Ransomware

Break the Attack Chain: el gambito de apertura

Share with your network!

El panorama de las amenazas no ha cesado de evolucionar desde sus inicios. Sin embargo, según la experiencia de la mayoría de los profesionales de la seguridad, el ritmo de cambio de la última década no tiene precedentes. Las amenazas actuales se centran prioritariamente en el personal y no tanto en la infraestructura.

Pero eso no es todo. Los ciberataques que antes eran eventos independientes ahora casi siempre se componen de varias fases. De hecho, la mayoría de las amenazas modernas siguen el mismo patrón: compromiso inicial, desplazamiento lateral e impacto.

Si bien este enfoque puede provocar más daños, también ofrece a los equipos de seguridad más oportunidades de detectar y frenar los ciberataques. Si colocamos protecciones en los puntos clave de la cadena de ataque, podemos desarticular y frustrar ciberataques potenciales antes de que causen daños definitivos.

Para ello, es fundamental conocer el gambito de apertura: ¿cómo intentan los ciberdelincuentes conseguir acceso al rey, en este caso, a sus redes y sus datos? ¿Y qué puede hacer para mantenerlos a raya?

Conocer la estrategia

Continuamos con la analogía con el ajedrez para analizar los últimos cambios en el panorama de las amenazas, en el que nuestras tácticas de defensa han provocado una adaptación del método de ataque. Un claro ejemplo es la autenticación multifactor (MFA).

En los últimos años, los profesionales de la seguridad han adoptado masivamente la MFA para proteger las cuentas y las credenciales. Como respuesta, los ciberdelincuentes han desarrollado métodos para suplantar la identidad y sortear la autenticación multifactor, con el fin de evitar estas protecciones, hasta el punto de que ahora se considera habitual la elusión de MFA en los ataques de phishing de credenciales contra empresas. Es cada vez más frecuente que los ciberdelincuentes compren kits listos para utilizar que ofrecen tácticas de intermediario (denominadas adversary-in-the-middle, AiTM) para llevar a cabo escuchas clandestinas digitales y cometer robos de credenciales.

Asimismo hemos observado un incremento de otros métodos activados por humanos, como los ataques por teléfono o TOAD. Este método combina técnicas de phishing por correo electrónico y por voz con el objetivo de engañar a las víctimas y conseguir que proporcionen datos confidenciales, como sus credenciales de inicio de sesión o datos financieros.

Sea cual sea el método empleado, el resultado que se busca en esta fase es el mismo. El objetivo de los ciberdelincuentes es franquear las defensas para poder ejecutar la siguiente fase del ataque. Por eso el gambito de apertura es un momento tan crítico en el ciclo de vida de una ciberamenaza.

Los ciberdelincuentes modernos son expertos en escapar a toda detección una vez que han conseguido acceder a nuestras redes. Saben cómo pasar desapercibidos, desplazarse lateralmente y escalar privilegios. Por lo tanto, si esta fase del ataque tiene éxito, las organizaciones se enfrentan a un problema enorme. La ventaja es que a medida que conocemos mejor las tácticas que emplean los ciberdelincuentes actualmente, podemos adaptar convenientemente nuestras defensas para frenar a los ciberdelincuentes de raíz antes de que provoquen daños importantes.

Responder al gambito

El mejor momento para neutralizar a los ciberdelincuentes es antes y durante el compromiso inicial. Con un contraataque adecuado en el gambito de apertura, podemos mantener a los ciberdelincuentes a raya, es decir, fuera del perímetro.

No es de extrañar que la mayoría de las amenazas empiecen en la bandeja de entrada. Por eso, cuanto más hagamos para detener los mensajes maliciosos antes de que lleguen a nuestro personal, mejor.

Sin embargo, no existe una solución milagrosa; lo que más se acerca es la seguridad del correo electrónico basada en inteligencia artificial. Proofpoint Email Protection es la única protección contra amenazas basada en IA y aprendizaje automático que neutraliza los ataques avanzados actuales.

Proofpoint Email Protection emplea billones de puntos de datos para detectar y bloquear estafas Business Email Compromise (BEC), phishing, ransomware o amenazas para la cadena de suministro, entre otros ataques. Además, correlaciona la inteligencia sobre amenazas procedente del correo electrónico, la nube y la red, para ayudarle a adelantarse a las amenazas nuevas y en evolución dirigidas contra su personal.

Sin embargo, la dura realidad es que nada es completamente impenetrable. Los equipos de seguridad actuales deben dar por sentado que habrá amenazas que consigan llegar a la bandeja de entrada. Y, cuando esto ocurra, sus empleados deben estar preparados.

Para dotar de lo necesario a esta línea de defensa de importancia vital se necesita una total visibilidad de quiénes están recibiendo ataques en la organización, además de información sobre cuándo, dónde y cómo. Una vez identificados los empleados expuestos a un mayor riesgo, sus Very Attacked People™ o VAP (personas muy atacadas), es preciso evaluar quiénes son más vulnerables. Podrían ser los usuarios con privilegios más elevados o los que no superan los cursos de formación en seguridad o no obtienen buenos resultados en las simulaciones de phishing.

Toda esta información le puede ayudar a adaptar sus defensas y a concentrar la protección donde más se necesite. Si protege a su personal y sus bandejas de entrada y usa cursos de formación dirigida sobre concienciación en materia de seguridad para cambiar su comportamiento, estará en una posición ideal para proteger a su rey.

Sin embargo, la ciberseguridad, como el ajedrez, se parece a un juego del ratón y el gato. Cada jugada tiene un contraataque y pueden producirse muchos “jaques” antes del “jaque mate”. Por eso, es fundamental defender sus redes y datos desde el gambito de apertura hasta el final de la partida.

¿Le ha gustado este blog?

Para aprender más sobre cómo romper la cadena de ataque y proteger a sus empleados con seguridad centrada en las personas, vea el webinar completo: “Break the Attack Chain Parte 1: el gambito de apertura”.

Infórmese sobre Proofpoint Email Protection y no olvide volver la próxima semana que analizaremos cómo romper la segunda fase de la cadena de ataque: el desplazamiento lateral y el escalamiento de privilegios.