversarios. Más de dos tercios (68%) de las investigaciones en 2015 implicaron una entidad específica, ya sea como un ataque externo dirigido o una amenaza interna.
  • Causas para investigación. Los encuestados indicaron que el malware genérico encabezó la lista de incidentes (30%) que condujeron a investigaciones de seguridad, seguido por ataques dirigidos basados en malware (17%), ataques dirigidos basados en red (15%), accidentes incidentes internos que generaron amenazas potenciales o pérdida de datos (12%), amenazas maliciosas internas (10%), ataques directos de estados-nación (7%) y ataques indirectos o hacktivistas de estados-nación (7%).

 Los encuestados dijeron que la máxima prioridad para el crecimiento y las inversiones de los SOCs es mejorar la capacidad para responder a los ataques confirmados, que incluye la capacidad de coordinar, remediar, eliminar, aprender y prevenir la recurrencia.

Aparición de Software Legítimo “Troyanizado”

El informe también detalla algunas de las muchas maneras en que los atacantes colocan troyanos dentro de código comúnmente aceptado, a fin de ocultar sus intenciones maliciosas. McAfee Labs identificó diversos abordajes para lograr esto:

  • Colocar parches en ejecutables sobre la marcha, a medida que se descargan a través de ataques de intermediarios (MITM)
  • Agrupar archivos “limpios” y “sucios” empleando aglutinadores o agrupadores
  • Modificar los ejecutables mediante colocadores de parches, manteniendo a la perfección el uso de aplicaciones
  • Modificar mediante código abierto interpretado o código descompilado
  • Envenenar el código fuente maestro, especialmente en bibliotecas redistribuidas

 

2016: ¿El Año del Ransomware?

Hasta finales del 3er trimestre, el número de nuevas muestras ransomware este año totalizó 3.860.603, lo que representa un aumento del 80% en el total de muestras ransomware desde el comienzo del año. Más allá del salto en el volumen, el ransomware mostró avances técnicos notables en 2016, incluyendo el cifrado de disco completo o parcial, cifrado de sitios Web utilizados por aplicaciones legítimas, anti-sandboxing de seguridad, kits de explotación de vulnerabilidades más sofisticados para entrega de ransomware y más desarrollos de ransomware como un servicio.

 “El año pasado habíamos predicho que el increíble crecimiento de los ataques de ransomware en 2015, continuaría en 2016”, dijo Weafer. “El año 2016 podrá de hecho ser recordado como el año del “ransomware”, con un gran salto en el número de estos ataques, diversos embates de alto perfil que generaron gran interés de los medios de comunicación y avances técnicos significativos en este tipo de ataque. La otra cara de la moneda en los ataques de ransomware es que existe una mayor cooperación entre la industria de la seguridad y las agencias de seguridad pública, y una colaboración constructiva entre los competidores del sector empezó realmente a entregar resultados para luchar contra los delincuentes. Como resultado, esperamos que el crecimiento de los ataques de ransomware disminuya en 2017.

Actividad de Amenazas el 3er Trimestre de 2016

Durante el tercer trimestre de 2016, la red de Global Threat Intelligence de McAfee Labs registró aumentos notables de ransomware, malware móvil y macro malware:

  • Ransomware. El conteo de ransomware total creció un 18% durante el tercer trimestre de 2016 y 80% desde el comienzo del año.
  • Malware Mac OS. El nuevo malware de Mac OS se disparó 637% durante el 3er trimestre, pero el aumento se debió principalmente a una única familia de adware, Bundlore. El total de malware de Mac OS sigue siendo bastante bajo en comparación a otras plataformas.
  • Nuevo malware. El crecimiento de nuevo malware único disminuyó un 21% durante el 3er trimestre.
  • Malware móvil. Hemos catalogado más de dos millones de nuevas amenazas de malware móvil durante el 3er trimestre. Las tasas de infección en África y Asia, disminuyeron cada una en 1,5%, mientras que en Australia aumentaron un 2% durante el 3er trimestre.
  • Malware macro. El nuevo macro malware para Microsoft Office (principalmente Word) continuó el incremento observado por primera vez en durante el 2o trimestre.
  • Botnets de spam. El botnet Necurs multiplicó su volumen durante el 2o trimestre en casi siete veces, convirtiéndose en el botnet de spam de mayor volumen durante el 3er trimestre. También hemos medido una brusca caída en el envío de spam por Kelihos, que dio lugar a la primera disminución en volumen trimestral que hemos observado en 2016.
  • Prevalencia de botnet en todo el mundo. Wapomi, que entrega gusanos y descargadores, permaneció siendo el número uno en el 3ertrimestre, disminuyendo del 45% durante el 2o trimestre. El ransomware CryptXXX servido por botnets, saltó hacia el segundo lugar; fue responsable de sólo el 2% del tráfico el trimestre pasado.