Las compañías ponen el foco en los ataques sofisticados, los atacantes no
Según un estudio realizado por la compañía SafeBreach, los atacantes utilizan técnicas comunes y antiguas para robar la información, mientras que las compañías se están centrando demasiado en los ataques sofisticados.
Los ciberdelincuentes emplean técnicas ordinarias y tradicionales para robar la información, mientras que las organizaciones están poniendo su atención en los ataques sofisticados, según reza la segunda edición del informe sobre hackers realizado por SafeBreach, basado en el análisis de casi cuatro millones de métodos de detección de brechas de seguridad.
Itzik Kotler, CTO y cofundador de esta compañía, afirma que los expertos en seguridad están descifrando cómo bloquear ataques de adversarios patrocinados por el estado, persistentes y avanzados. “Pero si os fijáis en los diferentes ataques, no todos son ejecutados por Estados nación. Son realizados por script kiddies y cibercriminales”, explica.
De hecho, mientras realizaba las pruebas de penetración entre sus clientes, SafeBreach encontró que los recursos antiguos son extremadamente efectivos.
Son pocos los adversarios que están suficientemente capacitados para lanzar ataques Zero Day; la mayor parte de ellos utilizan y reutilizan técnicas corrientes.
Tal y como expone SafeBreach en su informe, los entornos corporativos brindaron muchos canales encubiertos para la exfiltración de datos, entre los que se incluyen HTTP, IRC, SIP y Syslogs.
Internet Relay Chat, por ejemplo, “no es sofisticado en absoluto”, sostiene Kotler. “Y, por lo que sabemos, no tiene valor para el negocio. Sin embargo, puede ser utilizado para iniciar una conexión fuera de una compañía y transmitir datos”.
Syslog es un servicio de envío de mensajes de registro que no suele ser examinado por los equipos de seguridad de las compañías. Por tanto, debería limitarse a determinados servidores que estén encriptados.
De forma similar, el protocolo SIP (protocolo de inicio de sesión), que se utiliza para sesiones de comunicación de voz sobre IP, se debe limitar a servidores específicos, previamente identificados.
Asimismo, el tráfico de salida de HTTP es el más común y el más fácil de aprovechar, de acuerdo con SafeBreach. Estas comunicaciones necesitan ser monitorizadas e inspeccionadas por plataformas de prevención de pérdida de datos.
Las compañías continúan sin bloquear muchos mecanismos comunes. Por ejemplo, los archivos ejecutables adjuntos tuvieron éxito en una cuarta parte de los intentos realizados.
SafeBreach recomienda que los tipos de archivos estén limitados por la política de las organizaciones o inspeccionados por firewalls de última generación.
