La perspectiva de un CISO sobre IA

La perspectiva de un CISO sobre IA

Por Harold Rivas*

Muchos de los líderes en ciberseguridad con los que platico, expresan una mezcla de incertidumbre y entusiasmo por las nuevas capacidades de IA generativa (GenAI). Estamos pensando en cómo la IA afecta nuestra capacidad para proteger nuestras organizaciones y cómo podemos adelantarnos a los riesgos que plantea. Al mismo tiempo, esperamos utilizarlo para ser más adaptables y más rápidos a la hora de detectar y remediar amenazas. A medida que comenzamos el año 2024, esta es mi opinión sobre dónde los directores de Información y Seguridad (CISO) verán mayores amenazas (y oportunidades) de la IA.

La IA permite nuevas ciber amenazas

Proteger a una organización de una amplia gama de amenazas nunca ha sido tan desafiante. Los ciberdelincuentes pueden utilizar la IA para ocultar códigos maliciosos, crear malware capaz de imitar sistemas confiables y redactar correos electrónicos de phishing convincentes.

Y ya hemos visto a atacantes utilizar pruebas de penetración de IA. Todo lo que los ciberdelincuentes tienen que hacer es crear el mensaje correcto, utilizando la herramienta que elijan, para penetrar un sistema.

En esencia, la ciberseguridad se ha convertido en una carrera armamentista en la que los atacantes aprovechan la IA para superar los mecanismos de defensa tradicionales. El gran volumen de amenazas potenciales y la velocidad a la que evolucionan hacen imposible que los operadores humanos, por sí solos, puedan seguir el ritmo.

GenAI también puede aumentar el riesgo de amenazas internas. Los empleados que utilizan ChatGPT pueden filtrar inadvertidamente información confidencial fuera de la organización. Incluso si estas acciones no son maliciosas, pueden causar daños importantes.

Cómo los CISO pueden integrar GenAI en su postura de ciberseguridad

Como CISO, debemos informar a nuestras partes interesadas sobre los riesgos de los ataques asistidos por IA y ayudarlos a comprender lo desafiante que se ha vuelto esto.

Un punto importante que podemos destacar es que el ritmo de los ataques se está acelerando. A medida que los atacantes operan más rápido, los defensores tienen que operar aún más rápido, lo que significa utilizar IA para actividades defensivas. GenAI puede ser un poderoso aliado para recopilar información crítica rápidamente. Por ejemplo, disfruto usando Grok de X para aprender en tiempo real lo que el mundo publica sobre las últimas vulnerabilidades de día cero o las amenazas recién descubiertas.

Como CISO, podemos utilizar la IA para ayudar a nuestras organizaciones a pasar de un enfoque reactivo a uno más adaptativo y basado en riesgos. La IA puede ayudar a conectar los puntos para que pueda pasar de un mar de datos sobre indicadores de compromiso (IOC) a aplicar inteligencia contextual. Con un poco de personalización, podrá comprender mejor a quién quiere atacar a su organización, sus técnicas y los indicadores que le ayudan a demostrarlo. Esta inteligencia brinda a los CISO información valiosa que puede ayudarlo a fortalecer aún más las defensas de su organización y guiar sus conversaciones con otros ejecutivos.

Usando IA para pasar de reactivo a adaptativo

Como Cliente Cero de la tecnología Trellix, puedo probar nuestras últimas innovaciones. Y tenemos algunos desarrollos nuevos e interesantes con la IA. Por ejemplo, nuestro reciente anuncio de Trellix GenAI, construido en Amazon Bedrock, ayudará a los equipos de SecOps a acelerar más rápidamente desde la detección hasta la investigación y la respuesta, y ayudará a los analistas de seguridad restringidos a ser más eficientes.

Normalmente los CISO no suelen participar directamente en el combate cibernético diario, pero podemos utilizar la IA para comprender las mayores amenazas a nuestras organizaciones y abordar los principales desafíos que enfrentan nuestros equipos.

Aquí algunos ejemplos de cómo puede hacerse:

Aceleración de insights: la IA reduce el tiempo de análisis de datos al ayudar a formular consultas más enfocadas y relevantes. Los CISO pueden tomar decisiones más rápidas y precisas basadas en datos, lo cual es crucial en un panorama de amenazas que evoluciona rápidamente.

Correlación de información: la IA puede correlacionar datos de múltiples fuentes con la información interna de una organización, destacando posibles vulnerabilidades y debilidades. Por ejemplo, si una organización similar experimenta una brecha debido a una vulnerabilidad particular, la IA puede señalarla para recibir atención inmediata, lo que permite una mitigación más estratégica.

Aumento de los esfuerzos humanos: la IA actúa como un analista de seguridad vigilante las 24 horas del día, los 7 días de la semana, monitoreando continuamente una organización en busca de signos de actividad maliciosa y tomando medidas proactivas. Podemos utilizar investigaciones guiadas por IA para acelerar las respuestas, reducir la carga de trabajo de los analistas y, esencialmente, ayudar a un analista de SOC junior a ser 10 veces más eficaz, apoyándolo y brindándole el contexto y el color que son fundamentales para su capacidad de respuesta. La IA también puede desarrollar rápidamente manuales de respuesta, lo que lleva a una disminución general de las acciones de mitigación y orquestación, aumentando al mismo tiempo la madurez de la seguridad.

La IA en ciberseguridad es un arma de doble filo. Tiene un inmenso potencial para fortalecer nuestras posturas de seguridad, pero los ciberdelincuentes también pueden utilizarlo en nuestra contra. Los CISO deberían planificar de forma proactiva el papel de la IA en la estrategia de seguridad de su organización lo antes posible.

Obtenga más información en el seminario web «Conectando los puntos y aprovechando la IA: cómo pasar de operaciones de seguridad reactivas a operaciones de seguridad adaptativas«, disponible el 31 de enero en AméricaEuropa, Medio Oriente y África y Asia-Pacífico y Japón

Consejo y CISOs: Defensa Ante Ciberataques

Consejo y CISOs: Defensa Ante Ciberataques

SAN JOSÉ, Calif. – 29 de Noviembre de 2023 – Trellix, la empresa de ciberseguridad que ofrece el futuro de la detección y respuesta extendidas (XDR), publicó hoy una nueva investigación como parte de la iniciativa Mind of the CISO de la empresa. La investigación ‘Mind of the CISO: Detrás de la Brecha’, de Trellix, encuestó a los directores de seguridad de la información (CISO) globales, de las principales industrias, para comprender mejor los desafíos únicos que enfrentan después de experimentar un ataque cibernético.

«Aumentar la urgencia y la alfabetización cibernética de su propio Consejo de Administración, es uno de los mayores desafíos del CISO», dijo Bryan Palma, director ejecutivo de Trellix. “La investigación sugiere que la voluntad de muchos Consejos de apoyar la ciberseguridad sólo se produce después de un ataque, pero debería ser al revés”.

La investigación revela a qué se enfrentan los CISO después de un incidente cibernético:

  • Los CISO seguirán siendo reactivos hasta que los Consejos de Administración se vuelven proactivos. El 95% de los CISO recibe más apoyo del Consejo después de un ataque: el 46% recibe un mayor presupuesto para tecnología adicional, el 42% revisa su estrategia general de seguridad, el 41% implementa nuevos marcos y estándares y el 38% crea nuevos puestos de trabajo y responsabilidades después de un ataque.

«El mayor aprendizaje es que había que generar conciencia a nivel de la junta directiva… desafortunadamente, tuvo que haber un incidente para lograrlo«, compartió un CISO de una agencia gubernamental australiana.

  • Los CISO enfrentan ataques desde todos los ángulos. Los ataques de robo de datos (48%), malware (43%) y ataques DDoS (37%) son los más comunes.
  • XDR es una solución viable de prevención de amenazas. Al menos el 92% de los encuestados está de acuerdo en que es necesario mejorar en las personas, los procesos y la tecnología después de experimentar un incidente cibernético importante. Además, el 95% cree que, si su organización hubiera implementado XDR, se habría evitado el importante evento de ciberseguridad que experimentaron.

«XDR puede tomar y correlacionar datos de múltiples fuentes y, por lo tanto, reducir los falsos positivos. Vemos menos fatiga de alerta en los equipos de seguridad y XDR nos permite ser proactivos en lugar de defensivos y post facto, otra gran diferencia«, compartió un CISO de una empresa del Reino Unido

Los principales incidentes apuntan a falta de apoyo proactivo del Consejo e inversiones cruciales para los CISOs, de acuerdo a la nueva investigación de Trellix<br />
  • Las consecuencias ocultas de los incidentes cibernéticos son las que más afectan a las organizaciones. No se informó que las consecuencias con costos claros, como la pérdida de ingresos y el aumento de las primas de seguros, tuvieran el mayor impacto. En cambio, los principales impactos incluyen la pérdida de datos (42%), un estrés significativo para sus equipos de SecOps (41%) y una reputación en declive (39%) como factores clave que impactan negativamente a sus organizaciones.

«Experimentar un incidente cibernético reforzó el concepto de que debemos estar siempre alerta, no importa qué tan seguros creamos que tenemos las cosas, no importa cuántas herramientas tengamos implementadas, es una batalla constante«, compartió un CISO de una empresa de manufactura con sede en EE.UU.

Para incrementar la participación y el apoyo entre los CISO, Trellix lanzó su iniciativa ‘Mind of the CISO’ a principios de este año, que abarca un Consejo de CISOs, seminarios web e investigaciones. Para obtener más información sobre estos nuevos hallazgos, el libro electrónico de Trellix ‘Mind of the CISO: Behind the Breach’ (en inglés), se puede descargar aquí.

De las 500 encuestas realizadas a nivel mundial para la investigación, 30 de ellas se realizaron en México, de ellas 2 fueron a empresas de energía, petróleo y gas; 11 de manufactura; 10 del sector público; 5 del cuidado de la salud; 1 de servicios financieros y 1 de otros sectores. 12 de las empresas tienen entre 1,000 y 2,999 empleados, 10 empresas entre 3,000 y 4,999 empleados y 8 con 5,000 o más. Sobre las personas que respondieron las encuestas 10 eran directores de seguridad de la información o ciberseguridad (CISO, CSO), 12 eran directores de seguridad de TI, 7 directores de seguridad y 1 director de operaciones de seguridad; de ellos 25 son los responsables directos de la ciberseguridad en la empresa y los otros 5 están involucrados en las decisiones estratégicas. El 77% manifiesta haber tenido varios incidentes importantes de ciberseguridad en los últimos 5 años, mientras que el otro 23% ha tenido un incidente importante. 

Metodología

El estudio Trellix, realizado por Vanson Bourne, encuestó a más de 500 CISO globales de empresas con un mínimo de 1.000 empleados en EE.UU., México, Brasil, Reino Unido, Francia, Alemania, Australia, India, Singapur, Emiratos Árabes Unidos, Sudáfrica, Japón y Corea del Sur. Las industrias incluyen energía y servicios públicos, atención médica, sectores públicos, manufactura y producción, y servicios financieros. Todos los encuestados experimentaron al menos un incidente cibernético en los últimos cinco años.

Trellix Desenmascara Colaboración Cibercriminal con Naciones-Estado

Trellix Desenmascara Colaboración Cibercriminal con Naciones-Estado

SAN JOSE, Calif. – 16 de noviembre de 2023 – Trellix, la empresa de ciberseguridad que ofrece el futuro de la detección y respuesta extendidas (XDR), publicó hoy el Informe Sobre Amenazas Cibernéticas de noviembre de 2023, desde el Centro de Investigación Avanzada (ARC). Trellix observó indicadores de colaboración entre grupos de ransomware y actores de amenazas persistentes avanzadas (APT), respaldados por naciones-estado, adopción y uso de lenguajes de programación menos conocidos para malware y ciberdelincuentes que desarrollan herramientas de IA generativa (GenAI). 

«A medida que avanza la tecnología, también lo hace el cibercrimen, y comprender el panorama cambiante es vital para que los CISO y los equipos de SecOps se adelanten a las amenazas», dijo John Fokker, director de Inteligencia de Amenazas del Centro de Investigación Avanzada Trellix. “Los ciberdelincuentes son cada vez más ágiles, organizados y políticamente alineados. Es imperativo que los defensores recurran a la inteligencia sobre amenazas para maximizar su postura de seguridad con recursos limitados». 

El último Informe sobre amenazas cibernéticas del Centro de investigación avanzada Trellix incluye: 

  • GenAI malicioso: los ciberdelincuentes eluden las protecciones para aprovechar herramientas comúnmente conocidas y utilizan GenAI para mejorar las campañas de phishing. La escala y la velocidad cada vez mayores de los ataques de phishing indican que es posible que GenAI malicioso ya esté implementándose en la actualidad.
  • Actividad de amenazas geopolíticas: la actividad de amenazas a los Estados-Nación aumentó más del 50% en los últimos seis meses debido a la escalada del conflicto en Rusia y Ucrania; la intensificación de la actividad cibernética en Israel justo antes y durante el conflicto; y los ataques de partes probablemente afiliadas a China contra Taiwán, de cara a sus elecciones de 2024.
  • Desarrollos de ransomware: las detecciones globales y los incidentes reportados por la industria, particularmente en el segundo trimestre, reflejan variaciones inusuales en las familias de ransomware, así como en los países e industrias objetivo. El Centro de Investigación Avanzada de Trellix también observó una fragmentación de grandes grupos de ransomware, con la introducción de grupos más pequeños y más ataques centrados en la filtración de datos.
  • Colaboración clandestina: los últimos seis meses demostraron un aumento en los actores de amenazas que colaboran activamente en los foros de la Dark Web. Esto abarcó grupos que se unieron formalmente (“The Five Families”), una escalada en la venta/compartición de vulnerabilidades de día cero, esfuerzos conjuntos de desarrollo de PoC para acelerar los exploits y más.
  • Malware políglota: la ciber crisis, que es en sí misma una crisis múltiple porque multiplica las amenazas, y el aumento del malware políglota lo exacerba aún más. Los nuevos lenguajes de programación se están convirtiendo en opciones populares de malware, el Golang registra un alto uso para ransomware (32%), puertas traseras (26%) y troyanos (20%). 
El reporte destaca nuevos lenguajes de programación para desarrollo de malware, adopción de GenAI malicioso<br />
Hay una notoria aceleración en la actividad de amenazas geopolíticas

El panorama de la ciberseguridad experimenta perturbaciones periódicamente a medida que los acontecimientos geopolíticos y económicos crean un mundo cada vez más complicado e incierto. Diariamente surgen nuevos actores cibernéticos y constantemente se descubren nuevas vulnerabilidades, exploits y tácticas. El análisis integral proporcionado por el Centro de Investigación Avanzada de Trellix sirve como un recurso vital para que los CISO de hoy comprendan y mitiguen los riesgos de ciberseguridad en evolución en un mundo interconectado. 

El Informe sobre Amenazas Cibernéticas de noviembre de 2023 incluye datos patentados de la red de sensores de Trellix, investigaciones sobre la actividad cibercriminal y de los estados-nación realizadas por el Centro de Investigación Avanzada de Trellix, e inteligencia de código abierto y cerrado. El informe se basa en la telemetría relacionada con la detección de amenazas, cuando la Plataforma XDR de Trellix detecta y reporta un archivo, URL, dirección IP, correo electrónico sospechoso, comportamiento de la red u otro indicador. 

Recursos adicionales:

 Fuente: Trellix

Analizando la anatomía de los ataques de Ransomware

Analizando la anatomía de los ataques de Ransomware

El ransomware es un software malicioso que encripta datos valiosos y exige un rescate por su liberación, desde atacar a individuos y consumidores hasta paralizar organizaciones y gobiernos enteros. Con el paso de los años, los ataques de ransomware se han vuelto más sofisticados y devastadores: a medida que avanza la tecnología, también lo hacen las tácticas empleadas por los ciberdelincuentes.
El ataque a Colonial Pipeline en Estados Unidos en 2021 puso de relieve la vulnerabilidad de sistemas vitales. Provocó escasez de combustible y destacó el potencial del ransomware para alterar los servicios esenciales e incluso la seguridad nacional.
A medida que continúa evolucionando, plantea un desafío importante para gobiernos, organizaciones e individuos de todo el mundo. Para agravar aún más el problema, la ejecución de ataques de ransomware se ha vuelto cada vez más compleja mediante el uso de binarios y scripts (LoLBins)”. Los delincuentes dependen en gran medida de estas herramientas para explorar, comunicarse, moverse, exfiltrar e impactar las redes de sus víctimas.
La mejor manera de detectar y bloquear un ataque de ransomware es comprender este comportamiento malicioso y contar con controles de seguridad que preparen a una organización para el éxito.
Abordar esta creciente amenaza requiere una defensa multifacética y un enfoque profundo, que incluya inteligencia sobre amenazas, protección del correo electrónico, MFA, EDR y XDR para estar un paso adelante del panorama en constante evolución.

Principales familias de ransomware en el último año
Estos son cinco ejemplos de las principales amenazas responsables de realizar actividades destructivas en los Estados Unidos.

LockBit: en 2022 fue una de las variantes de ransomware más implementadas entodo el mundo. Conocido por el ataque contra el Hospital Francés CHSF. El grupoLockBit opera con un modelo de Ransomware como servicio (RaaS), aprovechandoafiliados y socios que realizan ataques utilizando herramientas de malware LockBit yse benefician de la infraestructura y experiencia del grupo. Debido a este modeloRaaS y a las diversas preferencias y operaciones de los afiliados, los TTP específicosutilizados en los ataques pueden variar, lo que hace más difícil defenderse de ellos.

ALPHV (BlackCat): el grupo de ransomware ALPHV, también llamado BlackCat, esun actor con actividad observada desde noviembre de 2021. Se dirigen principalmentea sectores como la atención médica, finanzas, manufactura y gobierno. Empleaalgoritmos de cifrado avanzados para encriptar archivos y exige rescates por suliberación. Sus tácticas incluyen campañas de phishing, kits de explotación yexplotación de servicios de escritorio remoto vulnerables para obtener acceso noautorizado y llevar a cabo sus ataques.

CL0P: El grupo CL0P ha estado operando desde aproximadamente febrero de 2019.Son conocidos por sus técnicas sofisticadas, incluida una estrategia de dobleextorsión. Se dirige a organizaciones de sectores como la atención sanitaria,educación, finanzas y el comercio minorista. Además de encriptar archivos, filtrandatos confidenciales para aumentar la presión sobre las víctimas para que paguen unrescate. Sus métodos de distribución suelen implicar correos electrónicos de phishingy se han asociado con ataques de ransomware de alto perfil.

PYSA (Mespinoza): el grupo PYSA, también conocido como Mespinoza, ha estadoactivo desde principios de 2020. Se dirige principalmente a sectores como la atenciónmédica, educación, gobierno y manufactura. Utiliza técnicas de encriptado sólidaspara bloquear archivos y, a menudo, filtra datos confidenciales antes del encriptado.Este enfoque de doble extorsión añade urgencia a las negociaciones de pago derescate. El grupo suele emplear tácticas como campañas de phishing y explotaciónde vulnerabilidades para obtener acceso no autorizado y llevar a cabo sus ataques.

BianLian: el grupo BianLian, atribuido al grupo de actores de amenazas WIZARDSPIDER, opera desde junio de 2022. Se dirige a organizaciones de sectores como laatención médica, energía, finanzas y tecnología. Emplea varias tácticas, incluidascampañas de phishing y explotación de vulnerabilidades, para obtener acceso noautorizado y cifrar archivos a cambio de un rescate. Sus ataques han resultado enpérdidas financieras sustanciales y perturbaciones dentro de las organizacionesobjetivo.

Fases de ataque
Un ataque de ransomware típico consta de siete fases en las que un atacante pasa de la investigación pasiva o activa de la red interna a la obtención de acceso a sistemas clave y la escalada de privilegios para comprometer aún más el objetivo, el robo de datos e información valiosos, la destrucción de los mecanismos de recuperación de datos y el cifrado de la información. datos para que la víctima ya no pueda acceder a ellos y, finalmente, extorsionar a la víctima por esos datos.

  1. Reconocimiento
    Los atacantes recopilarán información sobre el sistema u organización objetivo, incluida la identificación de vulnerabilidades potenciales, la investigación de empleados, la recopilación de datos disponibles públicamente a través de herramientas de Business Intelligence, la visualización de qué información está disponible en la web oscura y más. Esta fase ayuda a estos actores del ransomware a comprender la infraestructura y las debilidades de su objetivo, lo que les permite planificar vías y métodos para sus ataques.
  2. Acceso inicial
    La segunda fase después de la investigación inicial es aprovechar esa información para lograr un punto de apoyo inicial en el sistema objetivo. Esto se puede hacer a través de una variedad de medios, desde explotar una vulnerabilidad, usar credenciales de acceso y de inicio de sesión robadas, o incluso ejecutar un ataque de phishing exitoso contra los empleados. El objetivo es obtener acceso a la red interna para poder establecer una presencia y una puerta trasera en un dispositivo para prepararse para la siguiente fase del ataque.
  3. Escalamiento y movimiento lateral
    Después de obtener acceso inicial a la red, los actores de amenazas explorarán la red y los dispositivos conectados a su punto original de compromiso para ver si hay más vulnerabilidades que puedan explotar o credenciales que puedan aprovechar para obtener acceso a sistemas y recursos adicionales. Esta fase permite a los atacantes afianzarse en la red de una organización, profundizando su presencia y ampliando su nivel de control y acceso. Es a través de este proceso que los grupos de ransomware obtienen acceso a los datos que finalmente buscan robar.
  4. Recopilación y exfiltración de datos
    El siguiente paso es identificar, recopilar y extraer datos valiosos en todos los sistemas y dispositivos que ha comprometido. Estos datos podrían ser en forma de información confidencial, propiedad intelectual, detalles financieros o registros personales. Lo que importa es si el atacante cree que la organización pagaría para que le devuelvan los datos y si esos datos también podrían venderse para obtener mayores ganancias en la dark web.
    Los datos recopilados luego se filtran, a menudo a través de canales encubiertos, a servidores externos bajo el control del atacante. Esto permite conservar copias de los datos para pedir un rescate y/o venderlos.
  5. Degradación de los sistemas de recuperación
    Después de extraer todo lo de valor que puedan, el objetivo de los ataques de ransomware es atacar y comprometer los mecanismos de recuperación de datos y los sistemas de seguridad presentes dentro de la red. Deshabilitarán o alterarán los sistemas de respaldo, los sistemas de detección de intrusiones, los firewalls o cualquier otra medida de seguridad que pueda obstaculizar sus actividades o alertar a los defensores.
  6. Despliegue del ransomware, ejecución y encriptación
    En esta fase, cuando los atacantes comprueban que han extraído activos o datos valiosos de la red interna, implementan el ransomware y, finalmente, inician contacto con la víctima para afirmar su control sobre los sistemas comprometidos. Habiendo adquirido copias de archivos confidenciales y posiblemente deshabilitado los mecanismos de recuperación, avanzan a la etapa de implementación, donde se pueden explotar herramientas como Microsoft Group Policy Objects (GPO), Microsoft System Center Configuration Manager (SCCM) y herramientas de administración remota como Admin Arsenal. Al utilizar estas herramientas, los atacantes ejecutan su ransomware en sistemas comprometidos, cifrando de manera efectiva archivos y datos cruciales, volviéndolos inaccesibles para la organización víctima. Posteriormente, se presenta una demanda de rescate, estipulando un pago a cambio.
  7. Recuperación y retrospectiva
    La última fase ocurre después de que se ha producido el ataque de rescate, cuando la organización víctima se concentra en los esfuerzos de recuperación y se concentra exclusivamente en minimizar el daño y prevenir futuros ataques de ransomware. Esto incluye investigar la exposición de la red interna para intentar aislar los sistemas comprometidos, eliminar malware en los dispositivos infectados, restaurar sistemas a partir de copias de seguridad y fortalecer las medidas de seguridad. La organización víctima también debe realizar un análisis exhaustivo del ataque para identificar las vulnerabilidades que fueron explotadas y mejorar su postura general de seguridad.

Conclusión
Es evidente que en el panorama actual de ciberseguridad, depender únicamente de la protección tradicional de endpoints es insuficiente para proteger eficazmente a las organizaciones de las amenazas de ransomware en todas las fases de ataque.
Es imperativo complementarla con tecnologías como EDR, XDR y el uso extensivo de Threat Intelligence. La sinergia entre estas tecnologías fortalece las defensas y la postura de seguridad de una organización, aprovechando el análisis de comportamiento en tiempo real, la detección de anomalías y la inteligencia de amenazas para identificar rápidamente y detener al actor de la amenaza.
Al integrar XDR en los controles de seguridad, las organizaciones obtienen una plataforma unificada y centralizada que combina seguridad de endpoints, monitoreo de redes e inteligencia sobre amenazas. Este enfoque integral permite a los equipos de SecOps correlacionar y analizar eventos de seguridad en múltiples puntos finales y capas de red, descubriendo patrones de ataque sofisticados que pueden pasar desapercibidos para las defensas tradicionales.

 

La perspectiva de un CISO sobre IA

5 Razones por las que el XDR es esencial para los CISOs

Detección y Respuesta Extendidas, o XDR, es un término que escuché hace años mientras trabajaba como CISO en otras empresas antes de llegar a Trellix. En aquel entonces, consideraba que XDR era sólo un concepto. Recuerdo haberme preguntado: «¿Esto es real o simplemente otra palabra de moda que flota en la industria?»

En lugar de utilizar XDR hace años, lo manejé manualmente contratando equipos de desarrolladores y analistas para resolver mis desafíos en el Centro de Operaciones de Seguridad (SOC por sus siglas en inglés), que van desde la integración de inteligencia de amenazas, el enriquecimiento de datos, la detección automática de amenazas, la investigación de incidentes y la respuesta a ataques.

Avancemos rápido hasta el día de hoy… después de numerosas interacciones con clientes, discusiones con otros CISO y de haber implementado personalmente una plataforma XDR, aprendí y fui testigo de que XDR es absolutamente real. No es sólo una idea, un concepto o una palabra de moda. Es realmente un punto de inflexión para los SOC. Pero hay algunas cosas que desearía haber sabido antes y que creo que pueden ayudar a otros a considerar XDR hoy.

La Tecnología Correcta

La mayoría de los CISO se centran en reunir las soluciones adecuadas para solucionar un problema en particular. Según el informe Mind of the CISO 2023 de Trellix, el 94% de los CISO dice que la tecnología adecuada les ahorraría mucho tiempo y el 81% dice que la tecnología adecuada ayudaría a reducir sus horas extras.

Cuando compra más y más tecnologías puede generar capacidades y desafíos aislados, como visibilidad de extremo a extremo, problemas de administración de plataformas y más. Sale a buscar soluciones puntuales para resolver cada uno de los problemas. Pasa innumerables horas preparando su propuesta para convencer a la junta directiva del financiamiento necesario para proteger el negocio; y al final está administrando una pila tecnológica compleja con 50 a 60 soluciones diferentes y muchas de ellas no se comunican entre sí.

Así que empieza a preguntarse: ¿cómo podemos mi equipo y yo ser más rápidos y efectivos ahora que tenemos todas estas herramientas? Y ahí es donde comienza el viaje hacia XDR. ¿Cómo se puede crear más automatización y eficiencia? ¿Cómo informa mi computadora portátil a mi firewall sobre una amenaza e indica que es necesaria una respuesta o acción?

¿La respuesta? Necesitas una hoja de ruta. Y esa hoja de ruta conduce a XDR.

¿Por qué el XDR?

Muchas de las cualidades que deseamos que ofrezcan nuestras soluciones puntuales existentes, como mejor visibilidad, precisión y priorización, son una parte inherente de XDR. Con el XDR adecuado, puede, por primera vez, superar algunos de estos desafíos de largo tiempo.

Existen numerosas razones para querer evaluar su tecnología de ciberseguridad y explorar XDR. He reducido mis cinco razones principales a continuación. Estos fueron los principales motivos por los que Trellix implementó XDR y por qué me apasiona tanto este tema y quiero ayudar a otros CISO a mejorar sus capacidades SOC también.

  1. Une tu gran cantidad de herramientas desconectadas.
  2. Cumple con los requisitos regulatorios en constante cambio.
  3. Reduce su costo total de propiedad.
  4. Aumente la eficacia de SecOps en el tiempo medio para detectar (MTTD), investigar (MTTI) y responder (MTTR).
  5. Desbloquee los datos que ya posee con una plataforma abierta que correlacione datos de otras fuentes de datos en su entorno, para obtener más valor de las inversiones existentes.

Y vemos que cada vez más empresas eligen XDR. Según nuestro informe Mind of the CISO 2023, el 47% ha compartido que ya usa XDR y espera mantenerlo o hacerlo crecer.

Qué buscar en una solución XDR

Hay algunas cosas que debe tener en cuenta al evaluar las soluciones XDR. Su XDR debe ser integral y abierto, integrando controles de seguridad nativos y fuentes de datos de terceros, para que se adapte perfectamente al entorno de su organización y le brinde visibilidad de un extremo a otro. Debe buscar la capacidad de contextualizar y priorizar las amenazas y permitir la detección, investigación y respuesta a amenazas en tiempo real. ¿La solución se adapta a su entorno, ya sea que prefiera un enfoque local, en la nube o híbrido? En Trellix, nuestra plataforma se basa en una base de inteligencia contra amenazas, controles de seguridad nativos y más de 1000 integraciones de datos, con XDR actuando como el cerebro de toda la plataforma.

La Guía de Mercado de Gartner® 2023 para detección y respuesta extendidas publicada recientemente, ofrece una descripción general del mercado de XDR, así como una guía práctica para ayudar a los clientes a comparar a un proveedor con los resultados esperados de XDR. Es un recurso valioso para desenredar el mercado XDR. En nuestra opinión, Trellix resuelve todos los casos de uso que menciona Gartner y está bien posicionado para resolver sus necesidades. Consulte el informe y obtenga más información sobre Trellix XDR.

Ciberamenazas en México: Primer Semestre 2023

Ciberamenazas en México: Primer Semestre 2023

Uno de los principales objetivos de Trellix, a través de su Centro de Investigación Avanzada (ARC), es analizar las distintas ciber amenazas que acechan en las distintas regiones del mundo, para tratar de entender lo que buscan los ciber criminales cuando organizan los ataques a diversas organizaciones de los países.

En el caso de México, y tal y como se dio a conocer a través de un webinar el 17 de agosto, se proporcionó un reporte con una descripción general de alto nivel sobre el panorama de amenazas observadas en México durante el primer semestre de 2023, utilizando información extraída de la plataforma de inteligencia, en este se dio a conocer información acerca de los actores detectados, las industrias afectadas, los artefactos y herramientas utilizadas, así como las actividades, entre otros.

Entre los datos más destacados que se dieron a conocer están los siguientes:

  • El 45.5% de las actividades observadas están relacionadas con la industria de la Educación.
  • El actor APT40 representa el 53.9% de la actividad observada.
  • PowerSploit & Cobalt Strike es la principal herramienta utilizada con un 8.2% del total.
  • Las familias de Ransomware con más presencia son DarkPower, Revil y Cuba.
  • Los principales TTP de Mitre ATT&CK utilizadas en las campañas de ransomeware son Datos Cifrados (T1486) así como el Descubrimiento de Archivos y Directorios (T1083)
  • El sector con más actividad de ransomware fue Educación con el 58.16%.

Durante el periodo hubo 26,885,500 detecciones totales de direcciones IP, archivos y URLs maliciosos, las principales campañas detectadas que los actores de amenazas utilizan para atacar organizaciones en México fue de 80,496.

El total de detecciones de hash de archivos maliciosos en formatos MD5, que se clasifican por reputación y puntuación de confianza, fue de 6,078,686; y el número de detecciones de ransomware, que incluye a varias familias de este tipo de amenazas, fue de 69,722. Las 5 principales familias de ransomware detectadas son DarkPower, REvil, Cuba e Industrial Spy y Lockbit.

Actividad de Ciber Amenazas

Los grupos de ransomware buscan extorsionar a sus víctimas mediante la publicación de su información en sitios web denominados “sitios de fuga”, utilizando la exposición para impulsar negociaciones estancadas con las víctimas o cuando se rechaza el pago del rescate.

La matriz de MITRE ATT&CK contiene un conjunto de técnicas utilizadas por los adversarios para lograr un objetivo específico, estos objetivos se clasifican como tácticas en la matriz ATT&CK. Los objetivos se presentan linealmente desde el punto de reconocimiento hasta el objetivo final de exfiltración o “impacto”.

Durante el primer semestre de 2023, los grupos APT40MuddyWater y Gamaredon fueron los tres grupos de amenazas más activos en el país. Las herramientas de amenazas más utilizadas fueron PowerSploitCobalt StrikeChina ChopperGh0st RAT y Empire.

Todos estos grupos de amenazas tienen distintas motivaciones, técnicas, objetivos y usos de los datos robados. Durante los siguientes meses se estará monitoreando la actividad de estos grupos para evaluar si los datos del periodo indican un resurgimiento de los grupos en el escenario global.

Conclusión

México no está exento de sufrir diversos ataques cibernéticos de todo tipo, sobre todo porque su economía está en crecimiento y la actividad industrial se diversifica. Esto lo hace atractivo para grupos de ciber delincuentes que buscan obtener beneficios utilizando diversas técnicas para infiltrarse en los sistemas de todo tipo de organizaciones, en busca de información que les sirva para extorsionar tanto a las personas como a las organizaciones, en su beneficio.

Por ello es cada vez más importante contar con todo tipo de medidas de seguridad en los sistemas y con la gente necesaria, implementando una arquitectura de seguridad que se adapte fácilmente a las amenazas emergentes. Esto puede mejorar de manera significativa la resiliencia de una organización contra los ataques cibernéticos, minimizando las interrupciones y asegurando la continuidad operativa.

Trellix ofrece en este sentido su plataforma abierta y nativa con capacidades XDR (detección y respuesta extendida), ofreciendo a los equipos de Operaciones de Seguridad una mejor visibilidad, mayor facilidad de uso y una más rápida respuesta ante cualquier posible amenaza antes de que esta cause daños importantes en la organización. Trellix ofrece una amplia gama de controles de seguridad y XDR en su clase, incluyendo seguridad para Endpoints y redes, protección de datos, seguridad de colaboración. seguridad en la nube e Inteligencia de Amenazas, trabajando juntos para ofrecer la mejor protección a las organizaciones.

*Erika Urbina es la Country Manager de Trellix para México y Stephen Fallas es un Estratega de Arquitectura de Seguridad de Trellix para Latinoamérica, quien tiene una vasta experiencia de 23 años como especialista en seguridad de la información, con diversas certificaciones internacionales.

 

Erika Urbina  Country Manager de Trellix