¿Por qué es necesario innovar en prevención y remediación?
- Endpoint
Un estudio de CrowdStrike profundiza en las nuevas técnicas que utilizan los ciberdelincuentes para pasar desapercibidos en sus ataques, como la autenticación alternativa, cambios en los flujos de secuencias, compromiso de código o de la cadena de valor y ataques a servicios cloud. El especialista en protección del endpoint sostiene que la mayoría de las soluciones se centran en prevenir ataques tradicionales y que es necesario innovar.
Recomendados: Customer Experience: Territorio Digital Leer Identificación de ataques web Leer Gestión de riesgos para la mejora de los planes de continuidad de negocio Leer |
En su informe anual de amenazas, CrowsStrike alerta de cinco nuevas técnicas que están utilizando los ciberdelincuentes, y que hacen que sea necesario innovar para prevenir y dar respuesta a los ataques. Son las siguientes:
- Uso de materiales de autenticación alternativos: “Pass The Ticket”. Los ciberdelincuentes pueden robar accesos del protocolo de autenticación Kerberos para introducirse en las redes corporativas. Con el método “Pass The Ticket”, los criminales se pueden autenticar sin necesidad de conocer las contraseñas y, por tanto, acceder a la red de forma más o menos sencilla.
- Flujos de ejecución de secuestro. Los delincuentes modifican el entorno COR_PROFILER para cargar librerías en los procesos .NET secuestrando pues los flujos de programas.
- Compromiso de códigos de programas del cliente. Una vez que se consigue el acceso a la red, el criminal puede modificar el código de los programas para conseguir persistencia. Entre los programas y protocolos afectados, CrowdStrike ha encontrado ataques en SSH, FTP, clientes de correo y navegadores web. Aunque es más común que se utilicen herramientas existentes para conseguir los objetivos, en algunos casos modificar software ha demostrado ser la mejor manera para que los criminales accedan a los sistemas, por lo que es fundamental asegurarse de que las firmas son válidas y de que los programas no están teniendo comportamientos anómalos.
- Descubriendo los servicios cloud. Cuando se ha accedido a la red, el ciberdelincuente intentará reconocer servicios cloud para poder introducirse en ellos y ampliar sus horizontes de ataque.
- Compromiso de la cadena de valor. En muchas ocasiones el ataque a una organización no tiene como objetivo tal empresa sino su cadena de valor, ya sea modificando las características de un producto o comprometiendo las vías de comunicación con clientes o proveedores para facilitar el despliegue del malware.
Para la firma, muchas herramientas de seguridad están preparadas para prevenir ataques realizados mediante las técnicas más usuales, más extendidas. Sin embargo, los ciberdelincuentes no dejan de innovar para poder acceder a las redes corporativas y poder alcanzar sus objetivos, por lo que es importante conocer (y saber atajar) las técnicas más modernas y que pueden pasar desapercibidas por las herramientas tradicionales de protección.