Inteligencia de amenazas

1035

Encuesta de McAfee a 500 profesionales de ciberseguridad mide adopción y valor percibido de intercambio de inteligencia de ciberamenazas en ciberseguridad de empresas; nuevo ransomware se eleva 26% en cuarto trimestre.

Intel Security dio a conocer su Informe de Amenazas de McAfee Labs: marzo de 2015, que evalúa las actitudes de profesionales de ciberseguridad en relación a intercambiar inteligencia de ciberamenazas (CTI, por sus siglas en inglés), examina el funcionamiento interno de la herramienta de administración remota (RAT, por sus siglas en inglés), y detalla los aumentos de ransomware, malware, móvil y malware en general durante el 4to trimestre de 2015.

En 2015, Intel Security entrevistó a 500 profesionales de la seguridad en una amplia variedad de industrias a lo largo de Norteamérica, Asia Pacífico y Europa, para medir el conocimiento de la CTI, su valor percibido en la seguridad de las industrias, y qué factores pueden interponerse en el camino de una mayor aplicación de la CTI en las estrategias de seguridad. Los encuestados proporcionaron una valiosa ilustración del estado actual y las oportunidades potenciales de la CTI en la empresa:

Percepción de valor y adopción. Del 42% de los encuestados que informaron compartir inteligencia de amenazas, el 97% creen que les permite proporcionar una mejor protección para su compañía. De los participantes encuestados, al 59% le parece que dicho intercambio es "muy valioso" para sus organizaciones, mientras que al 38% le parece que el intercambio es "de alguna manera valioso".

Publicidad

Inteligencia específica de la industria. El 91% de los encuestados, expresaron interés en inteligencia de ciberamenazas específica de la industria, y 54% respondió que está "muy interesado", y un 37% respondieron que estaban "de alguna manera interesados". Los sectores como los servicios financieros e infraestructura crítica podrían beneficiarse más de esta CTI específica de la industria.

Disposición de compartir. 63% de los encuestados indica que puede estar dispuesto a ir más allá de simplemente recibir CTI compartida, para contribuir realmente con sus propios datos, siempre que puedan ser compartidos dentro de una plataforma segura y privada. Sin embargo, la idea de compartir su propia información es aceptada con diversos grados de entusiasmo, siendo que el 24% respondió que es "muy probable" que la compartan, mientras que el 39% dijo que "de alguna manera es probable" que la comparta.

Tipos de datos a compartir. Cuando se les preguntó qué tipos de datos de amenazas están dispuestos a compartir, los encuestados dijeron comportamiento de malware (72%), seguido por reputaciones de URL (58%), reputaciones de direcciones IP externas (54%), reputaciones de certificados (43%), y reputaciones de archivos (37%).

Barreras a la CTI. Cuando se le preguntó por qué no habían implementado CTI compartida en sus empresas, el 54% de los encuestados identificó a las políticas corporativas como el motivo, seguidas por normatividades de la industria (24%). El resto de los encuestados, cuyas organizaciones no comparten datos, informa que están interesado, pero necesita más información (24%), o está preocupado de que los datos, compartidos sean enlazados de regreso a su firma o a él mismo como individuo (21%). Estos descubrimientos sugieren una falta de experiencia con, o conocimiento de, las variedades de opciones de integración CTI disponibles para la industria, así como una falta de comprensión de las implicaciones legales de compartir CTI.

"Dada la determinación demostrada por los ciberdelincuentes, el intercambio de CTI se convertirá en una herramienta importante para inclinar la balanza de ciberseguridad a favor de los defensores. Pero nuestra encuesta sugiere que la CTI de alto valor debe superar las barreras de las políticas organizativas, restricciones reglamentarias, riesgos asociados con la atribución, confianza y falta de conocimientos de implementación antes de que su potencial pueda aprovecharse plenamente", señaló Vincent Weafer, vicepresidente del Grupo McAfee Labs de Intel Security.

El informe de este trimestre también evalúa la herramienta de administración remota (RAT) Adwind, un troyano de puerta trasera basado en Java que ataca a diversas plataformas que dan soporte a archivos Java. Adwind normalmente se propaga a través de campañas de spam que emplean archivos adjuntos de correo eletrónico cargados de malware, páginas web riesgosas y descargas desapercibidas. El informe de McAfee Labs muestra un rápido incremento en el número de muestras de archivos .jar identificadas por los investigadores de McAfee Labs como Adwind, con 7.295 en el cuarto trimestre de 2015, un salto del 426 5 a partir de 1388 en el primer trimestre de 2015.

Estadísticas de Amenazas del cuarto trimestre de 2015

El ransomware se acelera de nuevo. Después de una leve desaceleración a mediados del año, el nuevo ransomware recuperó su rápido ritmo de crecimiento, con un 26% de aumento en comparación con el trimestre del año anterior en el cuarto trimestre de 2015. El código de ransomware de código abierto y el ransomware-como-unservicio continúan facilitando el lanzar ataques, las campañas Teslacrypt y CryptoWall 3 continúan expandiendo su alcance, y las campañas de ransomware continúan siendo lucrativas financieramente. Un análisis de octubre de 2015 del ransomware CryptoWall 3 dio una pista de las dimensiones financieras de dichas campañas, cuando los investigadores de McAfee Labs vincularon sólo una de las operaciones de la campaña a $325 millones de dólares en pagos de rescate.

Salto en malware móvil. Durante el cuarto trimestre de 2015 se registró un incremento con respecto al trimestre del año anterior del 72% con nuevas muestras de malware móvil, ya que los autores de malware parecen haber producido un nuevo malware más rápido.

El malware rootkit se derrumba. El número de nuevas muestras de malware rootkit disminuyó bruscamente en el cuarto trimestre, continuando una tendencia descendente a largo plazo en este tipo de ataque. McAfee Labs atribuye dicha disminución, que comenzó en el tercer trimestre de 2011, a la adopción actual de los clientes de los procesadores Intel de 64 bits junto con la versión de 64 bits de Microsoft Windows. Estas tecnologías incluyen funcionalidades como Kernel Patch Protection y Secure Boot, que ayudan a proteger mejor contra amenazas como el malware rootkit.

El malware se restablece. Después de tres trimestres de disminución, el número total de nuevas muestras de malware reanudó su ascenso en el cuarto trimestre, con 42 millones de nuevos hashes maliciosos descubiertos, 10% más que en el tercer trimestre y el segundo número más elevado jamás registrado por McAfee Labs. En parte, el crecimiento en el cuarto trimestre fue impulsado por 2,3 millones de nuevas muestras de malware móvil, o 1 millón más que en el tercer trimestre.

Archivos binarios firmados maliciosos disminuyen. El número de nuevos archivos binarios firmados maliciosos disminuyó cada trimestre durante el pasado año, en el cuarto trimestre de 2015 alcanzó el nivel más bajo desde el segundo trimestre de 2013. McAfee Labs cree que la disminución puede atribuirse en parte a que los certificados más viejos, con presencia significativa en el mercado negro, están caducando o siendo revocados conforme las empresas migran hacia funciones de hashing más robustas.

Además, las tecnologías como Smart Screen (parte de Microsoft Internet Explorer pero que se traslada hacia otras partes de Windows) representan pruebas de confianza adicionales que pueden hacer que la firma de binarios maliciosos sea menos benéfica para los autores de malware.

 

DEJA UNA RESPUESTA

Por favor introduce tu comentario
Por favor introduce tus comentarios