El 72% del malware cifrado es clasificado como de ataque ‘Zero Day’
El tráfico encriptado de datos es un estándar hoy en día. Según estimaciones de Gartner, más del 80% del tráfico web de las empresas debía haberse cifrado en 2019. La encriptación de datos busca que el intercambio de datos sea más seguro, ya que están protegidos y cumplen con el Reglamento General de Protección de Datos. No obstante, también tiene su parte negativa: el tráfico cifrado es ya uno de los mayores nichos de actuación del cibercrimen.
Tal y como señala el Informe de Seguridad en Internet de WatchGuard Technologies, durante el primer trimestre de 2020, el 67% del malware fue cifrado – es decir, se entregó a través de protocolos HTTPS –. Y no solo eso, sino que el 72% del malware cifrado fue clasificado como de día cero, de manera que no existe una firma de antivirus que lo frene, volviéndose más indetectable para las organizaciones. Estos datos van en consonancia con las predicciones de Gartner, quien asegura que durante 2020 los ataques de malware que recurrirán al cifrado serán del 70%.
“Los ataques de día cero, o ‘ataques Zero Day’, aprovechan la ventana de oportunidad producida por vulnerabilidades recién descubiertas que aún no han sido reparadas o que ellos mismos han identificado primero, por lo que son extremadamente peligrosos para cualquier corporación”, explica María Campos, VP de Cytomic, unidad de Panda. “Los hackers actúan de manera rápida y ágil, y hacer frente a estas amenazas no es posible con las herramientas de ciberseguridad tradicionales. Hay que ir un paso más allá y contar con una barrera de protección adicional y puntera”, añade.
Para minimizar y mitigar las amenazas procedentes de malware cifrado día cero, hay una serie de consejos que los equipos de IT y analistas deben tener en cuenta a la hora de planificar la ciberseguridad de su organización:
- Es necesario que las organizaciones cuenten con soluciones avanzadas de detección y de respuesta basadas en el comportamiento; así como incluir la inspección del protocolo HTTPS como requisito indispensable en todas las estrategias.
- Estas estrategias deben incluir servicios de seguridad multicapa que actúen en todos los endpoints. Además, estos servicios y soluciones deben estar basados o ejecutarse en el cloud, para que los procesos de triaje, investigación y reacción sean inmediatos y efectivos.
- A la hora de detener la actividad de este tipo de malware, las herramientas han de utilizar técnicas de inteligencia artificial, machine learning e inteligencia de amenazas con las que buscar patrones de comportamiento sospechosos. Como resultado del análisis obtenido, deben ser capaces de generar una alerta de aviso que priorice según la gravedad de la amenaza y que contenga toda la información necesaria para una actuación más ágil.
- Contar con soluciones que puedan acelerar sus investigaciones, como es el caso de Cytomic Orion, la solución cloud de Threat Hunting e Incident Response de Cytomic, y que incorporen Jupyter Notebooks para una búsqueda efectiva de amenazas, actúen sobre el endpoint de forma inmediata y que permitan la compartición de conocimiento entre analistas.