Por: Ben Nahorney / Cisco Systems
El panorama de amenazas está lleno de objetivos en movimiento. Con el tiempo, las herramientas, tácticas y procedimientos populares cambian. Las técnicas maliciosas pasan de moda y vuelven con fuerza meses, si no años, después. Mientras tanto, los profesionales de la seguridad monitorean el tráfico de la red y adaptan sus defensas para proteger a sus usuarios y redes. Mantenerse al tanto de estas tendencias es una de las tareas más desafiantes para cualquier equipo de seguridad.
Un área excelente para buscar tendencias es la actividad DNS maliciosa. Hoy en día, casi todas las actividades maliciosas requieren una conexión a Internet para llevar a cabo un ataque con éxito. Por ejemplo, un atacante utiliza una puerta trasera para conectarse a un sistema remoto y enviarle instrucciones. Los ladrones de información necesitan una conexión a una infraestructura maliciosa para extraer datos confidenciales. Los grupos de ransomware deben poder “activar el interruptor” de forma remota para cifrar los sistemas de la víctima.
En nuestro último informe, Informe de tendencias de amenazas cibernéticas: desde adquisiciones de troyanos hasta ruleta de ransomware , tomamos el extraordinario volumen de dominios maliciosos que Cisco ve y bloquea (más de 1 millón cada hora) y los examinamos en busca de tendencias y patrones maliciosos. Estos datos nos llegan gracias a la seguridad de la capa DNS que está disponible en Cisco Umbrella y Cisco Secure Access .
Echemos un vistazo más de cerca a cómo llevamos a cabo esta investigación, un par de tendencias destacadas en el informe y qué puede hacer usted para defenderse mejor contra estas amenazas.
Cómo se analizaron los datos DNS para el informe
Para crear una imagen clara a partir de un conjunto de datos tan grande, analizamos las categorías que Umbrella aplica a dominios maliciosos conocidos. Estas categorías de tipos de amenazas son agrupaciones funcionales de amenazas que utilizan técnicas similares en sus ataques.
Examinamos un período de ocho meses (agosto de 2023 a marzo de 2024) y calculamos el volumen promedio mensual para cada categoría de tipo de amenaza. Para examinar las tendencias, luego calculamos cuánto estuvo cada mes por encima o por debajo del volumen promedio. Esto nos brinda una visión simplificada de cómo la actividad de las amenazas cambia con el tiempo.
Aquí es donde comenzaron a surgir patrones a partir de grandes cantidades de tráfico malicioso de Internet, y los resultados son bastante interesantes. A modo de ejemplo, veremos las tres categorías de tipos de amenazas más activas que se encuentran en este informe.
Ladrones de información
La categoría de amenaza que experimentó la mayor actividad durante el período fue la de los ladrones de información. Esto no sorprende, ya que es una categoría que incluye la exfiltración de grandes lotes de documentos y el monitoreo de comunicaciones de audio/video generará una gran cantidad de tráfico DNS.
Aquí aparece una tendencia interesante: tres meses de actividad superior al promedio, seguidos de un mes de actividad inferior al promedio. Especulamos que estas caídas en la actividad podrían estar relacionadas con grupos de ataque que procesan los datos que roban. Cuando nos enfrentamos a una montaña de documentos y grabaciones que examinar, a veces tiene sentido tomarnos un descanso para ponernos al día.
Troyanos frente a ransomware
A continuación, comparemos dos categorías aparentemente dispares: troyanos y ransomware. La actividad troyana fue mayor al comienzo de nuestro período de tiempo y luego disminuyó con el tiempo. Esta actividad no indica que el uso de troyanos esté perdiendo popularidad, sino que resalta la naturaleza de flujo y reflujo que a menudo vemos en el panorama de amenazas. Cuando la actividad troyana disminuye, a menudo vemos surgir otros tipos de amenazas.
A diferencia de la actividad de los troyanos, la actividad del ransomware parece tener una tendencia en la otra dirección. Los primeros meses del período registraron una actividad por debajo del promedio, pero luego, en enero, saltó muy por encima del promedio y se mantuvo así.
¿Por qué estos dos tipos diferentes de amenazas podrían tener tendencias opuestas? En muchos casos, los actores de amenazas utilizarán troyanos para infiltrarse y tomar el control de una red y luego, una vez que hayan obtenido suficiente control, implementarán ransomware.
Estos son sólo un par de ejemplos de tendencias del Informe de tendencias de amenazas cibernéticas . En el informe cubrimos varias categorías adicionales, incluidas algunas que siguen patrones similares a los troyanos y ransomware.
Cómo proteger y monitorear su propio tráfico de red
Una conexión a Internet es un componente principal de las amenazas modernas. Entonces, ¿por qué no bloquear esa conexión a Internet para bloquear las amenazas? Al monitorear y controlar las consultas de DNS, los profesionales de la seguridad a menudo pueden identificar y bloquear el tráfico malicioso antes de que llegue a los dispositivos de los usuarios finales. Algunas sugerencias de alto nivel, cubiertas con más detalle en el informe, incluyen las siguientes:
- Aprovechando la seguridad DNS
- Protegiendo sus puntos finales
- Implementación de una estrategia de defensa de la seguridad
Cisco tiene un punto de vista único aquí. No se puede proteger lo que no se puede ver y, dado que resolvemos un promedio de 715 mil millones de solicitudes de DNS diarias, vemos más amenazas, más malware y más ataques que cualquier otro proveedor de seguridad.
Con más de 30.000 clientes que ya eligen a Cisco como su socio de confianza en seguridad de la capa DNS, las organizaciones pueden estar seguras de que sus usuarios estarán mejor protegidos a través de su trabajo híbrido continuo, la transformación de la nube y los entornos distribuidos:
- Cisco Umbrella es parte de la familia de productos Cisco Security Service Edge (SSE), que impulsa el acceso seguro a Internet para todas las soluciones Cisco SSE. Umbrella utiliza DNS para detener amenazas en todos los puertos y protocolos para detener el malware antes y evitar devoluciones de llamadas a los atacantes si las máquinas infectadas se conectan a nuestra red. Sintonice el 26 de junio para obtener más información en nuestra demostración en vivo de Cisco Umbrella: Optimice la seguridad en la nube y adopte un SSE o arquitectura SASE
- Cisco Secure Access es la incorporación más reciente a nuestra familia de productos Security Service Edge (SSE), que proporciona un conjunto ampliado de capacidades de seguridad, que incluyen puerta de enlace web segura (SWG), agente de seguridad de acceso a la nube (CASB), acceso a red de confianza cero (ZTNA), aislamiento remoto del navegador (RBI), prevención de pérdida de datos (DLP), detección de malware en la nube y más. Regístrese para asistir a una de nuestras próximas sesiones para una demostración en vivo de Cisco Secure Access: una forma más inteligente de proteger el acceso a Internet, SaaS y aplicaciones privadas .
Aprende más
Descargue el informe completo para obtener más información clave sobre el panorama actual de amenazas:
Informe de tendencias de amenazas cibernéticas: de la adquisición de troyanos a la ruleta de ransomware
Obtenga más información sobre los hallazgos del nuevo informe Cyber Threat Trends, donde compartiré más información sobre esta investigación, en nuestro seminario web el 20 de junio de 2024: The Web’s Most Wanted: A Cyber Threat Trend Briefing.
