La ejecución de código y la evasión de la defensa son las principales tácticas utilizadas en ataques críticos contra terminales corporativos

Su guía para las tendencias de la computación en la nube Ver ahora El panorama de las amenazas está en constante evolución, con los actores empresariales en apuros para mantenerse al día con un aluvión frecuente de revelaciones de vulnerabilidades, actualizaciones de seguridad y el ocasional día cero. Los analistas estiman que para 2021, 3.5 millones de roles de ciberseguridad estarán sin cumplir, por lo que los profesionales de seguridad existentes no solo deben lidiar con una lucha aparentemente interminable contra los ciberatacantes, sino que también pueden tener que hacerlo con poco personal, sin mencionar el interrupción causada por COVID-19.
Ver también: Seguridad en la nube: 'superhumanos sospechosos' detrás del aumento de los ataques a los servicios en línea Existen herramientas para ayudar con la tensión. Escáneres automáticos, algoritmos y software basados ​​en inteligencia artificial (AI) y aprendizaje automático (ML) que pueden administrar la seguridad de los endpoints y las evaluaciones de riesgos, feeds que brindan datos de amenazas en tiempo real y más. También existen marcos, como MITRE ATT & CK, que proporciona una base de conocimientos gratuita que recopila tácticas y técnicas observadas en los ataques actuales del mundo real.
Es este repositorio de datos lo que Cisco ha examinado en un nuevo informe que describe las tendencias actuales de los ataques contra los puntos finales y las redes empresariales. El lunes, Cisco publicó un conjunto de datos basado en clasificaciones MITRE ATT & CK combinadas con Indicadores de Compromiso (IoC) experimentados por organizaciones que reciben alertas a través de las soluciones de seguridad de la empresa dentro de plazos específicos. Según la compañía, durante la primera mitad de 2020, las amenazas sin archivos fueron el vector de ataque más común utilizado contra la empresa.
Los ataques sin archivos incluyen inyecciones de procesos, alteración del registro y amenazas como Kovter, un troyano sin archivos; Poweliks, un inyector de código que opera sobre la base de procesos legítimos; y malware Node.js divergente y sin archivos. En segundo lugar están las herramientas de doble uso, incluidas Metasploit, PowerShell, CobaltStrike y Powersploit.
Las herramientas legítimas de prueba de penetración como Metasploit son beneficiosas para la ciberseguridad en su conjunto, pero desafortunadamente, los ciberatacantes también pueden abusar de estas soluciones para obtener ganancias criminales. Herramientas como Mimikatz, un sistema legítimo de autenticación y gestión de credenciales, ocupan el tercer lugar, ya que el software armado se convirtió en ataques de relleno de credenciales. Durante la primera mitad de 2020, Cisco dice que estos vectores de ataque representan aproximadamente el 75% de los IoC de gravedad crítica observados.
Si aplica estas amenazas a las clasificaciones MITRE ATT & CK, esto significa que la evasión de la defensa aparece en el 57% de todas las alertas de IoC, y la ejecución llega al 41%. CNET: Demanda acusa a Instagram de espiar con la cámara del iPhone Dado que el malware moderno a menudo incluye técnicas de ofuscación, movimiento y ocultación, así como la capacidad de lanzar cargas útiles y manipular procesos existentes, esto no es una sorpresa, y los IoC pueden relacionarse con más de una clasificación general. "Por ejemplo, un atacante que ha establecido la persistencia utilizando una herramienta de doble uso puede realizar un seguimiento descargando y ejecutando una herramienta de descarga de credenciales o ransomware en la computadora comprometida", señala Cisco.
Sin embargo, cuando se trata de alertas de gravedad crítica, las tres categorías principales (evasión de defensa, ejecución y persistencia) se someten a una reorganización. La ejecución le robó el primer lugar a la evasión de la defensa en los ataques de gravedad crítica, con un aumento del 14%, lo que eleva las alertas totales de IoC al 55%. La evasión de defensa se redujo entre un 12% y un 45%, mientras que la persistencia, el movimiento lateral y el acceso a las credenciales aumentaron un 27%, 18% y 17%, respectivamente.
TechRepublic: Los principales rasgos de los CISO revelados en el informe: Mejora necesaria Además, algunas clasificaciones se eliminaron por completo de la lista o representaron menos del uno por ciento de las alertas críticas de IoC, incluido el acceso inicial, la escalada de privilegios y el descubrimiento, también conocido como reconocimiento, lo que revela un cambio de enfoque cuando se trata de ataques críticos. en comparación con los IoC en general. Para protegerse contra amenazas de alto nivel, Cisco recomienda que los administradores utilicen políticas de grupo o listas blancas para la ejecución de archivos, y si una organización requiere herramientas de doble uso, se deben implementar políticas de acceso temporal. Además, las conexiones realizadas entre los puntos finales deben supervisarse con frecuencia.
pags VER GALERIA COMPLETA ¿Tienes un consejo? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0.