Oliver Tavakoli, CTO de Vectra AI comparte su visión sobre la evolución de los ataques de ransomware y cómo enfrentarse a ellos.
En
los últimos años, las empresas y los responsables de seguridad se han
centrado en cómo gestionar y proteger mejor la infraestructura de la
nube en medio de una ola de
cambios a medida que los ciberataques empresariales evolucionan y
aumentan.
Estudios
recientes revelan que el 71% de las empresas españolas sufrieron un
ataque de ransomware durante 2021, frente al 44% en 2020. Según un
estudio realizado por Vectra
AI, el 72% de los encuestados en España creen que es posible o probable
que hayan sido atacados sin ser conscientes de ello, el 83% ha
experimentado un evento de seguridad significativo que requirió un
esfuerzo de respuesta a incidentes, y el 48% no confía
plenamente en que sus herramientas de seguridad les protejan contra
ataques sofisticados.
Como
CTO (Chief Technology Officer - Director de Tecnología), gran parte de
mi atención se centra en el futuro, creando "experimentos mentales" para
determinar las mejores
formas de proteger nuestros datos y sistemas críticos.
El
ransomware sigue siendo un importante tema de debate entre los
profesionales de la ciberseguridad en todo el mundo. El otro tema
constante está relacionado con los ataques
a la cadena de suministro, incluidos los productos tradicionales in
situ y los servicios prestados a través de la nube.
La
migración a la nube y al SaaS, así como la incapacidad de encontrar
talentos experimentados que comprendan las implicaciones de la seguridad
en las nubes, son también
problemas relacionados. Existe una tensión entre las empresas que
quieren ser ágiles mediante la adopción de la nube y los equipos de
seguridad que intentan ganar visibilidad e implementar la seguridad en
esos entornos. En un mundo perfecto, esa tensión se
resuelve de forma equilibrada, pero no vivimos en un mundo perfecto y, a
menudo, el imperativo empresarial de desplegar rápidamente nuevos
servicios supera la capacidad de las organizaciones para hacerlo de
forma segura.
El problema con la nube
No
hace mucho tiempo, las redes locales estaban muy abiertas a los
atacantes, por lo que este ha sido nuestro objetivo. Ahora, el tráfico
de los empleados accede predominantemente
a las aplicaciones a través de Internet. Esto significa que tenemos que
examinar los registros en plataformas en la nube como Amazon Web
Services (AWS), Azure y Google Cloud Platform (GCP), sistemas de
identidad en la nube como Azure AD y Okta y aplicaciones
de colaboración como Microsoft 365 y Google Workspace.
INCIBE ha gestionado más de 109.122 incidentes de ciberseguridad durante 2021.
Del total de esta cifra, 90.168 afectaron a ciudadanos y empresas, 680 a operadores
estratégicos y 18.278 a la Red
Académica y de Investigación Española (RedIRIS).
En cuanto a su tipología, el 29,88% correspondió a
malware o software malicioso,
seguido de las distintas variantes de fraude con un 28,60%. En tercer
lugar, destacan los ataques a sistemas vulnerables, con un 18,89%,
ya que el trabajo desde casa durante la pandemia hizo que más personas fueran vulnerables a los ataques en línea.
Una
historia común es que la pandemia impulsó a las empresas a pasar a
configuraciones de nube múltiple o híbrida, no por una gran estrategia
sino por una necesidad apremiante.
Como resultado, servicios como Microsoft 365 o las plataformas de
comercio electrónico se implementaron rápidamente, sin tener en cuenta
el impacto en la infraestructura o la seguridad. Además, las diferentes
unidades de negocio o departamentos a menudo evolucionaban
en diferentes direcciones, añadiendo capas de complejidad.
Ahora
nos encontramos en un punto de ajuste de cuentas en el que debemos
comprender la realidad de la situación y cómo solucionarla.
Ransomware en la nube
El
paso a la nube ha dejado puertas de entrada para que los atacantes las
aprovechen y tengan un punto de entrada, y están empezando a sacar el
máximo provecho de ello.
En las instalaciones, si un ciberdelincuente quiere cifrar los datos de
una empresa, debe pasar por el laborioso ejercicio de conectarse a un
servidor, extraer todos los datos a través de la red, cifrarlos y
escribirlos de nuevo en el servidor, y finalmente
borrar la copia original.
Para
tener éxito, los operadores de ransomware intentan introducir sus
ganchos en tantos lugares como sea posible y cifrar la mayor cantidad de
datos posible. En la nube,
los operadores de ransomware pueden aprovechar el cifrado del lado del
servidor proporcionado en las plataformas de la nube, lo que les permite
cifrar los datos mucho más rápido y sin necesidad de hacer un gran
esfuerzo
En
Vectra, consideramos que una nube como AWS o Azure tiene dos
superficies de ataque diferentes. Está la superficie de ataque
tradicional, en la que los atacantes pasan
por la red para atacar una carga de trabajo que se ejecuta en la nube,
escapan de la carga de trabajo y luego roban datos. Y está el plano de
gestión o el plano de control de una plataforma en la nube, que
representa un conjunto de controles más potente y
menos conocido.
Reconociendo
esto, Vectra tiene soluciones para cubrir ambas superficies de ataque.
Trabajamos para proteger a los clientes que son atacados desde la red, y
trabajamos para
proteger a las empresas de ser atacadas en el plano de control de su
tenant en la nube. El vector inicial de entrada puede ser increíblemente
complejo y variado, pero una vez que aterriza y establece algún punto
de apoyo en el entorno, ayudamos a la empresa
a encontrar y detener la incursión antes de que cause un daño real.
Mirando al futuro
A
medida que los valiosos datos de los clientes se trasladan a la nube,
también lo hará el ransomware. Por eso nos planteamos preguntas como:
¿qué aspecto tiene la combinación
de la nube y el ransomware, con qué rapidez los atacantes se
convertirán en compatibles con la nube y qué medidas debemos tomar
ahora?
Hay
que analizar cómo podemos protegernos contra el ransomware en los
sistemas en la nube y por qué esto es sustancialmente diferente a las
medidas defensivas requeridas
para los lugares de trabajo físicos.
Al
debatir estas cuestiones, espero animar a los responsables de la
seguridad (CISOs) a tender un puente entre el mundo de la seguridad y el
de la empresa para que se pueda
dar prioridad a las inversiones y se pueda proteger nuestra
infraestructura.