El nuevo reporte de 2017 sobre Investigacion de Brechas de datos de Verizon (DBIR) muestra que no siempre es la mas nueva y sofisticada amenaza por la que tenemos que preocuparnos.
Entre los muchos aspectos clave en la edición de 2017 del Informe anual de investigaciones sobre violaciones de datos (DBIR, por sus siglas en inglés) de Verizon, publicado el pasado jueves, es que existen diferencias significativas en el porqué y cómo se atacan las organizaciones de diferentes industrias.
Los datos que Verizon recopiló de incidentes de seguridad y violaciones de datos investigados en 2016 mostraron, por ejemplo, que las compañías financieras y de seguros sufrieron cerca de seis veces más brechas (364) derivadas de ataques a aplicaciones web que las organizaciones del sector de servicios de información (61).
Del mismo modo, el conjunto de datos de Verizon demostró que las organizaciones de salud sufrieron cerca de 13 veces más brechas que involucraban el uso indebido de privilegios en 2016 en comparación con las compañías manufactureras, 104 brechas a 8.
Las brechas en el punto de venta afectaron mas a las organizaciones del sector de alojamiento y servicios de alimentacion de manera desproporcionada en comparación del retail. Las empresas manufactureras -y de manera sorprendente- las instituciones educativas fueron los principales objetivos en campañas de espionaje cibernético.
EL OBJETIVO ES ENTENDER QUE AMENAZA A CADA SECTOR
Los datos proporcionan evidencia adicional de que las organizaciones pueden beneficiarse de tener una mejor comprensión de las amenazas que son específicas a sus industrias y sectores, dice Gabriel Bassett, científico de datos de información senior con Verizon.
"Es el tipo de cosas que asumirías, pero no se piensa lo suficiente en la industria ", dice. "Si usted es parte de una empresa financiera, ¿está dando la mayor importancia a las botnets? ¿O lo esta haciendo a las terminales punto de venta? Si usted está en el sector educativo, ¿se ha dado cuenta de la forma incremental en que ha subido el espionaje en su sector?", dice Bassett.
LoS datos de brechas muestran que cada organización debe mitigar sus propios riesgos, dijo. "Es muy fácil ver los ataques más recientes. Pero si no es uno de sus riesgos, necesita priorizar lo importante y aplicar los controles y mitigaciones apropiados" dice Bassett.
EL ESPIONAJE CIBERNÉTICO COBRA RELEVANCIA
El informe destaca algunas otras tendencias también. Los datos del año pasado, por ejemplo, mostraron que el espionaje cibernético ha surgido como una gran amenaza para las empresas manufactureras y entidades del sector público, y también para los institutos educativos en un grado menor pero significativo.
En total, Verizon investigó 115 incidentes que involucraron el espionaje cibernético en empresas manufactureras, 108 de las cuales resultaron en una exfiltración de datos. El número total de brechas en organizaciones del sector público e instituciones educativas donde el motivo principal fue espionaje cibernético fue de 98 y 19 respectivamente. Gran parte del interés en estos sectores se deriva a que poseen datos de investigación, prototipos e información con derechos de propiedad intelectual los cuales son muy atractivos para el cibercrimen señala el informe.
Las campañas de espionaje cibernético tienden a ser dirigidas, sigilosas y persistentes, ya que el esfuerzo consiste en robar el mayor número posible de datos, dice Brian Vecci, evangelista técnico de Varonis Systems. "Los criminales seguirán la cadena de ataque una vez que logren comprometer una cuenta, lo que incluye acceder a los datos disponibles, elevar sus privilegios para acceder a más información y luego ocultar sus huellas", dice.
Las empresas a menudo hacen que sea más fácil para esos atacantes, dice Vecci. Señaló un reciente informe de riesgo de datos que Varonis publicó, que mostró que el 47% de las organizaciones tenían 1.000 o más archivos que contienen información confidencial abierta a todos los empleados en un momento dado. "Eso está haciendo bastante fácil para el cibercrimen robar información".
Mientras que las organizaciones en los sectores objetivo deben prestar atención a la propia tendencia del espionaje cibernético, las mitigaciones contra la amenaza no son muy diferentes, señala Bassett.
"El espionaje es una de esas cosas en las que se siente que necesitamos hacer algo diferente porque suena como si fuera un super hacker cibernético de élite el que nos está atacando", dice.
En realidad, los métodos reales que los atacantes utilizan para obtener los datos buscados son similares a las tácticas utilizadas en ataques con motivaciones financieras y de otro tipo.
Por ejemplo, las tres acciones más comunes utilizadas por los atacantes para dirigirse a las organizaciones en los sectores manufacturero, público y educativo fueron hacking, ingeniería social y malware. Estas fueron las mismas tácticas que se utilizaron más comúnmente en los ataques contra organizaciones en casi todos los demás sectores en el estudio de Verizon.
"Lo importante en el espionaje es el motivo, el "por qué" que conduce a lo "qué" es robado ", dice Bassett. "Pero no es el "cómo" lo relevante ya que el "cómo" se mantiene muy consistente en todas las industrias".
El informe de Verizon también mostró que por un año más, el phishing, malware vía correo electrónico y el mal uso de credenciales, estaban entre los métodos más utilizados por los atacantes para intentar obtener acceso a redes y sistemas. Los ataques distribuidos de denegación de servicio son otro problema importante, especialmente para las organizaciones dependientes de la web, como las del sector del entretenimiento, servicios profesionales, financieros e información.
Verizon respondió a un total de 11.246 incidentes de denegación de servicio el año pasado. Sin embargo, sólo 5 de ellos en todos los sectores dio lugar a la divulgación de datos reales.
APLICACIONES WEB UN TEMA DE PRIORIDAD
Los incidentes sobre aplicaciones web aumentaron el año pasado también en comparación con 2015, pero el número real de infracciones resultantes de estos incidentes fue menor. Una gran mayoría de los ataques de aplicaciones web implicaron el uso de botnets, especialmente Dridex. Las credenciales robadas, los ataques de inyección de SQL y los ataques de fuerza bruta eran algunas de las tácticas más utilizadas en los ataques de aplicaciones web.
"En comparación con los servicios de red, las aplicaciones web tienden a ser mucho más vulnerables", dice Ilia Kolochenko, CEO de High-Tech Bridge. "Las aplicaciones Web a menudo se desarrollan internamente y acumulan decenas de vulnerabilidades y debilidades debido a fallas, o simplemente falta, del SDLC (secure development life cicle) y pruebas de seguridad insuficientes", dice.
Muchas organizaciones siguen subestimando significativamente la importancia de la seguridad de las aplicaciones web y las perciben como simplemente una interfaz web para su organización. "Sin embargo, como el estudio de Verizon muestra el vector de ataque principal es aplicaciones inseguras."
Evalua tu actual estrategia de seguridad a través de nuestro análisis gratuito, da click en la imagen y conócelo.
Si tienes algún comentario o requerimiento adicional puedes contactarme en mi dirección de correo electrónico: mtorres@smartekh.com
*Jai Vijayan/DarkReading/2017 - La imágen utilizada y logo pertence a Verizon Inc. todos los derechos reservados