Hay ataques dirigidos contra una empresa, así como algunos ataques oportunistas. Luego también está el ataque de información privilegiada donde está involucrado un empleado o socio.
Si se trata de un ataque dirigido, que generalmente se realiza contra grandes empresas, a menudo hay un atacante sofisticado involucrado. A veces, la nación patrocinada por el estado. A veces se llama APT.
Un APT es un atacante de varios días y múltiples etapas. Esa misión puede tomar mucho tiempo para cumplir.
- ¿Cuáles son los 5 principales ataques de malware en 2016?
- ¿Puedo configurar Linux con una contraseña que desbloquee la computadora y otra contraseña que si se ingresa eliminaría todo (o archivos específicos)?
- ¿Qué tan seguro es el VK Messenger (www.vk.com)?
- ¿Con qué frecuencia se recomienda realmente cambiar la contraseña de mi correo electrónico?
- ¿Qué hizo que el ataque Dyn DDoS del 21 de octubre fuera único?
En tales ataques, hay mucha tarea hecha incluso antes de que se lance el ataque. Esto se llama reconocimiento . El atacante busca en Internet, incluidas las redes sociales y Linkedin, entre otras fuentes, para identificar al empleado / usuario / socio / ejecutivo inicial al que apuntará inicialmente. Luego pueden usar métodos de ataque conocidos como el phishing para obtener la credencial de usuario o incluso colocar un malware en su dispositivo.
Una vez que el atacante tiene un punto de apoyo, se asegura de que algún tipo de persistencia, por ejemplo, crea puertas traseras.
Normalmente, esto es seguido por la escalada de privilegios a un usuario más privilegiado en la red. A menos que esté involucrado un experto, el atacante también realizará un reconocimiento interno para localizar la ubicación de su objetivo final. Un objetivo puede ser una base de datos, máquina, cuenta de correo electrónico o incluso claves criptográficas. En este proceso, el atacante hará algunos movimientos laterales, escalamiento de privilegios, establecimiento continuo de puntos de apoyo para llegar a su objetivo.
Finalmente, el atacante llegará al objetivo y luego encontrará una forma de extraer datos confidenciales de una empresa. Algunos de los atacantes hacen mucho más incluso después de la exfiltración de datos.
Hay muchas razones por las que atacan a una empresa y cada vez más incluso a los ICS (sistemas de control industrial).
Los atacantes generalmente buscan datos valiosos como información de pago, IP, código fuente, claves criptográficas, contenido de la base de datos de errores, correos electrónicos de ejecutivos, etc.
A veces, el malware como el ransomware puede cifrar todos los datos de la empresa y generar toneladas de bitcoins.
A veces, el malware se usa para crear bots para una botnet.
El tipo interno es otra amenaza creciente. Si se trata de administrador de TI o DBA, el atacante no necesita hacer mucho reconocimiento.
Los atacantes pueden estar motivados por muchas cosas, incluido el dinero, el patriotismo, las creencias religiosas o incluso la fama.
Los atacantes también pueden ser una combinación de humanos y malware
Cada vez más, los atacantes ni siquiera necesitan introducir ningún malware en su entorno objetivo, ya que tienen muchas herramientas de TI poderosas como PowerShell o WMI que pueden usar para lograr su objetivo.
El uso de herramientas y puertas de administración existentes significa que ninguno de los productos de seguridad existentes atrapará al atacante.
Incluso las empresas más grandes no pueden protegerse a pesar de invertir mucho en soluciones de seguridad cibernética. Solo mira lo que sucedió en Yahoo, Linkedin, Sony, RSA, Epsilon. Todas las grandes empresas.
El perímetro de las empresas se ha vuelto demasiado poroso debido a BYOD, Outsourcing, acceso remoto, etc. y, por lo tanto, las antiguas soluciones de protección del perímetro están demostrando no ser lo suficientemente buenas.
El tiempo promedio para detectar un compromiso de una empresa es de alrededor de 200 días. Fueron casi 2 años en el caso de incumplimiento de Yahoo. Claramente, no hacemos nada con respecto a un atacante si desconocemos el compromiso inicial.
La guerra cibernética necesita nuevas armas para los defensores, especialmente en torno a la detección de compromiso, ya que los recursos existentes no son muy efectivos.