View
0
Download
0
Category
Preview:
Citation preview
NUEVOS GRUPOS DE APT En 2018, FireEye subió el nivel de cuatro agresores TEMP con seguimiento anterior a grupos de amenazas persistentes avanzadas (Advanced Persistent Threat, APT).
UNA VEZ QUE ES UN OBJETIVO, SIEMPRE ES UN OBJETIVO
En 2018, la cantidad de clientes redestinados siguió aumentando.1 Si alguna vez sufrió un ataque, hay grandes probabilidades de que sea atacado de nuevo y sufra otra vulneración.
100
80
60
40
20
0
CLIENTES DE RESPUESTA ANTE INCIDENTES REDESTINADOS POR REGIÓN
2017
56%
44%47%
91%
2018
64% 63%57%
78%
EMEA APACGLOBAL AMÉRICA
TIEMPO DE PERMANENCIA
Las organizaciones están mejorando en detectar las brechas rápidamente. A nivel mundial, los tiempos de permanencia promedio han disminuido significativamente, de 416 días en 2011 a tan solo 78 días en 2018.
Si bien los tiempos de permanencia promedio han disminuido a nivel global y en América, en las regiones de Asia-Pacífico y Europa, Medio Oriente y África los tiempos de permanencia aumentaron, y los equipos de seguridad siguen descubriendo ataques históricos.
TIEMPO DE PERMANENCIA PROMEDIO GLOBAL
600
500
400
300
200
100
020182017
AÑOS
TIEM
PO D
E PE
RMAN
ENCI
A (D
ÍAS)
El tiempo de permanencia es la cantidad de días que un atacante se encuentra en la red de la víctima, desde la primera evidencia de compromiso hasta la detección.
En 2018, el 31% de las brechas investigadas por Mandiant tenían tiempos de permanencia de 30 días o menos, en comparación con el 28% en 2017. Esto podría deberse a un aumento en los ataques con motivaciones financieras como es el caso del ransomware, que tiende a tener un impacto inmediato en las organizaciones atacadas, pero que también se detectan de inmediato.
DISTRIBUCIÓN DEL TIEMPO DE PERMANENCIA GLOBAL
EMEA APACGLOBAL AMÉRICA
10176
175
2016
99 99106
172
498
78 71
177204
TIEMPO DE PERMANENCIA (DÍAS)
0 a 7
201 a
300
8 a 1
4
15 a
30
31 a
45
46 a 60
61 a 75
76 a
90
91 a 15
0
151 a
200
901 a 10
00
301 a
400
401 a 5
00
501 a
600
601 a 7
00
Más d
e 2000
701 a
800
801 a
900
1000 a
2000
20
15
10
5
0
15%
7%
9%7% 7%
10%
6% 6%7%
3%1%
4%
2% 1%0 1%
7%
4%
2%
INVE
STIG
ACIO
NES
EN 2
018
(PO
RCEN
TAJE
)CL
IENT
ES D
E RE
SPUE
STA
DE IN
CIDE
NTES
(PO
RCEN
TAJE
)
11%
SALUD EDUCACIÓNFINANZAS
FINANZAS SALUD EDUCACIÓN
13%
18%
3 PRINCIPALES INDUSTRIAS REDESTINADAS
20
15
10
5
0
PORC
ENTA
JE
FUENTES DE NOTIFICACIÓN DE BRECHAS
Desde 2015, las organizaciones por sí mismas han mejorado en lo que respecta a descubrir los ataques, en contraposición con el hecho de recibir una notificación de fuentes externas.
100%
90%
80%
70%
60%
50%
40%
30 %
20%
10%
02011 2012 2013 2014 2015 2016 2017 2018
EXTERNAS INTERNAS
94%
63%67% 69%
53%
47%
38%41%
6%
37%33% 31%
47%
53%
62%59%
NOMBRE DE LA FECHA: 19 DE DICIEMBRE DE 2018NOMBRE: APT40 ORIGEN O NACIÓN PATROCINADORA: CHINA
SUDESTE DE ASIA
OBJETIVOS INDUSTRIALES PRINCIPALES
AVIACIÓN
PRODUCTOS QUÍMICOS
DEFENSAEDUCACIÓN
OBJETIVO REGIONAL PRINCIPAL
SUDESTE DE ASIA GOBIERNO
ALTA TECNOLOGÍA
MARÍTIMOINVESTIGACIÓN
APT40
12982342982639874293847293847293847293847293847293874298374298347293847293568420394820394802936293874923874293879283473847293847293847987383872384798729APT39
NOMBRE DE LA FECHA: 12 DE DICIEMBRE DE 2018NOMBRE: APT39 ORIGEN O NACIÓN PATROCINADORA: IRÁN
MEDIO ORIENTE
IRÁN
OBJETIVOS INDUSTRIALES PRINCIPALES
ALTA TECNOLOGÍA
TELECOMUNICACIONES
TRANSPORTEVIAJES
OBJETIVO REGIONAL PRINCIPAL
MEDIO ORIENTE
CHINA
3427
3894
7230
9483
0293
84
34273
89472309483029384
34273894723094830293843427389472309483029384
342738947230948302938434273894723094
83029384
APT38
NOMBRE DE LA FECHA: 2 DE OCTUBRE DE 2018NOMBRE: APT38 ORIGEN O NACIÓN PATROCINADORA: COREA DEL NORTE
COREA DEL NORTE
SISTEMAS FINANCIEROS INTERBANCARIOS
INSTITUCIONES FINANCIERAS
OBJETIVOS INDUSTRIALES PRINCIPALESOBJETIVO REGIONAL PRINCIPAL
REGIONES EN DESARROLLO DESDE EL PUNTO DE VISTA ECONÓMICO
© 2019 FireEye, Inc. Todos los derechos reservados. FireEye es una marca comercial registrada de FireEye, Inc. Todas las demás marcas, productos o nombres de servicios son o pueden ser marcas comerciales o marcas de servicios de sus respectivos propietarios. F-EXT-IG-US-EN-000187-01
1 Definimos a los “clientes redestinados” como los clientes de detección y respuestas gestionadas de FireEye que anteriormente fueron clientes de respuesta ante incidentes de Mandiant y sufrieron al menos un ataque importante en los últimos 19 meses por parte del mismo grupo de ataque o uno con motivaciones similares.
Descargue el informe M-Trends 2019 completo >
M-TRENDS 2019UN INFORME ESPECIAL DE FIREEYE MANDIANT
APT37
NOMBRE DE LA FECHA: 19 DE FEBRERO DE 2018 ORIGEN O NACIÓN PATROCINADORA: COREA DEL NORTE
MEDIO ORIENTE
COREA DEL NORTE
ENTIDADES DE ASISTENCIA SANITARIA
ELECTRÓNICA
MANUFACTURA
OBJETIVOS INDUSTRIALES PRINCIPALES
AUTOMOTRIZ
PRODUCTOS QUÍMICOS
AEROESPACIAL
OBJETIVO REGIONAL PRINCIPAL
JAPÓN
MEDIO ORIENTE
COREA DEL SURVIETNAM
COREA DEL SUR
JAPÓN
JAPÓN
REGIONES EN DESARROLLO DESDE EL PUNTO DE VISTA ECONÓMICO
NOMBRE: APT37
MEJORAS PROGRAMÁTICAS A partir de los tres problemas comunes que observamos durante las investigaciones empresariales en 2018, recomendamos tres cambios programáticos de modo de mejorar la respuesta ante incidentes y la corrección.
Asegurarse de que los planes de respuesta ante incidentes, los casos de uso y los manuales de tácticas incluyan procesos que conserven la evidencia.
RECOMENDACIÓN
Llevar a cabo revisiones regulares de los planes de respuesta ante incidentes, los casos de uso y los manuales de tácticas e incluir pautas sobre la sincronización de la erradicación.
FALTA DE INVESTIGACIÓNLos manuales de tácticas de respuesta ante incidentes carecen de pasos que hubieran ayudado a entender el contexto o determinar la necesidad de un análisis profundo, lo que resulta en vulneraciones más grandes desapercibidas y tiempos de permanencia más prolongados.
CORRECCIÓN SINCRONIZADA DE FORMA DEFICIENTELas organizaciones responden demasiado rápido a un ataque, lo que no erradica al atacante, complica la investigación y prolonga la vulneración.
DESTRUCCIÓN DE EVIDENCIASEl modelo de “reimaginar y reemplazar” para la respuesta ante incidentes puede destruir evidencia valiosa, lo que deja sin respuesta a preguntas claves.
RECOMENDACIÓN
Desarrollar pautas para entender el contexto que rodea a las amenazas identificadas y establecer procedimientos de escalación a analistas más experimentados.
RECOMENDACIÓN
• Imponer un modelo de arquitectura escalonada para restringir el acceso a las cuentas con privilegios
• Implementar Jump Boxes (cajas de acceso directo)/estaciones de trabajo con acceso con privilegios (Privileged Access Workstations, PAWS) para funciones de administrador
• Usar el grupo de seguridad Protected Users Active Directory (Active Directory para usuarios protegidos) para las cuentas confidenciales y con privilegios
• Usar perfiles de VPN separados para los administradores
GESTIÓN DE CUENTAS CON PRIVILEGIOS
La corrección previa es la implementación proactiva de iniciativas comunes enfocadas en correcciones
CORRECCIÓN PREVIAMuchos de los incidentes que investigamos en 2018 se podrían haber evitado o contenido con rapidez si las organizaciones atacadas hubieran implementado de manera proactiva mejoras comunes enfocadas en correcciones.
• Adecuar los mecanismos de visibilidad y detección al entorno
• Documentar las cuentas de servicio basadas en dominio de modo de acelerar los restablecimientos de las contraseñas empresariales
• Diseñar la arquitectura de la red de modo de segmentar y restringir las comunicaciones entre los sistemas
ESTABLECIMIENTO DE UN NIVEL GENERAL
• Revisar las arquitecturas y confianzas del bosque, enfocarse en la dirección de los controles de confianza y seguridad
• Revisar los procesos operativos, supervisar y reforzar las estrategias
REFUERZO DE ACTIVE DIRECTORY
• Usar la configuración de la política de grupo para imponer Los controles de refuerzo de Microsoft O�ce
• Revisar y reducir el alcance de los usuarios estándar mediante permisos administrativos locales en los endpoint
• Garantizar que las cuentas de administrador locales incorporadas tengan contraseñas únicas y aleatorias a lo largo de todos los endpoint
• Imponer la segmentación en el endpoint a fin de prevenir el desplazamiento lateral
REFUERZO DEL ENDPOINT
Realizar una evaluación de riesgos de la adquisición para identificar cualquier situación de riesgo actual o anterior
Realizar una revisión proactiva para buscar evidencia de actividad de un potencial agresor en las redes de la empresa adquirente y la empresa adquirida antes de que las integre
Auditar los derechos de modo de identificar las cuentas que tienen acceso al correo electrónico de los demás usuarios
Prohibir el reenvío automático de correos electrónicos fuera de las organizaciones o auditar de manera regular las reglas de reenvío en los servidores de correo para detectar evidencia de esta técnica
Habilitar la auditoría de inicio de sesión en O�ce 365
Habilitar la autenticación multifactor en O�ce 365
RECOMENDACIONESA continuación, mencionamos varias estrategias de mitigación y detección que debe considerar al momento de llevar a cabo el proceso de fusión y adquisición (Merger and Acquisition, M&A):
1
2
3
4
5
6
RIESGOS DE LA FUSIÓN Y ADQUISICIÓN
Las fusiones y adquisiciones (Mergers and acquisitions, M&A) incluyen actividades de diligencia debida e integración que se llevan a cabo bajo plazos límites agresivos. En el apuro, los líderes integran redes sin resolver los problemas de seguridad, lo que pone en riesgo a la organización matriz y a la empresa adquirida.
Una vez que los agresores obtienen acceso, crean reglas para reenviadores, exportaciones o redirecciones. Esto les permite mantener acceso al correo electrónico sin tener que autenticarse en el entorno.
REENVÍO Y REDIRECCIÓN
Los atacantes aprovechan las vulnerabilidades de la configuración de Outlook de forma que cuando las víctimas inician sesión, el sistema los redirige hacia la página web del agresor y los pone en riesgo mediante malware.
INSTALACIÓN DE MALWARE
En 2018, observamos un aumento en la actividad de los agresores utilizando cuentas de correo electrónico vulneradas para enviar correos electrónicos de phishing dirigidos a los colegas de los usuarios. Esto es especialmente eficaz en situaciones de fusiones y adquisiciones, ya que los empleados esperan comunicaciones, a veces no solicitadas, entre las organizaciones.
PHISHING
Los agresores usan el acceso a las cuentas de correo electrónicos afectadas durante la función y adquisición para evadir la autenticación multifactor mediante token de seguridad (token de software) basada en SMS, correo electrónico y software.
EVASIÓN DE LA IDENTIFICACIÓN MULTIFACTOR
© 2019 FireEye, Inc. Todos los derechos reservados. FireEye es una marca comercial registrada de FireEye, Inc. Todas las demás marcas, productos o nombres de servicios son o pueden ser marcas comerciales o marcas de servicios de sus respectivos propietarios. F-EXT-IG-US-EN-000188-01
Descargue el informe M-Trends 2019 completo >
M-TRENDS 2019 M-TRENDS 2019UN INFORME ESPECIAL DE FIREEYE MANDIANT
Recommended