16.2.15

Los 8 Ciberataques más comunes que enfrentan las empresas

Cada vez más las empresas están permanentemente sujetas a amenazas externas que ponen en riesgo la seguridad de sus datos y por ende su negocio. Una estación de trabajo que realiza solicitudes de autenticación al controlador de dominios a las dos de la mañana puede ser una actividad normal, pero también puede ser una señal de un elemento malicioso que pueda poner en riesgo los datos de la empresa. Situaciones cotidianas como estas suceden a cada minuto y obligan a las empresas a establecer reglas y estrategias de protección para no poner su negocio en riesgo.

Según el reciente estudio de Intel Security, denominado “Cuando los minutos cuentan”, el 74 % de los encuestados informó que las intrusiones dirigidas son una de las principales preocupaciones en sus organizaciones. Por eso muestran una preocupación constante por mejorar las prácticas y estrategias de respuesta a incidentes actualizando sus herramientas de análisis y aplicando inteligencia de análisis en tiempo real. Tomando en cuenta el trabajo realizado por esas empresas, el informe citado establece cuáles fueron las 8 actividades de ataque más comunes detectados y bloqueados a tiempo por las empresas durante el último año. Estos son:

  1. Servidores internos que establecen comunicaciones con destinos peligrosos conocidos o con un país extranjero con el que la organización no está asociada.
  2. Servidores internos que establecen comunicaciones con otros externos a través de puertos no estándar o discrepancias de protocolos/puertos, como el envío de shells de comandos (SSH) en lugar de tráfico HTTP por el puerto 80, el puerto web predeterminado.
  3. Hosts de acceso público o zona desmilitarizada (DMZ, demilitarizedzone) que establecen comunicaciones con hosts internos. Esto habilita los saltos de afuera hacia adentro y de nuevo hacia afuera, lo que permite el filtrado de datos y el acceso remoto a los activos. De este modo se neutraliza el valor de la DMZ.
  4. Detección tardía de malware. Las alertas que se detectan fuera del horario estándar de la empresa (durante la noche o el fin de semana) pueden ser indicadores de que un host corre riesgo.
  5. Los análisis de red realizados a través de hosts internos que establecen comunicaciones con diversos hosts en un período corto, que pueden revelar a un delincuente que se mueve de manera lateral por la red. Las defensas del perímetro de red, como firewall e IPS, no suelen configurarse para supervisar el tráfico de la red interna (aunque pueden configurarse).
  6. Varios eventos de alarma de un único host o eventos duplicados en diversos equipos en la misma subred en un período de 24 horas, como fallas de autenticación repetidas.
  7. Luego de limpiarse, un sistema se infecta nuevamente con malware en cinco minutos; las infecciones repetidas indican la presencia de un rootkit o un riesgo persistente.
  8. Un usuario intenta iniciar sesión en diversos recursos en pocos minutos desde diferentes regiones; es un indicador de que se han robado las credenciales del usuario o el comportamiento del usuario es indebido.  
"Con la posibilidad de acelerar la capacidad de detectar, responder y aprender de los eventos, las organizaciones pueden cambiar por completo su postura de seguridad y ser el ‘cazador’ en lugar del ‘cazado’".