OpiniónSeguridad

Tendencias y predicciones de ciberseguridad para 2022

Lior Div, director ejecutivo y cofundador de Cybereason, desgrana las tendencias y predicciones en ciberseguridad para 2022.

Lior Div, director ejecutivo y cofundador de Cybereason
Lior Div, director ejecutivo y cofundador de Cybereason

El año 2021 se acerca a su fin. Es un momento en el que me gusta reflexionar sobre el año que está a punto de terminar y pensar en el potencial del nuevo año. En el mundo de la ciberseguridad en particular, el final del año trae una avalancha de predicciones sobre cómo será el panorama de las amenazas en el año que viene. Es una divertida tradición de fin de año, pero también puede proporcionar una valiosa visión de las próximas tendencias para ayudar a los defensores a estar preparados para lo que se avecina.

¿Predicciones?

Al revisar las predicciones de años anteriores y ver que algunas de las predicciones para 2022 ya están llegando a Internet, me doy cuenta de que muchas de ellas no son realmente "predicciones": son solo una lista de palabras de moda o temas que ya están ganando impulso que alguien ha reunido para "predecir" que esas cosas seguirán siendo relevantes el próximo año. Cosas como la IA o el machine learning, la computación en la nube, la brecha de habilidades de ciberseguridad y el ransomware no son realmente predicciones, sino que son descaradamente obvias. Por supuesto, esas cosas seguirán llamando la atención, pero no hace falta ser un experto en seguridad ni tener una visión especial para "predecir" eso.

Más allá de las palabras de moda

Tomando prestada una metáfora de póquer, estos temas son apuestas de mesa. Es importante tener estas cuestiones en cuenta, pero desde Cybereason consideramos que es necesario ampliar el panorama de las amenazas, por lo que estamos viendo en términos de ataques emergentes e investigación de amenazas actuales, para identificar los riesgos clave ante los que los defensores deben prepararse.

Predicciones de ciberseguridad para 2022

Teniendo esto en cuenta, aquí están los riesgos destacados para el año que viene, por encima de las palabras de moda:

RansomOps: la nueva cadena de ataques fatales

El ransomware como amenaza ya está establecido y es bien conocido. Los ataques de ransomware se producen a diario y el año 2021 ha sido testigo de múltiples eventos de este tipo que han tenido un impacto significativo. El riesgo que no recibe suficiente atención y que los defensores deben comprender es que el ransomware ha evolucionado.

Cosas como la IA o el machine learning, la computación en la nube, la brecha de habilidades de ciberseguridad y el ransomware no son realmente predicciones, sino que son descaradamente obvias

Comenzó como una variante del malware tradicional, simplemente de una forma diferente mediante la que los actores de amenazas obtienen un beneficio al pedir un rescate económico por comprometer un objetivo. Lo que vemos hoy no es tan sencillo. Ahora tenemos cárteles de ransomware -como REvil, Conti, DarkSide y otros- y el ransomware no es simplemente software malicioso, sino operaciones integrales de ransomware, o RansomOps, en las que la ejecución del propio ransomware es solo la pieza final de una cadena de ataques mucho más larga. La cuestión es que se presta demasiada atención al ejecutable del ransomware, o a cómo recuperar la información una vez que los servidores y los datos de una organización ya están cifrados. Esto es como luchar contra el terrorismo centrándose solo en el artefacto explosivo o esperar a oír la explosión para saber dónde concentrar los recursos.

Los ataques de RansomOps adoptan un enfoque bajo y lento: se infiltran en la red y dedican tiempo a moverse lateralmente y a realizar reconocimientos para identificar y extraer datos valiosos. Los actores de la amenaza pueden estar en la red durante días, o incluso semanas. Es importante entender cómo funcionan las operaciones de rescate y ser capaz de reconocer los indicadores de comportamiento de los atacantes (IOB) que permiten detectar y detener al autor de la amenaza antes del momento de "detonación", cuando los datos están realmente cifrados y se pide un rescate.

Cadena de suministro: amplificación del alcance de los ataques

Esto tampoco parece una predicción a primera vista. Los profesionales de TI están muy familiarizados con el concepto de ataque a la cadena de suministro gracias a los ataques de SolarWinds. Sin embargo, hay que tener una perspectiva más amplia del concepto de cadena de suministro. No siempre se trata de comprometer un dispositivo o una aplicación que luego se distribuye a otros en la cadena. Sería más exacto llamarlo "fruta al alcance de la mano". SolarWinds es un ejemplo de un actor de amenazas que encuentra una forma de comprometer una empresa y aprovecha ese ataque para comprometer a los clientes del objetivo inicial. Las investigaciones de Cybereason sobre DeadRinger and GhostShell son ejemplos de un enfoque diferente con un resultado similar. Los actores de la amenaza obtuvieron acceso a los proveedores de telecomunicaciones, lo que les permitió acceder y supervisar las comunicaciones de los clientes de esos proveedores. En ambos casos, el concepto es el mismo. Hay una tendencia creciente de actores de amenazas que se dan cuenta del valor de dirigirse a un proveedor de la cadena con el fin de comprometer exponencialmente más objetivos hacia abajo. En lugar de atacar a 100 o 1.000 organizaciones por separado, pueden explotar con éxito una empresa que abre la puerta a todas las demás. Es el camino de menor resistencia.

Los ataques que hemos visto han sido parte de campañas de ciberespionaje de estados-nación. Es probable que estos ataques continúen y que veamos un aumento de los ciberdelincuentes que adoptan esta estrategia. Las empresas que actúan como proveedores o suministradores deben estar más atentas, y todas las organizaciones deben ser conscientes del riesgo potencial que suponen las empresas en las que confían.

Vivir con el riesgo de Microsoft

La verdad es que, de una forma u otra, los productos de Microsoft están directamente implicados en la gran mayoría de los ciberataques. Los actores de las amenazas invierten su tiempo y esfuerzo en identificar vulnerabilidades y desarrollar ataques específicos para las plataformas y aplicaciones que utilizan sus víctimas potenciales. Microsoft tiene un papel dominante en los sistemas operativos, las plataformas en la nube y las aplicaciones que hacen que tenga una presencia muy generalizada. Al desarrollar un software plagado de vulnerabilidades y no aceptar siempre la responsabilidad ni actuar para solucionar los problemas, Microsoft tiene cierta responsabilidad. Sin embargo, no siempre se trata de explotar las vulnerabilidades. Google analizó 80 millones de muestras de ransomware y determinó que el 95% eran ejecutables o DLL basados en Windows. Sólo un 5% de las muestras utilizaban realmente exploits, pero la mayoría de ellos se dirigían también a Windows.

Los defensores deben entender el riesgo de confiar en Microsoft para que les ofrezca protección cuando desde Microsoft ni siquiera pueden protegerse a sí mismos

Para colmo de males, Microsoft sigue coaccionando a los clientes para que utilicen sus propias ofertas de ciberseguridad inferiores a través de su modelo de licencia E5. Están vendiendo a los clientes productos y servicios que los hacen vulnerables, y luego exigen más dinero para proporcionar una protección inadecuada para tratar de defender esos productos y servicios.

Por todo esto, Microsoft seguirá siendo el principal objetivo de los ciberataques en 2022. Esto no es realmente una revelación. Los defensores deben entender el riesgo de confiar en Microsoft para que les ofrezca protección cuando desde Microsoft ni siquiera pueden protegerse a sí mismos. Las organizaciones que dependen de Microsoft para la seguridad se encontrarán en los titulares por las razones equivocadas. No estoy sugiriendo que las organizaciones no utilicen productos o servicios de Microsoft, pero es importante entender los riesgos y tener un enfoque en capas para defender esos productos y servicios contra los ataques

La ciberseguridad es seguridad nacional

Ya no existe una línea divisoria entre la seguridad nacional y la ciberseguridad. A veces, un Estado-nación adversario ataca a una empresa privada como parte de una campaña más amplia. Rusia lo hizo con SolarWinds. China lo hizo con HAFNIUM. Irán lo hizo con GhostShell. A veces, los ciberdelincuentes lanzan ataques con implicaciones para la seguridad nacional. El flujo de petróleo y la cadena de suministro de alimentos se vieron seriamente interrumpidos en 2021 por ataques de ransomware.

Lo que debemos tener en cuenta en 2022 es la creciente cooperación y colaboración entre estos actores de amenazas. Los Estados-nación no controlan directamente muchas de estas operaciones, pero una combinación de ataques no perseguidos por el Estado, tolerados por el Estado o ignorados por el Estado crean un entorno en el que no actuar equivale a una aprobación tácita e indica que, aunque no estén colaborando activamente, sus objetivos suelen estar alineados.

Los gobiernos deben seguir trabajando para mejorar su ciberdefensa, así como coordinar sus esfuerzos con las empresas tecnológicas y de ciberseguridad del sector privado, y con los países aliados de todo el mundo, para hacer frente a la Guerra Fría Cibernética, protegerse eficazmente contra las amenazas y trabajar juntos para llevar a los actores de las amenazas ante la justicia.

XDR: mejorar la protección con IA

Con el cambio a los modelos de trabajo desde casa o híbridos, el despliegue de la tecnología inalámbrica 5G y la explosión de los dispositivos de IoT (Internet de las cosas), prácticamente todo está conectado hoy en día. Esta conectividad proporciona una serie de beneficios en términos de productividad y comodidad, pero también expone a las organizaciones a un riesgo significativo que hace que los sistemas de detección y respuesta ampliada (XDR) sean cruciales.

La cuestión es: "¿Qué es XDR?". Muchos proveedores tienen una oferta que llaman XDR, pero no todas las ofertas de XDR son iguales. Existe un acuerdo casi universal de que la XDR es lo próximo, pero la definición de lo que es la XDR y la mejor manera de conseguirla sigue siendo objeto de debate. El sector alcanzará cierto consenso en 2022 y surgirán líderes cuando se asiente el polvo en el mercado de la XDR. Independientemente de cómo definamos la XDR, el alcance y el volumen de las amenazas exigen que la inteligencia artificial (IA) desempeñe un papel fundamental para hacerla efectiva.

 

Estar preparados para 2022

Mientras es tiempo para reunirse con la familia y los amigos en las fiestas de Navidad, o simplemente desconectar del trabajo y recargar las pilas, hay que confiar en que estas ideas vayan calando y ayuden a las organizaciones a prepararse más eficazmente para los retos de ciberseguridad a los que se enfrentarán en 2022. El panorama de las amenazas cambia constantemente, sin embargo, entender cómo piensan los autores de las amenazas y tener una visión clara de las tendencias emergentes permite adelantarse a las amenazas y defenderse con mayor eficacia.

Computing 816