Técnicas de ataque más frecuentes en 2021

Los expertos de Kaspersky Managed Detection and Response identificaron las técnicas más comunes realizadas por atacantes de ciberseguridad en 2021.

El servicio Kaspersky Managed Detection and Response (MDR) permite a las empresas reforzar sus equipos de seguridad mediante la supervisión externa de la infraestructura de la compañía durante las 24 horas del día. Según un informe de los analistas del MDR publicado recientemente, en 2021 el servicio procesó unas 414.000 alertas de seguridad, lo que dio lugar a 8.479 incidentes comunicados a los clientes. Al analizar esos incidentes, nuestros expertos del SOC identificaron las técnicas de ataque más comunes según la clasificación ATT&CK de MITRE. Acto seguido, calcularon la parte proporcional de incidentes que se realizan con esas técnicas respecto al número total y obtuvieron las tres más frecuentes.

Ejecución por parte del usuario

Esta categoría incluye todos los incidentes en los que el atacante se vale de las acciones de un usuario dentro de la infraestructura. Es decir, son los casos en los que los atacantes obligan a un empleado a hacer clic en un enlace malicioso, o a abrir un archivo adjunto en un correo electrónico. Este grupo también incluye incidentes en los que un usuario (engañado) da al atacante acceso remoto a los recursos de la empresa.

Spearphishing con archivos adjuntos

Según la clasificación ATT&CK de MITRE, la técnica del spearphishing consiste en enviar correos electrónicos con un archivo malicioso o dañado adjunto. Lo más habitual es que los atacantes se apoyen también en la ingeniería social y en la ejecución por parte del usuario para llevar a cabo este tipo de ataque. Lo más normal es que incluya archivos ejecutables, documentos de MS Office, PDF o archivos comprimidos.

Explotación de servicios remotos

La categoría de explotación de servicios remotos incluye casos en los que los atacantes utilizan servicios vulnerables para acceder a los sistemas internos de una red corporativa. Normalmente, esto se realiza para el movimiento lateral dentro de la infraestructura. Los atacantes suelen dirigirse a los servidores, pero a veces también aprovechan las vulnerabilidades de otros endpoints, incluidos los equipos de trabajo.

Cómo proteger tu infraestructura frente a estas técnicas de ataque

El sitio web de MITRE ATT&CK enumera los métodos más eficaces que pueden utilizarse para neutralizar estas técnicas.

  • Para evitar automáticamente la participación involuntaria de un empleado en un ataque a la infraestructura de tu empresa, se recomienda utilizar soluciones de seguridad que permitan el control de aplicaciones, puedan bloquear los ataques a la red, comprobar la fiabilidad de los sitios web y analizar los archivos descargados. También es útil concienciar a los empleados sobre la seguridad, explicándoles las tácticas y técnicas modernas de los atacantes.
  • Los mismos mecanismos de protección son eficaces contra los archivos adjuntos maliciosos en los correos electrónicos. Para una mayor protección en tu sistema de correo electrónico corporativo, se recomienda utilizar las tecnologías SPF, DKIM y DMARC.
  • Las tecnologías de bloqueo de aplicaciones funcionan bien contra la explotación de servicios remotos. Sin embargo, hay ciertos pasos que deberían estar en los primeros puestos de tu lista de prioridades: se recomienda eliminar o desactivar todos los servicios remotos que no se utilicen, segmentar las redes y los sistemas, y minimizar el nivel de acceso y los permisos de las cuentas de servicio. También es necesario instalar a tiempo las actualizaciones de seguridad de los sistemas más críticos y utilizar soluciones de seguridad con capacidad de detección de estos comportamientos. Además, no está de más analizar periódicamente la red en busca de servicios potencialmente vulnerables y utilizar datos actualizados de Threat Intelligence.

En general, para proteger la infraestructura de tu empresa frente ataques complejos, debes contar con la ayuda de expertos externos, que pueden proteger tu infraestructura, investigar las alertas de seguridad y notificar sobre actividades peligrosas, así como proporcionar acciones de respuesta y recomendaciones.

Consejos