2018, l’any dels atacs malwareless

2017 ha estat l’any del ransomware. L’escala global que va aconseguir WannaCry, robant informació d’empreses de mig món, va tenir un impacte devastador. La repercussió mediàtica que va obtenir va aconseguir que el món comprengués què és el ransomware i també que empreses i usuaris prestessin, per fi, major atenció a la importància de la ciberseguretat.

Si bé seguirem veient més atacs de ransomware i d’altres amenaces que utilitzen malware durant el 2018, la nostra previsió és que l’any que ve guanyaran pes els anomenats atacs malwareless. Ja hem vist casos aquest any, però l’any que ve els atacs sense malware (malwareless) seran tendència.

Suplantant a l’administrador

A mesura que empreses i institucions inverteixen en millors sistemes de seguretat, els cibercriminals utilitzen mètodes cada vegada més enginyosos per sortejar les barreres i aconseguir el seu propòsit. Per això, en els últims mesos hem vist un major nombre d’atacs que no utilitzen malware, fàcilment detectable per eines de ciberseguretat avançada. En el seu lloc, els atacants suplanten la identitat de l’administrador, després d’haver aconseguit els seus credencials de xarxa. És un fet que ja està succeint: en el 62% dels problemes de seguretat en empreses el 2017 s’han emprat tècniques de hacking; i en el 49% d’aquests incidents no es va utilitzar malware. Durant el 2018 aquesta situació s’agreujarà.

Com poden atacar-me sense malware?

Les tècniques emprades pels ciberdelinqüents per atacar sense utilitzar malware poden ser molt variades, aprofitant tot tipus d’eines no malicioses que formen part del dia a dia dels responsables de TI.

La solució: Threat Hunting

L’augment dels atacs amb mètodes tan sofisticats constata que el model de protecció tradicional basat en antivirus i fitxers de signatures està obsolet. El malware que podia ocultar-se entre els fitxers desconeguts (que una solució tradicional de seguretat tendia a ignorar) és fàcilment detectat per les noves eines de ciberseguretat avançada. Aquesta situació ha obligat als cibercriminals a buscar mètodes més professionals per eludir els sistemes de seguretat. Per això, actualment les solucions de seguretat centrades en lluitar contra el malware estan abocades al fracàs.

La clau per combatre un atac sense malware rau en la capacitat de detector-lo basant-se en el comportament dels usuaris de la xarxa corporativa. Per a “caçar” aquestes amenaces és necessari disposar d’eines de Threat Hunting que monitoritzin el comportament dels equips, les aplicacions que s’executen en ells i, fonamentalment, què fan els usuaris de la xarxa. Disposar d’una quantitat tan ingent de dades i de perfils amb un comportament esperat permet comparar els models amb les dades reals, per tal d’alertar de qualsevol desviació sobre el comportament que resulti sospitós. A partir d’aquí, els sistemes de machine learning prioritzen els incidents potencials, que són estudiats en profunditat amb eines d’anàlisi remota, integrada a la plataforma de Threat Hunting.