Gestión de riesgos de terceros, guerra cibernética/ataques a Estados-nación, gestión de fraude y delitos cibernéticos El actor de amenazas chino ‘Velvet Ant’ evadió la detección durante años en la red de víctimasChris Riotta (@chrisriotta) •18 de junio de 2024 Imagen: Shutterstock Un actor de amenazas chino conocido como “ Velvet Ant” utilizó herramientas y técnicas patrocinadas por el estado para llevar a cabo una campaña de ciberespionaje mientras estaba escondido durante tres años en una red propiedad de una importante empresa, según una nueva investigación. Ver también: Análisis de malware destacado: Por qué su EDR permitió que Pikabot saltara Los investigadores de Sygnia en una publicación de blog el lunes dijeron que el grupo de hackers explotó dos dispositivos F5 BigIP heredados que incluían sistemas operativos vulnerables. Los investigadores describieron a Velvet Ant como «un actor de amenazas sofisticado e innovador» que evadió la detección durante años mientras explotaba varios puntos de entrada en la infraestructura de red de la víctima. «Después de descubrir y remediar un punto de apoyo, el actor de la amenaza giró rápidamente hacia otro, demostrando agilidad y adaptabilidad para evadir la detección», dijeron los investigadores, y agregaron que el incidente «destaca la importancia de establecer estrategias de defensa resilientes contra amenazas sofisticadas». Velvet Ant logró una “persistencia notable” al explotar el equilibrador de carga F5 Big-IP para obtener múltiples puntos de apoyo en la red y manipular de forma encubierta el tráfico de la red. Los investigadores no nombraron la organización víctima. Sygnia, una empresa de servicios y tecnología cibernética, dijo que finalmente logró erradicar a Velvet Ant de la red. Pero la firma dijo que el proceso «se parecía a un juego implacable del gato y el ratón», ya que el actor de la amenaza «resurgió una y otra vez mediante el uso de mecanismos de persistencia inactivos en sistemas no monitoreados». Velvet Ant comenzó sus operaciones centrándose en secuestrar la ejecución y el flujo, según los investigadores, y finalmente explotó una herramienta llamada PlugX (que desde entonces ha sido ampliamente reemplazada por su sucesor, ShadowPad) para obtener capacidades casi administrativas en sistemas infectados. Los investigadores recomiendan que las organizaciones limiten el tráfico saliente y el movimiento lateral en sus redes para evitar enfrentar un ataque similar. Sygnia también dijo que las empresas deberían priorizar el desmantelamiento y el reemplazo de la tecnología heredada y mitigar la recolección de credenciales para proteger mejor los sistemas. URL de la publicación original: https://www.databreachtoday.com/researchers-uncover-chinese-hacking-cyberespionage-campaign-a-25558
Etiqueta: Violación de datos hoy Página 9 de 11
Gestión de fraude y ciberdelincuencia, banda de ransomware de habla rusa sigue un manual típico; Los servicios críticos aún están interrumpidos Mathew J. Schwartz (euroinfosec) •19 de junio de 2024 El ataque ha interrumpido la atención al paciente en varios hospitales de Londres, incluidos los que forman parte de Guy’s and St Thomas’ NHS Foundation Trust (Imagen: Shutterstock) El ataque de ransomware contra un El proveedor de servicios de patología en Londres que está causando perturbaciones generalizadas a los pacientes continúa siguiendo el manual típico de los delincuentes. Ver también: Ataque de ransomware del NHS: las infraestructuras de la industria de la salud son críticas El 4 de junio, el malware de bloqueo criptográfico afectó a la empresa de patología con sede en Londres Synnovis, que brinda servicios cruciales como análisis de sangre. El hecho de que Synnovis no pueda acceder a numerosos sistemas y archivos ha llevado a la cancelación continua de procedimientos médicos y otras interrupciones para los pacientes de los hospitales y consultorios médicos del sureste de Londres mientras la empresa trabaja para recuperarse (ver: Los hospitales de Londres buscan respaldo de productos biológicos después del ataque del ransomware). . Un miembro del grupo de ransomware Qilin de habla rusa vinculado al ataque le dijo a Bloomberg el martes que exigieron un rescate de 50 millones de dólares a la víctima, pagadero en un plazo de 120 horas. Qilin también afirmó que explotaron una vulnerabilidad de día cero para obtener acceso a los sistemas de Synnovis. Esa afirmación no se pudo verificar (ver: Se cree que el grupo Qilin RaaS está detrás de Synnovis, ataque al NHS). Synnovis es una empresa de patología fundada en 2009 y anteriormente conocida como Viapath, que funciona como una asociación entre Guy’s and St Thomas’ National Health Service Foundation Trust y King’s College Hospitals NHS Trust en Londres, y el proveedor de diagnóstico médico Synlab, con sede en Múnich. Hasta el miércoles por la mañana, el sitio de filtración de datos basado en Tor de Qilin no incluía a la empresa como víctima ni incluía ninguna muestra de datos supuestamente robados. «Synnovis está al tanto de los informes de que un tercero no autorizado se ha atribuido la responsabilidad de este reciente ciberataque», dijo un portavoz a Information Security Media Group. «Nuestra investigación sobre el incidente continúa en curso, incluida la evaluación de la validez de los reclamos de terceros y la naturaleza y alcance de los datos que pueden verse afectados». El experto en ciberseguridad Brian Honan dijo que la demanda de rescate emitida por los extorsionadores es «extraordinaria e inusualmente alta», especialmente en contraste con el ataque de 2021 contra el Ejecutivo del Servicio de Salud de Irlanda, «que derribó toda la infraestructura de TI del servicio de salud de Irlanda», y destacó una demanda de rescate de 21 millones de dólares. «Normalmente, las demandas de ransomware están a un nivel en el que los delincuentes saben que la organización víctima puede pagar», dijo Honan, director ejecutivo de BH Consulting, con sede en Dublín. «Esta demanda de 50 millones de dólares podría ser simplemente un truco publicitario de los delincuentes para aumentar su notoriedad entre futuras víctimas, ya que saben que al exigir esta alta tarifa de extorsión obtendrán mucha atención de los medios, particularmente en los principales medios de comunicación». Como la empresa parece no haber pagado (como los expertos instan a las víctimas a no hacerlo nunca siempre que sea posible), los atacantes han comenzado a hacer lo que normalmente hacen a continuación: nombrar públicamente y avergonzar a la víctima, amenazar con filtrar datos que afirmaron haber robado también durante el ataque. y promocionar su marca (consulte: Grupos de ransomware: confíe en nosotros. Uh, no lo haga). La restauración continúa Synnovis en un comunicado del lunes dijo que continúa restaurando los sistemas, trabajando en estrecha colaboración con el Centro Nacional de Seguridad Cibernética de Gran Bretaña, que es la agencia nacional de respuesta a incidentes, así como con el Equipo de Operaciones Cibernéticas del NHS de Inglaterra. «Nuestro plan para la restauración de los servicios es integral y está en marcha, y se ejecuta en paralelo a la investigación forense dirigida por especialistas externos», dijo el lunes Mark Dollar, director ejecutivo de Synnovis. «Todos los recursos disponibles se centran en este plan». La compañía dijo que su plan de restauración «prioriza tanto la criticidad clínica como la restauración segura de los servicios» y que «en colaboración con nuestros proveedores de plataformas analíticas, ya hemos vuelto a poner en línea nuestros analizadores, lo que representa un progreso significativo en esta etapa del proceso». proceso de recuperación.» Aun así, dos semanas después del ataque, Synnovis dijo que su capacidad para procesar muestras sigue «significativamente reducida» y que ha estado diciendo a los médicos generales que envíen análisis de sangre no urgentes a otros laboratorios como solución temporal, para poder concentrarse mejor en los urgentes que recibe. La compañía dijo que también está en estrecho contacto con la Oficina del Comisionado de Información (el regulador de protección de datos de Gran Bretaña) y que aún se desconoce el alcance de cualquier violación de datos. «Una vez que se conozca más información, informaremos de acuerdo con los requisitos de la Oficina del Comisionado de Información y priorizaremos la notificación de cualquier individuo o socio afectado según sea necesario», dijo. NHS England London dijo que los dos fideicomisos más afectados por el ataque, King’s College Hospital NHS Foundation Trust y Guy’s and St Thomas’ NHS Foundation Trust, pospusieron más de 800 operaciones planificadas y 700 citas ambulatorias sólo en la primera semana después del incidente. «La mayor parte de la actividad planificada ha seguido adelante, y algunas especialidades se han visto más afectadas que otras», dijo. Honan, de BH Consulting, dijo que una lección de resiliencia empresarial para todas las organizaciones debería ser la necesidad de probar cómo les iría en caso de un incidente disruptivo similar y prepararse en consecuencia. “Lo que el ataque Synnovis también resalta es que nuestra planificación de resiliencia debe extenderse más allá de los sistemas bajo nuestro control directo y que debemos analizar nuestras cadenas de suministro y determinar cómo nuestras organizaciones pueden continuar brindando servicios en caso de que un proveedor clave se vea afectado. por un ciberataque u otra interrupción importante”, dijo. ¿Qué es Qilin? Qilin parece funcionar como un grupo de ransomware como servicio, lo que significa que sus operadores proporcionan malware de bloqueo criptográfico a sus afiliados, administran un sitio dedicado a la fuga de datos y posiblemente también manejan las negociaciones con las víctimas. El año pasado, el grupo afirmó que los afiliados se quedan con el 80% de cada rescate por valor de 3 millones de dólares o menos, y el 85% por cualquier rescate por valor superior, dijo la firma de ciberseguridad Group-IB. Muchos grupos, incluido Qilin, utilizan un blog de filtración de datos para presionar a las víctimas para que paguen. Al filtrar datos robados (o al menos afirmar que lo hacen) cuando las víctimas no pagan, intentan utilizarlos como ejemplo para presionar a futuras víctimas a que paguen. El sector de la salud sigue siendo un objetivo recurrente y, a menudo, exitoso para los piratas informáticos que utilizan ransomware. No está claro si los atacantes de Synnovis esperaban que pagaran 50 millones de dólares, o al menos que los utilizaran como punto de partida para negociaciones o posiblemente consiguieran ayuda del gobierno británico. El gobierno británico tiene una política contra el pago de rescates, dijo a la BBC Ciaran Martin, ex director ejecutivo del NCSC, a principios de este mes tras el ataque. Objetivos repetidos En abril, la filial italiana de Synlab fue víctima de un ataque de ransomware que involucraba al ransomware Black Basta. Según se informa, se negó a pagar un rescate y poco después dijo que había restablecido todas las operaciones y que estaba reanudando gradualmente los servicios completos. Posteriormente, Black Basta filtró 1,5 terabytes de datos robados en su sitio de filtración de datos, diciendo que la filtración incluye datos de la empresa, información de los empleados y documentos personales que incluyen fotografías de licencias de conducir, datos de clientes y análisis médicos que incluyen datos de «espermogramas, toxicología y anatomía». e imágenes. Aún no está claro si el mismo grupo de afiliados ejecutó ambos ataques contra las empresas vinculadas a Synlab, utilizando el ransomware Black Basta en primera instancia y Qilin en segunda. Los expertos en ciberseguridad dicen que los afiliados de ransomware a veces trabajan con varios grupos al mismo tiempo y pueden seleccionar qué variedad de ransomware usar contra una víctima determinada, en parte según el entorno al que se dirigen. Los ataques que involucran el ransomware Qilin han ido en aumento desde principios de este año, dijo la firma de ciberseguridad Secureworks. Si bien Qilin parece haber debutado a mediados de 2022, “es probable que el grupo se haya beneficiado de la interrupción de las fuerzas del orden causada por los esquemas de ransomware Alphv/BlackCat y LockBit a principios de 2024, lo que llevó a sus afiliados a pasar a otros programas para continuar con su actividades delictivas”. URL de la publicación original: https://www.databreachtoday.com/uk-pathology-lab-ransomware-attackers-demanded-50-million-a-25559
Inteligencia artificial y aprendizaje automático, Gobernanza y gestión de riesgos, Gobierno Agencia de Defensa Cibernética de EE. UU. Desarrolla un manual de colaboración en incidentes de seguridad con IAChris Riotta (@chrisriotta) •17 de junio de 2024 La Agencia de Seguridad de Infraestructura y Ciberseguridad está elaborando un marco integral para unificar el gobierno, la industria y el mundo socios en su respuesta a importantes incidentes de seguridad relacionados con la inteligencia artificial. Ver también: Reducción de la complejidad en TI para el cuidado de la salud (libro electrónico) La agencia de defensa cibernética de EE. UU. llevó a cabo el jueves el primer ejercicio práctico de incidentes de seguridad de IA del gobierno federal, reuniendo a más de 50 expertos en IA para el evento de cuatro horas celebrado en las oficinas de Microsoft en Virginia. La agencia dijo que el ejercicio tenía como objetivo apoyar el desarrollo del manual de colaboración en incidentes de seguridad de IA que se espera que se publique a finales de este año. La asociación público-privada emblemática de CISA, la Colaboración Conjunta de Defensa Cibernética, organizó el ejercicio y está desarrollando el manual a través de un esfuerzo de planificación dedicado denominado JCDC.AI. Según la agencia, la colaboración planea organizar un segundo ejercicio a finales de este año sobre la integración de la IA en la infraestructura crítica de EE. UU. La directora de CISA, Jen Easterly, dijo en un comunicado que el ejercicio resaltaba «la importancia de desarrollar y entregar productos de IA diseñados con la seguridad como máxima prioridad». «Como coordinador nacional para la seguridad y resiliencia de la infraestructura crítica, estamos entusiasmados de trabajar con nuestros socios para aprovechar este esfuerzo y ayudar a las organizaciones a proteger sus sistemas de inteligencia artificial», dijo. Entre los participantes en el evento se encontraban el FBI, la Agencia de Seguridad Nacional, la Oficina del Director de Inteligencia Nacional y los departamentos de Defensa y Justicia. También asistieron los principales desarrolladores de software e inteligencia artificial, incluidos OpenAI, Microsoft, IBM, Cisco, Cranium AI, Amazon Web Services y más. CISA ha publicado recientemente una serie de documentos de orientación para los sectores público y privado para promover los beneficios de la IA y al mismo tiempo garantizar que los sistemas estén protegidos de las amenazas emergentes a la ciberseguridad. La agencia publicó una hoja de ruta para la IA que prevé una estructura programática para la adopción de la IA dentro de las misiones de ciberdefensa y una guía mejorada en el lugar de trabajo para las tecnologías generativas. El JCDC también se centra en reducir el riesgo que la IA representa para la infraestructura crítica como un componente clave de sus prioridades para 2024, además de anticipar la tecnología emergente y las nuevas amenazas a la ciberseguridad. «Los conocimientos que obtendremos de este ejercicio serán vitales para desarrollar estrategias de respuesta inmediata y dar forma al futuro de la seguridad de la IA», dijo en un comunicado Jonathan Dambrot, director ejecutivo de Cranium AI. Dijo que el próximo libro de estrategias de IA del JCDC «servirá como un recurso fundamental para todas las partes interesadas» y ayudará a garantizar que las organizaciones «estén preparadas y sean resilientes frente a las amenazas relacionadas con la IA». El subdirector de la División Cibernética del FBI, Bryan Vorndran, dijo que el ejercicio demostró que ambos sectores están mejor preparados para manejar las amenazas cibernéticas cuando existe una coordinación adecuada. «Somos más fuertes cuando nos unimos para compartir información y determinar las mejores prácticas en el cambiante panorama de la IA», dijo Vorndran. URL de la publicación original: https://www.databreachtoday.com/cisa-conducts-first-ever-ai-security-incident-response-drill-a-25540
Gestión de fraude y delitos cibernéticos, Enfoque geográfico: Asia, Hackers geoespecíficos utilizaron docenas de servidores para distribuir aplicaciones maliciosas de Android Jayant Chakravarti (@JayJay_Tech) • 17 de junio de 2024 La policía de Singapur arrestó a un hombre que, según dijeron, era un cabecilla del delito cibernético de Malasia. (Imagen: Departamento de Asuntos Públicos, Fuerza de Policía de Singapur.) Una operación policial dirigida por la policía de Singapur desmanteló una red regional de cibercrimen que llevaba a cabo estafas habilitadas con malware para robar decenas de millones de dólares a las víctimas desde 2023. Ver también: Cazando mulas de dinero con una visión de 360 grados de las identidades La Policía de Singapur dijo el viernes que trabajó con las autoridades policiales de Malasia, Hong Kong y Taiwán para desmantelar un grupo organizado de cibercrimen que operaba en todas las jurisdicciones y utilizaba aplicaciones maliciosas de Android para acceder de forma remota a los dispositivos móviles de las víctimas. y vaciar sus cuentas bancarias. El grupo de ciberdelincuencia mató a 1.899 víctimas en Singapur y robó hasta 25 millones de dólares de sus cuentas bancarias en 2023, dijo el SPF. La agencia policial coordinó una investigación conjunta de siete meses, denominada Operación DISTANTHILL, con la Policía Real de Malasia y la Fuerza de Policía de Hong Kong y extraditó a dos ciudadanos malasios que desempeñaron papeles importantes en la empresa criminal. La empresa de ciberseguridad Group-IB ayudó a las autoridades policiales durante su investigación y dijo que el grupo criminal a menudo disfrazaba aplicaciones maliciosas de Android como aplicaciones de comercio electrónico que ofrecían precios especiales para bienes y alimentos. El grupo distribuyó estas aplicaciones utilizando docenas de servidores para enviar correos electrónicos de phishing a víctimas desprevenidas. Después de que una víctima concediera permiso a una aplicación maliciosa, el troyano de acceso remoto emplearía registradores de teclas y capturas de pantalla para copiar datos personales, contraseñas y otra información confidencial. El troyano también interceptó contraseñas de un solo uso enviadas por instituciones financieras. “Funciona discretamente en segundo plano y persiste incluso después de reiniciar el dispositivo Android. El mismo troyano ha sido anunciado como un esquema de malware como servicio, que también se ha cobrado víctimas en diferentes partes del mundo, incluidos Medio Oriente y Europa”, dijo Group-IB. La firma descubrió que la red de cibercrimen utilizó alrededor de 250 páginas web de phishing y más de 50 servidores en Malasia para defraudar a más de 4.000 víctimas en todo el Sudeste Asiático. La policía de Hong Kong desmanteló 52 servidores pertenecientes a la empresa criminal y arrestó a 14 personas que facilitaron la estafa entregando sus cuentas bancarias a delincuentes a cambio de dinero. La policía de Taiwán, como parte de la Operación DISTANTHILL, arrestó a cuatro personas que dirigían un centro de atención al cliente falso en la ciudad de Kaohsiung, Taiwán, para distribuir aplicaciones maliciosas a los clientes y realizar transacciones no autorizadas desde sus cuentas bancarias. La policía recuperó 1,33 millones de dólares en dinero y activos en criptomonedas de los presuntos delincuentes. La Policía de Singapur dijo que los dos individuos extraditados de Malasia enfrentan hasta siete años de prisión o una multa de hasta 50.000 dólares singapurenses, o ambas. URL de la publicación original: https://www.databreachtoday.com/police-dismantle-asian-crime-ring-behind-25m-android-fraud-a-25541
Ciberdelincuencia, gestión del fraude y delincuencia cibernética, la justicia gubernamental dice que Sagar Steven Singh y Nicholas Ceraolo engañaron y amenazaron a las víctimasChris Riotta (@chrisriotta) •17 de junio de 2024 Imagen: Shutterstock Dos piratas informáticos se declararon culpables el lunes en un tribunal federal de conspirar para cometer intrusión informática y agravar la identidad robo. Las autoridades dijeron que utilizaron la contraseña robada de un agente de la ley para obtener acceso no autorizado a un portal no público mantenido por una agencia de aplicación de la ley de Estados Unidos, según el Departamento de Justicia. Ver también: Ataque de ransomware del NHS: ¿Qué hace que la atención médica sea un objetivo principal para el ransomware? Sagar Steven Singh y Nicholas Ceraolo fueron acusados en marzo de 2023 de piratear la base de datos de las fuerzas del orden. Las autoridades dijeron que los piratas informáticos amenazaron con «dañar» a las familias de las víctimas a menos que se les proporcionaran credenciales de inicio de sesión en sus cuentas de Instagram. Los piratas informáticos se hacían llamar «ViLe» y utilizaban doxing y otras tácticas de extorsión para sacar dinero de sus víctimas. Singh y Ceraolo recopilaron información confidencial de las víctimas, incluidos números de Seguro Social y de licencia de conducir, y luego intentaron publicar esos datos en un sitio público hasta que les pagaron para eliminarlos. El Departamento de Justicia hizo referencia a los mensajes que Singh envió a Ceraolo después de acceder a la base de datos en los que escribió que se había «conectado a la cuenta de un oficial de policía». «Ese portal tenía algunas herramientas jodidamente potentes», aparentemente le dijo a Ceraolo. «TI me dio acceso a las bases de datos del gobierno». Luego, Singh le dijo a su víctima en un mensaje que tenía “acceso a bases de datos, que son federales, a través de [the] portal” y añadió que “puede solicitar información sobre cualquier persona en los EE.UU.” “No importa quién”, escribió Singh, según el Departamento de Justicia. «Nadie está a salvo». Singh y Ceraolo se enfrentan a una pena máxima de siete años de prisión. La Sección Cibernética de Seguridad Nacional del Departamento de Justicia está manejando el caso. URL de la publicación original: https://www.databreachtoday.com/hackers-plead-guilty-after-breaching-law-enforcement-portal-a-25544
Gestión de fraude y ciberdelincuencia, atención sanitaria, industrias específicas Steve Stone de Rubrik sobre la reducción de las vulnerabilidades relacionadas con los datos en la atención sanitaria 18 de junio de 2024 Steve Stone, director de Zero Labs, Rubrik El reciente ataque de ransomware a un proveedor clave de TI del Servicio Nacional de Salud del Reino Unido ha obligado a dos hospitales de Londres reprogramar alrededor de 1.500 citas médicas, incluidos tratamientos críticos contra el cáncer y cirugías de trasplante de órganos. Los operadores de ransomware se dirigen a la atención sanitaria debido a los matices arquitectónicos de la industria que son similares a los de otras industrias, como la financiera, la industrial e incluso la gubernamental. Lo que realmente mueve la aguja, afirmó Stone, son los datos. «Las organizaciones de atención médica suelen tener alrededor de un 50 % más de datos confidenciales, lo que representa un crecimiento cinco veces mayor que el promedio mundial de otras industrias». “¿Cómo se previene o limita el ransomware en la nube y SaaS? Tiene que empezar y terminar con la identidad”, dijo. “El método más importante es comprender qué usuarios están impactando qué datos. Se trata de comprender la superficie de riesgo”. En esta entrevista en video con Information Security Media Group en Infosecurity Europe 2024, Stone analizó: Conclusiones del informe El estado de la seguridad de los datos de Rubrik Zero Labs; La importancia de la visibilidad de los datos y la comprensión de lo que necesita protección; Los desafíos de la respuesta a incidentes en entornos híbridos. Stone lidera la nueva unidad de investigación de amenazas a los datos de Rubrik para descubrir intrusiones en el mundo real provenientes de una variedad de amenazas. Tiene más de 15 años de experiencia en inteligencia sobre amenazas y ha desempeñado cargos en el ejército, la comunidad de inteligencia y el sector privado de EE. UU., incluso en Mandiant e IBM. URL de la publicación original: https://www.databreachtoday.com/nhs-ransomware-attack-what-makes-healthcare-prime-target-for-ransomware-a-25547
Geo Focus: Asia, geoespecíficos, gobernanza y gestión de riesgos Los sistemas de monitoreo empresarial no pudieron detectar los inicios de sesión no autorizados de ex trabajadores Jayant Chakravarti (@JayJay_Tech) • 14 de junio de 2024 Sede de NCS en Bedok S Road en Singapur (Imagen: Shutterstock) Un tribunal de Singapur condenó a un ex empleado de NCS Group, con sede en Singapur, a dos años y ocho meses de prisión por acceder al entorno de prueba de software de la empresa y borrar 180 servidores virtuales meses después de que terminara su empleo. Ver también: Fortalecimiento de las defensas con los estándares ISO/IEC 27001: la frontera de la ciberseguridad canadiense Kandula Nagaraju, ciudadana india, se unió a la empresa de servicios de TI propiedad de Singtel como consultora de nube híbrida en noviembre de 2021, pero regresó a la India 12 meses después, después de NCS. puso fin a sus servicios. Después de su regreso, Nagaraju comenzó a solicitar un nuevo trabajo, pero también se sintió “confundido y molesto” por la forma en que NCS terminó su empleo. Según documentos judiciales, utilizó su computadora portátil personal para acceder al sistema informático de control de calidad de NCS al menos seis veces en enero de 2022. Regresó a Singapur en febrero de 2022 para comenzar un nuevo trabajo, pero continuó usando sus credenciales para acceder a los sistemas de su antiguo empleador. En marzo de 2022, inició sesión en el sistema 13 veces y finalmente ejecutó un script programado en el sistema entre el 18 de marzo de 2022 y el 19 de marzo de 2022 para eliminar 180 servidores virtuales que almacenaban códigos de aplicaciones de software bajo prueba. NCS sufrió pérdidas por 917.832 dólares de Singapur debido a la eliminación. La compañía le dijo al sitio de noticias CNA que Nagaraju continuó obteniendo acceso al entorno de prueba como resultado de una “supervisión humana” porque su acceso al sistema no se canceló cuando terminó su empleo. NCS es una empresa líder en servicios de tecnología que ofrece servicios de aplicaciones, infraestructura, ingeniería y ciberseguridad a organizaciones de toda la región de Asia y el Pacífico. La compañía dijo que el acceso no autorizado a principios de 2022 fue un incidente aislado. Singtel, la empresa matriz de NCS y el conglomerado de telecomunicaciones más grande de Singapur, informó una pérdida de 1.470 millones de dólares singapurenses en el año fiscal 2023 como resultado de que la filial australiana Optus sufriera un importante ciberataque que afectó a hasta 10 millones de clientes actuales y anteriores. Los costos de remediación redujeron el beneficio neto de Singtel en un 64%. Dialog, filial australiana de consultoría de TI de Singtel, experimentó en septiembre de 2022 una filtración de datos que involucró a un actor de amenazas que robó datos de la empresa, incluidos datos asociados con 20 clientes y 1.000 empleados, y publicó el volcado para la venta en la web oscura. Zero Trust y MFA clave para proteger los activos de TI NCS descubrió el acceso no autorizado un día después de que Nagaraju eliminara los servidores virtuales. Venkatesh Thanumoorthy, arquitecto de gestión de identidad y acceso en una empresa líder en consultoría tecnológica, dijo que NCS podría haber evitado el acceso no autorizado y la eliminación de datos si hubiera alineado su estrategia de ciberseguridad con una estrategia más amplia de gestión de riesgos. El Informe global sobre el costo de los riesgos internos del Instituto Ponemon de 2023 dice que las organizaciones perdieron 16,2 millones de dólares a nivel mundial debido a incidentes de amenazas internas. “La rotación periódica de credenciales/contraseñas/claves SSH a través de una plataforma PAM y análisis del comportamiento del usuario es una buena opción a implementar para evitar esta situación en el futuro. Con la implementación, el usuario ni siquiera necesita conocer las credenciales de destino”, afirmó Thanumoorthy. Una postura de gestión de riesgos más sólida Raina Verma, directora de programación y miembro de la junta ejecutiva de la Asociación de Examinadores de Fraude Certificados, dijo que las grandes organizaciones como NCS deben hacer que sus procesos de baja de empleados sean tan meticulosos como el proceso de incorporación para roles críticos. Está claro que la terminación de Nagaraju fue inmediata, no escalonada, y la salida apresurada resultó en un error humano en el que un administrador olvidó desactivar el acceso de Nagaraju a los sistemas críticos. El sistema de gestión de alertas o los sistemas de detección de la empresa tampoco emitieron alertas cuando el exempleado accedió al entorno de prueba varias veces. NCS no respondió a la solicitud de comentarios de Information Security Media Group al momento de la publicación. URL de la publicación original: https://www.databreachtoday.com/ncs-insider-prison-sentence-highlights-enterprise-risk-flaws-a-25527
Inteligencia artificial y aprendizaje automático, Reglamento general de protección de datos (GDPR), tecnologías de próxima generación y desarrollo seguro La empresa dice que seguirá intentando utilizar publicaciones públicas que datan de 2007 para capacitar a AIAkshaya Asokan (asokan_akshaya) •14 de junio de 2024 La sede europea de Meta es en Dublín, Irlanda. (Imagen: Shutterstock) El gigante de las redes sociales Meta retrasará sus planes para entrenar inteligencia artificial con datos recopilados de usuarios europeos de Instagram y Facebook semanas después de que un grupo de derechos humanos presentara una denuncia contra la empresa ante 11 reguladores de datos europeos. Vea también: Nuevo seminario web OnDemand | Superar los principales desafíos de cumplimiento de datos en una era de modernización digital Meta anunció en mayo planes para expandir la IA en Facebook e Instagram para clientes europeos y británicos. «Estas características y experiencias deben basarse en información que refleje las diversas culturas e idiomas de las comunidades europeas que las utilizarán», dijo en ese momento. En una actualización del viernes, Meta dijo que hizo una pausa después de verse presionada por la Comisión Irlandesa de Protección de Datos y otras autoridades europeas de protección de datos. «Este es un paso atrás para la innovación europea, la competencia en el desarrollo de la IA y nuevos retrasos para llevar los beneficios de la IA a las personas en Europa», afirmó Meta. Un portavoz de Meta dijo a Information Security Media Group que el retraso es temporal y que la compañía lanzará pronto sus sistemas de inteligencia artificial en el Reino Unido y Europa. No proporcionó un cronograma sobre su posible implementación en el futuro. «El DPC acoge con satisfacción la decisión de Meta de pausar sus planes para entrenar su modelo de lenguaje amplio utilizando contenido público compartido por adultos», dijo un portavoz del DPC irlandés al ISMG. «Esta decisión se produjo tras un intenso compromiso entre el DPC y Meta». La agencia irlandesa tiene una enorme influencia sobre Meta desde que la sede europea del gigante de las redes sociales se encuentra en Dublín. Meta dijo que planeaba utilizar publicaciones, fotografías y subtítulos compartidos públicamente que datan de 2007 con fines de entrenamiento de IA. El grupo de derechos austriaco None of Your Business presentó quejas ante 11 reguladores de datos europeos, expresando su preocupación de que Meta violaría al menos 10 requisitos de privacidad bajo el Reglamento General de Protección de Datos (ver: La capacitación del modelo de IA de Meta está bajo escrutinio europeo). NOYB invocó el “procedimiento de urgencia” del RGPD, que exige a las autoridades supervisoras que tomen una decisión vinculante inmediata. Dado que Meta no ha anunciado ningún cambio en su política de privacidad, la decisión de la compañía no es una medida permanente, afirmó Max Schrems, fundador de NOYB. «Los casos que presentamos están en curso y necesitarán una determinación». La decisión de Meta de revertir temporalmente sus planes de IA llega inmediatamente después de que Microsoft redujera el viernes su implementación de Recall, una función de captura de pantalla automática indexada por inteligencia artificial (ver: Microsoft Backtracks on Recall Rollout). URL de la publicación original: https://www.databreachtoday.com/meta-delays-data-harvesting-for-ai-plans-in-europe-a-25528
Open XDR, Gestión de eventos e información de seguridad (SIEM), Operaciones de seguridad Palo Alto Networks alcanza la clasificación, mientras que Trend Micro cae a un desempeño fuerte Michael Novinson (MichaelNovinson) •14 de junio de 2024 Microsoft se mantuvo en la cima de la clasificación de proveedores de XDR de Forrester, mientras que Palo Alto Networks y CrowdStrike subieron en el espacio de los líderes y Trend Micro cayó hasta convertirse en el de mejor desempeño. Ver también: Seminario web en vivo | Las máquinas están aprendiendo, pero ¿nosotros también? Los proveedores de XDR están integrando cada vez más diversas fuentes de telemetría y desarrollando estrategias para reemplazar los productos SIEM mientras trabajan para mejorar las capacidades de detección, optimizar la experiencia del usuario y gestionar los costos de manera efectiva, dijo Allie Mellen, analista principal de Forrester. Los proveedores ahora admiten de forma nativa fuentes de telemetría más allá de su herencia tecnológica, incluidos datos de puntos finales, identidad, nube y red. «Cuando muchos de los proveedores tienen telemetría nativa que admiten, tienen control total sobre ella», dijo Mellen a Information Security Media Group. “Saben el formato que tendrá y pueden girar en su silla y hablar con la persona que lo está desarrollando desde el punto de vista del producto. Por lo tanto, pueden tener mucho más control que con la telemetría de terceros”. Mellen dijo que este soporte ampliado mejora la calidad de las detecciones, así como la efectividad general de la tecnología XDR. Muchos proveedores han desarrollado estrategias para ofrecer alternativas SIEM que se integran perfectamente con sus plataformas XDR, proporcionando una experiencia de analista unificada y gestionando los costos asociados con el almacenamiento y la gestión de datos, según Mellen (consulte: Cómo las grandes adquisiciones están transformando las operaciones de seguridad). «Todo el mundo está analizando sus opciones en este momento, sin importar en qué parte del mercado se encuentre», dijo. «Las grandes empresas están analizando sus opciones para un posible reemplazo del SIEM, en parte debido al costo asociado con el SIEM, que las ha afectado durante mucho tiempo». El nuevo XDR Forrester Wave reemplazó al inaugural del otoño de 2021. Trend Micro cayó del primero al cuarto lugar en la evaluación de Forrester sobre la fortaleza de su oferta actual, y Microsoft, Palo Alto Networks y CrowdStrike subieron cada uno un lugar al primero, segundo y tercero. lugares, respectivamente. “Todo el mundo está analizando sus opciones en este momento, sin importar en qué parte del mercado se encuentre”. – Allie Mellen, analista principal, Forrester Microsoft recibió la puntuación más alta de Forrester en estrategia, y CrowdStrike y Palo Alto Networks recibieron la segunda y tercera puntuación. puntuaciones más altas, respectivamente. Trend Micro y Bitdefender empataron en el cuarto lugar. En 2021, Microsoft, Trend Micro, CrowdStrike y Bitdefender quedaron empatados en la puntuación estratégica más alta. Lo que distingue a los líderes XDR Los líderes del mercado como Microsoft, Palo Alto Networks y CrowdStrike se han distinguido por características avanzadas que mejoran la experiencia general de los analistas, así como enfoques estratégicos para el reemplazo de SIEM, dijo Mellen. Las características desarrolladas por los líderes del mercado incluyen una mejor visualización y comprensión de los datos, acciones de respuesta automatizadas y capacidades mejoradas de búsqueda de amenazas. «La diferencia clave entre los líderes y todos los demás participantes en la ola fueron precisamente estas pequeñas características que pudieron incorporar a la oferta que se destacan por encima del resto», dijo Mellen. “Muchos volvieron a preguntarse: ‘¿Qué se está incorporando al producto que es diferente del resto del mercado y que mejora la experiencia de los analistas?’”. Mellen dijo que estos proveedores han desarrollado estrategias para gestionar los costos y las complejidades asociadas con la duplicación de datos entre XDR. y sistemas SIEM. De cara al futuro, dijo Mellen, se espera que el mercado XDR se centre en seguir desarrollando capacidades de detección de identidad y de nube. A medida que los ataques continúen apuntando a entornos de nube, dijo, la necesidad de detección y respuesta no hará más que crecer. «Si obtiene datos o telemetría de un proveedor, no querrá que le cobren dos veces por ello», dijo Mellen. “No quieres que te cobren por ello en XDR y luego digan: ‘Oye, también te vamos a cobrar por ello en tu SIEM, que también tenemos para ti’”. Fuera de los líderes, aquí está Cómo ve Forrester el mercado XDR: Mejores actores: Trend Micro, Bitdefender, SentinelOne Contendientes: Cisco, Sophos, Trellix Contendientes: Broadcom, Fortinet El XDR impulsado por IA de Microsoft reduce drásticamente los tiempos de respuesta a los ataques Microsoft invirtió en tecnología que predice y detiene los ataques en tiempo real. reduciendo el tiempo necesario para reconocer y detener un ataque de un promedio de 72 minutos a solo tres minutos, dijo Scott Woodgate, gerente general de protección contra amenazas. La capacidad de interrupción tecnológica de la compañía también apaga los dispositivos e identidades comprometidos, lo que, según Woodgate, evita una mayor propagación del ataque. La empresa fusionó XDR y las operaciones de seguridad en un solo producto, lo que ayudó a los equipos de seguridad a administrar todo sin cambiar entre interfaces. Al combinar los conocimientos detallados de XDR y el contexto más amplio proporcionado por un SIEM, dijo Woodgate, la plataforma de operaciones de seguridad unificada de Microsoft acelera la recuperación de información y proporciona un contexto más sólido tanto para los analistas humanos como para los sistemas de inteligencia artificial (ver: Microsoft presenta servicios para simplificar la búsqueda de amenazas, XDR). «Esta interrupción del ataque en tiempo real reconoce un ataque en proceso y lo apaga, limitando la superficie del ataque», dijo Woodgate al ISMG. Algunos clientes de referencia dijeron a Forrester que el modelo de licencia de Microsoft esencialmente los obliga a adoptar el conjunto completo de productos de Microsoft para beneficiarse de XDR. Pero Woodgate dijo que Microsoft ofrece flexibilidad y varios puntos de entrada para que los clientes escale su uso según sus necesidades. «La diferencia tangible con Microsoft es que los clientes que habrían terminado en situaciones desafortunadas ahora tienen continuidad comercial para el gran porcentaje de sus usuarios», dijo Woodgate. «Los equipos de seguridad que han experimentado esto no están entusiasmados por haber sufrido un ataque, pero sí muy entusiasmados de que la interrupción del ataque lo haya mitigado en su nombre». Palo Alto Networks impulsa XDR con IA y análisis de datos sólidos Las inversiones sustanciales en inteligencia artificial y aprendizaje automático han permitido a Palo Alto Networks manejar cantidades de datos sin precedentes y al mismo tiempo reducir el tiempo medio para detectar amenazas, según el presidente de Cortex, Shailesh Rao. Dijo que la empresa integra y analiza datos de diversas fuentes para brindar una protección integral y aprovecha su conjunto de datos para mejorar sus modelos de aprendizaje automático. Palo Alto Networks ha invertido en ampliar sus capacidades de análisis de datos para incluir más de 200 fuentes de datos, mejorando aún más su capacidad para proteger diversos entornos de TI, afirmó Rao. El enfoque de la compañía en integrar datos de terceros y proporcionar una plataforma de operaciones de seguridad unificada ha sido una parte clave de su estrategia, ayudando a Palo Alto Networks a detectar una amplia gama de técnicas de ataque, dijo Rao (ver: CEO de Palo Alto: ‘SIEM necesita ser eliminado y reemplazado’). «Nuestro tiempo medio de protección pasó de un día a unos 10 segundos para un conjunto de datos que pasó de mil millones de eventos por día a 36 mil millones de eventos», dijo Rao al ISMG. “Imagínese poder aumentar aproximadamente cuatro veces la cantidad de datos que se analizan. Pasamos de 20 a 80 terabytes en términos de análisis, reduciendo el tiempo medio de un día a 10 segundos. Nunca se ha logrado nada ni siquiera parecido en las operaciones de seguridad”. Algunos clientes expresaron a Forrester sus preocupaciones sobre el coste de la tecnología XDR de Palo Alto. Rao reconoció que los análisis de alto nivel de la empresa y el uso extensivo de IA y aprendizaje automático pueden hacer que sus ofertas sean más caras que las de algunos competidores. Pero Rao argumentó que el valor proporcionado por estas capacidades avanzadas justifica el precio más alto. «Nuestra capacidad para competir no ha estado en desventaja debido a nuestro precio», dijo Rao. CrowdStrike hace la transición a LogScale y refuerza el uso de datos XDR CrowdStrike trasladó a todos sus clientes del backend de Splunk a su plataforma patentada LogScale para mejorar su eficiencia y capacidades XDR, según el jefe de productos Raj Rajamani. La migración permite a los clientes analizar, correlacionar y buscar datos de manera más efectiva y manejar volúmenes diarios de más de 7 petabytes de datos. Estas mejoras impulsan la integración de fuentes de datos de terceros y la aplicación de reglas de detección. La integración de la compañía entre SIEM y SOAR ha simplificado los flujos de trabajo operativos, permitiendo activaciones y consultas bajo demanda, automatizando los pasos de seguimiento y mejorando la eficiencia operativa, dijo. CrowdStrike ha desarrollado cientos de conectores para diversos servicios de seguridad para facilitar la perfecta integración y normalización de datos en un marco de modelado de datos semánticos, dijo Rajamani (ver: CrowdStrike SIEM Demand Rises Amid Cisco-Splunk, Legacy Woes). «Nuestro mayor diferenciador competitivo es que cada uno de nuestros clientes es ahora un cliente XDR», dijo a ISMG. «También ofrecemos a los clientes 10 gigabytes de ingesta gratuita todos los días porque estamos muy seguros de las capacidades de nuestra plataforma y de que les gustará una vez que comiencen a usarla». A pesar de ser reconocida principalmente como una empresa de EDR, CrowdStrike está ampliando su alcance y capacidades en el espacio XDR, según Rajamani. Dijo que el enfoque de la compañía para integrar activos basados en red e inteligencia sobre amenazas en su plataforma subraya su compromiso con soluciones integrales de ciberseguridad. «Somos uno de los principales proveedores de servicios de respuesta a incidentes», dijo Rajamani. «Cada vez que vemos que se utilizan tácticas, técnicas o procedimientos nuevos o únicos, inmediatamente encuentran su camino de regreso a un circuito de retroalimentación muy cerrado que llega al producto». URL de la publicación original: https://www.databreachtoday.com/microsoft-palo-alto-crowdstrike-lead-xdr-forrester-wave-a-25530
Inteligencia artificial y aprendizaje automático, tecnologías de próxima generación y desarrollo seguro, vídeo también: Cumbre del ISMG en Chicago; Navegando por el cambio regulatorio Anna Delaney (annamadeline) •14 de junio de 2024 En el sentido de las agujas del reloj, desde arriba a la izquierda: Anna Delaney, Tony Morbin, Tom Field y Rashmi Ramesh En la última actualización semanal, los editores de Information Security Media Group discutieron la próxima Cumbre de Ciberseguridad del Medio Oeste de América del Norte de ISMG y los desafíos. y soluciones relacionadas con los datos de entrenamiento de IA y las implicaciones de la nueva Ley de Inteligencia Artificial de la Unión Europea para los CISO. Ver también: Salvaguardar la integridad electoral en la era digital Los panelistas: Anna Delaney, directora de producciones; Tony Morbin, editor ejecutivo de noticias, UE; Tom Field, vicepresidente senior, editorial; y Rashmi Ramesh, editor asistente, mesa de noticias global – discutieron: Una descripción general de la Cumbre de Ciberseguridad del Medio Oeste de América del Norte de ISMG, que incluirá sesiones interactivas, talleres y redes centradas en herramientas, tecnologías y estrategias actuales de ciberseguridad; Por qué los investigadores advierten que los modelos de IA están agotando rápidamente los datos de entrenamiento disponibles, lo que pronto podría frenar los avances; Estrategias para que los CISO naveguen por el panorama regulatorio y mantengan la privacidad y la seguridad mientras fomentan la innovación en las tecnologías de IA, especialmente ahora que la nueva Ley de IA de la UE entra en vigor este mes. El Panel de Editores de ISMG se publica semanalmente. No se pierda nuestras entregas anteriores, incluida la edición del 5 de junio sobre la descripción general del día inaugural de Infosecurity Europe 2024 y la edición del 7 de junio sobre el resumen de la Conferencia Infosecurity Europe 2024. URL de la publicación original: https://www.databreachtoday.com/ismg-editors-will-ai-survive-data-drought-a-25531