Noticias

Mandiant publica los resultados de su informe M-Trends 2024

Las organizaciones han realizado mejoras en sus capacidades defensivas

[30/04/2024] Mandiant, parte de Google Cloud, ha publicado los resultados de su informe M-Trends 2024. Ahora en su 15º año, este informe anual proporciona un análisis de tendencias experto basado en las investigaciones y soluciones de ciberataques de primera línea de Mandiant realizadas en el 2023. Según lo señalado en el comunicado de prensa, el informe del 2024 revela evidencia de que las organizaciones a nivel mundial han realizado mejoras significativas en sus capacidades defensivas, identificando actividades maliciosas que afectan a su organización más rápidamente que en años anteriores. El informe también echa un vistazo a los actores y campañas de amenazas notables, proporcionando una visión centrada en la actividad de amenazas por región.

"Los atacantes ajustan regularmente sus tácticas, técnicas y procedimientos para lograr sus objetivos, lo que puede ser un desafío para los defensores. A pesar de esto, nuestros investigadores de primera línea han aprendido que las organizaciones han hecho un mejor trabajo en el 2023 en la protección de los sistemas y la detección de compromisos", señaló Jurgen Kutscher, vicepresidente de Mandiant Consulting en Google Cloud.

El ejecutivo agregó que los defensores deben estar orgullosos, pero las organizaciones deben permanecer vigilantes. "Un tema clave a lo largo de M-Trends 2024 es que los atacantes están tomando medidas para evadir la detección y permanecer en los sistemas durante más tiempo, y una de las formas en que lo logran es mediante el uso de vulnerabilidades de día cero. Esto resalta aún más la importancia de un programa efectivo de búsqueda de amenazas, así como la necesidad de investigaciones exhaustivas y remediación en caso de una infracción".

La mediana del tiempo de permanencia a nivel mundial alcanza el punto más bajo registrado

Kutscher explicó que, si bien el uso de exploits de día cero va en aumento, el informe M-Trends 2024 revela una mejora significativa en la postura de ciberseguridad global. "El tiempo medio de permanencia global (el tiempo que los atacantes permanecen sin ser detectados dentro de un entorno objetivo) ha alcanzado su punto más bajo en más de una década. En el 2023, las organizaciones detectaron intrusiones en una mediana de 10 días, lo que supone un notable descenso con respecto a los 16 días del 2022. Es probable que los tiempos de permanencia más cortos se deban a una mayor proporción de incidentes de ransomware en el 2023 (23%) en comparación con el 2022 (18%). Mandiant también registró una mejora en la detección interna de compromisos en el 2023 (46%), en comparación con el 37% en el 2022. Estas dos tendencias, tiempos de permanencia más cortos y más eventos detectados internamente, sugieren que los defensores de todo el mundo han mejorado sus capacidades de detección.

Tiempo de permanencia por región

El ejecutivo señaló, asimismo que, un examen más detallado revela que el tiempo medio de permanencia varía según la región. "Las organizaciones de la región de Asia-Pacífico (JAPAC) experimentaron la disminución más drástica, reduciendo su tiempo medio de permanencia a nueve días, en comparación con los 33 días del 2022. Esta variación podría deberse al rápido movimiento del ransomware utilizado en los incidentes de la región, ya que las intrusiones relacionadas con el ransomware consumieron la mayor mayoría para el tipo de investigación en comparación con cualquier otra región en el 2023. Por el contrario, la región EMEA (Europa, Oriente Medio y África) experimentó un ligero aumento en el tiempo de permanencia, pasando de 20 a 22 días. Esta pequeña variación podría ser el resultado de la normalización de los datos regionales tras la notable parte del trabajo de Mandiant en Ucrania en el 2022.

Las conclusiones adicionales del informe incluyen:

  • Mayor enfoque en la evasión: En un esfuerzo por mantener la persistencia en las redes durante el mayor tiempo posible, los atacantes se dirigen cada vez más a los dispositivos periféricos, aprovechando las técnicas de "vivir de la tierra" y explotando las vulnerabilidades de día cero.
  • Intensificación de los esfuerzos de espionaje por parte de los actores del nexo con China: Los grupos de espionaje del nexo con China siguen dando prioridad a la adquisición de exploits de día cero y herramientas específicas de la plataforma. Es probable que se dirijan a dispositivos y plataformas de borde con soluciones de seguridad mínimas debido a la facilidad de comprometerlos sin ser detectados y durante un período de tiempo más largo.
  • Exploits de día cero en alza: Los exploits de día cero ya no se limitan a unos pocos actores seleccionados. Se espera que la tendencia de aumento de la disponibilidad continúe debido a factores como el ransomware y los grupos de extorsión de datos que los utilizan, la explotación continua patrocinada por el estado y el aumento de los kits de explotación "llave en mano" disponibles comercialmente.
  • La segmentación en la nube se alinea con la adopción: A medida que crece la adopción de la nube, también lo hace el ataque de los atacantes a estos entornos, incluidas las configuraciones de nube híbrida y locales. Se recomienda a las organizaciones que implementen controles más estrictos para limitar el acceso a los recursos en la nube solo por parte de los usuarios autorizados.
  • Potencial para el Red Teaming con Grandes Modelos de Lenguaje (LLM) e IA: Al igual que otros profesionales de la ciberseguridad, los Red Teams pueden aprovechar los LLM y la IA en su trabajo. Los casos de uso podrían implicar que Red Teams genere datos para el entrenamiento de modelos, mientras que los desarrolladores de IA encuentran formas de asegurar el acceso a los modelos entrenados. Esta sinergia podría mejorar significativamente la eficacia del Red Team y mejorar la preparación de la organización contra las amenazas cibernéticas.
  • Evolución de las tácticas para eludir la MFA: A medida que la autenticación multifactor (MFA) se convierte en una práctica estándar, los atacantes están desarrollando métodos para eludir sus protecciones. Una tendencia preocupante es el aumento de las páginas de phishing de proxy web y adversario en el medio (AiTM) que roban tokens de sesión de inicio de sesión, eludiendo efectivamente la MFA.

Las métricas reportadas en M-Trends 2024 se basan en las investigaciones de Mandiant Consulting sobre la actividad de ataques dirigidos realizada entre el 1 de enero y el 31 de diciembre del 2023. La inteligencia obtenida ha sido desinfectada para proteger las identidades de los objetivos y sus datos.

Llegamos a ustedes gracias a:


BrandPosts Qué es BrandPost

Más »
×
Los artículos publicados en esta sección -BrandPosts- son escritos y editados por los proveedores o miembros de la comunidad TI. BrandPosts crea una oportunidad para que un patrocinador proporcione información y comentarios desde su punto de vista, directamente a la audiencia de CTO Perú. El equipo editorial de CTO Perú no participa en la redacción o edición de estos BrandPosts.

Primer contacto

Más »

Casos de éxito

Más »