Blog

Los expertos en seguridad de Microsoft analizan las amenazas en evolución en un chat de mesa redonda - Blog de seguridad de Microsoft

No sé ustedes, pero todavía estamos recuperando el aliento después de 2022. Microsoft Security bloqueó más de 70 000 millones de correo electrónico y amenazas de identidad el año pasado.1 En el mismo lapso de 12 meses, los ataques de ransomware afectaron a más de 200 grandes organizaciones solo en los Estados Unidos, que abarca el gobierno, la educación y la atención médica.2 Con estadísticas como esas, proporcionar una plataforma para compartir conocimientos de seguridad y experiencia de primera mano se siente como una necesidad.

Con ese objetivo en mente, Microsoft ha lanzado un nuevo tipo de seminario web sobre seguridad "para expertos, por expertos".La nueva serie de mesas redondas de expertos en seguridad servirá como una plataforma de video accesible para que los defensores cibernéticos aprendan sobre algunas de las amenazas más recientes mientras obtienen una visión general del panorama de la seguridad cibernética.Nuestro episodio inaugural se emitió el 25 de enero de 2023, con un panel de expertos compuesto por: máquina de pintura ultravioleta

Los expertos en seguridad de Microsoft analizan las amenazas en evolución en un chat de mesa redonda - Blog de seguridad de Microsoft

Este episodio también presenta una aparición especial de Rachel Chernaskey, directora del Centro de análisis de amenazas digitales de Microsoft, quien habla sobre las operaciones de influencia cibernéticas.Presento una entrevista remota especial con Mark Simos, arquitecto principal de ciberseguridad en Microsoft, sobre cómo comunicarse de manera efectiva con su junta directiva sobre ciberseguridad.También hablamos con Peter Anaman, director e investigador principal de la Unidad de Delitos Digitales de Microsoft sobre el seguimiento de los delitos cibernéticos globales, y tenemos una entrevista especial con Myrna Soto, directora ejecutiva (CEO) y fundadora de Apogee Executive Advisors, sobre el estado de Ciberseguridad en el sector manufacturero.

En diciembre de 2020, Microsoft investigó un nuevo atacante de estado-nación ahora conocido como Nobelium que se convirtió en una amenaza de seguridad cibernética global.3 Al año siguiente, la pandilla de piratas informáticos Lapsus pasó a ser el centro de atención con campañas de ingeniería social y extorsión a gran escala dirigidas contra múltiples organizaciones. .4 Esos grupos de amenazas todavía están activos, pero 2022 vio una desaceleración en sus ataques.“No tuvimos demasiados eventos de víctimas masivas de alto perfil”, señala Ping.“Pero vimos una continuación del ransomware, los compromisos de identidad y los ataques centrados en los puntos finales”.

El ecosistema de ransomware como servicio (RaaS) ha seguido creciendo.5 Jeremy destaca a DEV-0401, también conocido como Bronze Starlight o Emperor Dragon, como un actor de amenazas con sede en China que "cambió sus cargas útiles a LockBit 2.0, desarrollando su tecnología y emergiendo algunos de sus oficios para evadir la detección y apuntar a nuestros clientes de manera más prolífica”. 6 Jeremy también llama a DEV-0846 como proveedor de ransomware personalizado, 7 así como a Iridium de Rusia como una fuente de ataques continuos contra el transporte y la logística. industrias en Ucrania y Polonia.8 También cita al actor con sede en Rusia DEV-0586 que usa ransomware como una artimaña para apuntar a los clientes, y luego sigue con ataques destructivos de "limpiador" de datos.9

En su puesto como Director de Microsoft Defender Experts, Ryan aporta una perspectiva única sobre el cambiante panorama de las amenazas.10 "Ha habido una proliferación de actividades de robo de credenciales, en gran parte derivadas de ataques de adversarios en el medio".Señala que este tipo de ataque “subraya la importancia de tener una estrategia de detección y caza que vaya más allá del endpoint;por ejemplo, en el espacio de correo electrónico e identidad”.

“Los compromisos de identidad han ido en aumento”, coincide Ping.“Los atacantes simplemente se están aprovechando de cualquier vector de entrada que cualquier cliente tenga en su entorno.Por lo tanto, es muy importante que los clientes ejerzan una buena higiene de seguridad básica”.Ella enfatiza que los defensores deben pensar en su entorno como un todo orgánico, en lugar de partes separadas.“Si tiene algo que toca el mundo externo (controladores de dominio, correo electrónico), todos esos son posibles vectores de entrada por parte de los atacantes”.En resumen, protegerse contra las amenazas en constante evolución de hoy (y mañana) requiere adoptar un enfoque integral de Zero Trust para la seguridad.11

Las operaciones de influencia cibernéticas no ocupan los titulares como lo hacen los ataques de ransomware, pero sus efectos son más perniciosos.En este tipo de delito cibernético, un actor nacional o no estatal busca cambiar la opinión pública o cambiar el comportamiento a través de medios subversivos en línea.En la charla de Jeremy con Rachel, ella explica cómo se desarrollan este tipo de ataques en tres fases:

Los actores de influencia más prolíficos están etiquetados como manipuladores persistentes avanzados (APM).Rachel usa la analogía de que "las APM son para el espacio de la información lo que las APT (amenazas persistentes avanzadas) son para el ciberespacio".Las APM suelen ser actores del estado-nación, aunque no siempre.Cada vez más, el Centro de Análisis de Amenazas Digitales de Microsoft (DTAC) ve a actores no estatales o del sector privado empleando las mismas técnicas de influencia.De esta manera, un actor de amenazas que realice un ciberataque exitoso podría reutilizar esa capacidad para operaciones de influencia posteriores.

Rachel explica cómo DTAC usa el "modelo de cuatro M:" mensaje, mensajero, medio y método.El mensaje es solo la retórica o el contenido que un actor busca difundir, que generalmente se alinea con los objetivos geopolíticos del estado-nación.Los mensajeros incluyen las personas influyentes, la correspondencia y los medios de propaganda que amplifican el mensaje en el entorno digital.Los medios son las plataformas y tecnologías utilizadas para difundir el mensaje, siendo el video el más efectivo.Y, por último, los métodos consisten en cualquier cosa, desde una operación de pirateo y filtración hasta el uso de bots o propaganda computacional, o elementos del mundo real como el compromiso político de partido a partido.

Entonces, ¿por qué las organizaciones privadas deberían preocuparse por las operaciones de influencia cibernética?“Las operaciones de influencia buscan intrínsecamente sembrar desconfianza, y eso crea desafíos entre las empresas y los usuarios”, explica Rachel.“Cada vez más, nuestro equipo está analizando el nexo entre los ataques cibernéticos y las operaciones de influencia posteriores para comprender el panorama completo y combatir mejor estas amenazas digitales”.

La Unidad de Delitos Digitales de Microsoft (DCU) consta de un equipo interdisciplinario global de abogados, investigadores, científicos de datos, ingenieros, analistas y profesionales de negocios.12 La DCU está comprometida a combatir el delito cibernético a nivel mundial mediante la aplicación de tecnología, acciones, referencias criminales, asociaciones públicas y privadas, y la asistencia decidida de 8,500 investigadores e ingenieros de seguridad de Microsoft.La DCU se centra en cinco áreas clave: Business Email Compromise (BEC), Ransomware, Malware, Tech Support Fraud y Malicious Use of Microsoft Azure.Según Peter Anaman, director e investigador principal de DCU, sus investigaciones revelan que los ciberdelincuentes se están alejando de un enfoque de "rociar y rezar" hacia el modelo como servicio.Junto con el ransomware, los ciberdelincuentes están ampliando sus servicios minoristas a nuevas áreas, como el phishing como servicio (PhaaS) y la denegación de servicio distribuida (DDoS).

Los actores de amenazas incluso han creado herramientas especializadas para facilitar BEC, incluidos kits de phishing y listas de direcciones de correo electrónico verificadas dirigidas a roles específicos, como líderes de C-suite o empleados de cuentas por pagar.Como parte del servicio, el vendedor diseñará la plantilla de correo electrónico e incluso borrará las respuestas para asegurarse de que sean válidas.“Todo por un modelo de suscripción de unos 200 dólares al mes”, explica Peter.La evidencia de investigación de la DCU ha observado un aumento de más del 70 por ciento en estos servicios.1 “Estamos descubriendo que hay un mayor número de personas que están cometiendo estos delitos.Tienen un mayor conocimiento sobre diferentes tecnologías y plataformas en línea que podrían usarse como parte del vector [de ataque]”.

Independientemente del tipo de delito cibernético, DCU persigue a los actores de amenazas ejecutando tres estrategias principales:

Además del arresto y el enjuiciamiento, DCU disuade el delito cibernético al interrumpir la infraestructura técnica utilizada por los delincuentes, lo que les hace perder sus inversiones.En 2022, DCU ayudó a eliminar más de 500 000 direcciones URL de phishing únicas alojadas fuera de Microsoft, al mismo tiempo que interrumpía la infraestructura técnica de los ciberdelincuentes, como máquinas virtuales, correo electrónico, nombres de dominio homoglifos y sitios web públicos de blockchain.

DCU también trabaja con Microsoft DART para recopilar inteligencia y compartirla con otros profesionales de la seguridad.Algunos de esos indicadores (una URL, un nombre de dominio o un correo electrónico de phishing) pueden ayudar en futuras investigaciones.“Esa inteligencia [que recopilamos] retroalimenta nuestros modelos de aprendizaje automático”, explica Peter.“Si esa página o kit de phishing se usa nuevamente, habrá mejores medidas para bloquearlo en la puerta, por lo que nuestros sistemas de monitoreo se fortalecen con el tiempo”.

Cuando se le preguntó qué puede hacer una organización para protegerse, Peter sugiere ceñirse a tres conceptos básicos de ciberseguridad.Primero: “Utilice la autenticación multifactor”, subraya.“El noventa por ciento de [los ataques] podrían haberse detenido simplemente con una autenticación multifactorial”.Segundo: “Practica la higiene [cibernética].No hagas clic en enlaces simplemente porque crees que proviene de un amigo”.La higiene cibernética incluye la instalación de todos los parches de software y actualizaciones del sistema tan pronto como estén disponibles.Y tercero: “Realmente estás viendo el modelo Zero Trust”, dice Peter.“Hacer cumplir el [acceso] de privilegios mínimos” para que las personas solo tengan acceso a la información que necesitan.Consejo adicional: "Asegúrese de tener el mismo nivel de seguridad en su correo electrónico personal que tiene en su trabajo [correo electrónico]".

En este segmento, tengo la oportunidad de hablar con una de mis personas favoritas en Microsoft.Mark Simos es Arquitecto Principal de Ciberseguridad, Microsoft (y supergenio de PowerPoint) con más de dos décadas de experiencia, por lo que sabe algo sobre cómo tratar con una junta directiva.Ya sea que trabaje para una empresa pública o privada, la junta es responsable de la supervisión.Eso significa asegurarse de que el equipo de liderazgo no solo administre el negocio sino también los riesgos.Y el cibercrimen es uno de los mayores riesgos a los que se enfrenta la organización actual.

Pero para que la junta comprenda el posicionamiento de seguridad de la organización, deben comprender cómo se relaciona con el negocio.A diferencia de lidiar con las finanzas, los asuntos legales o la gestión de personas, la ciberseguridad es un área nueva para muchos miembros de la junta.Según Mark, una gran parte de ganarlos es “asegurarse de que los miembros de la junta entiendan que la seguridad cibernética no es solo un problema técnico que debe resolverse, revisarse y seguir adelante.Es un riesgo continuo”.

En nuestra charla, Mark expone tres cosas básicas que la junta debe saber:

Mark proporciona una gran cantidad de recursos gratuitos a los que puede acceder en cualquier momento en Mark's List.13 Además, hay un taller para directores de seguridad de la información (CISO) disponible como videos públicos y como un taller en vivo de Microsoft Unified (anteriormente Premier Support).El taller proporciona una gran cantidad de material para ayudar a acelerar una relación productiva con su directorio, que incluye:

A menudo, los miembros de la junta no consideran que las decisiones de seguridad las puedan tomar los propietarios de los activos, no solo los equipos de seguridad.Mark sugiere enfatizar el aspecto holístico de la seguridad cibernética como un diferenciador de las preocupaciones típicas de las unidades de negocios.“Con la seguridad, no importa dónde esté la fuga en el barco;todavía se va a hundir”, dice.“Entonces, es muy importante que la gente trabaje en equipo y reconozca que 'no solo acepto el riesgo por mí;Lo estoy aceptando para todos'”.

Para el último segmento del seminario web, invitamos a un experto a opinar sobre uno de los segmentos de la industria más atacados en todo el mundo: la fabricación.Myrna Soto es directora ejecutiva y fundadora de Apogee Executive Advisors, y miembro del directorio de empresas destacadas como Headspace Health, CMS Energy, Banco Popular, Spirit Airlines y muchas más.La seguridad cibernética en el sector manufacturero conlleva una urgencia adicional porque muchas de estas entidades son parte de la infraestructura crítica de la nación, ya sea que se trate de la fabricación de productos farmacéuticos, el apoyo al transporte o la alimentación de la red eléctrica.

La fábrica inteligente ha introducido más automatización en el ecosistema de fabricación, creando nuevas vulnerabilidades.“Uno de los mayores desafíos es la cantidad de conexiones de terceros”, explica Myrna.“Se relaciona con cómo las entidades interactúan entre sí;cómo ciertas empresas han separado o no sus redes de Internet de las cosas (IoT)”.Myrna señala que la cadena de suministro nunca es administrada de manera integral por una sola entidad, lo que significa que esas interacciones con terceros son fundamentales.Ella menciona la capacidad de cifrar ciertos datos en las comunicaciones de máquina a máquina como una parte crucial para asegurar un ecosistema de fabricación interconectado.“La capacidad de comprender dónde se encuentran los activos en el ecosistema es uno de los componentes clave que necesita atención”, señala.

Con la perspectiva de la pérdida de propiedad intelectual, la interrupción de la infraestructura crítica, junto con los riesgos para la salud y la seguridad, Myra considera que la fabricación es un área en la que los equipos de seguridad y los miembros de la junta deben trabajar juntos con urgencia.Le pedí que me ofreciera algunas ideas extraídas del tiempo que pasó al otro lado de la mesa, en particular lo que no se debe hacer.“Probablemente lo más molesto es la tendencia a proporcionarnos una avalancha de datos sin el contexto empresarial adecuado”, relata.“He visto mi parte de gráficos sobre detecciones de malware, gráficos sobre penetraciones de red.Eso es difícil de entender para la mayoría de los miembros de la junta que no son técnicos”.

Asegúrese de ver el episodio completo de la mesa redonda de expertos en seguridad.Haremos uno de estos cada dos meses hasta que nos saquen del escenario, así que recuerda inscribirte en nuestro episodio de mayo.Antes de terminar por hoy, me gustaría invitarlo a unirse a nosotros el 28 de marzo de 2023 para un evento completamente nuevo: Microsoft Secure.Este evento reunirá a una comunidad de defensores, innovadores y expertos en seguridad en un entorno donde podremos compartir conocimientos, ideas y habilidades del mundo real para ayudar a crear un mundo más seguro para todos.¡Regístrese hoy y nos vemos allí!

Para obtener más información sobre ciberseguridad y lo último sobre inteligencia de amenazas, visite Microsoft Security Insider.

Para obtener más información sobre las soluciones de seguridad de Microsoft, visite nuestro sitio web.Marque el blog de seguridad para mantenerse al día con nuestra cobertura de expertos en asuntos de seguridad.Además, síganos en LinkedIn (Microsoft Security) y Twitter (@MSFTSecurity) para conocer las últimas noticias y actualizaciones sobre ciberseguridad.

1Informe de defensa digital de Microsoft 2022, Microsoft.2022.

2Ransomware afecta a más de 200 organizaciones gubernamentales, educativas y sanitarias en 2022, Ionut Ilascu.2 de enero de 2023.

3La caza del NOBELIUM, el ataque a un estado-nación más sofisticado de la historia, John Lambert.10 de noviembre de 2021.

4DEV-0537 actor criminal dirigido a organizaciones para exfiltración y destrucción de datos, Microsoft Threat Intelligence Center.22 de marzo de 2022.

5Ransomware como servicio: comprender la economía de los conciertos cibernéticos y cómo protegerse, Microsoft Defender Threat Intelligence.9 de mayo de 2022.

6Parte 1: errores del ransomware LockBit 2.0 e intentos de recuperación de la base de datos, Danielle Veluz.11 de marzo de 2022.

7Noticias mensuales: enero de 2023, Heike Ritter.11 de enero de 2023.

8El nuevo ransomware “Prestige” afecta a organizaciones en Ucrania y Polonia, Microsoft Security Threat Intelligence.14 de octubre de 2022.

9Malware destructivo dirigido a organizaciones ucranianas, Microsoft Threat Intelligence Center.15 de enero de 2022.

10Microsoft Defender Experts for Hunting caza amenazas de forma proactiva, Microsoft Security Experts.3 de agosto de 2022.

11Implementación de un modelo de seguridad Zero Trust en Microsoft, personal de Inside Track.10 de enero de 2023.

12Unidad de Delitos Digitales: Liderando la lucha contra el cibercrimen, Microsoft.3 de mayo de 2022.

13Lista de Mark, Mark Simos.

Los expertos en seguridad de Microsoft analizan las amenazas en evolución en un chat de mesa redonda - Blog de seguridad de Microsoft

Sala de pintura Microsoft es líder en ciberseguridad y aceptamos nuestra responsabilidad de hacer del mundo un lugar más seguro.