Cuando los atacantes se dirigen a más de una superficie de ataque o vector a la vez, sus probabilidades de lograr entrar en una red o sistema mejoran de forma significativa.
Históricamente, solo los atacantes con medios económicos y herramientas más sofisticadas utilizaban estos ataques "multivector", que son intentos de infiltración en la red a través de numerosos puntos vulnerables. Sin embargo, esta tendencia está empezando a cambiar. Hoy en día, es cada vez más común que los atacantes empleen varias tácticas simultáneamente. Su objetivo a veces es poner a prueba los sistemas de protección, vulnerar fugas de seguridad sutiles o simplemente abrumar la capacidad de respuesta de una organización.
La frecuencia cada vez mayor de estos ataques multivector está promoviendo la necesidad de un enfoque de seguridad más integrado y optimizado, que implique reducir el número de servicios de seguridad de nicho.
El uso de dos (o más) vectores de ataque aumenta la eficiencia del ataque. Si el ataque implica numerosos puntos de entrada en una red, p. ej., mediante el uso de phishing por correo electrónico, phishing por voz, o través de una vulnerabilidad de la VPN, basta con que uno de estos intentos funcione para que el ataque en su conjunto logre su objetivo. El phishing es un componente común de los ataques multivector por esta misma razón. A menudo aprovecha el error humano en lugar de los errores de software, lo que dificulta su detención.
Por desgracia, estas consecuencias son más probables a raíz del auge del trabajo híbrido. La tendencia empresarial generalizada que consiste en que los empleados usen sus propios dispositivos (BYOD, 'trae tu propio dispositivo'), junto con la creciente dependencia de la nube pública, las aplicaciones SaaS y las redes inalámbricas no fiables, han desintegrado los perímetros de red tradicionales. Una mayor número de identidades y dispositivos menos fiables que acceden a datos confidenciales almacenados y compartidos en Internet plantea muchas más vulnerabilidades, al tiempo que reduce la visibilidad y el control de los equipos de seguridad.
No es de extrañar, por tanto, que los ataques de ransomware batiera récords en 2021, y que hubiera 338,4 millones de intentos de ransomware en los tres primeros trimestres de 2022.
Las organizaciones de tamaño y complejidad suficientes tienen varios vectores de ataque posibles, es decir, vías o medios por los que los atacantes pueden acceder a una red o dispositivo. La matriz ATT&CK de código abierto, que ha desarrollado la organización MITRE, proporciona una lista detallada de los distintos vectores a los que se dirigen los atacantes, y las tácticas y técnicas utilizadas para explotarlos.
Ejemplos recientes muestran que los atacantes combinan vectores en el transcurso de una misma campaña. En 2022, un grupo conocido como 0ktapus utilizó una combinación de phishing por SMS y descarga en segundo plano de malware de acceso en remoto para atacar a más de 160 organizaciones, muchas de las cuales quedaron expuestas de distinta forma. Un análisis independiente del ataque reveló que, sorprendentemente, los atacantes carecían de experiencia, lo que no tiene nada que ver con la sofisticación que suele esperarse de los ataques multivector.
Del mismo modo, una reciente oleada de ataques del grupo de "ransomware" Royal utilizó una combinación de phishing, vulnerabilidades del protocolo de escritorio remoto y descargas de malware para atacar a organizaciones de infraestructuras críticas. Asimismo, la extendida vulnerabilidad Log4j ofreció a los atacantes la oportunidad de combinar el ataque a la cadena de suministro con otros vectores.
La dificultad de detener los ataques multivector contra redes corporativas puede obedecer a varias razones. Una de ellas es la prevalencia actual de las políticas de seguridad basadas en el perímetro. Si un atacante vulnera un vector para acceder a la VPN de una organización, por ejemplo, puede tener acceso a toda la red sin restricciones.
La limitación de personal y la falta de recursos se han perfilado como otro problema común. Muchas organizaciones tienen dificultades para dotar de personal a su equipo de seguridad y puede que no dispongan del presupuesto necesario para subcontratar los trabajos pendientes a proveedores de servicios gestionados. La mayoría han empleado sistemas de protección tradicionales durante décadas, pero hoy en día, estas defensas están al límite debido al auge del trabajo híbrido y la nube híbrida, dos fenómenos que los firewalls locales, las puertas de enlace e incluso las soluciones específicas de seguridad en la nube no pueden proteger.
Los firewalls y las puertas de enlace que protegen el perímetro de la red son insuficientes cuando los atacantes se dirigen contra dispositivos personales o implementaciones en la nube y, sobre todo, cuando ya están dentro de la red, lo que ocurre con demasiada frecuencia. Una pila de seguridad compleja y fragmentada, desarrollada a base de productos específicos no interoperables, aunque sean los mejores, puede incluir lagunas que sean ajenas al control de los equipos de seguridad. Además, si un producto específico detecta actividad maliciosa, es incapaz de alertar automáticamente a otras soluciones, pero en cambio puede disparar las alertas de seguridad, con la consiguiente fatiga de alertas.
Históricamente, existían razones válidas para que las organizaciones defendieran sus redes utilizando productos específicos individuales para cada vector. Sin embargo, este enfoque no es adecuado para los ataques multivector de hoy día. En su lugar, las organizaciones necesitan un enfoque integrado de forma nativa, que sea:
Nativo de la nube y distribuido, de modo que todo el tráfico pase por la plataforma de seguridad, independientemente de su protocolo, origen o destino. Ya no es seguro asumir que se accede a los recursos y datos corporativos a través de conexiones de red controladas por la empresa.
Estrechamente integrado con el control de acceso mediante autenticación, autorización y auditoría. El movimiento lateral es más fácil para los atacantes cuando el acceso a las cuentas es tan amplio. Es primordial verificar tanto la identidad como el contexto. Por ejemplo, no se debe confiar automáticamente en ningún rol de usuario o tipo de dispositivo.
Resistente al phishing. El phishing y la ingeniería social son técnicas muy utilizadas por los atacantes que buscan obtener acceso inicial. En vista del número de ataques que comienzan con un correo electrónico de phishing, es fundamental implementar una protección integral contra campañas selectivas y evasivas que buscan generar confianza y engañar a los usuarios atrayéndolos a través de diversas formas de comunicación (p. ej. correo electrónico, web, redes sociales, mensajería instantánea y SMS).
Sencillo para los usuarios finales. La exposición a amenazas basadas en el navegador, como scripts maliciosos, descargas no autorizadas y recolectores de credenciales, se ha vuelto inevitable. El aislamiento remoto del navegador puede proporcionar una red de seguridad que aísle a los usuarios de contenidos web desconocidos y no fiables, pero solo es eficaz si la experiencia es idéntica al uso de un navegador local.
Rentable. Las organizaciones tienen que mitigar las amenazas con recursos limitados. La optimización de los costes de seguridad pagando a menos proveedores que prioricen la consolidación de la seguridad basada en plataformas es un camino claro a seguir en este sentido.
Los productos específicos y el hardware local no pueden ayudar a aplicar los principios anteriores. Hoy en día, las organizaciones necesitan una protección contra amenazas integral contra todos los vectores de ataque, dentro y fuera de la red.
Cloudflare One consolida la protección frente a amenazas y los accesos necesarios para proteger el trabajo híbrido. Es una solución que protege contra amenazas, ya que integra de forma nativa los servicios de puerta de enlace web segura y la seguridad del correo electrónico en la nube, e incluye soluciones de aislamiento remoto del navegador y prevención de pérdida de datos. La plataforma va más allá de la protección contra amenazas porque integra estos servicios con el acceso a la red Zero Trust (ZTNA) y el agente de seguridad de acceso a la nube (CASB), dos servicios que protegen el acceso.
Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.
Después de leer este artículo podrás entender:
El abanico de vectores de ataque que se utilizan hoy en día
La matriz ATT&CK de MITRE
Desafíos asociados a la mitigación de los ataques multivector
Cómo una plataforma consolidada ayuda a resolver estos desafíos
Arquitectura de referencia para la transformación nativa digital
La fatiga en la supervisión de la seguridad pone en riesgo a las organizaciones
Documento técnico: Guía de implementación de la arquitectura Zero Trust
Más información sobre cómo detener las amenazas multivector en el informe "Arquitectura de referencia para la transformación nativa digital".