El 33% de los ataques en la nube aprovechan el acceso mediante credenciales
El 33% de los ataques en la nube aprovechan el acceso mediante credenciales, lo que indica que los usuarios a menudo sobreestiman la seguridad de la nube y, en consecuencia, no los configuran ni protegen adecuadamente.
- El 58% de los intentos de acceso inicial utilizaron una combinación de intentos tradicionales de fuerza bruta y pulverización de contraseñas previamente comprometidas.
- Casi el 57% de la telemetría de seguridad de la nube provino de AWS, seguido por el 22% de Google Cloud y el 21% de Azure.
-
- AWS : Más del 74 % de las alertas estaban relacionadas con acceso a credenciales, acceso inicial y tácticas de persistencia, y casi el 57 % de las técnicas estaban relacionadas con intentos de robo de tokens de acceso a aplicaciones, una de las formas más comunes de robo de credenciales en la nube.
- Google Cloud : casi el 54 % de las alertas están relacionadas con abusos de cuentas de servicio, y el 52 % de las técnicas aprovechan la manipulación de cuentas e indican que la vulneración de cuentas de servicio sigue siendo desenfrenada cuando no se cambian las credenciales de cuenta predeterminadas.
- Microsoft Azure : más del 96 % de las alertas están relacionadas con eventos de autenticación, y el 57 % de los eventos de autenticación intentan recuperar tokens OAUTH2.
Los actores de amenazas están utilizando software comercial diseñado para ayudar a los equipos de seguridad
Si bien un software de simulación de adversarios comercial, resulta útil para la defensa de los entornos de muchos equipos, también se utiliza como herramienta maliciosa para la implantación masiva de malware.
- Más del 54% de todas las infecciones de malware a nivel mundial se detectaron en puntos finales de Windows, mientras que más del 39% se detectaron en puntos finales de Linux.
- Casi el 81% del malware observado a nivel mundial está basado en troyanos, seguido por los criptomineros con un 11%.
- MacKeeper se clasificó como la mayor amenaza para macOS con casi el 48% de todas las detecciones, con XCSSet en el segundo lugar con casi el 17%.
Los ataques a endpoints se están volviendo más diversos en los esfuerzos por eludir las defensas
Los actores de amenazas están utilizando más de 50 técnicas de infiltración de puntos finales, lo que sugiere que la seguridad de los puntos finales está funcionando bien, ya que su sofisticación requiere que los actores de amenazas encuentren continuamente métodos de ataque nuevos o novedosos para tener éxito.
- Un 74 % combinado de todas las técnicas de evasión de defensa consistieron en enmascaramiento (44 %) y ejecución de proxy binario del sistema (30 %). Esto indica que, además de eludir la instrumentación de seguridad, las técnicas de evasión de defensa también eluden la visibilidad, lo que da como resultado tiempos de permanencia más prolongados para las amenazas.
- El 59% de las técnicas de ejecución están relacionadas con intérpretes de comandos y scripts nativos, seguidas por el 40% atribuido a abusos de Windows Management Instrumentation, lo que indica que los adversarios abusan de PowerShell, Windows Script Host y archivos de acceso directo de Windows para ejecutar comandos, scripts o binarios.
- Casi el 77 % de todas las técnicas de acceso a credenciales se atribuyen al volcado de credenciales del sistema operativo con utilidades conocidas. Esto sigue la tendencia de los adversarios que confían en cuentas válidas para generar menos sospechas en los administradores en entornos de implementación híbridos entre el alojamiento local y los proveedores de servicios en la nube.
Si bien las técnicas de acceso a credenciales han sido una prioridad para los atacantes durante mucho tiempo, la inversión de los adversarios en técnicas de evasión de defensa indica una reacción a las mejoras en las tecnologías de seguridad que han estado afectando su éxito. Cuando se combinan con técnicas de ejecución, los atacantes pueden eludir los controles avanzados de los puntos finales y permanecer sin ser detectados dentro de los entornos de las organizaciones.
Fuente: Helpnet Security