Una perspectiva de CISO: Por qué leí el reporte global de amenazas de Elastic
Es esa época del año otra vez. Las hojas de otoño están cambiando de color, las familias se están preparando para las festividades y muchos proveedores están publicando diferentes reportes durante el mes de la ciberseguridad. Nuestros investigadores de Elastic Security Labs publicaron el Reporte de amenazas globales de 2023 la semana pasada, después de meses de análisis de más de mil millones de puntos de datos. Como el CISO de Elastic®, mi equipo y yo aprovechamos los hallazgos y predicciones del reporte del año pasado para elaborar estrategias para el cambiante panorama de amenazas. Este año, espero que nuestro equipo profundice en los nuevos descubrimientos y predicciones de la investigación de amenazas. En particular, mi equipo y yo estamos tomando nota de los siguientes conocimientos mientras nos preparamos para el próximo año.
Investigación de amenazas clave del reporte
Amenaza de malware: Dominio de Linux
En este reporte se revela que casi todas las infecciones de malware observadas — el 92 % — ocurrieron en sistemas Linux. Esto es relevante a medida que continuamos ampliando nuestro uso de entornos de cloud que se ejecutan principalmente en cajas Linux y subraya la urgencia de que los profesionales de seguridad aborden la seguridad de Linux dentro de sus organizaciones. Además, el reporte proporciona información valiosa sobre la prevalencia y diversificación del ransomware — específicamente, un lanzamiento en familias de ransomware como servicio (RaaS).
Amenaza a la seguridad en el cloud: céntrese en lo básico
Con las empresas en transición a entornos basados en el cloud, en este reporte se enfatiza que los actores de amenazas se están aprovechando de configuraciones erróneas, controles de acceso laxos, credenciales no seguras y la falta del principio de privilegio mínimo (PoLP). Los equipos de seguridad deben tomar nota de los problemas básicos de higiene de la seguridad para proteger su entorno y trabajar a fin de implementar las funciones de seguridad respaldadas por los proveedores del cloud mientras monitorean los intentos comunes de abuso de credenciales.
Amenaza de malware: malware como servicio
En este reporte se señala que la mayoría del malware observado comprende una pequeña cantidad de familias de ransomware altamente prevalentes (que se muestran a continuación) y herramientas comerciales listas para usar (COTS). Esta es una preocupación importante, ya que las comunidades de amenazas con motivación financiera están adoptando cada vez más capacidades de malware como servicio (MaaS). Necesitamos reconocer la importancia de desarrollar funciones de seguridad con una visión amplia de los comportamientos de bajo nivel para exponer amenazas que de otro modo podrían pasar desapercibidas.
Amenaza de seguridad abierta: reducción de costos
También es una tendencia creciente el uso de herramientas open source en los ataques, como se ve en los artículos de Elastic Security Labs sobre el rootkit r77 y JOKERSPY. Las herramientas open source están ampliamente disponibles y, a menudo, son aplicaciones de software legítimas con fines autorizados. Las utilizan habitualmente profesionales de la seguridad, administradores de sistemas y desarrolladores. Como resultado, el uso de dichas herramientas puede pasar desapercibido fácilmente, lo que dificulta que los profesionales de la seguridad distingan entre uso legítimo y malicioso.
En respuesta a estos desafíos, los profesionales de la seguridad deben adoptar un enfoque multifacético de la seguridad. Esto incluye inteligencia proactiva sobre amenazas, detección de anomalías, análisis de comportamiento y monitoreo continuo. Es fundamental mantenerse informado sobre las herramientas emergentes open source y sus posibles aplicaciones en los ataques.
Amenaza al comportamiento del endpoint: manipulación de la defensa
En este reporte se subraya que grupos de amenazas sofisticadas están adoptando tácticas para evadir las medidas de seguridad retirándose a dispositivos y plataformas perimetrales donde la visibilidad es mínima. Destaca la necesidad de que los profesionales de la seguridad evalúen la naturaleza a prueba de manipulaciones de sus sensores de seguridad de endpoint y consideren proyectos de monitoreo para rastrear los controladores de dispositivos vulnerables utilizados para desactivar las tecnologías de seguridad.
Protéjase de las amenazas
El Reporte global de amenazas de Elastic presenta un panorama de amenazas sin fronteras. Los adversarios se han transformado en empresas criminales que buscan monetizar sus estrategias de ataque. Las herramientas open source y el malware básico como RaaS y el uso de IA han reducido las barreras de entrada para los atacantes. Pero hay un lado positivo: el auge de los sistemas automatizados de detección y respuesta que permiten a todos los ingenieros defender mejor sus infraestructuras.
Como profesionales de la seguridad, debemos estar al tanto del panorama de amenazas. La colaboración dentro de la comunidad de seguridad para compartir información sobre amenazas y desarrollar contramedidas efectivas es esencial para abordar estos crecientes desafíos. Reportes como el Reporte global de amenazas de Elastic ayudan a educarnos y, en última instancia, a elevar el nivel de conocimiento en la industria de la seguridad. Leer el Reporte global de amenazas de 2023 no solo arroja luz sobre las tendencias emergentes, sino que también nos proporciona el conocimiento requerido para tomar decisiones informadas sobre nuestras estrategias de seguridad. Únase a nosotros para una discusión más profunda sobre los conocimientos en este webinar.