El servicio Kaspersky Managed Detection and Response (MDR) permite que las empresas refuercen sus equipos de seguridad mediante la supervisión externa de la infraestructura de la empresa durante las 24 horas del día. De acuerdo con un informe de los analistas del MDR publicado recientemente, en 2021 el servicio procesó unas 414,000 alertas de seguridad, lo que dio lugar a 8,479 incidentes notificados a los clientes. Al analizar esos incidentes, nuestros expertos del SOC identificaron las técnicas de ataque más comunes según la clasificación ATT&CK de MITRE. Acto seguido, calcularon la parte proporcional de incidentes que se realizan con estas técnicas respecto al número total y obtuvieron las tres más frecuentes.
Ejecución por parte del usuario
Esta categoría incluye todos los incidentes en los que el atacante se vale de las acciones de un usuario dentro de la infraestructura. Es decir, son los casos en los que los atacantes obligan a un empleado a hacer clic en un enlace malicioso, o a abrir un archivo adjunto en un correo electrónico. Este grupo también incluye incidentes en los que un usuario (engañado) da al atacante acceso remoto a los recursos de la empresa.
Spearphishing con archivos adjuntos
Según la clasificación ATT&CK de MITRE, la técnica del spearphishing consiste en enviar correos electrónicos con un archivo adjunto malicioso. Lo más habitual es que los atacantes se apoyen también en la ingeniería social y en la ejecución por parte del usuario para llevar a cabo este tipo de ataque. Por lo general, se incluyen archivos ejecutables, documentos de MS Office, PDF o archivos comprimidos.
Explotación de servicios remotos
La categoría de explotación de servicios remotos incluye casos en los que los atacantes utilizan servicios vulnerables para acceder a los sistemas internos de una red corporativa. Normalmente, esto se realiza para el movimiento lateral dentro de la infraestructura. Los atacantes suelen dirigirse a los servidores, pero a veces también aprovechan las vulnerabilidades de otros endpoints, incluidas las estaciones de trabajo.
Cómo proteger tu infraestructura frente a estas técnicas de ataque
El sitio web de MITRE ATT&CK enumera los métodos más eficaces que pueden utilizarse para neutralizar estas técnicas.
- Para evitar automáticamente la participación involuntaria de un empleado en un ataque a la infraestructura de tu empresa, se recomienda utilizar soluciones de seguridad que permitan el control de aplicaciones, puedan bloquear los ataques a la red, comprobar la fiabilidad de los sitios web y analizar los archivos descargados. También es útil concienciar a los empleados sobre la seguridad, explicándoles las tácticas y técnicas modernas de los atacantes.
- Los mismos mecanismos de protección son eficaces contra los archivos adjuntos maliciosos en los correos electrónicos dirigidos. Para una mayor protección en tu sistema de correo electrónico corporativo, se recomienda utilizar las tecnologías SPF, DKIM y DMARC.
- Las tecnologías de bloqueo de aplicaciones funcionan bien contra la explotación de servicios remotos. Sin embargo, hay ciertos pasos que deberían estar en los primeros puestos de tu lista de prioridades: se recomienda eliminar o desactivar todos los servicios remotos que no se utilicen, segmentar las redes y los sistemas, y minimizar el nivel de acceso y los permisos de las cuentas de servicio. También es necesario instalar a tiempo las actualizaciones de seguridad de los sistemas más críticos y utilizar soluciones de seguridad con capacidad de detección de estos comportamientos. Asimismo, no está de más analizar periódicamente la red en busca de servicios potencialmente vulnerables y utilizar datos actualizados de Threat Intelligence.
En general, para proteger la infraestructura de tu empresa frente ataques complejos, debes contar con la ayuda de expertos externos, que puedan proteger tu infraestructura, investigar las alertas de seguridad y notificar sobre actividades peligrosas, así como proporcionar acciones de respuesta y recomendaciones.