F5 Labs publicó recientemente nuestro Informe anual sobre protección de aplicação . La edición de 2022 lleva como subtítulo “En espera de exfiltración”, lo que refleja el valor perdurable de los datos robados para los atacantes, ya sea que los utilicen para fraudes o para pedir rescates. El informe sintetiza datos de varias fuentes dispares para comprender la evolución del panorama de amenazas a lo largo del tiempo, la relación entre las características de las organizaciones y las técnicas de ataque que enfrentan y, lo más importante, qué pueden hacer los profesionales de la seguridad para mitigar los riesgos.
Gran parte de la atención del informe se centra en el continuo crecimiento del ransomware , y con razón: en 2021, las técnicas de ransomware estuvieron presentes en el 42 % de los ataques a aplicação que provocaron violaciones de datos en Estados Unidos. Sin embargo, el enfoque en el ransomware no debería ocultar el riesgo del malware sin cifrado, que también creció drásticamente y tendió a resultar en la exfiltración de datos sin cifrado. En general, los ataques de malware de cualquier tipo figuraron en más del 30% de todos los ataques en 2021 que provocaron violaciones de datos en EE. UU.
Hablando de exfiltración de datos, elegimos el subtítulo del informe cuando descubrimos que la exfiltración se volvió dramáticamente más común en 2021. Cuatro de cada cinco ataques a aplicação que provocaron violaciones de datos en EE. UU. utilizaron la exfiltración como táctica, incluidos ataques de Magecart , campañas de ataques web adicionales, ataques de ransomware y otros tipos de infecciones de malware. Dado el crecimiento explosivo del ransomware en 2020 y la apariencia a principios de 2021 de que el rescate estaba superando al fraude como forma de beneficiarse de los ciberataques, este hallazgo nos sorprendió e indica que el fraude seguirá compitiendo con el rescate como estrategia de monetización.
También descubrimos que los exploits web parecían desempeñar un papel menor en las violaciones de datos, aunque esta no es toda la historia: si bien la proporción de violaciones impulsadas por exploits web disminuyó, los exploits web que se informaron fueron casi todos del tipo conocido como ataques de formjacking , de los cuales Magecart es el ejemplo más conocido. Si bien los ataques web parecen volverse menos comunes, se están centrando cada vez más en cadenas de ataques comparativamente fáciles y de bajo contacto que obtienen números de tarjetas de pago a gran escala. Esta tendencia refleja el valor perdurable que tienen los números de tarjetas de pago en comparación con otros tipos de datos menos fungibles, especialmente si se considera que los minoristas y otros objetivos de comercio electrónico del formjacking también tienden a ser las víctimas menos frecuentes del ransomware.
Además, si bien las campañas sofisticadas de actores patrocinados por el Estado tienden a no aparecer en nuestras fuentes, algunos ataques avanzados conocidos en nuestro conjunto de datos hicieron un uso inteligente de exploits web para perpetrar ataques de precisión contra organizaciones, lo que refleja que los números más grandes no siempre capturan el riesgo que más importa. Si bien los exploits web ya no son la táctica preferida como lo fueron hace unos años, la gestión de vulnerabilidades y la protección contra exploits siguen siendo enormemente importantes para la defensa.
El informe también examina el estado de la seguridad en la nube y descubre que las relaciones entre terceros y cuartas partes en la nube tienden a hacer que el riesgo se manifieste de formas inesperadas y que las configuraciones incorrectas del control de acceso tienen significativamente más probabilidades de producir una exposición de datos que la actividad maliciosa.
Las mitigaciones recomendadas en el informe están ordenadas de diversas maneras dependiendo de las prioridades operativas de las diferentes organizaciones, pero los objetivos de control tales como respaldo de datos, segmentación de red y varias formas de endurecimiento ambiental tendían a encabezar la lista sin importar cómo se ordenaran. El informe también presenta el mismo enfoque de análisis y visualización de la cadena de ataque utilizando el marco MITRE ATT&CK® que el equipo estrenó en el informe de 2021.
Nos complace compartir que un investigador principal del Informe de protección de aplicação presentará su investigación en la Conferencia RSA en San Francisco. Además de explorar estas tendencias con mayor detalle, cubriremos una amplia gama de comportamientos de ataque menos destacados pero no menos interesantes. No faltan trabajos increíbles en RSA, pero si las tendencias en la selección de objetivos por parte de los atacantes le resultan útiles, considere visitar Moscone South 208 a la 1:15 p. m. Pacífico el miércoles 8 de junio. Más información disponible aquí . Y si no puedes viajar a San Francisco pero quieres más detalles o analizar los datos con más profundidad, dirígete a F5 Labs .