Hemos sido testigos de una mayor colaboración entre los ciberdelincuentes que explotan el mercado subterráneo, lo que les ha permitido desarrollar eficiencias en sus productos. Los ciberdelincuentes se han asociado de esta manera durante años; en 2019 esta economía de mercado solo se expandirá. El juego del gato y el ratón que juega la industria de la seguridad con los desarrolladores de ransomware se intensificará, y la industria deberá responder con mayor rapidez y eficacia que nunca.
Los medios sociales han sido parte de nuestras vidas por más de una década.Recientemente, las naciones-estado han usado infames plataformas de redes sociales para difundir información errónea. En 2019, esperamos que los criminales comiencen a aprovechar esas tácticas para su propio beneficio. Igualmente, el crecimiento continuo de la Internet de las cosas en el hogar inspirará a los criminales a apuntar a esos dispositivos para obtener ganancias monetarias.
Una cosa es cierta: nuestra dependencia de la tecnología se ha vuelto omnipresente.Considere las violaciones de las plataformas de identidad, con informes de 50 millones de usuarios afectados. Ya no es el caso que una infracción se limite a esa plataforma.Todo está conectado, y usted es tan fuerte como su eslabón más débil. En el futuro, nos enfrentaremos a la pregunta de cuál de nuestros enlaces más débiles se verá comprometido.
—Raj Samani, científico jefe y miembro de McAfee, Investigación avanzada de amenazas
Twitter @Raj_Samani
Predicciones
Ciberdelincuentes subterráneos para consolidar, crear más asociaciones para impulsar amenazas
Inteligencia artificial el futuro de las técnicas de evasión
Las amenazas sinérgicas se multiplicarán, requiriendo respuestas combinadas
Desinformación, intentos de extorsión para desafiar las marcas de las organizaciones
Ataques de exfiltración de datos para apuntar a la nube
Asistentes digitales controlados por voz, el siguiente vector en dispositivos IoT de ataque
Los ciberdelincuentes aumentarán los ataques en las plataformas de identidad y los dispositivos perimetrales en peligro de asedio
Ciberdelincuentes subterráneos para consolidar, crear más asociaciones para impulsar amenazas
Los foros de hackers ocultos y los grupos de chat sirven como un mercado para los ciberdelincuentes, que pueden comprar malware, exploits, botnets y otros servicios sospechosos. Con estos productos estándar, los delincuentes de experiencia y sofisticación variados pueden lanzar ataques fácilmente. En 2019, predecimos que la clandestinidad se consolidará, creando menos pero más fuertes familias de malware como servicio que trabajarán activamente juntas. Estas marcas cada vez más poderosas impulsarán la minería de criptomoneda más sofisticada, la rápida explotación de nuevas vulnerabilidades y el aumento de malware móvil y tarjetas de crédito y credenciales robadas.
Esperamos que más afiliados se unan a las familias más grandes, debido a la facilidad de operación y las alianzas estratégicas con otros servicios esenciales de nivel superior, que incluyen kits de explotación, servicios de cifrado, mezcladores de Bitcoin y servicios de antimalware. Hace dos años, vimos a muchas de las familias más grandes de ransomware, por ejemplo, emplear estructuras de afiliados. Seguimos viendo numerosos tipos de ransomware, pero solo unos pocos sobreviven porque la mayoría no puede atraer suficientes negocios para competir con las marcas fuertes, que ofrecen tasas de infección más altas, así como también seguridad operativa y financiera. En este momento las familias más grandes anuncian activamente sus productos; el negocio está floreciendo porque son marcas sólidas (ver GandCrab) aliadas con otros servicios de alto nivel, como el lavado de dinero o el malware indetectable.
Las empresas subterráneas funcionan con éxito porque son parte de un sistema basado en la confianza. Puede que este no sea un caso de «honor entre ladrones», sin embargo, los delincuentes parecen sentirse seguros, confiando en que no pueden ser tocados en el círculo interno de sus foros. Hemos visto esta confianza en el pasado, por ejemplo, con las populares tiendas de tarjetas de crédito en la primera década del siglo, que fueron una de las principales fuentes de ciberdelito hasta que una importante acción policial rompió el modelo de confianza.
A medida que la detección de puntos finales se fortalece, el vulnerable protocolo de escritorio remoto (RDP) ofrece otra ruta para los ciberdelincuentes. En 2019 predecimos que el malware, específicamente el ransomware, utilizará cada vez más el RDP como punto de entrada para una infección. Actualmente, la mayoría de las tiendas clandestinas anuncian el acceso RDP para fines distintos del ransomware, usualmente lo usan como un trampolín para obtener acceso a las cuentas de Amazon o como un proxy para robar tarjetas de crédito. Los grupos de ransomware dirigidos y los modelos de ransomware-as-a-service (RaaS) aprovecharán el RDP, y hemos visto que los esquemas bajo el radar muy exitosos utilizan esta táctica. Los atacantes encuentran un sistema con RDP débil, lo atacan con ransomware y se propagan a través de redes que viven de la tierra o usan la funcionalidad de gusano (EternalBlue). Hay evidencia de que el autor de GandCrab ya está trabajando en una opción de RDP.
También esperamos que el malware relacionado con la minería en criptomoneda se vuelva más sofisticado, seleccionando qué moneda extraer en la máquina de la víctima en función del hardware de procesamiento (WebCobra) y el valor de una moneda específica en un momento dado.
El próximo año, predeciremos que la duración de la vida de una vulnerabilidad, desde la detección hasta la armamentización, será aún más corta. Hemos notado una tendencia a que los ciberdelincuentes se vuelvan más ágiles en su proceso de desarrollo. Recopilan datos sobre fallas de foros en línea y la base de datos de vulnerabilidades y exposiciones comunes para agregar a su malware. Predecimos que los delincuentes a veces tardarán un día o solo horas en implementar ataques contra las últimas debilidades en software y hardware.
Esperamos ver un aumento en las discusiones clandestinas sobre el malware móvil, principalmente enfocadas en Android, con respecto a redes de bots, fraude bancario, ransomware y eludir la seguridad de autenticación de dos factores. El valor de explotar la plataforma móvil actualmente se subestima, ya que los teléfonos ofrecen mucho a los ciberdelincuentes, dada la cantidad de acceso que tienen a la información confidencial, como las cuentas bancarias.
El fraude con tarjetas de crédito y la demanda de datos robados de tarjetas de crédito continuarán, con un mayor enfoque en las operaciones de skimmer en línea dirigidas a plataformas de pago de terceros en grandes sitios de comercio electrónico. Desde estos sitios, los delincuentes pueden robar silenciosamente miles de nuevos detalles de tarjetas de crédito a la vez. Además, las redes sociales se están utilizando para reclutar usuarios involuntarios, que podrían no saber que están trabajando para delincuentes cuando reenvían productos o prestan servicios financieros.
Predecimos un aumento en el mercado de credenciales robadas, impulsadas por las grandes violaciones de datos recientes y por los malos hábitos de los usuarios con las contraseñas. Las violaciones conducen, por ejemplo, a la venta de registros de votantes y al pirateo de cuentas de correo electrónico. Estos ataques ocurren diariamente.
Inteligencia artificial el futuro de las técnicas de evasión
Para aumentar sus posibilidades de éxito, los atacantes han empleado durante mucho tiempo técnicas de evasión para evitar las medidas de seguridad y evitar la detección y el análisis. Los empacadores, crypters y otras herramientas son componentes comunes de los arsenales de los atacantes. De hecho, ha surgido toda una economía clandestina, que ofrece productos y servicios dedicados para ayudar a las actividades delictivas.Predecimos en 2019, debido a la facilidad con que los delincuentes ahora pueden subcontratar los componentes clave de sus ataques, las técnicas de evasión se volverán más ágiles debido a la aplicación de inteligencia artificial. ¿Piensa que la industria de la contra-AV está generalizada ahora? Este es solo el comienzo.
En 2018 vimos nuevas técnicas de inyección de procesos, como el «proceso de duplicado « con el ransomware SynAck, y la inyección de PROPagate entregada por el kit RigExploit.Al agregar tecnologías como la inteligencia artificial, las técnicas de evasión podrán sortear aún más las protecciones.
Diferentes evasiones para diferentes malware.
En 2018, observamos la aparición de nuevas amenazas, como los mineros de criptomoneda, que secuestran los recursos de las máquinas infectadas. Con cada amenaza vienen técnicas de evasión inventivas:
- Minería de criptomonedas: los mineros implementan varias técnicas de evasión.Minerva Labs descubrió WaterMiner, que simplemente detiene su proceso de extracción cuando la víctima ejecuta el Administrador de tareas o un análisis antimalware.
- Kits de explotación: las técnicas de evasión populares incluyen la inyección de procesos o la manipulación del espacio de memoria y la adición de código arbitrario.La inyección en memoria es un vector de infección popular para evitar la detección durante el parto.
- Botnets: las redes de botnets grandes que infectan a miles de víctimas a menudo utilizan técnicas de ofuscación de código o anti-desmontaje. En mayo de 2018, AdvisorsBot se descubrió utilizando código no deseado, instrucciones condicionales falsas, cifrado XOR e incluso hashing de API. Debido a que los bots tienden a extenderse ampliamente, los autores implementaron muchas técnicas de evasión para frenar la ingeniería inversa. También utilizaron mecanismos de ofuscación para las comunicaciones entre los robots y los servidores de control. Los delincuentes usan botnets para actividades tales como DDOS de alquiler, proxies, correo no deseado u otro tipo de entrega de malware. El uso de técnicas de evasión es fundamental para que los delincuentes eviten o retrasen los ataques de botnet.
- Amenazas persistentes avanzadas: los certificados robados comprados en la clandestinidad cibernética se usan a menudo en ataques dirigidos para evitar la detección de antimalware. Los atacantes también usan malware de bajo nivel, como rootkits o amenazas basadas en firmware. Por ejemplo, en 2018, ESET descubrió el primer rootkit UEFI, LoJax. Los investigadores de seguridad también han visto características destructivas utilizadas como técnicas anti-forenses: el malware OlympicDestroyer apuntó a la organización de los Juegos Olímpicos y borró los registros de eventos y las copias de seguridad para evitar la investigación.
Inteligencia artificial la siguiente arma.
En los últimos años, hemos visto malware utilizando técnicas de evasión para evitar los motores de aprendizaje automático. Por ejemplo, en 2017, el ransomware Cerber eliminó archivos legítimos en sistemas para engañar al motor que clasifica los archivos.En 2018, el ransomware de PyLocky utilizó InnoSetup para empaquetar el malware y evitar la detección de aprendizaje automático.
Claramente, eludir los motores de inteligencia artificial ya está en la lista de tareas pendientes de delincuentes; Sin embargo, los delincuentes también pueden implementar inteligencia artificial en su software malicioso. Esperamos que las técnicas de evasión comiencen a aprovechar la inteligencia artificial para automatizar la selección de objetivos, o para verificar los entornos infectados antes de implementar etapas posteriores y evitar la detección.
Tal implementación está cambiando el juego en el panorama de amenazas. Predecimos que pronto se encontrará en la naturaleza.
Las amenazas sinérgicas se multiplicarán, requiriendo respuestas combinadas
Este año hemos visto cómo las amenazas cibernéticas se adaptan y giran más rápido que nunca. Hemos visto que el ransomware evoluciona para ser más efectivo u operar como una cortina de humo. Hemos visto cómo se dispara el cryptojacking , ya que proporciona un retorno de la inversión mejor y más seguro que el ransomware. Todavía podemos ver cómo el phishing se hace fuerte y encontrar nuevas vulnerabilidades que explotar. También notamos que las amenazas sin archivos y que «viven de la tierra» son más resbaladizas y evasivas que nunca, e incluso hemos visto la incubación de malware de esteganografía en la campaña de los Juegos Olímpicos de Pyeongchang . En 2019, predecimos que los atacantes combinarán estas tácticas con más frecuencia para crear amenazas multifacéticas o sinérgicas.
¿Qué podría ser peor?
Los ataques usualmente se centran en el uso de una amenaza. Los malos actores concentran sus esfuerzos en iterar y evolucionar una amenaza a la vez para la efectividad y la evasión. Cuando un ataque es exitoso, se clasifica como ransomware, cryptojacking, exfiltration de datos, etc., y se colocan las defensas. En este punto, la tasa de éxito del ataque se reduce significativamente. Sin embargo, si un ataque sofisticado involucra no solo una sino cinco amenazas de primer nivel trabajando sinérgicamente, el panorama de la defensa podría volverse muy borroso. El desafío surge cuando se intenta identificar y mitigar el ataque. Debido a que los objetivos finales de ataque son desconocidos, uno podría perderse en los detalles de cada amenaza, ya que desempeña un papel en la cadena.
Una de las razones por las que las amenazas sinérgicas se están convirtiendo en una realidad es porque los malos actores están mejorando sus habilidades mediante el desarrollo de bases, kits y componentes de amenazas reutilizables . A medida que los atacantes organizan sus esfuerzos en un modelo de negocio del mercado negro, pueden enfocarse en agregar valor a los bloques de construcción anteriores. Esta estrategia les permite organizar múltiples amenazas en lugar de solo una para alcanzar sus objetivos.
Un ejemplo vale más que mil palabras.
Imagine un ataque que comienza con una amenaza de phishing, no una campaña típica con documentos de Word, sino una técnica novedosa. Este correo electrónico de phishing contiene un archivo adjunto de video. Cuando abre el video, su reproductor de video no se reproduce y le solicita que actualice el códec. Una vez que ejecute la actualización, se implementará un archivo políglota esteganográfico (un GIF simple) en su sistema. Debido a que es un políglota (un archivo que se ajusta a más de un formato al mismo tiempo), el archivo GIF programa una tarea que obtiene un script sin archivos alojado en un sistema comprometido. El script que se ejecuta en la memoria evalúa su sistema y decide ejecutar un ransomware o un minero de criptomonedas. Esa es una peligrosa amenaza sinérgica en acción.
El ataque plantea muchas preguntas: ¿Con qué te enfrentas? ¿Es phishing 2.0? ¿Es stegware? ¿Es sin archivos y “viviendo de la tierra”? Cryptojacking? Ransomware? Es todo al mismo tiempo.
Este ejemplo sofisticado pero factible demuestra que concentrarse en una amenaza puede no ser suficiente para detectar o remediar un ataque. Cuando intenta clasificar el ataque en una sola categoría, puede perder el panorama general y, por lo tanto, ser menos efectivo mitigándolo. Incluso si detiene el ataque en el medio de la cadena, descubrir las etapas inicial y final es tan importante para protegerse contra futuros intentos.
Sé curioso, sé creativo, conecta tus defensas.
Enfrentar ataques sofisticados basados en amenazas sinérgicas requiere cuestionar cada amenaza. ¿Qué pasaría si este éxito de ransomware fuera parte de algo más grande?¿Qué sucede si este correo electrónico de suplantación de identidad (phishing) se centra en una técnica para la cual los empleados no están capacitados? ¿Y si nos falta el verdadero objetivo del ataque?
Teniendo en cuenta estas preguntas, no solo ayudará a captar el panorama general, sino que también aprovechará al máximo las soluciones de seguridad. Predecimos que los actores malos agregarán sinergia a sus ataques, pero las defensas cibernéticas también pueden funcionar de manera sinérgica.
Los ciberdelincuentes utilizan la información errónea sobre las redes sociales y las campañas de extorsión para desafiar las marcas de las organizaciones
Las elecciones fueron influenciadas, las noticias falsas prevalecen y nuestros seguidores en las redes sociales son todos robots controlados por gobiernos extranjeros. Al menos así se siente el mundo a veces. Decir que los últimos años han sido problemáticos para las compañías de medios sociales sería una subestimación. Durante este período se produjo un juego del gato y el ratón, a medida que se eliminan las cuentas automáticas, evolucionan las tácticas de los adversarios y surgen las cuentas de botnets que parecen más legítimas que nunca. En 2019, predecimos un aumento de la desinformación y las campañas de extorsión a través de las redes sociales que se centrarán en las marcas y se originarán no de actores del estado-nación sino de grupos criminales.
Los estados nacionales aprovechan los batallones de bots para enviar mensajes o manipular opiniones, y su efectividad es sorprendente. Los bots a menudo toman los dos lados de una historia para estimular el debate, y esta táctica funciona. Al emplear un sistema de nodos de amplificación, así como al probar los mensajes (incluidos los hashtags) para determinar las tasas de éxito, los operadores de redes de bots demuestran una comprensión real de cómo moldear la opinión popular sobre temas críticos.
En un ejemplo, una cuenta que tenía solo dos semanas de antigüedad con 279 seguidores, la mayoría de los cuales eran otros bots, comenzó una campaña de hostigamiento contra una organización. Por amplificación, la cuenta generó 1,500 seguidores adicionales en solo cuatro semanas simplemente a través de tweets de contenido malicioso sobre su objetivo.
Las actividades para manipular la opinión pública han sido bien documentadas y los robots bien versados en la manipulación de conversaciones para impulsar las agendas están listos. El año que viene esperamos que los cibercriminales reutilicen estas campañas para extorsionar a las empresas amenazando con dañar sus marcas. Las organizaciones se enfrentan a un grave peligro.
Ataques de exfiltración de datos para apuntar a la nube
En los últimos dos años, las empresas han adoptado ampliamente el modelo de software como servicio, como Office 365, así como los modelos de infraestructura de infraestructura y plataforma como servicio, como AWS y Azure. Con este movimiento, muchos más datos corporativos ahora residen en la nube. En 2019, esperamos un aumento significativo en los ataques que siguen los datos a la nube.
Con la mayor adopción de Office 365, hemos notado una oleada de ataques en el servicio, especialmente los intentos de comprometer el correo electrónico. Una de las amenazas que el equipo de la nube de McAfee descubrió fue la botnet KnockKnock, que apuntaba a las cuentas del sistema que normalmente no tienen autenticación multifactor. También hemos visto la aparición de explotaciones del modelo de confianza en el estándar de Autorización Abierta. Uno fue lanzado por Fancy Bear, el grupo ruso de ciberespionaje, usuarios de phishing con una aplicación de seguridad falsa de Google para acceder a los datos del usuario.
De manera similar, durante el último par de años hemos visto muchas violaciones de datos de alto perfil atribuidas a cubos de Amazon S3 mal configurados. Esto claramente no es culpa de AWS. Basado en el modelo de responsabilidad compartida, el cliente está enganchado para configurar adecuadamente la infraestructura de IaaS / PaaS y proteger adecuadamente sus datos empresariales y el acceso de los usuarios. Para complicar las cosas, muchos de estos grupos mal configurados son propiedad de los proveedores en sus cadenas de suministro, en lugar de las empresas objetivo. Con acceso a miles de cubos y credenciales abiertos, los malos actores están optando cada vez más por estas elecciones fáciles.
McAfee descubrió que el 21% de los datos en la nube son confidenciales, como la propiedad intelectual y los datos personales y de los clientes, de acuerdo con el Informe de riesgos y adopción en la nube de McAfee. Con un aumento del 33% en usuarios que colaboran con estos datos durante el año pasado, los cibercriminales saben cómo buscar más objetivos:
- Ataques nativos en la nube dirigidos a API débiles o puntos finales de API no gobernados para obtener acceso a los datos en SaaS así como en PaaS y cargas de trabajo sin servidor
- Reconocimiento y exfiltración ampliados de datos en bases de datos en la nube (PaaS o aplicaciones personalizadas implementadas en IaaS) expandiendo el vector de exfiltración S3 a datos estructurados en bases de datos o lagos de datos
- Aprovechando la nube como un trampolín para ataques nativos en la nube del hombre en el medio (como GhostWriter, que explota los depósitos de S3 públicamente editables introducidos debido a errores de configuración del cliente) para lanzar ataques de cifrado o ransomware en otras variantes de ataques MITM.
Asistentes digitales controlados por voz, el siguiente vector en dispositivos IoT de ataque
A medida que los fanáticos de la tecnología continúan llenando sus hogares con aparatos inteligentes, desde enchufes a televisores, cafeteras, refrigeradores y sensores de movimiento hasta sistemas de iluminación, los medios para acceder a una red doméstica están creciendo rápidamente, especialmente teniendo en cuenta la falta de seguridad de muchos dispositivos IoT. .
Pero la verdadera clave de la puerta de la red el próximo año será el asistente digital controlado por voz, un dispositivo creado en parte para administrar todos los dispositivos IoT dentro de una casa. A medida que aumentan las ventas, y parece probable una explosión en la adopción durante la temporada de vacaciones, la atracción de los ciberdelincuentes por usar asistentes para saltar a los dispositivos realmente interesantes en una red solo seguirá creciendo.
Por ahora, el mercado de los asistentes de voz todavía está tomando forma, con muchas marcas que buscan dominar el mercado, en más de un sentido, y no está claro si un dispositivo se volverá omnipresente. Si uno toma la iniciativa, sus características de seguridad caerán, con razón, bajo el microscopio de los medios de comunicación, aunque tal vez no antes de que sus preocupaciones de privacidad hayan sido examinadas por completo en prosa.
(El año pasado destacamos la privacidad como la principal preocupación de los dispositivos de IoT para el hogar. La privacidad seguirá siendo una preocupación, pero los ciberdelincuentes se esforzarán más en crear redes de bots, exigir rescates y amenazar la destrucción de propiedades tanto de hogares como de negocios).
Esta oportunidad de controlar los dispositivos de una casa u oficina no pasará desapercibida para los ciberdelincuentes, quienes se involucrarán en un tipo de escritura completamente diferente en relación con el ganador del mercado, en forma de código malicioso diseñado para atacar no solo los dispositivos IoT sino también los dispositivos digitales. Asistentes que tienen tanta licencia para hablar con ellos.
Los teléfonos inteligentes ya han servido como puerta a una amenaza. En 2019, bien pueden convertirse en el picklock que abre una puerta mucho más grande. Ya hemos visto dos amenazas que demuestran lo que pueden hacer los cibercriminales con dispositivos no protegidos, en forma de la botnet Mirai, que se registró por primera vez en 2016, y IoT Reaper, en 2017. Este malware de IoT apareció en muchas variantes para atacar dispositivos conectados como Enrutadores, grabadores de vídeo en red y cámaras IP. Expandieron su alcance al descifrar las contraseñas y explotar las vulnerabilidades conocidas para construir redes de robots en todo el mundo.
El año que viene esperamos ver dos vectores principales para atacar dispositivos domésticos de IoT: enrutadores y teléfonos inteligentes / tabletas. La botnet Mirai demostró la falta de seguridad en los enrutadores. Los teléfonos inteligentes infectados, que ya pueden monitorear y controlar dispositivos domésticos, se convertirán en uno de los principales objetivos de los ciberdelincuentes, que emplearán técnicas actuales y nuevas para tomar el control.
Los autores de malware tomarán ventaja de los teléfonos y tabletas, aquellos controladores que ya son de confianza, para intentar controlar los dispositivos de IoT mediante el craqueo de contraseñas y la explotación de vulnerabilidades. Estos ataques no parecerán sospechosos porque el tráfico de red proviene de un dispositivo de confianza. La tasa de éxito de los ataques aumentará y las rutas de ataque serán difíciles de identificar. Un teléfono inteligente infectado podría provocar el siguiente ejemplo de secuestro de la configuración de DNS en un enrutador . Las vulnerabilidades en las aplicaciones móviles y en la nube también son propicias para la explotación, con los teléfonos inteligentes en el centro de la estrategia de los delincuentes.
Los dispositivos IoT infectados suministrarán botnets, que pueden lanzar ataques DDoS, así como robar datos personales. El malware IoT más sofisticado explotará a los asistentes digitales controlados por voz para ocultar sus actividades sospechosas a los usuarios y al software de seguridad de la red doméstica. Las actividades maliciosas, como abrir puertas y conectarse a servidores de control, pueden ser activadas por los comandos de voz del usuario («Reproducir música» y «¿Qué tiempo hace hoy?»). Pronto podremos escuchar los dispositivos IoT infectados exclamando: “¡Asistente! ¡Abre la puerta de atrás!
Los ciberdelincuentes aumentarán los ataques en las plataformas de identidad y los dispositivos perimetrales en peligro de asedio
Las infracciones de datos a gran escala de las plataformas de identidad, que ofrecen autenticación y autorización centralizadas y seguras de usuarios, dispositivos y servicios en entornos de TI, han sido bien documentadas en 2018. Mientras tanto, los datos capturados se están reutilizando para causar más miseria a sus víctimas. En 2019, esperamos ver plataformas de redes sociales a gran escala que implementen medidas adicionales para proteger la información del cliente. Sin embargo, a medida que las plataformas aumentan en número, predecimos que los delincuentes centrarán sus recursos en entornos tan atractivos y ricos en datos. La lucha entre criminales y plataformas a gran escala será el próximo gran campo de batalla.
Triton, el malware que ataca los sistemas de control industrial (ICS), ha demostrado las capacidades de los adversarios para atacar de forma remota los entornos de fabricación a través de sus entornos de TI adyacentes. Las infracciones de la plataforma de identidad y los «dispositivos de borde» proporcionarán las claves para que los adversarios lancen futuros ataques ICS remotos debido al uso de contraseñas estáticas en entornos y dispositivos de borde restringidos, que carecen de requisitos de sistemas seguros debido a las limitaciones de diseño. (Un dispositivo de borde es cualquier hardware o protocolo de sistema habilitado para red dentro de un producto de IoT). Esperamos que la autenticación multifactorial y la inteligencia de identidad se conviertan en los mejores métodos para brindar seguridad en esta batalla creciente. También predecimos que la inteligencia de identidad complementará la autenticación multifactor para fortalecer las capacidades de las plataformas de identidad.
La identidad es un componente fundamental en la protección de IoT. En estos ecosistemas, los dispositivos y servicios deben identificar de forma segura los dispositivos de confianza para que puedan ignorar el resto. El modelo de identidad ha pasado de centrarse en el usuario en los sistemas de TI tradicionales a centrarse en la máquina para los sistemas de IoT. Desafortunadamente, debido a la integración de la tecnología operativa y el inseguro diseño del «dispositivo de borde», el modelo de confianza de IoT se basa en una base débil de confianza asumida y seguridad basada en el perímetro.
En Black Hat USA y DEF CON 2018, 30 charlas trataron la explotación del dispositivo de borde de IoT. Eso es un gran aumento de solo 19 charlas sobre el tema en 2017. El aumento en el interés se debió principalmente a los verticales de ICS, consumidores, médicos y «ciudades inteligentes». (Consulte la Figura 1). Los dispositivos de borde inteligente, combinados con conectividad de alta velocidad, están habilitando los ecosistemas de IoT, pero la velocidad a la que están avanzando está comprometiendo la seguridad de estos sistemas.
Figura 1: El número de sesiones de conferencia sobre la seguridad de los dispositivos de IoT ha aumentado, lo que hace coincidir la creciente amenaza con los dispositivos mal protegidos.
La mayoría de los dispositivos de borde de IoT no ofrecen autodefensa (aislamiento de funciones críticas, protección de memoria, protección de firmware, privilegios mínimos o seguridad de manera predeterminada), por lo que un exploit exitoso es el propietario del dispositivo. Los dispositivos perimetrales de IoT también sufren ataques de «ruptura una vez, se ejecutan en todas partes», debido a componentes inseguros utilizados en muchos tipos de dispositivos y verticales. (Ver artículos sobre WingOS e ingeniería inversa).
Los ingenieros del equipo McAfee Advanced Threat Research han demostrado cómo se pueden explotar los protocolos de dispositivos médicos para poner en peligro la vida humana y la privacidad de los pacientes debido a la confianza asumida. Estos ejemplos ilustran solo algunos de los muchos escenarios posibles que nos llevan a creer que los adversarios elegirán los dispositivos de borde de IoT como el camino de menor resistencia para lograr sus objetivos. Los servidores se han endurecido en la última década, pero el hardware de IoT está muy por detrás. Al comprender los motivos y oportunidades de un adversario (superficie de ataque y capacidad de acceso), podemos definir un conjunto de requisitos de seguridad independientes de un vector de ataque específico.
La Figura 2 proporciona un desglose de los tipos de vulnerabilidades en los dispositivos perimetrales de IoT, destacando los puntos débiles que deben abordarse mediante el desarrollo de capacidades de identidad e integridad en el hardware perimetral para garantizar que estos dispositivos puedan desviar los ataques.
Figura 2: Los protocolos inseguros son la principal superficie de ataque en los dispositivos de borde de IoT.
La seguridad de IoT debe comenzar en el borde con un modelo de confianza cero y proporcionar una raíz de confianza de hardware como el bloque de construcción central para la protección contra ataques de hackers y chozas y otras amenazas. McAfee predice un aumento de los compromisos en las plataformas de identidad y los dispositivos perimetrales de IoT en 2019 debido a la adopción de ciudades inteligentes y al aumento de la actividad de ICS.
[social_warfare]
