El ‘tiempo de permanencia’ medio del actor de amenazas se redujo durante 2021

Los tiempos de permanencia de los ataques cibernéticos, la cantidad de tiempo que los actores malintencionados pasan en el entorno de una víctima antes de ser detectados, se redujeron de 24 días en 2020 a 21 días en 2021, según la inteligencia publicada hoy por Mandiant, recopilada de los incidentes a los que respondió.

La estadística principal parecería mostrar que los defensores en general han mejorado significativamente sus posturas de detección y respuesta ante amenazas, como observó la vicepresidenta ejecutiva de Mandiant Intelligence, Sandra Joyce, varios aspectos positivos de años anteriores continuaron en 2021.

“Vemos varias mejoras a pesar de un panorama de amenazas increíblemente desafiante”, dijo Joyce. “Este informe de M-Trends tiene el tiempo de permanencia de medios global más bajo registrado. Además, APAC [Asia-Pacific] y EMEA [Europe, Middle East and Africa] mostró las mayores mejoras en varias categorías de detección de amenazas en comparación con años anteriores”.

Sin embargo, las noticias positivas se ven atenuadas por la certeza de que los actores de amenazas continúan innovando y adaptándose, y Mandiant sugirió que la omnipresencia de los ataques de ransomware durante 2021 también podría explicar en parte la disminución: los operadores de ransomware motivados financieramente tienden a ir al grano. mucho más rápido que otros actores de amenazas, dijo.

De hecho, durante 2021, Joyce dijo que Mandiant encontró “más grupos de amenazas que en cualquier período anterior”.

“En una tendencia paralela, en este período comenzamos a rastrear más familias de malware nuevas que nunca. En general, esto habla de un panorama de amenazas que continúa aumentando en volumen y diversidad de amenazas”, dijo. “También seguimos siendo testigos de que la ganancia financiera es una motivación principal para los atacantes observados”.

El año pasado, Mandiant comenzó a rastrear más de 1100 nuevos grupos de amenazas y 733 nuevas familias de malware, de las cuales el 86 % no estaban disponibles públicamente; otra tendencia constante entre los actores de amenazas parece ser restringir el acceso a sus herramientas o desarrollarlas de forma privada.

Los operadores de ransomware, en particular, están recurriendo a tácticas, técnicas y procedimientos (TTP) más multifacéticos en busca de un gran pago, y en 2021 se vio que explotaban cada vez más las debilidades en la infraestructura de virtualización en las grandes organizaciones.

“La extorsión multifacética y el ransomware continúan planteando enormes desafíos para las organizaciones de todos los tamaños y en todas las industrias, y el informe M-Trends de este año señala un aumento específico en los ataques dirigidos a la infraestructura de virtualización”, dijo el vicepresidente ejecutivo de prestación de servicios de Mandiant, Jurgen Kutscher. .

“La clave para desarrollar la resiliencia radica en la preparación. Desarrollar un plan de preparación sólido y un proceso de recuperación bien documentado y probado puede ayudar a las organizaciones a navegar con éxito un ataque y volver rápidamente a las operaciones comerciales normales”.

Los ataques a la cadena de suministro también fueron cada vez más favorecidos como medio de compromiso inicial, pasando de menos del 1 % del total observado en 2020 al 17 % en 2021, aunque, con mucho, el mayor vector de infección sigue siendo la explotación de vulnerabilidades de día cero, que se observaron en el 37% de los incidentes, mientras que el phishing representó el 11%, que fue significativamente menor.

“Si bien los exploits continúan ganando terreno y siguen siendo el vector de infección identificado con mayor frecuencia, el informe señala un aumento significativo en los ataques a la cadena de suministro. Por el contrario, hubo una caída notable en el phishing este año, lo que refleja una mayor conciencia y capacidad de las organizaciones para detectar y bloquear mejor estos intentos”, observó Kutscher.

“A la luz del aumento continuo del uso de exploits como un vector de compromiso inicial, las organizaciones deben mantener el enfoque en la ejecución de los fundamentos de seguridad, como la gestión de activos, riesgos y parches”.

Finalmente, el informe también señala una realineación y reorganización de las operaciones de espionaje cibernético que emanan de China, lo que posiblemente se alinee con la implementación de los 14 del país.el Plan Quinquenal el año pasado.

De cara al futuro, las organizaciones deben estar en guardia ante un posible aumento de los ataques que se originen en los actores del nexo con China. A diferencia de las operaciones dirigidas por inteligencia del nexo entre Rusia y los ataques cibernéticos destructivos contra la infraestructura, como los recientes ataques cibernéticos en apoyo de la guerra contra Ucrania, las operaciones chinas tienden a tener como objetivo la propiedad intelectual y las preocupaciones económicas estratégicamente importantes.

Nuestro objetivo fué el mismo desde 2004, unir personas y ayudarlas en sus acciones online, siempre gratis, eficiente y sobre todo fácil!

¿Donde estamos?

Mendoza, Argentina

Nuestras Redes Sociales