El Reporte de amenazas globales de Elastic 2024: previsiones y recomendaciones
.jpg)
Share on TwitterComparte en Twitter
Share on LinkedInComparte en LinkedIn
Share on FacebookComparte en Facebook
Share by EmailComparte por correo electrónico
Print this pageImprime
Ayer, Elastic Security Labs publicó el Reporte de amenazas globales de Elastic 2024, una mirada integral a más de mil millones de puntos de datos de la telemetría única de Elastic. El reporte proporciona información sobre los métodos, las técnicas y las tendencias de los actores de amenazas desde la perspectiva de los defensores, lo que proporciona información crucial para que priorizar y mejorar su postura de seguridad.
Las observaciones de este reporte se basan en telemetría anónima y clasificada de Elastic, así como en datos públicos y de terceros que se enviaron voluntariamente. La telemetría fue revisada de forma exhaustiva por nuestros expertos en Elastic Security Labs y se convirtió en información procesable para nuestros clientes, socios y la comunidad de la seguridad en general.
Aspectos destacados de las previsiones y recomendaciones
Este año, Elastic Security Labs observó la evolución de los actores de amenazas, incluido un aumento en los ataques de acceso a credenciales y la manipulación continua de herramientas de seguridad ofensiva. Estas son algunas de las principales previsiones y recomendaciones del reporte.
Los brokers de acceso y el ecosistema de los ladrones de información aumentarán el impacto de las credenciales expuestas
Durante varios incidentes de alto perfil este año, los investigadores observaron que los adversarios usaban credenciales robadas procedentes del entorno de la víctima. En la mayoría de esos casos, el entorno también contenía evidencia de ladrones de información anteriores o artefactos de puertas traseras. Puede ser muy difícil determinar qué credenciales se han visto comprometidas después de que haya pasado cierto tiempo.
Recomendación: rota las credenciales de las cuentas expuestas e invierte en flujos de trabajo de respuesta para restablecer las cuentas. El análisis del comportamiento de usuarios y entidades (UEBA) es una clase de tecnología que puede ayudar a identificar cuentas comprometidas, y el monitoreo de las cuentas utilizadas en los ataques de fuerza bruta (significativamente común en entornos basados en la nube) puede ayudar en los casos en que las pruebas se reubicaron o eliminaron.
La telemetría descubrió que los equipos de seguridad son demasiado permisivos con los recursos del proveedor de servicios en la nube (CSP), lo que aumenta el riesgo de exposición futura de datos
Observamos que la configuración de la postura de seguridad en la nube se configuraba incorrectamente de forma consistente en todos los hiperescaladores. De una forma u otra, los usuarios configuraron incorrectamente las mismas capacidades de todos los CSP:
Las políticas de acceso permisivas permitieron inicios de sesión desde cualquier lugar.
Las políticas de almacenamiento permisivas permitieron operaciones de archivos desde cuentas de todo tipo.
Políticas de manejo de datos relajadas o cifrado débil
Las empresas que equilibran la usabilidad y la sobrecarga de asegurar los recursos críticos pueden tener dificultades para priorizar una postura agresiva o priorizarla de manera consistente. En muchos casos, las auditorías y la orientación se entienden bien y están disponibles sin costo alguno.
Recomendación: los equipos de seguridad deberían considerar usar el proceso de referencia del Centro para la Seguridad de Internet (CIS) para identificar qué configuraciones de su entorno necesitan más atención. Una vez que los puntajes de postura del CIS alcancen 100, asegúrate de que el equipo de InfoSec esté bien capacitado en las técnicas de intrusión basadas en la nube más comunes. El monitoreo desde este estado de referencia debería ayudar a mejorar la velocidad de detección de amenazas y, al mismo tiempo, fortalecer el entorno contra futuras amenazas.
Los adversarios triplicarán la evasión de defensa, especialmente las técnicas que obstaculizan la visibilidad del sensor
Las señales de evasión de defensa más comunes se observaron en los sistemas Windows y, generalmente involucraron un trío de técnicas: inyección de procesos, ejecución de proxy de binarios del sistema y deterioro de defensas. En conjunto, estas técnicas se pueden usar para obtener un punto de apoyo inicial con privilegios suficientes para manipular o cegar la instrumentación antes de que los datos puedan enviarse a un repositorio de datos.
Recomendación: no existe una solución única para esta metodología compleja, pero los equipos de seguridad deben monitorear los cambios en la visibilidad de los endpoints, los proxies binarios incorporados y los indicadores de inyección de procesos. Sin embargo, no se puede realizar un monitoreo eficaz sin desplegar agentes interactivos en los endpoints antes del descubrimiento de la actividad de amenazas, lo que no será efectivo si están mal configurados. Los investigadores observaron con frecuencia empresas en las que los administradores no habilitaron las mitigaciones con licencia, lo que generaba resultados no deseados.
Mantenerse a la vanguardia de los atacantes con el Reporte de amenazas globales de Elastic 2024
Estas previsiones proporcionan solo una breve muestra de las amenazas, los atacantes y las defensas que esperamos que estén en juego en el próximo año. Para ver las otras previsiones y una descripción detallada del panorama de seguridad, puedes acceder al Reporte de amenazas globales de Elastic 2024 completo.
El lanzamiento y el momento de cualquier característica o funcionalidad descrita en esta publicación quedan a discreción exclusiva de Elastic. Es posible que cualquier característica o funcionalidad que no esté disponible en este momento no se lance a tiempo o no se lance en absoluto.
Comparte
- Share on Twitter
Comparte en Twitter
- Share on LinkedIn
Comparte en LinkedIn
- Share on Facebook
Comparte en Facebook
- Share by Email
Comparte por correo electrónico
- Print this page
Imprime
