Orientación para tu organización con el Reporte de amenazas globales de Elastic 2024

El reporte de 2024 mostró que el 54 % del malware estaba vinculado a herramientas de seguridad ofensiva (OST), herramientas que se utilizan para probar e identificar fallas en los entornos. Estas herramientas son creadas por personas y grupos orientados a la defensa, algunos de los cuales tienen presupuestos para investigación y desarrollo. Los actores de amenazas se sienten atraídos por estas herramientas por la facilidad y eficiencia que ofrecen al ejecutar sus objetivos.  

Mi opinión: Cobalt Strike ha sido el malware más prevalente en los últimos años y los actores de amenazas se quedan con él. Si estás preparado para ello, estarás bien. 

¿Cómo puedo abordar esto con mi organización?
Preocupación: no deberíamos usar OST porque los actores de amenazas abusan de ellas. 

Refutación: Usar un OST en tu entorno no aumentará el riesgo de este tipo de ataque. Los OST proporcionan detalles importantes del entorno de seguridad y pueden ser herramientas poderosas para simulaciones como red teaming o pruebas de penetración. Podemos prepararnos para estas amenazas potenciales manteniendo nuestras defensas actualizadas.

Nuestros investigadores descubrieron que muchos entornos en la nube están mal configurados. El reporte presenta un desglose claro de los problemas por proveedor de servicios en la nube (PSC) y revela algunos errores de configuración bastante graves, como las cuentas de almacenamiento y la autenticación multifactor (MFA).

Mi opinión: los proveedores de la nube deben lograr un equilibrio entre la usabilidad y la seguridad al considerar las políticas predeterminadas y, al mismo tiempo, garantizar que el entorno de la nube proporcione el costo y el rendimiento óptimos. Intenta identificar el punto medio entre lo que tu equipo puede gestionar y lo que debes priorizar según la evaluación comparativa y los reportes del sector. 

¿Cómo puedo abordar esto con mi organización?
Preocupación: ¿cómo podemos asegurarnos de usar las mejores prácticas de seguridad y minimizar el riesgo dentro de nuestro entorno en la nube?

Refutación: aunque podemos animar a los CSP a que proporcionen más seguridad por defecto, la evaluación comparativa de los CSP está diseñada para ayudar con la complejidad de la seguridad en la nube. Identifica cuál es el punto de referencia del CIS y esboza un plan para aumentarlo.

Dentro de los endpoints, la evasión de defensa representó casi el 38 % de todas las tácticas. La distribución general de alertas destacó un crecimiento de las técnicas de inyección de procesos, que representaron el 53 % de todas las alertas de evasión de Windows Defender. 

Mi opinión: el creciente énfasis en la inyección de procesos tiene sentido porque las tecnologías defensivas mejoraron para combatir la técnica que tenía la mayoría anteriormente, por lo que los atacantes se ven obligados a cambiar a un enfoque diferente.

¿Cómo puedo abordar esto con mi organización?
Preocupación: debemos centrarnos en ajustar nuestro entorno para los ataques de inyección de procesos. 

Refutación: aunque es más frecuente, el aumento de estas técnicas no significa que los atacantes no usarán otros tipos de ataques. Los equipos de seguridad deben ser cautelosos y seguir ajustando su entorno para detectar amenazas de todo tipo.

El acceso a credenciales es la principal táctica adversaria utilizada en entornos en la nube, ya que representa el 23 % de todas las alertas y se ve reforzada por el aumento de los ladrones de información. 

Mi opinión: la fuga de credenciales y la manipulación de cuentas siguen siendo las principales técnicas en la nube, lo que significa que lo básico sigue siendo fundamental. Implementar el principio de privilegio mínimo y una autenticación fuerte marcará una gran diferencia. La mejor manera de reducir el riesgo de exposición de credenciales es una combinación de prevención y monitoreo: los equipos de seguridad deben comprender su inventario de secretos y credenciales y dónde se utilizan.

¿Cómo puedo abordar esto con mi organización?
Preocupación: las credenciales son, en su mayoría, filtradas por los usuarios. 

Refutación: las credenciales son un activo crítico y deben tratarse como tal: la capacitación en seguridad no servirá de mucho. Implementar el privilegio mínimo y la autenticación multifactor (MFA) resistente al phishing junto con los proveedores de identidad (IdP) puede reducir la exposición. Las organizaciones pueden reforzar aún más su entorno con análisis de comportamiento de usuarios y entidades (UEBA) y análisis centrados en la autenticación para monitorear los valores atípicos.

Es un tema candente, pero Elastic Security Labs no observó un aumento masivo de los ataques impulsados por IA este año, solo un ligero aumento del volumen de ataques. 

Mi opinión: mi equipo se ha beneficiado de las innovadoras capacidades de la IA generativa (IA gen) de Elastic. Usamos con frecuencia las reglas de detección basadas en el machine learning y la detección de ataques, que aumentaron nuestra capacidad para automatizar los flujos de trabajo de seguridad y, al mismo tiempo, nos brindan tranquilidad a mí y a mi equipo. 

¿Cómo puedo abordar esto con mi organización?
Preocupación: la IA gen beneficia a los atacantes. 

Refutación: la IA gen ha tenido un impacto positivo ampliamente observado en los defensores al abordar las amenazas con análisis avanzados y brindar orientación de IA rápida y confiable.

Como profesionales de la seguridad, debemos mantenernos actualizados sobre el panorama de las amenazas. Leer el Reporte de amenazas globales de Elastic 2024 proporcionará mucha información importante para ti y para tus equipos de InfoSec. 

La lectura de este reporte no solo arroja luz sobre las tendencias emergentes, sino que también nos prepara con los conocimientos necesarios para tomar decisiones informadas sobre nuestras estrategias de seguridad. Únete a nuestros investigadores para un análisis más profundo de esta información en el próximo webinar, Revelar el panorama de las amenazas.