Llegamos a ustedes gracias a:



Noticias

FireEye: 97% de empresas han sido atacadas al menos una vez

[01/07/2014] FireEye presentó su estudio denominado Línea Maginot de Ciberseguridad, una evaluación del mundo real del modelo de defensa en profundidad que examina datos en tiempo real generados automáticamente por 1.614 appliances en prueba de valor (PoV) entre 1.217 organizaciones en el mundo entre octubre 2013 y marzo 2014.

Entre las conclusiones más resaltantes del estudio, quedó claro que casi todas (97%) las organizaciones han sido infringidas, lo que significa que por lo menos un atacante ha vulnerado todas las capas de la arquitectura de defensa en profundidad. Asimismo, más de una cuarta parte (27%) experimentaron fuertes ataques a través de herramientas y tácticas usualmente usadas por los generadores de amenazas persistentes avanzadas (APT).

Ante esto, FireEye recomendó a las empresas -entre otras medidas- reducir capas de defensa en profundidad basadas en firma que no atrapan amenazas y crean ruidos extra. Además, de reinvertir aquellos recursos en soluciones de seguridad basadas en Virtual Machine (VM) que proporcionen una cobertura total de ataques de alta calidad, alertas adecuadas.

Basados en el mundo real de la información, muchas organizaciones pueden eliminar sus sistemas de prevención de intrusos (IPS) y herramientas de prevención de pérdida de datos (DLP) a favor de defensas basadas en máquinas virtuales, señalaron los expertos de FireEye.

El estudio en detalle: Diversas geografías e industrias
La muestra incluye resultados desde cada región en el mundo y abarca cada industria principal. Como resultado, refleja un amplio rango de atacantes, técnicas y motivos que no puede ser replicado en un laboratorio.

Para este informe, FireEye analizó datos generados a partir de las 1.217 corporaciones en las se ensayaron despliegues en actividades entrantes (exploits y binarios) y salientes (CNC devoluciones de llamadas). Correlacionando las respuestas a encuestas con datos generados por los appliances de FireEye de los encuestados, FireEye pudo medir qué tan efectiva es una capa de defensa en un entorno del mundo real.

Las principales conclusiones son:

  • Casi todas (97%) las organizaciones han sido infringidas, lo que significa que por lo menos un atacante ha vulnerado todas las capas de la arquitectura de defensa en profundidad.
  • Más de una cuarta parte (27%) de las organizaciones experimentaron fuertes ataques a través de herramientas y tácticas usualmente usadas por los generadores de amenazas persistentes avanzadas (APT).
  • Tres cuartas partes de las organizaciones han activado comunicaciones command-and-control, lo que indica que los atacantes tuvieron control de los sistemas infringidos y posiblemente ya estaban recibiendo información de ellos.
  • Incluso después de que una organización fue vulnerada, los atacantes trataron de ponerla nuevamente en peligro, más de una vez por semana en promedio (1,6).

Puntos de Vulnerabilidad entrantes y binarios
Durante los seis meses que se llevó a cabo el estudio se observó lo siguiente:
  • 1.180 organizaciones fueron vulneradas
  • 328 organizaciones han experimentado fuertes ataques a través de herramientas y tácticas usualmente usadas por los generadores de amenazas persistentes avanzadas (APT).
  • En promedio se registraron 1.51 activaciones y 122 malwares traspasaron las capas de seguridad.

En resumen, las herramientas de seguridad de las pruebas de FireEye permitieron 208.184 descargas de malware. De estas, 127.199 fueron variantes únicas de malware, de las cuales el 75% fueron detectados en solo un entorno. Este descubrimiento refleja una creciente afluencia de binarios únicos e indica que muchos de ellos fueron programados para ataques particulares.

Llamadas CnC salientes
Tres cuartas partes de los sistemas observados en las pruebas tienen sesiones activas CNC. Estos sistemas no estaban solo comprometidos, estaban siendo activamente usados por un atacante para actividades que podrían incluir espías de datos.

Durante el estudio, se observaron 35.415 transmisiones CnC durante los seis meses del período de prueba; es decir, 1.658 por semana.

El tráfico CnC se expandió por todo el mundo de acuerdo con la primera etapa de conexiones CnC registradas durante las pruebas. En la primera etapa el servidor CnC no siempre indica la procedencia del ataque. Muchos atacantes usan máquinas implicadas o compran la infraestructura en otros países para llevar a cabo campañas. Pero el número y la variedad de direcciones IP muestran la naturaleza global del problema:

EE.UU es claramente el principal objetivo del tráfico de CnC en el mundo. Este ranking probablemente se debe a la mayor penetración de computadores y al número de objetivos atractivos.

Basado en la información que ha recolectado FireEye, estos son los sectores industriales con mayor número de malware en devoluciones de llamadas desde dentro de sus infraestructuras de red:

1. Educación Superior
2. Servicios financieros
3. Gobierno federal
4. Estado y gobiernos locales
5. Alta Tecnología
6. Telecomunicaciones (incluyendo Internet)
7. Químicos / Manufactura / Minería
8. Servicios / Consultoría
9. Energía / Empresas de servicios públicos / Petróleo
10. Salud / Farmacéutica

El sector educación se mantiene en el top de este ranking con respecto al reporte de FireEye del 2013. El atractivo de las escuelas es la combinación de la valiosa propiedad intelectual con la filosofía de red abierta, lo que la hace propensa a ser el principal objetivo.
CIO, Perú