Las ciberamenazas escalan más rápidamente que la capacidad de muchas organizaciones para identificarlas, bloquearlas y mitigarlas. La visibilidad es un imperativo en este escenario de amenazas en continua expansión, aunque según un nuevo informe publicado por CenturyLink, actuar resulta aún más esencial.
Mike Benjamin, a cargo de la división de investigación y operaciones sobre amenazas de CenturyLink, Black Lotus Labs, explica: ‘A medida que las empresas se focalizan en la innovación digital, ingresan a un mundo de amenazas y riesgos sin precedentes. Las amenazas continúan evolucionando, al igual que los actores maliciosos.’
El investigador agrega: ‘Los estados-nación bien financiados y los grupos delictivos focalizados han remplazado a los revoltosos lobos solitarios y a los atacantes menos sofisticados, motivados por la fama de las salas de chat. Afortunadamente, a través de nuestros insights contamos con la capacidad para defender nuestra red y las redes de nuestros clientes de estas amenazas en evolución.’
Estas redes de computadoras infectadas continúan teniendo éxito debido a la facilidad con la que comprometen a sus objetivos y a su capacidad de operar remotamente y de manera encubierta. Botnets tales como Necurs, Emotet y TheMoon han demostrado evoluciones tanto en complejidad como en resiliencia. Las familias de malware como Gafgyt y Mirai también constituyen una preocupación constante, toda vez que sus objetivos son los dispositivos de IoT.
A menudo se pasa por alto al Servidor de Nombre de Dominio (Domain Name Server -DNS-) como un vector potencial de ataque. Sin embargo, hemos visto un incremento de los ataques basados en DNS, tales como la tunelización de DNS.
Un ataque de tunelización de DNS puede utilizarse para codificar datos en los subdominios de una consulta o respuesta de DNS, posibilitando un acceso constante a la red para extraer datos, evitar controles de seguridad o enviar tráfico arbitrario. En un período reciente que abarcó varias semanas, Black Lotus Labs detectó un promedio diario de abuso de 250 dominios, algo que representa más de 70.000 búsquedas en cada dominio.
Los ataques de Denegación Distribuida de Servicio(DDoS) siguen causando demoras en el servicio y sacando a las empresas de circulación. Mientras observamos una progresión constante en la magnitud de los ataques, también detectamos un incremento en los ataques de ráfaga, con una duración de un minuto o menor. Durante el primer semestre del año, el Centro de Operaciones de Seguridad (SOC) de CenturyLink mitigó más de 14.000 ataques de DDoS contra los clientes. Un punto interesante para destacar es que de los primeros 100 ataques de mayor envergadura, en el primer semestre del año, el 89 por ciento fue multi-vector.
Diariamente, más de 139 mil millones de sesiones NetFlow y 771 millones de consultas DNS son ingeridas por varios modelos de aprendizaje automático de inteligencia sobre amenazas, desarrollados por Black Lotus Labs. Desde enero a junio de 2019, Black Lotus Labs:
- Monitoreó 1,2 millones de amenazas únicas diariamente, lo que representa 15 millones de hosts maliciosos diferentes.
- Validó 4.120 C2s nuevos, equivalentes a alrededor de 686 C2s mensuales.
- Rastreó 3,8 millones de amenazas exclusivas por mes. Estas amenazas se comparan con los metadatos de NetFlow y de DNS de CenturyLink para alertar a los clientes sobre compromisos potenciales.
CenturyLink toma muy seriamente su rol de ayudar a proteger la internet, incluyendo la disrupción del trabajo de los actores maliciosos y brindando insights y recomendaciones para que los defensores de las empresas puedan salvaguardar sus redes. A continuación, algunos aspectos para tener en cuenta:
- Incorpore la seguridad directamente en las capas de la red para ayudar a crear una mitigación de amenazas más ágil.
- Identifique la solución adecuada para su empresa, teniendo en cuenta dónde puede implementar controles de seguridad sólidos y dónde necesita de la asistencia de un socio externo.
- Cierre la brecha, colabore en aras de incorporar a la seguridad en cada producto y solución, de modo que la seguridad no sea algo de último momento.
- Evalúe qué aspectos componen un entorno de red confiable y practique una buena higiene cibernética.
