Informe anual de seguridad de 2014 de Cisco

Transcripción

1 Informe anual de seguridad de 2014 de Cisco

2 2 Informe anual de seguridad de 2014 de Cisco Resumen ejecutivo El problema de la confianza La explotación de la confianza es un modo frecuente de operación para los atacantes en línea y otros actores malintencionados. Ellos se aprovechan de la confianza que tienen los usuarios en sistemas, aplicaciones, y las personas y los negocios con los que interactúan regularmente. Y este enfoque funciona: existe amplia evidencia de que los adversarios están ideando nuevos métodos para integrar su malware en las redes y permanecer sin que se los detecte durante largos períodos, mientras roban datos o desbaratan sistemas críticos. Mediante el uso de métodos que varían desde el robo con ingeniería social de contraseñas y credenciales hasta infiltraciones sigilosas y ocultas a simple vista que se ejecutan en minutos, los actores malintencionados continúan vulnerando la confianza pública con el fin de lograr consecuencias perjudiciales. Sin embargo, el problema de la confianza va más allá de los delincuentes que explotan las vulnerabilidades o se aprovechan de los usuarios a través de ingeniería social: debilita la confianza en organizaciones tanto públicas como privadas. Las redes actuales enfrentan dos maneras de deterioro de la confianza. La primera es una disminución de la confianza de los clientes en la integridad de los productos. La segunda es abundante evidencia acerca de que los actores malintencionados están venciendo los mecanismos de confianza, lo que cuestiona la eficacia de la red y la seguridad de las aplicaciones, la autenticación y las arquitecturas de autorización. En este informe, Cisco ofrece datos y perspectivas de las principales preocupaciones de seguridad, como los cambios de malware, las tendencias en vulnerabilidades y el resurgimiento de ataques de denegación de servicio distribuido (DDoS). En el informe también se analizan las campañas orientadas a organizaciones, grupos y sectores específicos, y la creciente sofisticación de quienes intentan robar información confidencial. El informe finaliza con recomendaciones para examinar los modelos de seguridad de manera integral y obtener visibilidad de la secuencia completa de los ataques: antes, durante y después de un ataque. Los actores maliciosos continúan innovando en maneras de explotar la confianza pública con el fin de provocar consecuencias dañinas.

3 3 Informe anual de seguridad de 2014 de Cisco Descubrimientos clave A continuación se presentan tres hallazgos clave del Informe anual de seguridad de 2014 de Cisco: Los ataques contra infraestructura están dirigidos a recursos significativos a través de Internet. Las explotaciones malintencionadas están ganando acceso a servidores de alojamiento web, servidores de nombres y centros de datos. Esto sugiere la formación de überbots que buscan alta reputación y activos ricos en recursos. Los errores de búfer son una amenaza principal, en el 21% de las categorías de amenazas de Common Weakness Enumeration (CWE). Los hallazgos de malware se están moviendo hacia la fabricación de productos electrónicos y los sectores de agricultura y minería en aproximadamente seis veces la tasa promedio de hallazgos en los mercados verticales del sector. Los actores malintencionados están usando aplicaciones de confianza para explotar las brechas en la seguridad perimetral. El correo electrónico no deseado sigue su tendencia descendente, aunque la proporción de correo electrónico no deseado malintencionado permanece constante. Java comprende el 91% de las explotaciones web; el 76% de las compañías que usan servicios de Cisco Web Security ejecutan Java 6, una versión descontinuada y sin soporte. Los ataques watering hole están dirigidos a sitios web específicos, relacionados con el sector, a fin de distribuir malware. Las investigaciones de empresas multinacionales muestran evidencia de compromiso interno. El tráfico sospechoso emana de sus redes e intenta conectarse a sitios cuestionables (el 100% de las empresas están llamando a hosts de malware malintencionados). Los indicadores de compromiso sugieren que las penetraciones en la red pueden no detectarse durante períodos prolongados. Las alertas de amenazas aumentan un 14% de un año a otro; están surgiendo alertas nuevas (no alertas actualizadas). El 99% de todo el malware móvil en 2013 estuvo dirigido a dispositivos Android. Los usuarios de Android también tienen la tasa más alta de hallazgos (71%) con todas las maneras de malware basado en la web.

4 4 Informe anual de seguridad de 2014 de Cisco Contenido del informe El Informe anual de seguridad de 2014 de Cisco presenta perspectivas de seguridad en cuatro áreas clave: Confianza Todas las organizaciones deben estar preocupadas por encontrar el equilibrio adecuado de confianza, transparencia y privacidad, porque es mucho lo que está en juego. En esta área, abordamos tres presiones que hacen que sean aún más desafiantes los intentos por parte de los profesionales de seguridad de ayudar a sus organizaciones a lograr este equilibrio: Mayor área de superficie de ataques Proliferación y sofisticación del modelo del ataque Complejidad de amenazas y soluciones Inteligencia contra amenazas Mediante el conjunto más grande de telemetría de detección disponible, Cisco y Sourcefire analizaron y recopilaron conjuntamente las perspectivas de seguridad del año pasado: Los ataques contra infraestructura están dirigidos a recursos significativos a través de Internet. Los actores malintencionados están usando aplicaciones de confianza para explotar las brechas en la seguridad perimetral. Los indicadores de compromiso sugieren que las penetraciones en la red pueden no detectarse durante períodos prolongados.

5 5 Informe anual de seguridad de 2014 de Cisco Sector En esta sección, los investigadores de Cisco Security Intelligence Operations (SIO) elevan el debate en torno a las tendencias del sector que se extienden más allá de la telemetría de Cisco, pero que aún así afectan las prácticas de seguridad: desde intentos de inicio de sesión por fuerza bruta, actividad de DDoS a gran escala y esfuerzos de ransomware hasta la creciente dependencia de la nube, falta de personal calificado en seguridad y otras preocupaciones. Recomendaciones Las organizaciones están enfrentando una superficie de ataque más amplia, la creciente proliferación y sofisticación de los modelos de ataque, y mayor complejidad dentro de la red. Muchos se están esforzando por solidificar una visión de seguridad respaldada por una estrategia efectiva que use nuevas tecnologías, simplifique su arquitectura y sus operaciones, y fortalezca sus equipos de seguridad. En esta sección se describe cómo un modelo de seguridad centrado en amenazas permite a los defensores abordar la secuencia completa de los ataques, a través de todos los vectores de ataque, y responder en cualquier momento, todo el tiempo, de manera continua: antes, durante y después de un ataque.

6 6 Informe anual de seguridad de 2014 de Cisco Cómo Cisco evalúa el panorama de amenazas Cisco desempeña un rol crítico en la evaluación de amenazas, dada la prevalencia de sus soluciones y la amplitud de su inteligencia de seguridad: millones de solicitudes web inspeccionadas cada día a través de Cisco Cloud Web Security millones de correos electrónicos inspeccionados cada día por la solución alojada de correo electrónico de Cisco direcciones IP evaluadas por día muestras de malware evaluadas por día 33 millones de archivos de terminales evaluados cada día por FireAMP 28 millones de conexiones de red evaluadas cada día por FireAMP Esta actividad deriva en la detección de las siguientes amenazas por parte de Cisco: 4500 millones de correos electrónicos bloqueados cada día 80 millones de solicitudes web bloqueadas cada día 6450 detecciones de archivos terminales realizadas cada día en FireAMP 3186 detecciones de redes de terminales realizadas cada día en FireAMP intrusiones de red detectadas cada día

7 7 Informe anual de seguridad de 2014 de Cisco Contenido Confianza...8 Nuevas maneras de hacer negocios, nuevas brechas de seguridad... 9 Erosión de la confianza...11 Principales desafíos de seguridad para Sistemas transparentes y confiables...16 Inteligencia contra amenazas Aumento de alertas de amenazas...21 Descendió el volumen de correo electrónico no deseado, pero el correo electrónico no deseado malintencionado sigue siendo una amenaza...24 Explotaciones web: Java lidera el grupo BYOD y movilidad: la maduración de dispositivos beneficia el ciberdelito Ataques dirigidos: el desafío de desalojar visitantes ubicuos y persistentes...37 Instantánea de malware: tendencias observadas en Objetivos principales: mercados verticales del sector...42 Fracturas en un ecosistema frágil Tráfico malintencionado, con frecuencia un signo de ataques dirigidos, detectado en todas las redes empresariales Sector...53 Intentos de inicio de sesión por fuerza bruta, una táctica preferida para vulnerar sitios web Ataques de DDoS: lo antiguo vuelve a ser nuevo DarkSeoul La escasez de personal calificado en seguridad y la brecha de soluciones...61 La nube como un nuevo perímetro Recomendaciones...64 Objetivos para 2014: verificar la confiabilidad y mejorar la visibilidad Apéndice...68 Las organizaciones de seguridad necesitan científicos de datos Acerca de Cisco SIO Cisco SIO...79 Acerca de este documento Este documento incluye contenido que permite búsquedas y se puede compartir. Busque este icono para abrir la función de búsqueda en Adobe Acrobat. [ ] Busque estos iconos para compartir contenido. Software recomendado Adobe Acrobat versión 7.0 y posteriores

8 8 Informe anual de seguridad de 2014 de Cisco Confianza Todas las organizaciones deben estar preocupadas por encontrar el equilibrio adecuado de confianza, transparencia y privacidad, porque es mucho lo que está en juego.

9 9 Informe anual de seguridad de 2014 de Cisco Confianza [ Nuevas maneras de hacer negocios, nuevas brechas de seguridad Los débiles enlaces en la cadena de suministro de tecnología son una faceta del complejo panorama actual de riesgo y ciberamenazas. También lo es el surgimiento de una infraestructura cualquiera con cualquiera (any-to-any), en la que cualquier dispositivo de cualquier ubicación puede afectar cualquier creación de instancias de la red. 1 Además, existe una creciente abundancia de dispositivos habilitados para Internet smartphones, tablets y más que intentan conectarse a aplicaciones que podrían estar ejecutándose en cualquier lugar, incluidas una nube pública de software como servicio (SaaS), una nube privada o una nube híbrida. 2 Incluso los servicios básicos de infraestructura de Internet se han convertido en un objetivo para los piratas informáticos, que quieren aprovecharse de la reputación, el ancho de banda y el tiempo de actividad, y la disponibilidad continuos de servidores de alojamiento web, servidores de nombres y centros de datos para lanzar campañas cada vez más grandes. (Consulte Fracturas en un ecosistema frágil, página 44). Si bien las tendencias como computación en la nube y movilidad están reduciendo la visibilidad y aumentando la complejidad de la seguridad, aún así, las organizaciones deben adoptarlas, porque ellas son fundamentales para desarrollar ventaja competitiva y éxito comercial. No obstante, están surgiendo brechas de seguridad, que se amplían día a día, dado que los equipos de seguridad intentan ajustar las soluciones tradicionales con maneras novedosas y en constante evolución para hacer negocios. Mientras tanto, los actores malintencionados están trabajando más rápido para explotar las brechas que las soluciones puntuales no integradas simplemente no pueden reducir. Y están teniendo éxito, porque cuentan con los recursos para ser más ágiles. La infraestructura básica de Internet se ha convertido en un objetivo para los piratas informáticos. La red de ciberdelito se está expandiendo, fortaleciendo, y está funcionando cada vez más como cualquier red empresarial legítima y sofisticada. La jerarquía de ciberdelincuentes actual es como una pirámide (consulte la Figura 1). En la parte inferior se encuentran los oportunistas no técnicos y los usuarios de crimeware como un servicio que desean hacer dinero, ]

10 10 Informe anual de seguridad de 2014 de Cisco Confianza [ una declaración, o ambos con sus campañas. En el medio están los resellers y mantenedores de infraestructuras: los intermediarios. En la parte superior se hallan los innovadores técnicos, los jugadores principales más buscados por las autoridades encargadas del orden público, y que más difícil resulta encontrar. Por lo general, los ciberdelincuentes modernos tienen objetivos comerciales claros cuando lanzan sus ataques. Saben qué información están buscando y qué resultados desean obtener, y conocen la ruta que deben tomar para alcanzar estos objetivos. Los adversarios dedicarán una importante cantidad de tiempo en investigar a sus víctimas, con frecuencia a través de información disponible públicamente en redes sociales, y en planificar estratégicamente sus objetivos. Muchos actores en la denominada economía sumergida ahora también envían malware de vigilancia para recopilar información acerca de un entorno, incluida la tecnología de seguridad implementada, con el fin de idear sus ataques. Este reconocimiento previo a la explotación es la manera que tienen algunos escritores de malware para estar seguros de que su malware funcionará. Una vez integrado en una red, el malware avanzado que diseñan se puede comunicar con servidores de comando y control en el exterior y extenderse lateralmente en la infraestructura para ejecutar su misión: ya sea el robo de datos esenciales o la interrupción de sistemas críticos. ] FIGURA 1 La jerarquía de ciberdelincuentes Innovadores de servicios Resellers/mantenedores de infraestructura Oportunistas no técnicos/usuarios de Crimeware como servicio

11 11 Informe anual de seguridad de 2014 de Cisco Confianza Erosión de la confianza Las amenazas diseñadas para aprovechar la confianza que tienen los usuarios en sistemas, aplicaciones, y las personas y los negocios que conocen constituyen, hoy en día, elementos permanentes del mundo cibernético. Examine casi cualquier esquema y, en el centro, encontrará cierto abuso de confianza: malware enviado a usuarios que navegan legítimamente sitios web convencionales. Correos electrónicos no deseados que parecen enviados por empresas muy conocidas, pero que contienen vínculos a sitios malintencionados. Aplicaciones móviles de terceros vinculadas con malware y descargadas de populares catálogos de soluciones en línea. Personas de una organización que tienen privilegios de acceso a información confidencial y los usan para robar propiedad intelectual de los empleados. Todos los usuarios deben suponer que es probable que nada del mundo cibernético sea de confianza. Y los profesionales de seguridad pueden hacerle un favor a sus organizaciones al no confiar en ningún tráfico de red 3, o no teniendo plena fe en las prácticas de seguridad de los proveedores o las cadenas de suministro que proporcionan tecnología a la empresa. Sin embargo, las organizaciones en los sectores público y privado, los usuarios individuales, e incluso los estados nación querrán asegurarse de que pueden confiar en las tecnologías fundamentales en las que confían todos los días. Los usuarios deberían suponer que no se puede ni debe confiar en nada en el mundo cibernético. Esta necesidad de confianza en la seguridad ha permitido promover el avance de los Criterios comunes (Common Criteria for Information Technology Security Evaluation), el lenguaje y el marco que permite que los organismos estatales y otros grupos definan los requisitos que deben cumplir los productos tecnológicos para garantizar que sean confiables. Hoy, 26 países, incluido Estados Unidos, están participando en el Acuerdo de Reconocimiento de Criterios Comunes (Common Criteria Recognition Arrangement), un acuerdo multilateral que proporciona el reconocimiento mutuo de los productos evaluados por parte de los gobiernos que participan. Sin embargo, en 2013, la confianza en general sufrió un revés. El catalizador: Edward Snowden. El excontratista del Gobierno de EE. UU. filtró información secreta al periódico británico The Guardian; esta información la obtuvo mientras trabajaba en una misión para la Agencia Nacional de Seguridad (NSA) de EE. UU. 4

12 12 Informe anual de seguridad de 2014 de Cisco Confianza Las revelaciones de Snowden a los medios hasta la fecha incluyen detalles acerca de la vigilancia electrónica de la NSA y del programa de recolección de datos, PRISM 5, así como también de un programa separado de la NSA-GCHQ 6 conocido como MUSCULAR, a través del cual supuestamente se interceptaban las redes de fibra óptica que transportan tráfico de los centros de datos en el extranjero de las principales empresas de Internet. 7 Estas y otras revelaciones realizadas por Snowden acerca de las prácticas de vigilancia del gobierno han minado la confianza en muchos niveles: entre estados nación, entre gobiernos y el sector privado, entre ciudadanos particulares y sus gobiernos, y entre ciudadanos particulares y las organizaciones en los sectores público y privado. Naturalmente, también han generado preocupaciones acerca de la presencia y los riesgos potenciales tanto de las vulnerabilidades no intencionales como de las puertas traseras o backdoors intencionales en los productos tecnológicos, y acerca de si los proveedores están haciendo lo suficiente para evitar estas debilidades y proteger a los usuarios finales. [ Principales desafíos de seguridad para 2014 Mientras se socava la confianza, y a medida que se vuelve más difícil definir qué sistemas y relaciones son confiables y cuáles no, las organizaciones se enfrentan a varios problemas clave que debilitan su capacidad para abordar la seguridad: 1 Mayor área de superficie de ataque 2 Proliferación y sofisticación del modelo del ataque 3 Complejidad de amenazas y soluciones Estos problemas combinados crean y exacerban las brechas de seguridad, que permiten que los actores malintencionados lancen explotaciones con más rapidez de lo que las organizaciones pueden abordar sus debilidades de seguridad. Estos riesgos y amenazas se examinan con más detalles en las páginas siguientes. ]

13 13 Informe anual de seguridad de 2014 de Cisco Confianza 1 Mayor área de superficie de ataque La superficie de ataque actual presenta infinidad de posibilidades para que los actores malintencionados debiliten un ecosistema de seguridad grande y frágil. La superficie ha crecido de manera exponencial y continúa expandiéndose: demasiados terminales, demasiados avances, demasiados datos fuera del control de la empresa. Los datos representan el premio que la mayoría de los adversarios desea alcanzar a través de sus campañas, porque equivalen básicamente a dinero. Si los datos tienen algún valor en la calle ya sea si se trata de propiedad intelectual de una corporación importante o de los datos de servicios de salud de una persona, son deseables y, en consecuencia, están en riesgo. Si el valor del objetivo es mayor que el riesgo de comprometerlo, será pirateado. Incluso las organizaciones pequeñas están en riesgo de ser pirateadas. Y a la mayoría de las organizaciones grandes y pequeñas ya las han vulnerado sin siquiera tener conocimiento de ello: el 100% de las redes comerciales que analizó Cisco envían tráfico a sitios web que alojan malware. FIGURA 2 La anatomía de una amenaza moderna Internet y aplicaciones en la nube Campus Empresas Red pública El punto de entrada de infección ocurre fuera de la empresa Perímetro La ciberamenaza avanzada traspasa la defensa perimetral Centro de datos La amenaza se extiende e intenta exfiltrar datos de valor

14 14 Informe anual de seguridad de 2014 de Cisco Confianza La anatomía de una amenaza moderna, esbozada en la Figura 2, subraya cómo el objetivo final de muchas campañas de ciberdelito es alcanzar el centro de datos y exfiltrar datos de valor. En este ejemplo, ocurre una acción malintencionada en un dispositivo fuera de la red de la empresa. Provoca una infección, que se mueve a una red del campus. Dicha red funciona como plataforma de lanzamiento hacia la red de la empresa y, luego, la amenaza se abre camino hacia el tesoro escondido: el centro de datos. El objetivo final de muchas campañas de delitos informáticos es tener acceso al centro de datos y filtrar datos valiosos. En vista del área en expansión de la superficie de ataque y de la selección de datos de gran valor como objetivo por parte de los piratas informáticos, los expertos en seguridad de Cisco recomiendan que las empresas busquen dar respuesta a dos preguntas importantes en 2014: Dónde residen nuestros datos críticos? y Cómo podemos crear un entorno seguro para proteger dichos datos, especialmente cuando los nuevos modelos empresariales, como la computación en la nube y la movilidad, nos dejan con poco control sobre ellos? 2 Proliferación y sofisticación del modelo de ataque El panorama de amenazas actual no se parece en nada al de solo 10 años atrás. Los ataques simples que provocaban daño controlable han dado lugar a operaciones modernas de ciberdelito, que son sofisticadas, están bien financiadas y son capaces de generar interrupciones importantes en las organizaciones. Las empresas se han convertido en el foco de los ataques dirigidos. Estos ataques son muy difíciles de detectar, permanecen en las redes durante períodos prolongados y acumulan recursos de la red para lanzar ataques en otros lugares. Para cubrir la secuencia completa de los ataques, las organizaciones deben abordar una amplia gama de vectores de ataque, con soluciones que operen en cualquier lugar en el que pueda manifestarse la amenaza: en la red, en terminales, en dispositivos móviles y en entornos virtuales. Dónde residen nuestros datos críticos? y cómo podemos crear un entorno seguro para proteger esos datos, en especial cuando los nuevos modelos empresariales, como la computación en nube y la movilidad, solo nos permiten tener poco control sobre ellos?. Expertos en seguridad de Cisco

15 15 Informe anual de seguridad de 2014 de Cisco Confianza 3 Complejidad de amenazas y soluciones Lejos han quedado los días en que los bloqueadores de correo electrónico no deseado y el software antivirus podían ayudar a proteger un perímetro de red fácilmente definido de la mayoría de las amenazas. Las redes actuales van más allá de los límites tradicionales, y evolucionan constantemente para generar nuevos vectores de ataque: dispositivos móviles, aplicaciones móviles y habilitadas para la web, hipervisores, medios sociales, navegadores web, computadoras domésticas e incluso vehículos. Las soluciones de un momento dado (point-intime) no pueden responder a los miles de tipos de tecnologías y estrategias que usan los actores malintencionados. Esto dificulta aún más la supervisión y la administración de la seguridad de la información para los equipos de seguridad. Las vulnerabilidades organizativas están en aumento porque las empresas están trabajando a través de soluciones puntuales desagregadas y diversas plataformas de administración. El resultado: un conjunto de tecnologías dispares en puntos de control que nunca se diseñaron para trabajar juntas. Esto aumenta el potencial de comprometer la información del cliente, la propiedad intelectual y otra información confidencial, y pone en riesgo la reputación de la empresa. Se requiere una capacidad continua que proporcione la mejor oportunidad para satisfacer los desafíos de los complejos entornos de amenazas. Los ataques incesantes no ocurren en un momento específico; son continuos. De manera que también deben ser continuas las defensas de la empresa. Con la complejidad de las amenazas y las soluciones correspondientes que alcanzaron un máximo histórico, las organizaciones deben repensar sus estrategias de seguridad. En lugar de confiar en soluciones puntuales, pueden minimizar la complejidad mediante la integración continua de la seguridad en la estructura de la red misma, de manera que la red pueda: Supervisar y analizar archivos continuamente e identificar el subsiguiente comportamiento malintencionado ni bien se produzca. Ayudar a las organizaciones a escalar el cumplimiento de la ley mediante la expansión de la superficie en la que se pueden colocar los dispositivos de red. Acelerar el tiempo de detección, porque puede ver más tráfico. Otorgar a las organizaciones la capacidad de agregar reconocimiento único del contexto que no es posible obtener mediante la sola confianza en dispositivos específicos de seguridad. Las soluciones de un momento dado no pueden responder al sinnúmero de tecnologías y estrategias que utilizan los actores maliciosos.

16 16 Informe anual de seguridad de 2014 de Cisco Confianza El cambio hacia la movilidad y los servicios en la nube está imponiendo una carga mayor de seguridad en los terminales y dispositivos móviles que, en algunos casos, pueden no tocar nunca la red de la empresa. El hecho es que los dispositivos móviles introducen riesgo de seguridad cuando se usan para acceder a los recursos de la empresa; se conectan fácilmente con servicios de terceros en la nube y computadoras con posturas de seguridad que son potencialmente desconocidas y están fuera del control de la empresa. Además, el malware móvil está creciendo rápidamente, lo que aumenta aún más el riesgo. Dada la falta de visibilidad siquiera básica, la mayoría de los equipos de seguridad de TI no cuentan con la capacidad para identificar amenazas potenciales de estos dispositivos. Los dispositivos móviles aportan riesgos de seguridad cuando se los utiliza para tener acceso a los recursos de la empresa. Los enfoques avanzados, como la capacidad continua, desempeñarán un papel más importante gracias a que abordan el malware avanzado a través del análisis de los datos masivos que agregan datos y eventos en la red ampliada para proporcionar una mayor visibilidad incluso después de que se ha movido un archivo a la red o entre terminales. Esto difiere de la seguridad en los terminales en un momento dado que analiza archivos en un momento específico inicial para determinar una disposición de malware. El malware avanzado puede evadir este análisis para establecerse rápidamente en los terminales y extenderse a través de las redes. Sistemas transparentes y confiables En vista de la mayor área de superficie de ataque, la creciente proliferación y sofisticación del modelo de ataque, y la complejidad de las amenazas y soluciones, debemos confiar en la información que consumimos, junto con los sistemas que la distribuyen, sin importar cómo accedemos a los servicios en red. La creación de un entorno de red verdaderamente seguro se vuelve incluso más compleja a medida que los gobiernos y las empresas invierten en movilidad, colaboración, computación en la nube y otras maneras de virtualización. Estas funcionalidades permiten mejorar la

17 17 Informe anual de seguridad de 2014 de Cisco Confianza recuperabilidad, aumentar la eficiencia y reducir los costos, pero también pueden introducir riesgos adicionales. La seguridad de los procesos de fabricación que crean productos de TI también está en riesgo, y los productos falsificados y alterados constituyen un problema en aumento. Como resultado, la mayoría de los líderes actuales de gobiernos y empresas identifican los problemas de la ciberseguridad y la confianza asociada como las preocupaciones principales. La pregunta que deberían hacer los profesionales de seguridad es: Qué haríamos diferente si supiéramos que un compromiso fuera inminente? Los actores maliciosos buscarán y explotarán cualquier debilidad de seguridad en la cadena de abastecimiento tecnológico. Las vulnerabilidades y puertas traseras intencionales en productos de tecnología pueden proporcionarles, en última instancia, el acceso a toda la casa. Las puertas traseras han sido un problema de seguridad por mucho tiempo y deberían ser una preocupación para las organizaciones, porque existen solamente para ayudar a facilitar la actividad furtiva o delictiva. El desarrollo de sistemas confiables significa crear seguridad desde cero, desde el principio hasta el final del ciclo de vida de un producto. Cisco Secure Development Lifecycle (CSDL) 8 recomienda una metodología repetible y medible diseñada para desarrollar la seguridad del producto en la etapa de concepto del producto, minimizar las vulnerabilidades durante el desarrollo y aumentar la recuperabilidad de los productos ante un ataque. Los sistemas confiables proporcionan la base para un enfoque de mejora continua de la seguridad, que anticipe y prevenga nuevas amenazas. Dichas infraestructuras no solo protegen información fundamental, sino que también, y más importante, ayudan a evitar interrupciones de servicios críticos. Los productos confiables respaldados por proveedores confiables permiten a sus usuarios minimizar los costos y los daños a la reputación como consecuencia de la apropiación indebida de información, los cortes de servicio y las violaciones de información. Los actores maliciosos buscarán y explotarán cualquier debilidad de seguridad en la cadena de abastecimiento tecnológico. Los sistemas confiables, sin embargo, no deben confundirse con la inmunidad a un ataque externo. Los clientes de TI y los usuarios tienen un papel importante que desempeñar a fin de mantener la eficacia de los sistemas confiables para rechazar los intentos de corromper sus operaciones. Esto incluye la instalación oportuna de actualizaciones y parches de seguridad, la constante vigilancia para reconocer comportamientos anormales del sistema y la adopción de contramedidas eficaces contra los ataques.

18 18 Informe anual de seguridad de 2014 de Cisco Confianza Preocupaciones principales para 2014 de los CISO actuales A medida que los jefes de seguridad de la información (CISO) miden el panorama de amenazas actual, se enfrentan a una creciente presión de proteger terabytes de datos, respetar las estrictas normas de cumplimiento y evaluar los riesgos de trabajar con proveedores externos; todo esto con presupuestos cada vez más reducidos y equipos de TI austeros. Los CISO tienen que realizar más tareas que nunca antes y administrar amenazas complejas y sofisticadas. Los principales estrategas de seguridad de los servicios de seguridad de Cisco, quienes asesoran a los CISO sobre los enfoques de seguridad para sus organizaciones, proporcionan esta lista de las preocupaciones y desafíos más exigentes para 2014: Administración del cumplimiento La preocupación más generalizada entre los CISO probablemente sea la necesidad de proteger los datos que residen en una red cada vez más porosa, mientras que gastan recursos valiosos en cumplimiento. El cumplimiento por sí mismo no significa que es seguro, simplemente es una línea de base mínima que se centra en las necesidades de un entorno regulado especial. Por otro lado, la seguridad es un enfoque global que abarca todas las actividades comerciales. Confianza en la nube Los CISO deben tomar decisiones sobre cómo administrar la información Continúa en la página siguiente. Las tecnologías no se quedan quietas; tampoco los atacantes. La garantía de confiabilidad de un sistema debe cubrir el ciclo de vida completo de una red, desde el diseño inicial hasta la fabricación, la integración del sistema, la operación diaria, el mantenimiento y las actualizaciones, y, en última instancia, la retirada de la solución. La necesidad de sistemas confiables se extiende más allá de la red propia de una organización para incluir aquellas redes con las que una organización puede conectarse. Los equipos de Cisco Security Research and Operations han observado, en el último año, un aumento del uso de pivoting. La técnica de pivoting en el ciberdelito involucra el uso de una puerta trasera, vulnerabilidad o explotación simple de la confianza en algún punto de la secuencia de ataque como un trampolín para lanzar una campaña más sofisticada contra objetivos mucho más grandes, como la red de una firma de energía importante o el centro de datos de una institución financiera. Algunos piratas informáticos usan la confianza que existe entre las organizaciones como la base para una operación de pivoting, explotando a un socio comercial de confianza para atacar y explotar a otro partner empresarial o gubernamental de confianza desprevenido. La vigilancia es apropiada en el panorama de amenaza moderno. La seguridad debe adaptarse a todos los estados transitorios que forman parte del entorno de TI de la empresa, y debe validar perceptible y objetivamente la confianza del sistema, en función de datos y procesos confirmados e independientes. El enfoque más sostenible es una defensa dinámica adaptada al entorno único de una organización, que incluya controles de seguridad en constante evolución para que sigan siendo relevantes. 9 Los sistemas confiables pueden existir en este entorno, y la transparencia es esencial para poder desarrollarlos. Un sistema confiable debe diseñarse sobre una base sólida: prácticas de desarrollo de productos, una cadena de suministro confiable y un enfoque arquitectónico que conste de diseño de red, implementación y políticas, dice John N.

19 19 Informe anual de seguridad de 2014 de Cisco Confianza Continúa desde la página anterior. de manera segura con presupuestos limitados y el tiempo que tienen asignado. Por ejemplo, la nube se ha convertido en una manera rentable y ágil de administrar almacenes de datos cada vez más crecientes pero trae más preocupaciones para los CISO. Los directores generales y las juntas directivas tienen el concepto de que la nube es una panacea para eliminar el hardware costoso. Desean obtener los beneficios de descargar datos en la nube y esperan que los CISO lo hagan de manera rápida y segura. Confianza en los proveedores Al igual que con la nube, las organizaciones recurren a los proveedores para que les proporcionen soluciones especializadas. El modelo de costos para recurrir a terceros tiene sentido. Sin embargo, estos proveedores son objetivos de gran valor para los delincuentes, quienes conocen que las defensas de terceros no siempre son sólidas. Recuperación de infracciones de seguridad Todas las organizaciones deben asumir que su seguridad se ha vulnerado o, por lo menos, reconocer que no se trata de determinar si serán el objetivo de un ataque, sino cuándo. Los CISO tienen presentes los actos de piratería recientes, como Operation Night Dragon, la infracción a RSA y el ataque Shamoon contra una importante empresa de gas y petróleo en (Consulte el informe de Cisco sobre la prevalencia de actividad maliciosa en las redes corporativas en la página 49). [ Stewart, vicepresidente sénior y jefe de seguridad de Cisco. Pero el atributo más importante es la transparencia del proveedor. El precio de mayor transparencia es menos privacidad, pero el equilibrio adecuado se puede alcanzar mediante cooperación, que deriva en mayores oportunidades para ajustar la inteligencia contra amenazas y las mejores prácticas de seguridad. Todas las organizaciones deben estar preocupadas por encontrar el equilibrio adecuado de confianza, transparencia y privacidad, porque es mucho lo que está en juego. A largo plazo, se puede alcanzar mayor ciberseguridad para todos los usuarios, y se puede aprovechar el potencial completo de la economía emergente de Internet de Todo 10. Pero el logro de estos objetivos dependerá de políticas de privacidad eficaces y defensas de red sólidas que distribuyan con inteligencia la carga de seguridad en los terminales y la red. A corto plazo, y tal vez más cerca del hogar, se encuentra la necesidad que tienen las empresas modernas de usar los mejores métodos y datos disponibles para ayudar a proteger sus recursos más valiosos, y asegurarse de no contribuir directamente a desafíos más amplios de ciberseguridad. ] Las organizaciones actuales deben considerar el impacto que pueden tener sus prácticas de seguridad en el ecosistema de ciberseguridad más amplio y cada vez más complejo e interconectado. No tener en cuenta esta vista de panorama general puede hacer que una organización reciba una puntuación de mala reputación, lo que significa que ningún proveedor de seguridad líder permitirá a los usuarios acceder a su sitio. Para las empresas no es fácil salir de la lista negra, y algunas nunca se recuperan completamente. Para conocer más sobre las prácticas de los sistemas confiables de Cisco, visite

20 20 Informe anual de seguridad de 2014 de Cisco Inteligencia contra amenazas Mediante el conjunto más grande de telemetría de detección con el que es posible trabajar, Cisco y Sourcefire analizaron y recopilaron conjuntamente las perspectivas de seguridad del año pasado.

21 21 Informe anual de seguridad de 2014 de Cisco Inteligencia contra amenazas Aumento de alertas de amenaza Las vulnerabilidades y amenazas informadas por Cisco IntelliShield mostraron un crecimiento sostenido en 2013: a partir de octubre de 2013; los totales de alertas anuales acumulados aumentaron un 14% interanual desde 2012 (Figura 3). Las alertas de octubre de 2013 estuvieron en su nivel más alto desde que IntelliShield comenzó a registrarlas en mayo de También es notable el aumento significativo en las alertas nuevas en oposición a las alertas actualizadas, según los controles de IntelliShield (Figura 4). Los proveedores de tecnología e investigadores están buscando un mayor número de nuevas vulnerabilidades (Figura 5); los descubrimientos son el resultado del mayor énfasis en el uso de un ciclo de vida de desarrollo altamente seguro, así como también de las mejoras en seguridad de sus propios productos. El mayor número de vulnerabilidades nuevas también puede ser un signo de que los proveedores están examinando su código de producto y están corrigiendo las vulnerabilidades antes de lanzar los productos, y de que dichas vulnerabilidades se aprovechen. FIGURA 3 Totales de alertas anuales acumulados: Jan. Feb. Mar. Abr. Mayo Jun. Jul. Ago. Sep. Oct. Nov. Dic. Mes

22 22 Informe anual de seguridad de 2014 de Cisco Inteligencia contra amenazas Más atención en el desarrollo de software seguro puede permitir generar confianza en las soluciones del proveedor. Un ciclo de vida de desarrollo seguro no solo mitiga el riesgo de vulnerabilidades y permite a los proveedores detectar defectos potenciales en las primeras etapas del desarrollo, sino que también le dice a los compradores que pueden confiar en estas soluciones. FIGURA 4 Alertas nuevas y actualizadas: Actualizado Alerta 200 Nuevo Alerta de amenaza 0 Jan. Feb. Mar. Abr. Mayo Jun. Jul. Ago. Sep. Oct. Nov. Mes

23 23 Informe anual de seguridad de 2014 de Cisco Inteligencia contra amenazas FIGURA 5 Categorías de amenazas comunes controladas por Cisco IntelliShield NOTA: Estas categorías de amenazas de CWE (Common Weakness Enumeration), según lo definido por la National Vulnerability Database ( concuerdan con los métodos que usan los actores malintencionados para atacar las redes. 1 5 CWE-119: Errores de búfer CWE-264: Permisos, privilegios y control de acceso 2 Otras alertas de Intellishield 6 (actividad, problemas, CRR, AMB) CWE-200: Divulgación/pérdida de información 9 CWE: Error de diseño CWE-310: Problemas criptográficos CWE-287: Problemas de autenticación 3 CWE-399: Errores de administración de recursos 4 CWE-20: Validación de entrada 7 CWE-79: Scripting entre sitios (XSS) 8 CWE-94: Inserción de códigos CWE-352: Falsificación de solicitud entre sitios (CSRF) CWE-22: Cruce seguro de ruta CWE-78: Inserciones de comandos de sistema operativo CWE-89: Inserción de SQL CWE-362: Condiciones de carrera CWE-255: Administración de credenciales CWE-59: Seguimiento de enlaces CWE-16: Configuración CWE: Información insuficiente CWE: Otros 7 CWE-189: Errores numéricos

24 24 Informe anual de seguridad de 2014 de Cisco Inteligencia contra amenazas Descendió el volumen de correo electrónico no deseado, pero el correo electrónico no deseado malintencionado sigue siendo una amenaza El volumen de correo electrónico no deseado se encontraba en una tendencia mundial descendente en Sin embargo, si bien el volumen total puede haber disminuido, la proporción de correo electrónico no deseado malintencionado permanece constante. Los individuos que envían correo electrónico no deseado usan la velocidad como una herramienta, para aprovecharse de la confianza de los usuarios de correo electrónico, enviando grandes cantidades de correo electrónico no deseado cuando los eventos de noticias o las tendencias disminuyen la resistencia de los destinatarios a las estafas de correo electrónico no deseado. Después del atentado de la maratón de Boston del 15 de abril de 2013, comenzaron dos campañas de correo electrónico no deseado a gran escala: una el 16 de abril y la otra el 17 de abril, diseñadas para atraer a usuarios de correo electrónico ávidos de noticias sobre el impacto del evento. Los investigadores de Cisco primero detectaron el registro de cientos de nombres de dominios relacionados con el bombardeo a solo horas de que ocurrieran los ataques de la maratón de Boston. 11 Ambas campañas de correo electrónico no deseado llevaban líneas de asunto acerca de supuestos boletines de noticias relacionados con los bombardeos, mientras que los mensajes contenían supuestos enlaces a videos de las explosiones o noticias de fuentes de medios acreditados. Los enlaces dirigían a los destinatarios a páginas web que incluían enlaces a noticias o videos verdaderos, pero también iframes Los spammers (principales fuentes de correo no deseado) se aprovechan del deseo de obtener más información después de un suceso importante.

25 25 Informe anual de seguridad de 2014 de Cisco Inteligencia contra amenazas malintencionados diseñados para infectar las computadoras de los visitantes. En su punto máximo, el correo electrónico no deseado relacionado con el atentado de la maratón de Boston constituyó el 40% de todos los mensajes de correo electrónico no deseado enviados en todo el mundo el 17 de abril de Figura 6: se muestra una de las campañas de correo electrónico no deseado de botnet disfrazada como un mensaje de CNN. 12 Figure 7: se muestra el HTML de origen de un mensaje de correo electrónico no deseado del atentado de la maratón de Boston. El iframe final (parcialmente ilegible) es de un sitio web malintencionado. 13 Debido a que el correo electrónico no deseado sobre noticias de última hora es tan inmediato, los usuarios de correo electrónico están más propensos a creer que los mensajes de correo electrónico no deseado son legítimos. Los spammers (principales fuentes de correo no deseado) se aprovechan del deseo de las personas de obtener más información después de un suceso importante. Cuando en el correo electrónico no deseado se proporciona a los usuarios en línea lo que ellos desean, es mucho más fácil engañarlos para que realicen una acción determinada, como hacer clic en un enlace infectado. También es mucho más fácil evitar que sospechen que algo anda mal con el mensaje.

26 26 Informe anual de seguridad de 2014 de Cisco Inteligencia contra amenazas FIGURA 6 Correo electrónico no deseado de las explosiones en la maratón de Boston FIGURA 7 HTML de origen de un mensaje de correo electrónico no deseado del atentado de la maratón de Boston <iframe width="640" height="360" src=" <iframe> <iframe width="640" height="360" src=" <iframe> <iframe width="640" height="360" src=" <iframe>

27 27 Informe anual de seguridad de 2014 de Cisco Inteligencia contra amenazas Correo electrónico no deseado: números El volumen de correo electrónico no deseado global está descendiendo de acuerdo con los datos recopilados por Cisco Threat Research Analysis and Communications (TRAC)/SIO (Figura 8), aunque las tendencias varían de un país a otro (Figura 9). FIGURA 8 Volumen de correo electrónico no deseado global: 2013 Fuente: Cisco TRAC/SIO Mil millones por día Jan. Feb. Mar. Abr. Mayo Jun. Jul. Ago. Sep. Oct. Mes FIGURA 9 Tendencias de volumen: 2013 Fuente: Cisco TRAC/SIO 25 Estados Unidos Italia 20 Corea, República de España Volumen en porcentaje China 0 Jan. Feb. Mar. Abr. Mayo Jun. Jul. Ago. Sep. Oct. Mes

28 28 Informe anual de seguridad de 2014 de Cisco Inteligencia contra amenazas FIGURA 10 Temas principales para mensajes de correo electrónico no deseado en todo el mundo 1. Notificaciones de pagos/depósitos bancarios Notificaciones de depósitos, transferencias, pagos, cheque devuelto, alerta de fraude. 2. Compra de productos en línea Confirmación de pedidos de productos, solicitud de orden de compra, cotización, prueba. 3. Fotografía adjunta Fotografía maliciosa adjunta. 4. Notificaciones de envío Facturas, entrega o recolección, seguimiento. 5. Citas en línea Sitios de citas en línea. 6. Impuestos Documentos fiscales, reembolsos, informes, información de deuda, declaraciones de impuestos en línea. 7. Facebook Estado de cuenta, actualizaciones, notificaciones, software de seguridad. 8. Tarjeta de regalo o vale Alertas de diversas tiendas (Apple fue la más popular). 9. PayPal Actualización de cuenta, confirmación, notificación de pago, reclamación de pago.

29 29 Informe anual de seguridad de 2014 de Cisco Inteligencia contra amenazas Explotaciones web: Java lidera el grupo De todas las amenazas basadas en la web que debilitan la seguridad, las vulnerabilidades en el lenguaje de programación Java siguen siendo los objetivos explotados con más frecuencia por los delincuentes en línea, de acuerdo con los datos de Cisco. Las explotaciones de Java sobrepasan en gran medida las detectadas en documentos de Flash o Adobe PDF, que también son vectores populares de actividad delictiva (Figura 11). Los datos de Sourcefire, ahora parte de Cisco, también muestran que las explotaciones de Java constituyen la amplia mayoría (91%) de los indicadores de compromiso (IoC) que son supervisados por la solución FireAMP de Sourcefire para análisis y protección avanzados de malware (Figura 12). FireAMP detecta los compromisos activos en los terminales y, luego, registra el tipo de software que provocó cada compromiso. FIGURA 11 Ataques malintencionados generados a través de PDF, Flash y Java 2013 Fuente: Informes de Cisco Cloud Web Security 16% 14% 12% 10% 8% PDF Memoria flash Java 6% 4% 2% 0 Jan. Feb. Mar. Abr. Mayo Jun. Jul. Ago. Sep. Oct. Nov. Mes

30 30 Informe anual de seguridad de 2014 de Cisco Inteligencia contra amenazas Para amenazas como las explotaciones de Java, los problemas más significativos que enfrentan los profesionales de seguridad son cómo se introduce el malware en su entorno de red y dónde deberán centrar sus esfuerzos para minimizar la infección. Las acciones individuales pueden no parecer malintencionadas, pero seguir una secuencia de eventos puede arrojar luz sobre la historia del malware. Determinar la secuencia de eventos es la capacidad para dirigir un análisis retrospectivo de la información que conecta la ruta que toman los actores malintencionados para traspasar la seguridad perimetral e infiltrar la red. Por sí solos, los IoC pueden demostrar que ir a un sitio web específico es seguro. A su vez, el lanzamiento de Java puede ser una acción segura, al igual que el lanzamiento de un archivo ejecutable. Sin embargo, una organización está en riesgo si un usuario visita un sitio web con una inyección de iframe, que luego lanza Java; a continuación, Java descarga un archivo ejecutable y el archivo ejecuta acciones malintencionadas. FIGURA 12 Indicadores de compromiso, por tipo Fuente: Sourcefire (solución FireAMP) 2% Microsoft Word 3% Microsoft Excel 1% Microsoft PowerPoint 3% Adobe Reader 91% Vulnerabilidad de Java

31 31 Informe anual de seguridad de 2014 de Cisco Inteligencia contra amenazas La ubicuidad de Java lo mantiene en los primeros puestos en la lista de herramientas favoritas para los delincuentes, lo que hace que los compromisos de Java sean, con mucho, la actividad de secuencia de eventos más malintencionada en Como lo explica la página web About Java (Acerca de Java), el 97% de los equipos de escritorio empresariales ejecutan Java, al igual que el 89% de las computadoras de escritorio generales en Estados Unidos. 14 Java proporciona una superficie de ataque que es demasiado grande como para que los delincuentes la ignoren. Tienden a crear soluciones que ejecutan explotaciones en orden; por ejemplo, primero intentan violar una red o robar datos a través de la vulnerabilidad más fácil o más conocida antes de pasar a otros métodos. En algunos casos, Java es la explotación que los delincuentes eligen en primer lugar, ya que proporciona el mejor rendimiento de la inversión. Mitigación del problema de Java A pesar de que las explotaciones basadas en Java son comunes, y las vulnerabilidades son difíciles de eliminar, existen métodos para reducir su impacto: Si resulta práctico, deshabilitar Java en los navegadores de toda la red puede evitar que se lancen estas explotaciones. Las herramientas de telemetría, como Cisco NetFlow, integradas en muchas soluciones de seguridad, pueden supervisar el tráfico asociado a Java y otorgar a los profesionales de seguridad una mayor comprensión de las fuentes de amenazas. La administración integral de parches puede cerrar muchas brechas de seguridad. Las herramientas de supervisión y análisis de terminales, que continúan controlando y analizando archivos después de que ingresan en la red, pueden detectar en retrospectiva y detener las amenazas que pasaron como seguras pero luego exhibieron comportamiento malintencionado. Se puede generar una lista prioritaria de dispositivos potencialmente comprometidos mediante el uso de IoC para correlacionar inteligencia de malware (incluso eventos aparentemente benignos) y para identificar una infección de día cero sin firmas antivirus existentes. Actualizar a la última versión de Java también ayudará a evitar las vulnerabilidades. De acuerdo con la investigación de Cisco TRAC/SIO, el 90% de los clientes de Cisco usan una versión del entorno Java 7 Runtime Environment, la versión más reciente del programa. Esto es bueno desde el punto de vista de la seguridad, ya que esta versión puede ofrecer más protección contra vulnerabilidades.