La Conferencia RSA, celebrada en San Francisco del 6 al 9 de mayo, reúne a profesionales de la ciberseguridad de todo el mundo. La conferencia de este año está repleta de conversaciones sobre la IA generativa: cómo utilizar la IA generativa para protegerse contra ataques y cómo proteger la IA generativa en sí. Estamos reuniendo las noticias sobre tecnología empresarial de RSA que son más relevantes para los tomadores de decisiones tecnológicas y de TI. Este artículo se actualizará en RSA con más noticias tecnológicas destacadas. Google actualiza Google Security Operations y más con Gemini AI Google está combinando las capacidades de seguridad de la empresa de seguridad de la información Mandiant y el escáner de malware VirusTotal con Gemini AI y la huella de usuario y dispositivo de Google en una nueva oferta llamada Google Threat Intelligence. Disponible el 6 de mayo dondequiera que se distribuya Google Cloud Security, Google Threat Intelligence utiliza Gemini AI para obtener una visión de arriba hacia abajo de los datos de seguridad, compitiendo con Copilot for Security de Microsoft. Además, Google anunció: Nuevas detecciones seleccionadas para las operaciones de seguridad de Google que están diseñadas para reducir los procesos manuales y sugerir resultados relevantes para Google Cloud en general y actualizados para incluir amenazas detectadas recientemente. Servicios de consultoría de IA de Mandiant, que pueden reunir tanto las defensas de IA de una organización como cómo la seguridad de una organización podría verse comprometida por la IA. Nuevos servicios aprovechando Gemini en Seguridad. Cobertura de seguridad de lectura obligada Microsoft mejora Copilot for Security, Defender XDR, Sentinel y Purview Como parte de RSA, Microsoft anunció una variedad de nuevas herramientas y características para Microsoft Defender XDR, el portal de soluciones de seguridad. Los investigadores de seguridad que utilizan Defender XDR ahora pueden: Ver información interna sobre riesgos. Utilice protección de tecnología operativa nativa, que les permite gestionar las vulnerabilidades del sistema de control de tecnología industrial y OT directamente en Defender XDR. Aproveche las nuevas herramientas con IA para interrumpir a los usuarios comprometidos, incluso en los casos en que los atacantes hayan comprometido una cuenta individual mediante credenciales filtradas, relleno de credenciales o conjeturas. Microsoft Purview ahora puede detectar puntos de contacto de IA vulnerables. En Purview, AI Hub ahora está disponible en versión preliminar. AI Hub revela qué datos confidenciales podrían compartirse con aplicaciones de IA, incluido Microsoft Copilot, destacando posibles riesgos. El AI Hub también destacará si sus implementaciones de IA cumplen con las principales regulaciones y estándares, como la Ley de IA de la UE y el Marco de gestión de riesgos de IA del NIST. Las optimizaciones de SOC de Sentinel sugieren medidas de ahorro de costos y más. Microsoft Sentinel ahora incluirá optimizaciones de SOC, que guían al personal de seguridad en la gestión de costos, aumentando el valor de los datos y mejorando las defensas. Integraciones agregadas al asistente de IA Copilot for Security de Microsoft Microsoft Copilot for Security ahora se integra con Purview, Azure Firewall, Azure Web Application Firewall y complementos de nuevos socios seleccionados. Investigación de IBM y AWS: Los riesgos impredecibles de la IA generativa preocupan a la alta dirección IBM y AWS publicaron un informe durante RSA sobre cómo piensan los ejecutivos sobre cómo proteger la IA generativa. El informe encontró que menos de una cuarta parte (24%) de los encuestados dijeron que están incluyendo la seguridad como parte de sus proyectos de IA generativa, posiblemente una señal de que los hiperescaladores tienen un nicho en el que entrar a medida que el negocio de proteger los proyectos de IA se vuelve más común. La mayoría de los encuestados estaban preocupados por el efecto de la IA generativa en la seguridad: el 51% dijo que estaba preocupado por riesgos impredecibles y nuevas vulnerabilidades de seguridad que surgieran, y el 47% estaba atento a nuevos ataques dirigidos a la IA. IBM presentó su marco para proteger la IA generativa, que se lanzó en enero de 2024, como una solución. Los marcos de riesgo y gobernanza serán clave para ayudar a proteger la IA generativa, según afirman IBM y AWS en el informe. Además, IBM está ampliando sus servicios de prueba X-Force Red a la IA, incluidas aplicaciones de IA generativa, canalizaciones MLSecOps y modelos de IA. VER: Es temporada abierta en Firefly y Credenciales de contenido de Adobe para cazadores de recompensas de errores selectos. (TechRepublic) McAfee Deepfake Defender marcará videos falsos Mientras Intel prepara sus PC Core Ultra para la IA integrada, McAfee se ha asociado con Intel para detectar información errónea y deepfakes. Utilizando la unidad de procesamiento neuronal (también conocida como acelerador de IA), McAfee Deepfake Detector marcará videos fotorrealistas generados por IA. Deepfake Detector se reveló por primera vez en enero en el CES. El 6 de mayo en RSA, McAfee detalló que se espera Deepfake Detector “pronto”, comenzando en inglés y expandiéndose a otros idiomas. Proofpoint agrega detección de IA a los productos de seguridad del correo electrónico En RSA, Proofpoint anunció dos novedosos servicios de seguridad del correo electrónico: análisis semántico previo a la entrega, la detección basada en modelos de lenguaje grande de correos electrónicos de ingeniería social para detener el fraude por correo electrónico o los enlaces maliciosos antes de que lleguen a Microsoft 365 y Google. Bandejas de entrada del lugar de trabajo. Adaptive Email Security, una solución integrada de seguridad del correo electrónico en la nube con cuarentena automática y explicación de anomalías de comportamiento para objetivos de alto valor. Ambos servicios de seguridad de correo electrónico estarán disponibles el 6 de mayo. Adaptive Email Security está disponible solo de forma continua para clientes selectos que ya tienen paquetes de seguridad de correo electrónico estándar y han identificado empleados de alto riesgo. Cisco y Splunk amplían Cisco Hypershield El 6 de mayo en RSA, Cisco mostró uno de los primeros resultados de su adquisición de Splunk en marzo. Cisco agregó dos capacidades a su centro de datos Cisco Hypershield y a su producto de seguridad en la nube, que ahora puede: Detectar y bloquear ataques de vulnerabilidades desconocidas dentro de entornos de carga de trabajo en tiempo de ejecución. Aislar cargas de trabajo sospechosas. Cisco también anunció que los análisis de IA de Cisco Identity Intelligence ahora están disponibles en la plataforma de seguridad Cisco Duo, agregando herramientas específicas para detectar ataques basados en identidad. Splunk anunció el 6 de mayo una nueva solución de inteligencia de activos y riesgos llamada Asset and Risk Intelligence. Splunk Asset and Risk Intelligence ahora está en acceso temprano. TechRepublic cubre RSA de forma remota.
Etiqueta: mandante
Cualquier empresa que sea estratégica podría ser blanco de acciones del mismo tipo que este ciberataque. Siga estos consejos para mitigar el riesgo de su empresa ante esta amenaza de ciberseguridad. Mandiant, una empresa de ciberseguridad propiedad de Google, ha revelado los detalles de un ciberataque de 2022 dirigido por el actor de amenazas ruso Sandworm. El actor de amenazas comprometió una organización ucraniana de infraestructura crítica para manipular su entorno tecnológico operativo, lo que provocó un corte de energía que coincidió con ataques masivos con misiles. Luego, Sandworm intentó causar más interrupciones y eliminar toda evidencia de su funcionamiento dos días después implementando y ejecutando una variante del malware CADDYWIPER. Este ciberataque es un ejemplo sorprendente de la evolución de los objetivos OT durante tiempos de guerra. Cualquier empresa que sea estratégica para un atacante podría ser objetivo del mismo tipo de acciones. Saltar a: Cronología de este ataque de ciberseguridad Todo comenzó alrededor de junio de 2022, cuando Sandworm obtuvo acceso al entorno de TI de una organización de infraestructura crítica ucraniana. El actor de amenazas implementó un conocido webshell, Neo-reGeorg, en un servidor de Internet de la víctima. Aproximadamente un mes después, el grupo implementó GOGETTER, un conocido software de creación de túneles personalizado utilizado anteriormente por el grupo. El malware representaba las comunicaciones entre el sistema objetivo y el servidor de comando y control del atacante y se volvía persistente en caso de que se reiniciara el servidor. Luego, el grupo de amenazas accedió al entorno OT «a través de un hipervisor que albergaba una instancia de gestión de control de supervisión y adquisición de datos (SCADA) para el entorno de la subestación de la víctima», según los investigadores de Mandiant, quienes afirmaron que el atacante potencialmente tuvo acceso al sistema SCADA durante hasta a tres meses. El 10 de octubre de 2022, el actor de amenazas ejecutó repentinamente comandos MicroSCADA en el sistema. La acción se realizó aprovechando un archivo ISO, un CD-ROM virtual que contenía dos scripts y un archivo de texto. El sistema fue configurado para permitir que los CD-ROM insertados se inicien automáticamente cuando se insertan. Esos archivos se utilizaron para ejecutar un binario MicroSCADA nativo dentro del sistema, scilc.exe (Figura A). Figura A Cadena de ejecución en el entorno SCADA del objetivo. Imagen: Mandiant El archivo legítimo scilc.exe del paquete de software MicroSCADA permite la ejecución de comandos escritos en el lenguaje de implementación de control de supervisión, que generalmente son declaraciones basadas en texto. Aunque los investigadores de Mandiant no pudieron identificar los comandos SCIL ejecutados por Sandoworm, creen que los comandos probablemente fueron emitidos para abrir disyuntores en los entornos de la subestación de las víctimas, apagando así la subestación de la víctima. Cobertura de seguridad de lectura obligada Según Mandiant, el ataque provocó un corte de energía no programado. Dos días después de este evento, el actor de amenazas instaló una nueva variante del malware CADDYWIPER en el entorno del objetivo para causar más interrupciones y potencialmente eliminar artefactos forenses que podrían conducir al descubrimiento de la operación. CADDYWIPER está limpiando software que Sandworm utilizó anteriormente contra objetivos ucranianos y que se observó en operaciones disruptivas en múltiples intrusiones. En el ataque reportado, el limpiador no alcanzó el hipervisor de la máquina virtual SCADA que estaba comprometida, lo cual es inusual, según Mandiant. Los investigadores de seguridad concluyen que esta falta de eliminación de pruebas «podría deberse a una falta de coordinación entre los diferentes individuos o subequipos operativos involucrados en el ataque». VER: Tendencias de ciberseguridad de Google Cloud a tener en cuenta en 2024 (TechRepublic) ¿Quién es Sandworm? Sandworm es un actor de amenaza destructiva que ha sido atribuido a la Dirección Principal de Inteligencia del Estado Mayor de las Fuerzas Armadas de Rusia, Unidad Militar 74455. El grupo ha estado activo desde al menos 2009. Seis oficiales de la Unidad 74455 asociados con Sandworm fueron acusados en 2020 de varias operaciones: ataques contra empresas eléctricas y organizaciones gubernamentales ucranianas; los objetivos de la campaña presidencial francesa de 2017, el ataque del Destructor Olímpico de 2018 contra los Juegos Olímpicos, la operación de 2018 contra la Organización para la Prohibición de Armas Químicas y los ataques contra Georgia en 2018 y 2019. Sandworm expone las capacidades cibernéticas ofensivas orientadas a OT de Rusia Sandworm El último ataque, además de los ataques anteriores originados en Rusia, como los incidentes de Industroyer, que también apuntaron a OT, muestran los esfuerzos de Rusia para optimizar las capacidades de ataque de OT a través de funciones de implementación simplificadas, según Mandiant. Los investigadores mencionaron “una inversión continua en capacidades cibernéticas ofensivas orientadas a OT y un enfoque general para atacar los sistemas de TI” (Figura B). Figura B Actividad histórica del nexo entre Rusia y el impacto en OT. Imagen: Mandiant Un cambio significativo en las técnicas utilizadas por Sandworm es el uso del binario nativo Living Off The Land, también conocido como LotLBin, que ahora utilizan tanto para entornos OT como para entornos TI habituales. Este cambio probablemente disminuyó los recursos necesarios para los ataques de Sandworms y al mismo tiempo dificultó que los defensores detectaran la actividad fraudulenta. El momento de este ataque de Sandworm también es intrigante. Como reveló Mandiant, los atacantes potencialmente desarrollaron la capacidad disruptiva tres semanas antes del incidente de OT, pero es posible que hayan estado esperando un momento específico para desplegar la capacidad. «La eventual ejecución del ataque coincidió con el inicio de una serie de ataques coordinados con misiles de varios días de duración contra infraestructura crítica en varias ciudades ucranianas, incluida la ciudad en la que se encontraba la víctima», escribe Mandiant. Cómo protegerse de esta amenaza de ciberseguridad Los administradores de seguridad o los profesionales de TI deben seguir estos consejos para mitigar el riesgo de esta amenaza de ciberseguridad. Harden MicroSCADA y otros hosts de gestión SCADA. Estos sistemas deben estar actualizados, parcheados y configurados para requerir autenticación y restringir el acceso solo a los usuarios obligatorios de los sistemas. Implementar la segmentación de la red entre los sistemas SCADA y el resto de la red de la organización. Agregar archivos de registro a un servidor central y analizarlos cuidadosamente y constantemente para detectar posibles usos fraudulentos o alteraciones de los sistemas SCADA. Monitorear y analizar cualquier transferencia de archivos relacionados con los sistemas SCADA. Es necesario investigar cualquier cambio sospechoso en la configuración o los datos de SCADA. Realizar auditorías periódicas de seguridad de los sistemas SCADA para identificar posibles vulnerabilidades o malas configuraciones que puedan afectar la seguridad de los sistemas. Realice copias de seguridad periódicas para facilitar la recuperación en caso de algún incidente de seguridad o ciberataque a los sistemas SCADA. Divulgación: trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.
Un informe de noviembre de Google Cloud detalla posibles tácticas de malware de los estados-nación en 2024 y nuevos ángulos de los ciberataques. ¿Cómo será la ciberseguridad en 2024? El Pronóstico de ciberseguridad global de Google Cloud encontró que la IA generativa puede ayudar a los atacantes y defensores e instó al personal de seguridad a estar atento a los ataques respaldados por estados nacionales y más. Entre los contribuyentes al informe se encuentran varios líderes de seguridad de Google Cloud y expertos en seguridad de Mandiant Intelligence, Mandiant Consulting, Chronicle Security Operations, la Oficina del CISO de Google Cloud y VirusTotal. Saltar a: Cómo la IA generativa puede afectar la ciberseguridad en 2024 Los actores de amenazas utilizarán IA generativa y grandes modelos de lenguaje en phishing y otras estafas de ingeniería social, predijo Google Cloud. Debido a que la IA generativa puede crear contenido que suene natural, los empleados pueden tener dificultades para identificar correos electrónicos fraudulentos a través de una mala gramática o llamadas no deseadas a través de voces que suenan robóticas. Los atacantes podrían utilizar IA generativa para crear noticias falsas o contenido falso, advirtió Google Cloud. Más cobertura de seguridad en la nube Los LLM y la IA generativa “se ofrecerán cada vez más en foros clandestinos como un servicio pago y se utilizarán para diversos fines, como campañas de phishing y difusión de desinformación”, escribió Google Cloud. Por otro lado, los defensores pueden utilizar la IA generativa en inteligencia sobre amenazas y análisis de datos. La IA generativa podría permitir a los defensores actuar a mayores velocidades y escalas, incluso cuando digieren grandes cantidades de datos. «La IA ya está brindando una enorme ventaja a nuestros ciberdefensores, permitiéndoles mejorar las capacidades, reducir el trabajo y protegerse mejor contra las amenazas», dijo Phil Venables, director de seguridad de la información de Google Cloud, en un correo electrónico a TechRepublic. Los estados-nación pueden utilizar phishing o malware de limpieza El informe señaló que los actores de los estados-nación pueden lanzar ataques cibernéticos contra el gobierno de EE. UU. a medida que se acercan las elecciones presidenciales de 2024 en EE. UU. El Spear phishing, en particular, puede utilizarse para atacar sistemas electorales, candidatos o votantes. El hacktivismo, o actores de amenazas motivados políticamente y no asociados con un estado-nación en particular, está resurgiendo, dijo Google Cloud. El malware Wiper, que está diseñado para borrar la memoria de una computadora, puede volverse más común. Ha sido visto desplegado por grupos de actores de amenazas rusos que atacan a Ucrania, dijo Google Cloud. La guerra en Ucrania ha demostrado que los atacantes patrocinados por el Estado podrían atacar tecnologías espaciales para perturbar a los adversarios o realizar espionaje. Los grupos de espionaje en 2024 pueden crear “botnets durmientes”, que son botnets colocadas en el Internet de las cosas, en oficinas o en dispositivos al final de su vida útil para escalar temporalmente los ataques. La naturaleza temporal de estas botnets puede hacer que sea particularmente difícil rastrearlas. Los tipos de ciberataques más antiguos siguen siendo amenazas. Algunas de las tendencias destacadas por Google Cloud muestran que los tipos de ciberataques más conocidos todavía deberían estar en el radar de los equipos de seguridad. Las vulnerabilidades de día cero pueden seguir aumentando. Los atacantes de estados-nación y los grupos de actores de amenazas pueden adoptar los días cero porque esas vulnerabilidades les dan a los atacantes acceso persistente a un entorno. Los correos electrónicos de phishing y el malware ahora son relativamente fáciles de detectar para los equipos de seguridad y las soluciones automatizadas, pero las vulnerabilidades de día cero siguen siendo relativamente efectivas, según el informe. La extorsión, otra técnica de ciberataque muy conocida, se estancó en 2022, pero se puede esperar que vuelva a crecer en 2024. Los actores de amenazas hacen publicidad de datos robados y reportan ingresos por extorsión que indican un crecimiento. VER: El malware SecuriDropper puede sortear la configuración restringida de Android 13 para descargar aplicaciones ilegítimas (TechRepublic) Algunas técnicas de amenazas más antiguas se están volviendo lo suficientemente populares como para estar en el radar de Google Cloud. Por ejemplo, recientemente se ha vuelto a ver una técnica anti-máquina virtual de 2012. Y un ataque documentado por primera vez en 2013 que utiliza funciones SystemFunctionXXX no documentadas en lugar de funciones de criptografía en una API de Windows documentada se ha vuelto popular nuevamente. Otras tendencias y predicciones de ciberseguridad en la nube, dispositivos móviles y SecOps El vicepresidente y gerente general de Google Cloud, Sunil Potti, dijo en un correo electrónico a TechRepublic: «En este momento, vemos organizaciones ejecutando sus datos en una combinación de entornos multinube, locales e híbridos, y mientras No es realista esperar que estas organizaciones alojen sus activos únicamente en un solo lugar, lo que hace que las operaciones de seguridad integrales y unificadas y la gestión general de riesgos sean particularmente desafiantes”. En entornos híbridos y multinube, es posible que las empresas deban estar atentas a configuraciones erróneas y problemas de identidad que permitan a los actores de amenazas moverse lateralmente a través de diferentes entornos de nube, dijo Google Cloud. Muchos actores de amenazas, incluidos los actores de amenazas de estados-nación, pueden utilizar servicios sin servidor en 2024. Los servicios sin servidor les brindan mayor escalabilidad, flexibilidad y automatización. Google Cloud ha visto un creciente interés entre los atacantes en los ataques a la cadena de suministro alojados en administradores de paquetes como NPM (Node.js), PyPI (Python) y crates.io (Rust). Es probable que este tipo de ciberataque aumente porque su implementación cuesta poco y puede tener un impacto importante. Es probable que el cibercrimen móvil crezca en 2024 a medida que los estafadores utilicen tácticas de ingeniería social novedosas y probadas para obtener acceso a los teléfonos de sus objetivos, según el informe. Finalmente, Google Cloud predijo que SecOps se consolidará cada vez más en 2024. Esta hoja de ruta se puede utilizar para impulsar estrategias de ciberseguridad y compras al intentar adelantarse a lo que pueda venir en 2024.