Los expertos de SANS presentaron las cinco nuevas técnicas de ataque cibernético más peligrosas en su conferencia anual RSA Conference 2018 en San Francisco, y compartieron sus puntos de vista sobre cómo funcionan, cómo pueden detenerse o al menos ralentizarse, y cómo las empresas y los consumidores pueden prepararse.
Las cinco amenazas delineadas son:
1. Repositorios y pérdida de datos de almacenamiento en la nube
2. Analítica de Big Data, desanonimización y correlación
3. Los atacantes monetizan los sistemas comprometidos usando cripto coin miners
4. Reconocimiento de fallas de hardware
5. Más malware y ataques que interrumpen ICS y utilidades en lugar de buscar ganancias .
Repositorios y pérdida de datos de almacenamiento en la nube
Ed Skoudis, líder del plan de estudios de pruebas de penetración SANS, habló sobre las amenazas de fuga de datos que enfrentamos debido al uso creciente de repositorios y almacenamiento en la nube :
«El software de hoy en día está construido de una manera muy diferente de hace 10 o incluso 5 años, con grandes repositorios de códigos en línea para la colaboración y almacenamiento de datos en la nube que alojan aplicaciones de misión crítica. Sin embargo, los atacantes apuntan cada vez más a este tipo de repositorios e infraestructuras de almacenamiento en la nube, en busca de contraseñas, claves de cifrado, tokens de acceso y terabytes de datos confidenciales «.
Continuó: «Los defensores deben centrarse en los inventarios de datos, nombrar un curador de datos para su organización y educar a los arquitectos y desarrolladores de sistemas sobre cómo proteger los activos de datos en la nube. Además, las grandes compañías de la nube han lanzado un servicio de IA para ayudar a clasificar y defender los datos en sus infraestructuras. Y finalmente, hay una variedad de herramientas gratuitas disponibles que pueden ayudar a prevenir y detectar la fuga de secretos a través de repositorios de código «.
Análisis de Big Data, desanonimización y correlación
Skoudis pasó a hablar sobre la amenaza de Big Data Analytics y cómo los atacantes están usando datos de varias fuentes para anonimizar a los usuarios:
«En el pasado, combatíamos a los atacantes que intentaban acceder a nuestras máquinas para robar datos para uso criminal. Ahora la batalla está cambiando de las máquinas de piratería informática a la piratería de datos: recopilar datos de distintas fuentes y fusionarlos para anonimizar a los usuarios, encontrar debilidades y oportunidades comerciales, o socavar la misión de una organización. Todavía tenemos que evitar que los atacantes ganen conchas en los objetivos para robar datos. Sin embargo, los defensores también deben comenzar a analizar los riesgos asociados con la forma en que sus datos aparentemente inofensivos pueden combinarse con datos de otras fuentes para introducir riesgos comerciales, mientras consideran cuidadosamente las implicaciones de privacidad de sus datos y su potencial para manchar una marca o invitar al escrutinio regulador »
Los atacantes monetizan sistemas comprometidos utilizando mineros de monedas criptográficas
Johannes Ullrich, es Decano de Investigación, Instituto SANS y Director de SANS Internet Storm Center. Él ha estado observando el creciente uso de mineros de moneda criptográfica por parte de ciberdelincuentes:
«El año pasado, hablamos sobre cómo se usó el ransomware para vender datos a su dueño y las cripto monedas fueron la herramienta preferida para pagar el rescate. Más recientemente, hemos encontrado que los atacantes ya no están molestando con los datos. Debido a la avalancha de datos robados que se ofrecen para la venta, el valor de los datos robados más comúnmente, como los números de tarjetas de crédito de PII, ha disminuido significativamente. Los atacantes están instalando mineros cripto coin. Estos ataques son más furtivos y es menos probable que se descubran y los atacantes pueden ganar decenas de miles de dólares al mes de los mineros de moneda criptográfica. Por lo tanto, los defensores deben aprender a detectar a estos mineros e identificar las vulnerabilidades que se han explotado para instalarlos «.
Reconocimiento de fallas de hardware
Ullrich luego continuó diciendo que los desarrolladores de software a menudo suponen que el hardware es perfecto y que esta es una suposición peligrosa. Él explica por qué y qué debe hacerse:
«El hardware no es menos complejo que el software y se han cometido errores en el desarrollo del hardware tal como lo hacen los desarrolladores de software. El parcheo de hardware es mucho más difícil y, a menudo, no es posible sin reemplazar sistemas completos o sufrir penalizaciones de rendimiento significativas. Por lo tanto, los desarrolladores deben aprender a crear software sin depender del hardware para mitigar cualquier problema de seguridad. De manera similar a la forma en que el software utiliza el cifrado en redes que no son de confianza, el software necesita autenticar y encriptar datos dentro del sistema. Algunos algoritmos de cifrado homomórficos emergentes pueden permitir a los desarrolladores operar con datos encriptados sin tener que descifrarlos primero «.
Más malware y ataques que interrumpen el ICS y las utilidades en lugar de buscar ganancias
Finalmente, el Jefe de I + D del SANS Institute, James Lyne, discutió la tendencia creciente en malware y ataques que no están centrados en los beneficios, como hemos visto en gran parte en el pasado, sino que se centran en alterar los Sistemas de Control Industrial (ICS) y las utilidades:
«La gran mayoría de los códigos maliciosos se han centrado indudablemente en el día a día en el fraude y las ganancias. Sin embargo, con el implacable despliegue de tecnología en nuestras sociedades, la oportunidad de influencia política o incluso militar solo crece. Y los ataques poco comunes visibles públicamente como Triton / TriSYS muestran la capacidad y la intención de quienes intentan comprometer algunos de los componentes de mayor riesgo de los entornos industriales, es decir, los sistemas de seguridad que históricamente han evitado las crisis críticas de seguridad y protección «.
Continuó: «Los sistemas de ICS son relativamente inmaduros y fáciles de explotar en comparación con el mundo de la informática dominante. Muchos sistemas ICS carecen de las mitigaciones de los sistemas operativos y aplicaciones modernos. La dependencia de la oscuridad o el aislamiento (ambos cada vez más falsos) no los posiciona bien para resistir un mayor enfoque en ellos, y tenemos que abordar esto como una industria. Más preocupante es que los atacantes han demostrado que tienen la inclinación y los recursos para diversificar sus ataques, dirigidos a los sensores que se utilizan para proporcionar datos a los controladores industriales mismos. Es probable que en los próximos años se descubran algunas lecciones dolorosas a medida que crezca este dominio de ataque, ya que las mitigaciones son inconsistentes y bastante embrionarias «.
Fuente: Helpnetsecurity.com