Los ataques cibernéticos que explotan brechas en la infraestructura de la nube, para robar credenciales, identidades y datos, se dispararon en 2022, creciendo un 95 %, y los casos que involucran a actores de amenazas “conscientes de la nube” se triplicaron año tras año. Eso es según multitud de huelgas 2023 Informe de amenazas globales.
El informe encuentra que los malos actores se alejan de la desactivación de las tecnologías de antivirus y firewall, y de los esfuerzos de manipulación de registros, buscando en cambio “modificar los procesos de autenticación y las identidades de ataque”, concluye.
Hoy, las identidades están bajo asedio a través de un vasto paisaje de amenazas. ¿Por qué las identidades y las credenciales de acceso privilegiado son los objetivos principales? Es porque los atacantes quieren convertirse acceso corredores y vender información robada a granel a precios elevados en la dark web.
El informe de CrowdStrike proporciona una mirada aleccionadora sobre la rapidez con la que los atacantes se reinventan como intermediarios de acceso y cómo crecen sus filas. El informe encontró un aumento del 20% en la cantidad de adversarios que persiguen campañas de extorsión y robo de datos en la nube, y el mayor aumento en la cantidad de adversarios: 33 nuevos encontrados en solo un año. Prolífico Disperso Araña y los atacantes de Slippery Spider están detrás muchos recientes alto-ataques de perfil en empresas de telecomunicaciones, BPO y tecnología.
Los ataques están estableciendo nuevos récords de velocidad
Los atacantes se están transformando digitalmente más rápido de lo que las empresas pueden seguir, volviendo a armar y explotando vulnerabilidades rápidamente. CrowdStrike descubrió que los actores de amenazas eludían los parches y eludían las mitigaciones durante todo el año.
El informe establece que “el equipo de CrowdStrikeFalcon OverWatch mide el tiempo de ruptura: el tiempo que tarda un adversario en moverse lateralmente, desde un host inicialmente comprometido a otro host dentro del entorno de la víctima. El tiempo de ruptura promedio para la actividad de intrusión interactiva de eCrime disminuyó de 98 minutos en 2021 a 84 minutos en 2022”.
Los CISO y sus equipos deben responder más rápidamente, ya que la ventana de tiempo de ruptura se acorta, para minimizar los costos y los daños secundarios causados por los atacantes. CrowdStrikes aconseja a los equipos de seguridad que cumplan con la regla 1-10-60: detectar amenazas en el primer minuto, comprender las amenazas en 10 minutos y responder en 60 minutos.
Los corredores de acceso convierten las identidades robadas en bestsellers
Los corredores de acceso están creando un negocio próspero en la web oscura, donde comercializan credenciales e identidades robadas a los atacantes de ransomware de forma masiva. multitud de huelgas muy estimado Inteligencia Equipo encontró que el gobierno, los servicios financieros y las organizaciones industriales y de ingeniería tenían el precio de venta promedio más alto para el acceso. El acceso al sector académico tuvo un precio promedio de $3.827, mientras que el gobierno tuvo un precio promedio de $6.151.
A medida que ofrecen ofertas masivas de cientos a miles de identidades robadas y credenciales de acceso privilegiado, los corredores de acceso utilizan la técnica de “una subasta de acceso único”, según el equipo de inteligencia de CrowdStrike. El equipo escribe: “Los métodos de acceso utilizados por los corredores se han mantenido relativamente constantes desde 2021. Una táctica frecuente consiste en abusar de credenciales comprometidas que se adquirieron a través de ladrones de información o se compraron en tiendas de troncos en la clandestinidad criminal”.
Los corredores de acceso y las casas de bolsa que han creado son negocios ilegales en auge. El informe encontró más de 2500 anuncios de corredores de acceso que ofrecían a la venta credenciales e identidades robadas. Eso es un aumento del 112% desde 2021.
El equipo de inteligencia de CrowdStrike elabora el informe basado en un análisis de los billones de eventos diarios recopilados del multitudhuelga plataforma halcóny percepciones de multitudhuelga Supervisión del halcón.
Los hallazgos amplían los hallazgos previos de multitud de huelgas Informe de búsqueda de amenazas de Falcon OverWatch que encontró atacantes, bandas de ciberdelincuentes y avanzado amenazas persistentes (APT) están cambiando a la actividad de intrusión libre de malware que representa hasta el 71% de todas las detecciones indexadas en el multitudhuelga gráfico de amenazas.
Ataques a la infraestructura de la nube que comienzan en el punto final
La evidencia sigue mostrando computación en la nube creciendo como el patio de recreo para los malos actores. La explotación de la nube creció un 95 %, y la cantidad de casos que involucran a actores de amenazas “conscientes de la nube” casi se triplicó año tras año, según las medidas de CrowdStrike.
“Cada vez hay más pruebas de que los adversarios se están volviendo más seguros al aprovechar los puntos finales tradicionales para pasar a la infraestructura de la nube”, escribió el equipo de inteligencia de CrowdStrike, lo que indica un cambio en las estrategias de ataque del pasado. El informe continúa, “lo contrario también es cierto: la infraestructura de la nube se utiliza como puerta de entrada a los puntos finales tradicionales”.
Una vez que un endpoint ha sido comprometido, los atacantes a menudo van tras el corazón de un la seguridad cibernética pila tecnológica, comenzando con identidades y credenciales de acceso privilegiado y eliminando el acceso a la cuenta. Luego, a menudo pasan a la destrucción de datos, la eliminación de recursos y la interrupción o destrucción del servicio.
Los atacantes están volviendo a armar y reexplotando vulnerabilidades, comenzando con CVE-2022-29464, que permite la ejecución remota de código y la carga de archivos sin restricciones. El mismo día que la vulnerabilidad que afecta a múltiples WSO2 productos fue revelado, el código de explotación estaba disponible públicamente. Los adversarios no tardaron en aprovechar la oportunidad.
Supervisión del halcón amenaza cazadores comenzó a identificar múltiples incidentes de explotación en los que los adversarios emplean tácticas, técnicas y procedimientos (TTP) orientados a la infraestructura consistentes con la actividad del nexo con China. El equipo de Falcon OverWatch descubrió que los atacantes están recurriendo a filtraciones exitosas en la nube para identificar y comprometer los activos de TI tradicionales.
CrowdStrike se duplica en CNPP
La paridad competitiva con los atacantes es esquiva y de corta duración en la seguridad de la nube. Todos los principales proveedores de ciberseguridad son muy conscientes de la rapidez con la que los atacantes pueden innovar, desde Palo Alto Networks dice cuán valiosos son los datos de ataque para la innovación al fundador y CEO de Mandiant advirtiendo que los atacantes innovarán más que un negocio seguro al estudiándolo implacablemente durante meses.
Ninguna llamada de ventas o presentación ejecutiva a un CISO está completa sin una llamada para una mejor gestión de la postura de seguridad en la nube y un enfoque más práctico para gestión de identidad y acceso (IAM)mejora de la gestión de derechos de infraestructura en la nube (CIEM) y la posibilidad de consolide las pilas tecnológicas mientras mejora la visibilidad y reduce los costos.
Esos factores y más impulsaron a CrowdStrike a acelerar la expansión de su plataforma de protección de aplicaciones nativas en la nube (CNAPP) a tiempo para su evento de clientes Fal.Con en 2022. La empresa no está sola aquí. Varios proveedores líderes de ciberseguridad han asumido el ambicioso objetivo de mejorar sus capacidades de CNPP para mantenerse al día con la nueva complejidad de las configuraciones multinube de las empresas. Los proveedores con CNPP en sus hojas de ruta incluyen Agua Seguridadhuelga de multitudes, encaje, orca Seguridad, palo Alto Redes, rápido7 y Tendencia Micro.
Para CrowdStrike, el camino a seguir se basa en una variedad de herramientas innovadoras.
“Una de las áreas en las que hemos sido pioneros es que podemos tomar señales débiles de diferentes puntos finales. Y podemos vincularlos para encontrar detecciones novedosas”, dijo el cofundador y director ejecutivo de CrowdStrike, George Kurtz, a la audiencia principal en el Fal.Con anual de la compañía evento el año pasado.
“Ahora estamos extendiendo eso a nuestros socios externos para que podamos observar otras señales débiles no solo en los puntos finales sino también en todos los dominios y llegar a una detección novedosa”, dijo.
Lo que es digno de mención sobre el desarrollo es cómo los equipos de ingeniería y DevOps de CrowdStrike agregaron nuevas capacidades de CNAPP para Multitud de huelgas en la nube Seguridad al mismo tiempo que incluye nuevas funciones CIEM y la integración de CrowdStrike Asset Graph. Amol Kulkarnidirector de producto e ingenieríadijo a VentureBeat que CrowdStrike Asset Graph proporciona visualización de activos en la nube y explicó cómo CIEM y CNAPP pueden ayudar a los equipos de ciberseguridad a ver y proteger las identidades y los derechos de la nube.
Kulkarni se ha fijado el objetivo de optimizar las implementaciones en la nube y realizar consultas puntuales en tiempo real para una respuesta rápida. Eso significa combinar Asset Graph con CIEM para permitir consultas analíticas más amplias para la gestión de activos y la optimización de la postura de seguridad. En una conferencia el año pasado, demostró cómo dichas herramientas pueden proporcionar una visibilidad completa de los ataques y prevenir amenazas automáticamente en tiempo real.
Los objetivos de diseño clave de CrowdStrike incluían hacer cumplir el acceso de privilegios mínimos a las nubes y proporcionar detección y reparación continuas de amenazas de identidad. Scott Fanning, director sénior de gestión de productos, seguridad en la nube en CrowdStrike, le dijo a VentureBeat que el objetivo es prevenir las amenazas basadas en la identidad que resultan de derechos de nube configurados incorrectamente en múltiples proveedores de servicios de nube pública.
La misión de VentureBeat es ser una plaza pública digital para que los responsables de la toma de decisiones técnicas adquieran conocimientos sobre tecnología empresarial transformadora y realicen transacciones. Descubre nuestras sesiones informativas.