En el último año, el mundo ha sido testigo de la floreciente economía de la ciberdelincuencia y del rápido aumento de sus servicios. Por eso, es importante estar preparados para las nuevas formas de ciberdelincuencia que seguro sufriremos durante este año 2022. Desde Microsoft somos conscientes de esta necesidad y, desde hace años, ayudamos a nuestros clientes de sector público en España mediante el análisis de cerca de 24 trillones de señales diarias a nivel global, con la ayuda de 8.500 analistas de seguridad y con nuestras herramientas de Inteligencia Artificial. Esto nos ha permitido bloquear, durante el periodo de tiempo comprendido entre julio de 2020 y junio de 2021, cerca de 24 billones de amenazas de correo, 31 billones de amenazas relacionadas con la identidad y 9 billones de amenazas relacionadas con los puntos de acceso. Unido todo esto a la inversión anunciada de 20 billones de dólares en seguridad, creemos que estamos en disposición de brindar las mejores soluciones de ciberseguridad en entornos multi-nube como las anunciadas recientemente.
Al observar este panorama de amenazas, las señales que analizamos los equipos de Microsoft y la colaboración que, desde hace años, realizamos con las administraciones públicas españolas, creemos que hay cuatro áreas críticas en las que debemos enfocarnos.
Ataques estado-nación
La ciberdelincuencia, ya sea patrocinada o permitida por los estados, es una amenaza para la seguridad nacional. Los ciberdelincuentes están atacando todos los sectores relacionados con las infraestructuras críticas, como los gobiernos centrales y locales, el sector sanitario, los servicios financieros y los sectores energéticos entre otros. Desde Microsoft, cuando un cliente, ya sea una organización o el titular de una cuenta individual, es objetivo o víctima de un ciberataque por parte de un estado-nación que Microsoft rastrea, proporcionamos información al cliente a través de las NSN (Nation State Notification). Durante los últimos tres años, Microsoft ha enviado más de 20.500 NSNs. Este conocimiento nos permite proteger a nuestros clientes e incluso llegar a tomar medidas proactivas contra las infraestructuras de los grupos atacantes para eliminarlas y desincentivar la economía detrás de este tipo de ataques.
Otro de los recursos que tiene Microsoft en la lucha contra los ataques estado-nación es la DCU (Digital Crimes Unit), que nos permite litigar para incautar dominios activos utilizados por los atacantes contra clientes de Microsoft. Otro de los aspectos clave es la información. Microsoft habitualmente, a través de sus diferentes departamentos, publica informes sobre el estado del arte de la ciberdelincuencia a nivel global, participando activamente con gobiernos y organizaciones sin ánimo de lucro.
La economía del cibercrimen: ransomware, phishing, malware…
La realidad actual y lo ciertamente preocupante es que los ataques tienen cada vez más éxito, paralizan gobiernos y empresas de cualquier tamaño, y proporcionan elevados beneficios económicos a los atacantes. El mercado de la ciberdelincuencia, creado y gestionado por criminales está madurando y permite de forma sencilla adquirir los servicios necesarios para llevar a cabo actividades delictivas con fines económicos o propósitos más graves. Desde hace 3 años aproximadamente, venimos observando dicho mercado en el que se pueden encontrar exploit kits por $1400/mes, breaching services por $10.500, zero days entre $50K y $3,5M, kits de ransomware desde $66 y, en algunos casos, con modelos de afiliación en los que el atacante paga hasta el 33% de los beneficios al desarrollador del kit. Además, existe todo un mercado en continua evolución, donde los precios para ataques de compromiso a PC/móviles, robo de credenciales y ataques DDoS son bastante asequibles, lo que hace que resulte “muy barato” efectuar un ataque. Ante todo esto, la respuesta que debemos dar es buscar soluciones que desincentiven el beneficio económico de los ciberdelincuentes.
Puesto de trabajo
En el primer semestre de 2021 se produjeron tres de los ataques más importantes del año, NOBELIUM (ataque a la cadena de suministro de SolarWinds), HAFNIUM (ataques a servidores Exchange locales) y Colonial Pipeline (ataque de ransomware).
De estos ataques se deben extraer muchas lecciones, pero las más importantes son que el phishing es actualmente el responsable de casi el 70% de las pérdidas de datos. La segunda lección es que el malware se sigue utilizando como mecanismo de ataque. En tercer lugar, los ataques ransomware han pasado de extorsiones dobles y triples (ofreciendo dinero incluso al empleado) a ofrecer kits de ataques en modalidad RaaS (Ransomware as a Service). Y, por último y más relevante, los ciberdelincuentes se dirigen a infraestructuras on-prem y de pequeño tamaño que suelen estar más desprotegidas, en lugar de a infraestructuras nube con un nivel de protección mayor.
Microsoft viene recomendando a todos sus clientes la adopción de una aproximación Zero Trust en la nube, y que se sustenta en tres principios:
- Verificación explícita, autenticar y autorizar siempre basándose en toda la información disponible, incluyendo la identidad del usuario, su ubicación, el estado del dispositivo, el servicio al que se solicita acceso, la clasificación de los datos y las posibles anomalías que se encuentren.
- Usar siempre los privilegios mínimos, limitar el acceso mediante técnicas de JIT y JEA, con políticas basadas en riesgo y que protejan el dato.
- Asumir la brecha, minimizar la superficie de ataque, y segmentar el acceso, verificar el cifrado de extremo a extremo y utilizar herramientas de análisis, gestionar los riesgos internos, impulsar la detección de amenazas y mejorar las defensas.
Una aproximación Zero Trust debe cubrir todos los elementos sensibles de una organización: identidad, endpoint, aplicaciones, red, infraestructura y datos. Microsoft, con su suite de Microsoft Cloud Defender (compuesto por Microsoft Defender for Endpoint, Microsoft Defender for Office 365 y Microsoft Defender for Identity), permite cubrir todos estos elementos y dirigir las señales a Microsoft Sentinel (SIEM/SOAR) para su posterior tratamiento.
Cadena de suministro, IoT y OT
En el último año, también hemos observado una gran cantidad de ataques que han provocado la interrupción de sistemas físicos. Estos ataques se centraron en las líneas de producción, las infraestructuras de energía y, en otros casos, se llevaron a cabo enteramente en el ámbito digital, a través de campañas de ransomware.
La cadena de suministro y la relación con los proveedores es quizás el más importante por los retos a los que se enfrenta. Gestionar los riesgos asociados al ecosistema de proveedores es complejo. Desde Microsoft pensamos que hay nueve áreas de inversión en seguridad necesarias:
- Proveedores software, centrándose en acordar medidas con los proveedores para proteger las identidades de los desarrolladores, las librerías OSS que se utilizan y proteger los mecanismos de compilación y despliegue.
- Firmware y drivers, protegiendo mediante medidas de seguridad la firma digital de dichos componentes y documentando su uso
- Seguridad física, estableciendo estrictos controles de seguridad de acceso
- Seguridad en la manufactura, protegiendo la propiedad industrial de los prototipos y su custodia.
- Seguridad en la logística, previniendo la manipulación, pérdida o robo de los activos del proveedor.
- Seguridad del propio proveedor, estableciendo políticas de seguridad y privacidad que estén alineadas con los clientes.
- Evaluación de las medidas, estableciendo mecanismos para dotar de una evaluación continua de todas las medidas
- Modelo de gobierno y resiliencia, definiendo un modelo que gobierne los principales activos de la cadena, mecanismos de cifrado, hardware, equipos de soporte.
- Monitorización y detección y, por último, estableciendo un conjunto de herramientas que permitan monitorizar y detectar de forma continua cualquier anomalía.
Para los entornos de IoT/OT, la principal recomendación es aplicar el mismo paradigma de protección Zero Trust que hemos ya avanzado. Microsoft proporciona para este tipo de entornos soluciones como Microsoft Defender for IoT que, juntamente con Azure Sphere y Microsoft Sentinel, permiten tener una visión homogénea de toda una infraestructura física.
Tanto los ciberdelincuentes como los atacantes estados-nación son organizaciones muy preparadas, con recursos para desplegar ataques complejos y bien planeados contra cualquier organización, sea del tamaño que sea.
Conclusiones
Con el incremento del trabajo remoto, los ciberdelincuentes han visto una nueva oportunidad, por lo que las administraciones públicas deben tener en cuenta esta realidad a la hora de planificar su estrategia de ciberseguridad. Este nuevo contexto requerirá cambios en nuestra forma de actuar. Debemos considerar el riesgo como un todo en lugar de silos o de forma individual y apostar por estrategias Zero Trust.