Actualmente los adversarios activos son una importante amenaza para las organizaciones de todos los tamaños. Estos ciberdelincuentes altamente cualificados continúan mejorando y desarrollando sus técnicas en respuesta a unas defensas superiores, ejecutando ataques a escala y empleando técnicas sofisticadas diseñadas específicamente para evitar la activación de las soluciones de seguridad preventivas.
Nos complace anunciar la incorporación de nuevas capacidades en las soluciones Sophos Firewall, Sophos XDR y Sophos NDR para ayudar a las organizaciones a defenderse aún más eficazmente frente a estos adversarios activos.
¿Qué son los adversarios activos y cómo operan?
Los adversarios activos son ciberdelincuentes altamente cualificados, muchas veces con sofisticadas habilidades en materia de software y redes, que obtienen acceso a los sistemas de las organizaciones, esquivan la detección y adaptan continuamente sus técnicas, sirviéndose de métodos manuales directos y asistidos por IA para eludir los controles de seguridad preventivos y ejecutar sus ataques.
Las organizaciones necesitan controles de seguridad adaptativos diseñados para detectar y responder a las estrategias comúnmente utilizadas por los adversarios activos:
Ataques de varias fases
Ataques que se inician en un punto y finalizan en otro distinto.
Los adversarios activos ejecutan ataques que cruzan múltiples dominios en todo el entorno de la víctima. Detectar el alcance total de estos ataques no es posible con un único producto independiente. Las organizaciones necesitan visibilidad en la totalidad de su ecosistema.
Ataques Living Off The Land (LotL)
Ataques que “viven de la tierra”, es decir, que utilizan herramientas legítimas de manera maliciosa.
Las herramientas de seguridad preventiva no pueden bloquear el uso de herramientas de TI legítimas sin el riesgo de provocar importantes alteraciones operativas. Los atacantes se aprovechan de esto y emplean herramientas de TI legítimas como RDP y PowerShell para pasar desapercibidos.
Vulnerabilidades desconocidas
Ataques que se aprovechan de un punto débil, un defecto o un error en el software.
Los atacantes explotan las vulnerabilidades sin parchear y de día cero para perpetrar sus ataques. El 65 % de los ataques de ransomware empiezan con un atacante que explota una vulnerabilidad desconocida o que inicia sesión usando credenciales legítimas.
Uso indebido de credenciales
Ataques que empiezan con un adversario que inicia sesión en lugar de acceder por la fuerza.
Los adversarios activos utilizan credenciales de usuarios legítimos comprometidas para iniciar sesión y ejecutar sus ataques. Las herramientas de seguridad preventivas no pueden bloquear ni detectar nada hasta que el “usuario” muestra algún comportamiento sospechoso y malicioso.
Nuestro nuevo Active Adversary Report for Security Practitioners (Informe sobre adversarios activos para profesionales de la seguridad) pone de relieve los cambios más importantes en el comportamiento de los adversarios durante el último año, por ejemplo:
- Los atacantes están acelerando. El tiempo de permanencia ha disminuido rápidamente de 9 días en 2022 a 5 días en el primer semestre de 2023.
- Los adversarios explotan herramientas de TI legítimas con frecuencia. Los LOLBin (binarios que “viven de la tierra”) y las técnicas que emplean los adversarios activos no varían mucho entre los ataques rápidos (menos de 5 días de permanencia) y los lentos (más de 5 días de permanencia).
- Los adversarios activos innovan cuando es imprescindible y solo lo justo para conseguir su objetivo.
En el informe se hace hincapié en que las organizaciones deben entender cómo se comportan los adversarios activos, además de obtener visibilidad de todo su ecosistema de seguridad a fin de poder detectar las amenazas rápidamente y de responder a ellas aún más deprisa.
¿Cuáles son las novedades?
Hemos añadido nuevas funciones a la plataforma de Sophos en Sophos XDR, Sophos Firewall y Sophos NDR para dar a las organizaciones aún más capacidad para defenderse de los adversarios activos:
Sophos Firewall, ahora con Respuesta a amenazas activas
Ya disponible
La nueva función Respuesta a amenazas activas de Sophos Firewall V20 da una respuesta instantánea y automatizada a los adversarios activos. Los analistas de Sophos XDR y MDR pueden enviar información sobre amenazas directamente desde Sophos Central, lo que permite a los firewalls coordinar sus defensas de forma inmediata sin necesidad de intervención manual ni nuevas reglas de firewall.
Sophos NDR, ya disponible para XDR
Disponibilidad general: 20 de noviembre de 2023
Sophos Network Detection and Response (NDR) detecta los adversarios activos que se mueven por las redes de las organizaciones entre dispositivos. Sophos NDR, que anteriormente solo estaba disponible como complemento de Sophos MDR, ahora está disponible como complemento de Sophos XDR para aquellas organizaciones que gestionan sus propias actividades de detección y respuesta.
Sophos XDR, ahora con mayor compatibilidad con terceros y una experiencia de usuario optimizada
Disponibilidad general: 20 de noviembre de 2023
Hemos ampliado significativamente la gama de herramientas y productos de terceros que los clientes pueden integrar con Sophos XDR en las categorías de endpoints, firewalls, la nube, identidades, redes, correo electrónico y productividad. Sophos XDR consolida los datos de seguridad y proporciona una única consola desde la que pueden trabajar los clientes, con flujos optimizados que reducen su carga de trabajo de investigación.
Productos independientes frente a productos y servicios conectados que funcionan de forma conjunta
Los atacantes continúan adaptando sus técnicas, lo que conlleva la introducción de nuevos productos independientes para defenderse de estas nuevas estrategias. Sin embargo, las herramientas dispares no suelen comunicarse bien entre ellas. Sophos ofrece una plataforma unificada que incorpora un amplio catálogo de productos y servicios de ciberseguridad diseñados para funcionar juntos con la máxima eficiencia. Además, el ecosistema conectado de Sophos, compatible con tecnologías de terceros, proporciona acciones automatizadas y datos correlacionados, lo que permite a las organizaciones detectar, investigar y responder a los adversarios activos más rápido en todas las superficies de ataque claves.
Refuerce las defensas de sus clientes contra los adversarios activos
Para obtener más información y entender cómo las soluciones de Sophos pueden ayudar a sus clientes a defenderse mejor de los adversarios activos, consulte la documentación actualizada de Sophos XDR, Sophos NDR y Sophos Firewall en el Portal para Partners de Sophos.