Explorar los ataques cifrados en medio de la revolución de la IA

Introducción

Los investigadores de Zscaler ThreatLabz analizaron 29,8 mil millones de amenazas bloqueadas integradas en el tráfico cifrado desde octubre de 2022 hasta septiembre de 2023 en la nube de Zscaler, y presentaron sus hallazgos en el Informe sobre el estado de los ataques cifrados de 2023 de Zscaler ThreatLabz. Además de las amenazas bloqueadas, este informe aprovecha información procedente de 500 billones de señales diarias y 360 mil millones de transacciones diarias en Zscaler Zero Trust Exchange™. En esta publicación de blog, analizaremos los hallazgos clave del informe.

de los ataques cifrados

Según el Informe de Transparencia de Google¹, el tráfico cifrado experimentó un aumento significativo en la última década, alcanzando el 95 % del tráfico global actual en comparación con el 48 % en diciembre de 2013. No sorprende que el tráfico cifrado, que en el pasado fuera considerada la opción segura para las actividades en línea , albergue ahora también la mayoría de las amenazas cibernéticas, como malware, estafas de phishing y filtraciones de datos.

El 85,9 % de los ataques están cifrados

Casi el 86 % de los ataques utilizan canales cifrados en varias etapas de la cadena de destrucción. Desde las fases iniciales de phishing y entrega de malware hasta las sutilezas de las actividades de comando y control, así como la exfiltración de datos, los ciberdelincuentes aprovechan el cifrado para proteger sus intenciones. Para combatir esto, Zscaler recomienda que las organizaciones inspeccionen de manera proactiva todo el tráfico cifrado para detectar, descifrar y frustrar estos ataques.

El 78,1 % de las amenazas cifradas implican malware

Los ciberdelincuentes ocultan una variedad de amenazas en el tráfico cifrado. Sin embargo, el malware sigue siendo el tipo de amenaza predominante y supone el 78,1 % de los ataques cifrados bloqueados por la nube de Zscaler, incluidos scripts maliciosos, cargas útiles, contenido web, sitios web y archivos adjuntos de correo electrónico.

_{Figura 1: Distribución de amenazas cifradas}

El aumento de los bloques de malware cifrado resalta la tendencia en la que estos autores de amenazas intentan establecer un punto de apoyo inicial en el entorno de la víctima evadiendo las tecnologías de detección heredadas que a menudo tienen dificultades para inspeccionar el tráfico TLS a escala.

El phishing aumentó un 13,7 %

El crecimiento observado en los ataques de phishing probablemente esté impulsado por la disponibilidad de herramientas de inteligencia artificial y servicios de phishing plug-and-play (también conocidos como ofertas de phishing como servicio), lo que hace que sea mucho más fácil ejecutar campañas de phishing. 

Cinco de las marcas más utilizadas para el phishing incluyen:

• Microsoft
• OneDrive
• SharePoint
• Adobe
• Amazon

_{Figura 2: Campaña de phishing con temática de Adobe}

La manufactura sigue siendo el sector más atacado

La industria manufacturera sigue siendo el sector más atacado, experimentando el 31,6 % de los ataques cifrados.

_{Figura 3: Una tabla que muestra las tendencias de ataques cifrados por sector}

El sector manufacturero también realizó la mayor cantidad de transacciones AI/ML en comparación con cualquier otro sector, con más de 2,1 mil millones de transacciones relativas a IA/ML. A medida que las fábricas inteligentes y el Internet de las cosas (IoT) se vuelven más frecuentes en el sector de la fabricación, la superficie de ataque se expande y expone al sector a más riesgos de seguridad y crea puntos de entrada adicionales que los ciberdelincuentes pueden explotar para interrumpir la producción y las cadenas de suministro. El uso de aplicaciones populares de IA generativa, como ChatGPT, en dispositivos conectados en la fabricación aumenta el riesgo de filtración de datos confidenciales a través de canales cifrados.

Zscaler protege a las organizaciones frente a ataques cifrados a escala

La conclusión principal del informe es la siguiente: si no estás supervisando los canales cifrados, no sabes si estás sufriendo filtraciones de datos o si hay amenazas avanzadas accediendo a tu entorno. Para ayudar a nuestros clientes a mantenerse seguros, Zscaler bloqueó casi 30 mil millones de amenazas a través de canales cifrados en 2023, un aumento del 24,3 % con respecto a los 24 mil millones bloqueados en 2022.

Hoy en día, la mayoría de los ataques aprovechan el cifrado SSL o TLS, que requiere muchos recursos para inspeccionar a escala y se realiza mejor con una arquitectura de proxy nativa de la nube. Si bien los cortafuegos heredados admiten el filtrado de paquetes y la inspección de estado, sus limitaciones de recursos los hacen poco adecuados para esta tarea. Esto crea una necesidad esencial de que las organizaciones implementen arquitecturas nativas de la nube que admitan una inspección completa del tráfico cifrado en consonancia con los principios de confianza cero.

_{Figura 4: La inspección TLS proporciona visibilidad completa para bloquear amenazas avanzadas}

Cómo ayuda Zscaler a mitigar los ataques cifrados

Según Deepen Desai, director de Seguridad de Zscaler:

“Si bien el 95 % del tráfico web está cifrado con HTTPS, estamos viendo que la gran mayoría de las amenazas ahora se transmiten a través de canales cifrados. Como resultado, cualquier tráfico cifrado con SSL/TLS que no se somete a una inspección en línea para defenderse de toda la gama de amenazas puede representar un riesgo significativo para las organizaciones globales”. 

Desai recomienda las siguientes soluciones para proteger su organización de ataques cifrados de manera uniforme:

• Acceso a la red de confianza cero (ZTNA) : interrumpa tantas etapas de esta cadena de ataque como sea posible, maximizando con ello sus posibilidades de detener el ataque incluso si los autores de amenazas evaden algunos de sus controles de seguridad. Recomiendo reemplazar dispositivos vulnerables como VPN y cortafuegos con ZTNA para inspeccionar y analizar el 100 % del tráfico SSL/TLS.
• Acceso privado Zscaler (ZPA): implemente una seguridad uniforme con una segmentación mejorada, conectando a los usuarios con las aplicaciones, no con toda la red. ZPAestá diseñado para proporcionar acceso seguro y directo a los usuarios a aplicaciones específicas, garantizando que el tráfico de la red esté segmentado y que los usuarios no tengan acceso a toda la red.
• Prevención de pérdida de datos (DLP) en la nube de Zscaler: integre Zscaler Cloud DLP como tecnología de prevención de pérdida de datos en línea con inspección TLS completa para evitar la filtración de datos confidenciales.

Mejores prácticas para mitigar ataques cifrados

Su estrategia de ciberseguridad debe incluir controles para cada una de estas etapas:

1. Minimice la superficie de ataque haciendo que las aplicaciones internas sean invisibles para Internet.
2. Evite riesgos mediante el uso de una arquitectura de proxy nativa de la nube para inspeccionar todo el tráfico en línea y a escala, aplicando políticas de seguridad coherentes.
3. Detenga el movimiento lateral conectando a los usuarios directamente a las aplicaciones (en lugar de a la red) para reducir la superficie de ataque y contenga las amenazas mediante el engaño y la segmentación de la carga de trabajo.
4. Detenga la pérdida de datos inspeccionando todo el tráfico de Internet, incluidos los canales cifrados, para evitar el robo de datos.

Si busca minimizar el riesgo de ataques cifrados para su organización, debe tener en cuenta estas recomendaciones como parte de su estrategia de adopción:

• Utilice una arquitectura basada en proxy nativa de la nube para descifrar, detectar y prevenir amenazas en todo el tráfico cifrado a escala.
• Aproveche un sandbox con IA para poner en cuarentena ataques desconocidos y detener el malware de paciente cero.
• Inspeccione todo el tráfico, en todo momento, independientemente de si un usuario está en casa, en la oficina central o en movimiento, para asegurarse de que todos estén protegidos constantemente frente a las amenazas cifradas.
• Una solución eficaz de confianza cero termina cada conexión para permitir que una arquitectura de proxy en línea inspeccione todo el tráfico, incluido el cifrado, en tiempo real, antes de que llegue a su destino, a fin de evitar el ransomware, el malware, etc.
• Proteja los datos utilizando políticas granulares basadas en el contexto, verificando las solicitudes de acceso y los derechos según el contexto.
• Elimine la superficie de ataque conectando a los usuarios directamente a las aplicaciones y recursos que necesitan, nunca a las redes.

Mejores prácticas para interacciones de IA/ML seguras

Teniendo en cuenta el rápido avance y la adopción de aplicaciones impulsadas por IA, es crucial establecer y seguir las mejores prácticas para garantizar el uso responsable y seguro de estas tecnologías transformadoras.

• Las organizaciones deben adaptar de forma proactiva sus políticas de seguridad y uso de la IA para adelantarse a los riesgos y desafíos potenciales.
• Implemente la inspección TLS para aplicaciones públicas de chatbot de IA como ChatGPT utilizando políticas DLP granulares para evitar la filtración de datos confidenciales.
• Asegúrese de que el uso de herramientas de IA cumpla con todas las leyes y estándares éticos pertinentes. Esto incluye regulaciones de protección de datos y leyes de privacidad.
• Establezca una responsabilidad clara para el desarrollo y la implementación de herramientas de IA. Defina roles y responsabilidades dentro de su organización para supervisar proyectos de IA.
• El desarrollo y la integración de herramientas de IA deben seguir un marco de ciclo de vida seguro del producto para garantizar el más alto nivel de seguridad.

Más información

Descargue una copia del Informe completo sobre el estado de los ataques cifrados de Zscaler ThreatLabz 2023 para descubrir más información y consejos para gestionar los ataques cifrados.

 

1. https://transparencyreport.google.com/https/overview?hl=en