Sólo el 42% de los profesionales de ciberseguridad intercambian inteligencia de amenazas

Encuesta a 500 profesionales de ciberseguridad mide adopción y
valor percibido de intercambio de inteligencia de ciberamenazas en ciberseguridad de empresas.

Intel Security dio a conocer hoy su Informe de Amenazas de McAfee Labs que evalúa las actitudes de 500 profesionales de ciberseguridad en relación a intercambiar inteligencia de ciberamenazas (CTI, por sus siglas en inglés), examina el funcionamiento interno de la herramienta de administración remota (RAT, por sus siglas en inglés), y detalla los aumentos de ransomware, malware, móvil y malware en general durante el 4o Trimestre de 2015.

En 2015, Intel Security entrevistó a 500 profesionales de la seguridad en una amplia variedad de industrias a lo largo de Norteamérica, Asia Pacífico y Europa, para medir el conocimiento de la CTI, su valor percibido en la seguridad de las industrias, y qué factores pueden interponerse en el camino de una mayor aplicación de la CTI en las estrategias de seguridad. Los encuestados proporcionaron una valiosa ilustración del estado actual y las oportunidades potenciales de la CTI en la empresa:

– Percepción de valor y adopción. Del 42% de los encuestados que informaron compartir inteligencia de amenazas, el 97% creen que les permite proporcionar una mejor protección para su compañía. De los participantes encuestados, al 59% le parece que dicho intercambio es “muy valioso” para sus organizaciones, mientras que al 38% le parece que el intercambio es “de alguna manera valioso”.

– Inteligencia específica de la industria.El 91% de los encuestados, expresaron interés en inteligencia de ciberamenazas específica de la industria, y 54% respondieron que están “muy interesados”, y un 37% respondieron que estaban “de alguna manera interesados”. Los sectores como los servicios financieros e infraestructura crítica podrían beneficiarse más de esta CTI específica de la industria, dada la naturaleza altamente especializada de las amenazas que McAfee Labs ha monitoreado en estas dos industrias de misión crítica.

– Disposición de compartir. 63% de los encuestados indican que pueden estar dispuestos a ir más allá de simplemente recibir CTI compartida, para contribuir realmente con sus propios datos, siempre que puedan ser compartidos dentro de una plataforma segura y privada. Sin embargo, la idea de compartir su propia información es aceptada con diversos grados de entusiasmo, siendo que el 24% respondió que es “muy probable” que la compartan, mientras que el 39% dijo que “de alguna manera es probable” que la compartan.

– Tipos de datos a compartir.Cuando se les preguntó qué tipos de datos de amenazas están dispuestos a compartir, los encuestados dijeron comportamiento de malware (72%), seguido por reputaciones de URL (58%), reputaciones de direcciones IP externas (54%), reputaciones de certificados (43%), y reputaciones de archivos (37%).

– Barreras a la CTI.Cuando se le preguntó por qué no habían implementado CTI compartida en sus empresas, el 54% de los encuestados identificó a las políticas corporativas como el motivo, seguidas por normatividades de la industria (24%). El resto de los encuestados cuyas organizaciones no comparten datos informan que están interesados, pero necesitan más información (24%), o están preocupados de que los datos compartidos sean enlazados de regreso a sus firmas o a ellos mismos como individuos (21%). Estos descubrimientos sugieren una falta de experiencia con, o conocimiento de, las variedades de opciones de integración CTI disponibles para la industria, así como una falta de comprensión de las implicaciones legales de compartir CTI.

“Dada la determinación demostrada por los ciberdelincuentes, el intercambio de CTI se convertirá en una herramienta importante en inclinar la balanza de ciberseguridad a favor de los defensores”, dijo Vincent Weafer, Vicepresidente del Grupo McAfee Labs de Intel Security. “Pero nuestra encuesta sugiere que la CTI de alto valor debe superar las barreras de las políticas organizativas, restricciones reglamentarias, riesgos asociados con la atribución, confianza y falta de conocimientos de implementación antes de que su potencial pueda aprovecharse plenamente”.

El informe de este trimestre también evalúa la herramienta de administración remota (RAT) Adwind, un troyano de puerta trasera basado en Java* que ataca a diversas plataformas que dan soporte a archivos Java. Adwind normalmente se propaga a través de campañas de spam que emplean archivos adjuntos de correo eletrónico cargados de malware, páginas web riesgosas y descargas desapercibidas. El informe de McAfee Labs muestra un rápido incremento en el número de muestras de archivos .jar identificadas por los investigadores de McAfee Labs como Adwind, con 7.295 en el 4o trimestre de 2015, un salto del 426% a partir de 1.388 en el 1er trimestre de 2015.

Estadísticas de Amenazas del 4o Trimestre de 2015

– El ransomware se acelera de nuevo. Después de una leve desaceleración a mediados del año, el nuevo ransomware recuperó su rápido ritmo de crecimiento, con un 26% de aumento en comparación con el trimestre del año anterior en el 4otrimestre de 2015. El código de ransomware de código abierto y el ransomware-como-un-servicio continúan facilitando el lanzar ataques, las campañas Teslacrypt y CryptoWall 3 continúan expandiendo su alcance, y las campañas de ransomware continúan siendo lucrativas financieramente. Un análisis de octubre de 2015 del ransomware CryptoWall 3 dio una pista de las dimensiones financieras de dichas campañas, cuando los investigadores de McAfee Labs vincularon sólo una de las operaciones de la campaña a $325 millones de dólares en pagos de rescate.

– Salto en malware móvil.Durante el cuarto trimestre de 2015 se registró un incremento con respecto al trimestre del año anterior del 72% con nuevas muestras de malware móvil, ya que los autores de malware parecen haber producido un nuevo malware más rápido.

– El malware rootkit se derrumba.El número de nuevas muestras de malware rootkit disminuyó bruscamente en el 4o trimestre, continuando una tendencia descendente a largo plazo en este tipo de ataque. McAfee Labs atribuye dicha disminución, que comenzó en el 3er trimestre de 2011, a la adopción actual de los clientes de los procesadores Intel® de 64 bits junto con la versión de 64 bits de Microsoft Windows*. Estas tecnologías incluyen funcionalidades como Kernel Patch Protection* y Secure Boot*, que ayudan a proteger mejor contra amenazas como el malware rootkit.

-El malware se restablece.Después de tres trimestres de disminución, el número total de nuevas muestras de malware reanudó su ascenso en el 4o trimestre, con 42 millones de nuevos hashes maliciosos descubiertos, 10% más que en el 3er trimestre y el segundo número más elevado jamás registrado por McAfee Labs. En parte, el crecimiento en el 4o trimestre fue impulsado por 2,3 millones de nuevas muestras de malware móvil, o 1 millón más que en el 3er trimestre.

-Archivos binarios firmados maliciosos disminuyen.El número de nuevos archivos binarios firmados maliciosos disminuyó cada trimestre durante el pasado año, en el 4o trimestre de 2015 alcanzó el nivel más bajo desde el 2o trimestre de 2013. McAfee Labs cree que la disminución puede atribuirse en parte a que los certificados más viejos, con presencia significativa en el mercado negro, están caducando o siendo revocados conforme las empresas migran hacia funciones de hashing más robustas. Además, las tecnologías como Smart Screen* (parte de Microsoft Internet Explorer* pero que se traslada hacia otras partes de Windows) representan pruebas de confianza adicionales que pueden hacer que la firma de binarios maliciosos sea menos benéfica para los autores de malware.


Únase a la conversación

Contacto | Diario TI es una publicación de MPA Publishing International Ltd., Reino Unido. © Copyright 1997-2022