Vínculos Débiles son las nuevas amenazas en Seguridad según Cisco

El reporte  Cisco 2014 Midyear Security Report, emitido hoy en el Black Hat U.S. (Cisco Booth #661), examina los “vínculos débiles” en las organizaciones que contribuyen al panorama cada vez más creciente de amenazas. Estos vínculos débiles – que podrían ser software vencidos, malos códigos, propiedades digitales abandonadas, o errores de usuarios – contribuyen a la habilidad de los adversarios de explotar vulnerabilidades con métodos tales como consultas de DNS, kits de explotación, ataques de amplificación, compromiso del sistema point-of-sale (POS), malvertising, ransomware, infiltración de protocolos de cifrado, ingeniería social y spam “life event”.

El reporte también muestra que el foco en las vulnerabilidades de alto perfil más que en las de amenazas de alto impacto, comunes y sigilosas, pone a las organizaciones en riesgos mayores. Al proliferar los ataques contra aplicaciones que tradicionalmente son de bajo perfil e infraestructuras con debilidades ya conocidas, los actores maliciosos son capaces de escapar a la detección ya que los equipos de seguridad se concentran en vulnerabilidades audaces como Heartbleed.

Resultados Claves

Los investigadores examinaron de cerca 16 organizaciones multinacionales, quienes, hasta el año 2013, controlaban más de $4 millones de millones de dólares estadounidenses en bienes con ingresos  por más de $300 milmillones de dólares estadounidenses. Este análisis generó tres puntos de vista convincentes que atan  a las empresas al tráfico malicioso:

• Los ataques “Man-in-the-Browser” plantean un riesgo para las empresas: Casi el 94 por ciento de las redes de clientes observadas en el año 2014 han sido identificadas con tráfico que se deriva hacia  sitios web con  malware. Específicamente, las peticiones de DNS en donde la dirección IP que resuelve el nombre de host es reportada como asociada con la distribución de familias de malware  como Palevo, SpyEye y Zeus, que incorporan la funcionalidad man-in-the-browser (MiTB).
• Botnet hide and seek: Casi el 70 por ciento de las redes fueron identificadas con peticiones de emisión de DNS para Dynamic DNS Domains (Dominios DNS Dinámicos). Esto comprueba la evidencia de las redes mal utilizadas o comprometidas con botnets utilizando DDNS para alterar sus direcciones IP y evitar la detección/ blacklist. Pocos intentos legítimos de conexión saliente de las empresas buscan dominios  DNS dinámicos aparte de llamadas  salientes C&C que buscan disfrazar la ubicación de su botnet.
• Cifrar datos robados: Casi el 44 por ciento de las redes de los clientes observadas en el 2014 han emitido peticiones de DNS para sitios y dominios con dispositivos que entregan servicios de canal cifrados, utilizados por actores maliciosos para cubrir sus huellas exfiltrando los datos por medio de canales cifrados como VPN, SSH, SFTP, FTP y FTPS para evitar su detección

•     El número de los kits de explotación ha caído en un 87 por ciento desde que el supuesto creador del ampliamente popular Blackhole fue arrestado el año pasado, de acuerdo con investigadores de seguridad de Cisco®. Varios kits de explotación observados en la primera mitad del año 2014 estaban tratando de moverse en el territorio una vez dominado por el Blackhole, pero aún no está claro el surgimiento de un líder.

• Java continúa su dudosa distinción como el idioma de programación más explotado por actores maliciosos. Los investigadores de seguridad de Cisco descubrieron que los ataques a Java subieron un 93 por ciento en todos los indicadores de compromiso  (IOCs) desde mayo del 2014, seguido por un 91 por ciento de IOCs en noviembre de 2013 como se reportó en el  Cisco 2014 Annual Security Report.

• Repuntes inusuales en malware dentro de mercados verticales. En la primera mitad del año 2014, la industria farmacéutica y química, una vertical de grandes ganancias, una vez más se ubicó en el tercer lugar de verticales de alto riesgo para encuentros de Web malware. Los medios y las publicaciones guiaron las verticales de la industria posteando casi cuatro veces encuentros de Web malware, y la aviación tuvo el tercer lugar con más del doble de encuentros de Web malware a nivel global. Las verticales más afectadas por región fueron los medios de comunicación y la editoriales en la región de las Américas; comidas y bebidas en EMEAR (África, Europa y el Medio Oriente) y los seguros en APJC (Asia-Pacífico, China, Japón e  India).

John N. Stewart, Vicepresidente Senior, Director de Seguridad, Cisco  dijo “Muchos empresas  están innovando su futuro con el uso de Internet. Para tener éxito en este entorno rápidamente emergente, el liderazgo  ejecutivo necesita aprovechar y administrar, en términos comerciales, los riesgos cibernéticos asociados. Analizar y comprender las debilidades dentro de la cadena de seguridad está en gran parte basada en la habilidad de organizaciones individuales, y de la industria, de crear conciencia acerca de los riesgos cibernéticos en los niveles más elevados, incluyendo los Consejos Directivos —haciendo de la seguridad cibernética un proceso de negocios, no de tecnología. Al cubrir todos los ataques continuos —antes, durante y después del ataque— las organizaciones hoy deben operar soluciones de seguridad que operen en todos los lugares en donde  una amenaza pueda manifestarse.”

Acerca del Reporte

El Reporte de Seguridad de Cisco de Mitad de Año 2014 (Cisco 2014 Midyear Security Report)  examina las tendencias de inteligencia de amenazas y seguridad cibernética para la primera mitad de 2014 y fue desarrollado por expertos que son parte del ecosistema Cisco Collective Security Intelligence (CSI). Cisco CSI es compartido en múltiples soluciones de seguridad  y entrega protección de seguridad y eficacia líder en la industria. Además de investigadores de amenazas, CSI está impulsado por infraestructura de inteligencia, producto y telemetría de servicio, información pública y privada y la comunidad de open source.

El ecosistema Cisco CSI incluye al recientemente combinado grupo Talos Threat Intelligence y  Research Group, que es un equipo combinado del anterior equipo Cisco Threat Research and Communications (TRAC), el Sourcefire Vulnerability Research Team (VRT) y el grupo de Cisco Security Applications (SecApps). La experiencia de Talos abarca desarrollo de software, ingeniería reversa, priorización de vulnerabilidades ,investigación de malware y recolección de inteligencia y mantiene el conjunto de reglas oficial de Snort.org, ClamAV, SenderBase.org y SpamCop.

Recursos de Apoyo

• Acceso a todo el reporte  Cisco Midyear Security Report aquí: http://www.cisco.com/go/MSR2014
• Video: John N. Stewart on the top five takeaways from the Midyear Security Report: https://www.youtube.com/watch?v=CRDtd6MVqdU

• Únase a la conversación de seguridad en Twitter siguiendo  @CiscoSecurity. A usted le puede Gustar”  Cisco Security en Facebook en http://facebook.com/ciscosecurity

• Lea Cisco Blogs