Reporte global de amenazas de Elastic 2023: Principales recomendaciones y pronósticos de ciberseguridad
Nos entusiasma anunciar el lanzamiento del Reporte global de amenazas de Elastic 2023, un análisis integral de más de mil millones de puntos de datos. El reporte brinda información sobre los métodos, las técnicas y las tendencias de los actores de amenazas desde la perspectiva de los defensores, lo que ayuda a los clientes, socios y equipos de seguridad a priorizar y mejorar su postura de seguridad.
Las observaciones en el reporte están basadas en telemetría de Elastic anonimizada y datos públicos y de terceros enviados de forma voluntaria. Nuestro objetivo es demostrar cómo nuestra perspectiva única empodera a los especialistas y desarrolladores de la tecnología de la seguridad.
Aspectos destacados de recomendaciones y pronósticos de Elastic Security
El Reporte global de amenazas brinda información valiosa sobre las amenazas cibernéticas a las que puedes enfrentarte en 2024. Muestra cómo los actores de amenazas se están volviendo cada vez más sofisticados y sigilosos, y cómo aprovechan los recursos y las herramientas públicas para realizar sus ataques. También ofrece orientación y mejores prácticas sobre cómo protegerte y proteger tus datos frente a estos ataques. Estas son algunas recomendaciones y pronósticos clave del reporte:
Los adversarios se apoyarán más en comunidades open source para implantes, herramientas e infraestructura.
Los atacantes cibernéticos usan cada vez más herramientas comerciales y open source para comprometer los sistemas en distintas plataformas. Las herramientas como Metasploit, Cobalt Strikey el marco de trabajo Sliver son usadas comúnmente por grupos de amenazas para atacar dispositivos Windows, Linux y macOS. También hay una tendencia creciente de campañas de malware como servicio y ransomware que usan estas herramientas para lanzar ataques. Los atacantes pueden estar usando herramientas open source para reducir sus costos operativos.
Pronóstico 1 | Recomendación |
Los adversarios se apoyarán más en comunidades open source para implantes, herramientas e infraestructura.
| Las organizaciones deben hacer un escudriño de las descargas directas de sitios web que comparten código y considerar limitar el acceso. Si bien esto no afectaría el código reutilizado por los actores de amenazas, podría prevenir que binarios precompilados o scripts transportables faciliten un compromiso. Las empresas deben evaluar su visibilidad de marcos de trabajo adversativos emergentes. |
La exposición de credenciales en el cloud será una fuente principal de incidentes de exposición de datos.
Los atacantes suelen usar técnicas de acceso a credenciales para obtener acceso a datos o sistemas. Acceso a credenciales es un término amplio que incluye contraseñas, tokens y otros métodos de autenticación. Observamos que aproximadamente el 7 % de todas las señales de comportamiento de endpoint estaban relacionadas con esta táctica, y el 79 % de ellas involucraban el volcado de credenciales del sistema operativo usando características o herramientas integradas.
Para los proveedores de servicios en el cloud (CSP), el acceso a credenciales representó alrededor del 45 % de todas las señales de detección. En el caso de AWS, estas señales involucraron principalmente intentos inusuales de acceder a secretos de Secrets Manager, variables de entorno de hosts EC2 locales y archivos de credenciales. Las credenciales también pueden filtrarse mediante repositorios de código, como GitHub, si el código no se revisa o limpia adecuadamente.
Pronóstico 2 | Recomendación |
La exposición de credenciales en el cloud será una fuente principal de incidentes de exposición de datos.
| Las cuentas con privilegios mínimos y los mecanismos de autenticación sólidos pueden incrementarse mediante el monitoreo de los comportamientos de usuario-entidad, soluciones que pueden depender de una segmentación razonable de los datos. |
La evasión de la defensa seguirá siendo la principal inversión, y la manipulación reemplazará el enmascaramiento.
La alta prevalencia de las técnicas de evasión de la defensa sugiere que los atacantes conocen bien las herramientas de monitoreo y las soluciones de seguridad en uso, y que están desarrollando estrategias para evadirlas. Esta es una clara señal de que los adversarios se están adaptando a entornos hostiles y de que están invirtiendo tiempo y recursos para asegurarse de que sus actividades maliciosas no sean detectadas.
Pronóstico 3 | Recomendación |
La evasión de la defensa seguirá siendo la principal inversión, y la manipulación reemplazará el enmascaramiento.
| Las empresas deben evaluar la naturaleza a prueba de manipulaciones de sus sensores de seguridad de endpoint y considerar proyectos de monitoreo, como controladores living off the land, que rastrean los tantos controladores de dispositivos vulnerables usados para desactivar las tecnologías de seguridad. |
Mantente un paso adelante de los atacantes con Elastic Security
Estos pronósticos proporcionan solo un snapshot breve de las amenazas, los atacantes y las defensas que esperamos que entren en juego el año próximo. También muestran cómo usamos este conocimiento para mejorar Elastic Security e informar nuestros planes futuros. Para acceder a una visión general más detallada del panorama de seguridad y hacia dónde se dirige, puedes acceder al Reporte global de amenazas de Elastic 2023 completo.
El lanzamiento y el plazo de cualquier característica o funcionalidad descrita en este blog quedan a la entera discreción de Elastic. Cualquier característica o funcionalidad que no esté disponible actualmente puede no entregarse a tiempo o no entregarse en absoluto.