Reporte global de amenazas de Elastic 2023: Principales recomendaciones y pronósticos de ciberseguridad

gtr-forecast-blog.jpg

Nos entusiasma anunciar el lanzamiento del Reporte global de amenazas de Elastic 2023, un análisis integral de más de mil millones de puntos de datos. El reporte brinda información sobre los métodos, las técnicas y las tendencias de los actores de amenazas desde la perspectiva de los defensores, lo que ayuda a los clientes, socios y equipos de seguridad a priorizar y mejorar su postura de seguridad.

Las observaciones en el reporte están basadas en telemetría de Elastic anonimizada y datos públicos y de terceros enviados de forma voluntaria. Nuestro objetivo es demostrar cómo nuestra perspectiva única empodera a los especialistas y desarrolladores de la tecnología de la seguridad.

Aspectos destacados de recomendaciones y pronósticos de Elastic Security

El Reporte global de amenazas brinda información valiosa sobre las amenazas cibernéticas a las que puedes enfrentarte en 2024. Muestra cómo los actores de amenazas se están volviendo cada vez más sofisticados y sigilosos, y cómo aprovechan los recursos y las herramientas públicas para realizar sus ataques. También ofrece orientación y mejores prácticas sobre cómo protegerte y proteger tus datos frente a estos ataques. Estas son algunas recomendaciones y pronósticos clave del reporte:

icon-quote

Los adversarios se apoyarán más en comunidades open source para implantes, herramientas e infraestructura.

Los atacantes cibernéticos usan cada vez más herramientas comerciales y open source para comprometer los sistemas en distintas plataformas. Las herramientas como Metasploit, Cobalt Strikey el marco de trabajo Sliver son usadas comúnmente por grupos de amenazas para atacar dispositivos Windows, Linux y macOS. También hay una tendencia creciente de campañas de malware como servicio y ransomware que usan estas herramientas para lanzar ataques. Los atacantes pueden estar usando herramientas open source para reducir sus costos operativos.

Pronóstico 1Recomendación
Los adversarios se apoyarán más en comunidades open source para implantes, herramientas e infraestructura.
  • Los actores de amenazas usan código de recursos open source en sus ataques.
  • Esto incluye bibliotecas legítimas como OneDriveAPI, herramientas como SharpShares e implantes como Sliver.
  • Los adversarios continuarán aprovechando los proyectos expuestos públicamente.
Las organizaciones deben hacer un escudriño de las descargas directas de sitios web que comparten código y considerar limitar el acceso. Si bien esto no afectaría el código reutilizado por los actores de amenazas, podría prevenir que binarios precompilados o scripts transportables faciliten un compromiso. Las empresas deben evaluar su visibilidad de marcos de trabajo adversativos emergentes.

icon-quote

La exposición de credenciales en el cloud será una fuente principal de incidentes de exposición de datos.

Los atacantes suelen usar técnicas de acceso a credenciales para obtener acceso a datos o sistemas. Acceso a credenciales es un término amplio que incluye contraseñas, tokens y otros métodos de autenticación. Observamos que aproximadamente el 7 % de todas las señales de comportamiento de endpoint estaban relacionadas con esta táctica, y el 79 % de ellas involucraban el volcado de credenciales del sistema operativo usando características o herramientas integradas.

Para los proveedores de servicios en el cloud (CSP), el acceso a credenciales representó alrededor del 45 % de todas las señales de detección. En el caso de AWS, estas señales involucraron principalmente intentos inusuales de acceder a secretos de Secrets Manager, variables de entorno de hosts EC2 locales y archivos de credenciales. Las credenciales también pueden filtrarse mediante repositorios de código, como GitHub, si el código no se revisa o limpia adecuadamente.

Pronóstico 2Recomendación
La exposición de credenciales en el cloud será una fuente principal de incidentes de exposición de datos.
  • Los adversarios tienen como objetivo las credenciales del cloud para robar datos y plantar malware.
  • El almacenamiento en el cloud con frecuencia no está segmentado en grandes organizaciones, lo que facilita a los adversarios acceder con credenciales robadas.
  • Las credenciales expuestas de computación en el cloud podrían aumentar la prevalencia de mineros de monedas y otro malware.
Las cuentas con privilegios mínimos y los mecanismos de autenticación sólidos pueden incrementarse mediante el monitoreo de los comportamientos de usuario-entidad, soluciones que pueden depender de una segmentación razonable de los datos.

icon-quote

La evasión de la defensa seguirá siendo la principal inversión, y la manipulación reemplazará el enmascaramiento.

La alta prevalencia de las técnicas de evasión de la defensa sugiere que los atacantes conocen bien las herramientas de monitoreo y las soluciones de seguridad en uso, y que están desarrollando estrategias para evadirlas. Esta es una clara señal de que los adversarios se están adaptando a entornos hostiles y de que están invirtiendo tiempo y recursos para asegurarse de que sus actividades maliciosas no sean detectadas.

Pronóstico 3Recomendación
La evasión de la defensa seguirá siendo la principal inversión, y la manipulación reemplazará el enmascaramiento.
  • La dinámica de la industria de la seguridad ha llevado al desarrollo de características de prevención de endpoint sólidas, pero los adversarios saben que eludir estas características es fundamental para lograr sus objetivos.
  • Se espera que esta tendencia lleve a una disminución en los ataques de enmascaramiento.
  • Las evidencias del mundo real respaldan este cambio, ejemplificado por tácticas como Trae tu propio controlador vulnerable.
Las empresas deben evaluar la naturaleza a prueba de manipulaciones de sus sensores de seguridad de endpoint y considerar proyectos de monitoreo, como controladores living off the land, que rastrean los tantos controladores de dispositivos vulnerables usados para desactivar las tecnologías de seguridad.

Mantente un paso adelante de los atacantes con Elastic Security

Estos pronósticos proporcionan solo un snapshot breve de las amenazas, los atacantes y las defensas que esperamos que entren en juego el año próximo. También muestran cómo usamos este conocimiento para mejorar Elastic Security e informar nuestros planes futuros. Para acceder a una visión general más detallada del panorama de seguridad y hacia dónde se dirige, puedes acceder al Reporte global de amenazas de Elastic 2023 completo.

El lanzamiento y el plazo de cualquier característica o funcionalidad descrita en este blog quedan a la entera discreción de Elastic. Cualquier característica o funcionalidad que no esté disponible actualmente puede no entregarse a tiempo o no entregarse en absoluto.