Seis formas en las que el 'malware' puede evitar la protección de los puntos finales
Están aumentando las filtraciones debidas a ataques que esquivan o vencen las medidas de protección de los puntos finales. Así es como lo consiguen.
El 63% de los profesionales de seguridad de TI afirman que en los últimos 12 meses los ataques son cada vez más frecuentes, según el informe 2018 State of Endpoint Security Risk de Ponemon, y el 52% de los encuestados dice que no es realista pretender frenar todos los ataques. Sus soluciones antivirus solo bloquean el 43 % de los ataques. El 64 % de los encuestados dijo que uno o más de los ataques que habían sufrido en sus empresas acabaron en una filtración de datos.
El informe, basado en una encuesta a 660 profesionales reveló que la mayoría (el 70 %) afirmó que habían aumentado las nuevas amenazas desconocidas a sus organizaciones, y que el coste de los ataque exitosos había subido de cinco a 7,1 millones de dólares.
Sin embargo, casi todos los ordenadores cuentan con alguna forma de protección incorporada. ¿Por dón de entran entonces los atacantes? Estos son los métodos principales que usan para saltarse la seguridad en los endpoints.
1. Ataques basados en scripts
En un ataque basado en scripts o fileless, el malware es en realidad un script que se ejecuta en una aplicación legítima ya existente para forzar PowerShell o usar otros componentes de Windows ya instalados. No se instala ningún software nuevo y así se evitan muchas protecciones tradicionales. Según Ponemon, este tipo de ataques son los que tienen más probabilidades de conseguir una filtración eficaz, y van en aumento: del 30 % de todos los ataques en 2017, al 35% en el último año. “Habría muy pocos artefactos, por ejemplo, no hay ningún binario de malware para escanear”, afirma Jérôme Segura, investigador senior de seguridad en Malwarebytes.
Podría ser que los sistemas de seguridad detectaran cierto tipo de tráfico de red. Pero según él, “los atacantes también pueden encriptar esas comunicaciones y usar una ruta de comunicación segura para filtrar los datos de forma silenciosa”.
Según el informe Symantec Internet Security Threat, publicado a principios de año, el uso de scripts maliciosos en PowerShell ha aumentado un 1000 % en el último año. Por ejemplo, los atacantes usan PowerShell ejecutando comandos que no son visibles para los humanos, como comandos codificados en Base64. Según Naaman Hart, arquitecto de seguridad de los servicios en la nube en Digital Guardian, “PowerShell es una necesidad en estos días y, por lo tanto, siempre está disponible para ser explotado”.
Acceda al reportaje completo aquí
