Trellix pronostica sobre las ciberamenazas para 2024

Trellix pronostica sobre las ciberamenazas para 2024

La necesidad de una inteligencia eficaz sobre amenazas a escala mundial crece a medida que los acontecimientos geopolíticos y económicos crean un mundo cada vez más complicado e incierto tanto para las empresas como para los consumidores. Los ciberdelincuentes evolucionan con nuevos actores y amenazas; además de nuevas formas de aprovechar o ejecutar tácticas. Los expertos en seguridad deben asumir que ninguna empresa o individuo está a salvo de una amenaza cibernética y que existe una urgencia cada vez mayor de monitorear e investigar las amenazas que reaparecen y evolucionan a un ritmo y escala acelerados.

El ransomware es una plaga presente para muchas organizaciones en todo el mundo a medida que estas familias aumentan en escala y sofisticación, incluida la coordinación y asociación con otros actores de amenazas a través de foros clandestinos. Las tácticas diseñadas para engañar a los usuarios y poner en peligro sus dispositivos o su información personal son cada vez más astutas y, al mismo tiempo, difíciles de detectar e identificar tanto para las víctimas como para las herramientas de seguridad. Además, es tendencia que los ciberataques aprovechen situaciones políticas, económicas y geográficas de instituciones o gobiernos de naciones-estado que practican el espionaje, experimentan guerra y desinformación.

“El panorama cibernético es más complejo que nunca. Los ciberdelincuentes, desde familias de ransomware hasta actores de Estados-Nación, se vuelven más inteligentes, rápidos y coordinados a la hora de reestructurar sus tácticas para seguir nuevos esquemas, y no anticipamos que eso cambie en 2024”, afirmó John Fokker, jefe de Inteligencia de Amenazas del Centro de Investigación Avanzada de Trellix. “Para romper con el aumento de ataques y comenzar a ser más astutos que los actores de amenazas; todas las industrias deben adoptar una estrategia cibernética que esté en constante alerta, sea procesable, comprensible y adaptable a nuevas amenazas. Así es como podemos garantizar una ventaja sobre los ciberdelincuentes durante el próximo año”.

Los expertos en ciberseguridad y los investigadores de amenazas del equipo del Centro de Investigación Avanzada Trellix han recopilado sus predicciones sobre tendencias, tácticas y amenazas para 2024. El estudio resulta en tres temas principales: inteligencia artificial, cambios en las tendencias de la ciberdelincuencia y amenazas emergentes y nuevos ataques.

El reporte destaca nuevos lenguajes de programación para desarrollo de malware, adopción de GenAI malicioso Hay una notoria aceleración en la actividad de amenazas geopolíticas

Sobre IA, la especialista Shyava Tripathi aportó al estudio el tema “Desarrollo clandestino de LLM maliciosos”, donde menciona que herramientas como FraudGPT y WormGPT son prominentes en las redes cibercriminales. Los foros populares de la red oscura a menudo sirven como plataformas para el desarrollo coordinado de correos electrónicos de phishing, páginas web falsificadas, así como la creación de malware y vulnerabilidades diseñadas para evadir la detección de miles de usuarios. Estas aplicaciones de lenguaje (LLM) pueden ayudar a mitigar los considerables desafíos que enfrentan los ciberdelincuentes y que su uso malicioso se acelere en 2024.

Por su parte, el experto John Fokker aporta sobre el tema de ataques a la cadena de suministro y menciona que las soluciones de transferencia gestionada de archivos (MFT), diseñadas para intercambiar de forma segura datos confidenciales entre entidades, desempeñan un papel fundamental en las operaciones comerciales modernas y las empresas dependen en gran medida de éstas para facilitar el intercambio fluido de datos tanto interna como externamente.

Donde cualquier interrupción o compromiso de estos sistemas puede provocar un tiempo de inactividad operativo significativo, reputación empañada y pérdidas financieras. Esto los convierte en objetivos muy atractivos para los actores del ransomware que son conscientes de cómo el impacto potencial aumenta el alcance de sus demandas de extorsión, expone Fokker.

Para finalizar, en torno a la tercera tendencia de ciberseguridad, Manoj Reddy, del Centro de Investigación Avanzada de Trellix, agrega que las amenazas internas en las empresas y organizaciones han aumentado 47% en los últimos dos años, lo que provocó una pérdida total de 15.38 millones de dólares por la contención de estos incidentes. Esta amenaza vulnera la confidencialidad y la integridad de la organización al tiempo que ayuda a los adversarios a recopilar inteligencia, llevar a cabo operaciones de sabotaje y utilizar métodos de suplantación para lograr sus objetivos.

Reddy concluye que a medida que los dispositivos conectados sigan proliferando y las fuerzas de trabajo híbridas y remotas persistan, las amenazas internas seguirán creciendo. La naturaleza de las amenazas internas presenta un desafío formidable para las personas, los procesos y la tecnología. Es esencial que las organizaciones identifiquen, evalúen, detecten y gestionen estas amenazas internas en el panorama de amenazas actual para conservar la confianza de las partes interesadas.

5 Razones por las que el XDR es esencial para los CISOs

5 Razones por las que el XDR es esencial para los CISOs

Detección y Respuesta Extendidas, o XDR, es un término que escuché hace años mientras trabajaba como CISO en otras empresas antes de llegar a Trellix. En aquel entonces, consideraba que XDR era sólo un concepto. Recuerdo haberme preguntado: «¿Esto es real o simplemente otra palabra de moda que flota en la industria?»

En lugar de utilizar XDR hace años, lo manejé manualmente contratando equipos de desarrolladores y analistas para resolver mis desafíos en el Centro de Operaciones de Seguridad (SOC por sus siglas en inglés), que van desde la integración de inteligencia de amenazas, el enriquecimiento de datos, la detección automática de amenazas, la investigación de incidentes y la respuesta a ataques.

Avancemos rápido hasta el día de hoy… después de numerosas interacciones con clientes, discusiones con otros CISO y de haber implementado personalmente una plataforma XDR, aprendí y fui testigo de que XDR es absolutamente real. No es sólo una idea, un concepto o una palabra de moda. Es realmente un punto de inflexión para los SOC. Pero hay algunas cosas que desearía haber sabido antes y que creo que pueden ayudar a otros a considerar XDR hoy.

La Tecnología Correcta

La mayoría de los CISO se centran en reunir las soluciones adecuadas para solucionar un problema en particular. Según el informe Mind of the CISO 2023 de Trellix, el 94% de los CISO dice que la tecnología adecuada les ahorraría mucho tiempo y el 81% dice que la tecnología adecuada ayudaría a reducir sus horas extras.

Cuando compra más y más tecnologías puede generar capacidades y desafíos aislados, como visibilidad de extremo a extremo, problemas de administración de plataformas y más. Sale a buscar soluciones puntuales para resolver cada uno de los problemas. Pasa innumerables horas preparando su propuesta para convencer a la junta directiva del financiamiento necesario para proteger el negocio; y al final está administrando una pila tecnológica compleja con 50 a 60 soluciones diferentes y muchas de ellas no se comunican entre sí.

Así que empieza a preguntarse: ¿cómo podemos mi equipo y yo ser más rápidos y efectivos ahora que tenemos todas estas herramientas? Y ahí es donde comienza el viaje hacia XDR. ¿Cómo se puede crear más automatización y eficiencia? ¿Cómo informa mi computadora portátil a mi firewall sobre una amenaza e indica que es necesaria una respuesta o acción?

¿La respuesta? Necesitas una hoja de ruta. Y esa hoja de ruta conduce a XDR.

¿Por qué el XDR?

Muchas de las cualidades que deseamos que ofrezcan nuestras soluciones puntuales existentes, como mejor visibilidad, precisión y priorización, son una parte inherente de XDR. Con el XDR adecuado, puede, por primera vez, superar algunos de estos desafíos de largo tiempo.

Existen numerosas razones para querer evaluar su tecnología de ciberseguridad y explorar XDR. He reducido mis cinco razones principales a continuación. Estos fueron los principales motivos por los que Trellix implementó XDR y por qué me apasiona tanto este tema y quiero ayudar a otros CISO a mejorar sus capacidades SOC también.

  1. Une tu gran cantidad de herramientas desconectadas.
  2. Cumple con los requisitos regulatorios en constante cambio.
  3. Reduce su costo total de propiedad.
  4. Aumente la eficacia de SecOps en el tiempo medio para detectar (MTTD), investigar (MTTI) y responder (MTTR).
  5. Desbloquee los datos que ya posee con una plataforma abierta que correlacione datos de otras fuentes de datos en su entorno, para obtener más valor de las inversiones existentes.

Y vemos que cada vez más empresas eligen XDR. Según nuestro informe Mind of the CISO 2023, el 47% ha compartido que ya usa XDR y espera mantenerlo o hacerlo crecer.

Qué buscar en una solución XDR

Hay algunas cosas que debe tener en cuenta al evaluar las soluciones XDR. Su XDR debe ser integral y abierto, integrando controles de seguridad nativos y fuentes de datos de terceros, para que se adapte perfectamente al entorno de su organización y le brinde visibilidad de un extremo a otro. Debe buscar la capacidad de contextualizar y priorizar las amenazas y permitir la detección, investigación y respuesta a amenazas en tiempo real. ¿La solución se adapta a su entorno, ya sea que prefiera un enfoque local, en la nube o híbrido? En Trellix, nuestra plataforma se basa en una base de inteligencia contra amenazas, controles de seguridad nativos y más de 1000 integraciones de datos, con XDR actuando como el cerebro de toda la plataforma.

La Guía de Mercado de Gartner® 2023 para detección y respuesta extendidas publicada recientemente, ofrece una descripción general del mercado de XDR, así como una guía práctica para ayudar a los clientes a comparar a un proveedor con los resultados esperados de XDR. Es un recurso valioso para desenredar el mercado XDR. En nuestra opinión, Trellix resuelve todos los casos de uso que menciona Gartner y está bien posicionado para resolver sus necesidades. Consulte el informe y obtenga más información sobre Trellix XDR.

Ciberamenazas en México: Primer Semestre 2023

Ciberamenazas en México: Primer Semestre 2023

Uno de los principales objetivos de Trellix, a través de su Centro de Investigación Avanzada (ARC), es analizar las distintas ciber amenazas que acechan en las distintas regiones del mundo, para tratar de entender lo que buscan los ciber criminales cuando organizan los ataques a diversas organizaciones de los países.

En el caso de México, y tal y como se dio a conocer a través de un webinar el 17 de agosto, se proporcionó un reporte con una descripción general de alto nivel sobre el panorama de amenazas observadas en México durante el primer semestre de 2023, utilizando información extraída de la plataforma de inteligencia, en este se dio a conocer información acerca de los actores detectados, las industrias afectadas, los artefactos y herramientas utilizadas, así como las actividades, entre otros.

Entre los datos más destacados que se dieron a conocer están los siguientes:

  • El 45.5% de las actividades observadas están relacionadas con la industria de la Educación.
  • El actor APT40 representa el 53.9% de la actividad observada.
  • PowerSploit & Cobalt Strike es la principal herramienta utilizada con un 8.2% del total.
  • Las familias de Ransomware con más presencia son DarkPower, Revil y Cuba.
  • Los principales TTP de Mitre ATT&CK utilizadas en las campañas de ransomeware son Datos Cifrados (T1486) así como el Descubrimiento de Archivos y Directorios (T1083)
  • El sector con más actividad de ransomware fue Educación con el 58.16%.

Durante el periodo hubo 26,885,500 detecciones totales de direcciones IP, archivos y URLs maliciosos, las principales campañas detectadas que los actores de amenazas utilizan para atacar organizaciones en México fue de 80,496.

El total de detecciones de hash de archivos maliciosos en formatos MD5, que se clasifican por reputación y puntuación de confianza, fue de 6,078,686; y el número de detecciones de ransomware, que incluye a varias familias de este tipo de amenazas, fue de 69,722. Las 5 principales familias de ransomware detectadas son DarkPower, REvil, Cuba e Industrial Spy y Lockbit.

Actividad de Ciber Amenazas

Los grupos de ransomware buscan extorsionar a sus víctimas mediante la publicación de su información en sitios web denominados “sitios de fuga”, utilizando la exposición para impulsar negociaciones estancadas con las víctimas o cuando se rechaza el pago del rescate.

La matriz de MITRE ATT&CK contiene un conjunto de técnicas utilizadas por los adversarios para lograr un objetivo específico, estos objetivos se clasifican como tácticas en la matriz ATT&CK. Los objetivos se presentan linealmente desde el punto de reconocimiento hasta el objetivo final de exfiltración o “impacto”.

Durante el primer semestre de 2023, los grupos APT40MuddyWater y Gamaredon fueron los tres grupos de amenazas más activos en el país. Las herramientas de amenazas más utilizadas fueron PowerSploitCobalt StrikeChina ChopperGh0st RAT y Empire.

Todos estos grupos de amenazas tienen distintas motivaciones, técnicas, objetivos y usos de los datos robados. Durante los siguientes meses se estará monitoreando la actividad de estos grupos para evaluar si los datos del periodo indican un resurgimiento de los grupos en el escenario global.

Conclusión

México no está exento de sufrir diversos ataques cibernéticos de todo tipo, sobre todo porque su economía está en crecimiento y la actividad industrial se diversifica. Esto lo hace atractivo para grupos de ciber delincuentes que buscan obtener beneficios utilizando diversas técnicas para infiltrarse en los sistemas de todo tipo de organizaciones, en busca de información que les sirva para extorsionar tanto a las personas como a las organizaciones, en su beneficio.

Por ello es cada vez más importante contar con todo tipo de medidas de seguridad en los sistemas y con la gente necesaria, implementando una arquitectura de seguridad que se adapte fácilmente a las amenazas emergentes. Esto puede mejorar de manera significativa la resiliencia de una organización contra los ataques cibernéticos, minimizando las interrupciones y asegurando la continuidad operativa.

Trellix ofrece en este sentido su plataforma abierta y nativa con capacidades XDR (detección y respuesta extendida), ofreciendo a los equipos de Operaciones de Seguridad una mejor visibilidad, mayor facilidad de uso y una más rápida respuesta ante cualquier posible amenaza antes de que esta cause daños importantes en la organización. Trellix ofrece una amplia gama de controles de seguridad y XDR en su clase, incluyendo seguridad para Endpoints y redes, protección de datos, seguridad de colaboración. seguridad en la nube e Inteligencia de Amenazas, trabajando juntos para ofrecer la mejor protección a las organizaciones.

*Erika Urbina es la Country Manager de Trellix para México y Stephen Fallas es un Estratega de Arquitectura de Seguridad de Trellix para Latinoamérica, quien tiene una vasta experiencia de 23 años como especialista en seguridad de la información, con diversas certificaciones internacionales.

 

Erika Urbina  Country Manager de Trellix