Atrás 
Netskope ha publicado recientemente el Informe Mensual de Amenazas de febrero, que en este mes se centra en lo que está sucediendo en Europa. No pretendo resumir el informe en este blog, sino que quiero profundizar y estudiar una tendencia continua que se destacó allí; una que, lamentablemente, va en la dirección equivocada.
La tendencia a la que me refiero es el cambio del alojamiento web de malware (normalmente a través de sitios web comprometidos) al alojamiento del malware en aplicaciones en la nube (incluidos los populares servicios de colaboración y compartición de archivos). Este enfoque ha sido un método común utilizado para ataques dirigidos durante algún tiempo. Sin embargo, tanto a nivel mundial como europeo, en diciembre de 2022 se produjo un hito. Por primera vez, el malware alojado en la nube se convirtió en el método de alojamiento más destacado, superando al alojamiento web general. En los últimos 12 meses, la popularidad del malware alojado en la nube en Europa ha pasado del 33% de todo el malware al 53%, un aumento mayor que el registrado a nivel mundial (un 20% en Europa y un 12% a nivel mundial).
¿Cuál es la razón? Los atacantes pueden pasar desapercibidos distribuyendo contenido malicioso a través de aplicaciones populares en la nube, y ahora han aprendido a hacerlo a gran escala. Hacer mal uso de las aplicaciones en la nube para distribuir malware permite a los atacantes eludir los controles de seguridad que se basan principalmente en listas de bloqueo de dominios y filtrado de URL. Además, muchas organizaciones incluyen en la lista blanca servicios de colaboración comunes, para evitar que las herramientas de detección avanzada ralenticen el acceso.
En los últimos 12 meses, un tercio del malware distribuido en la nube detectado por Netskope estaba alojado en servicios de Microsoft, siendo Github, Amazon S3 y Sourceforge también lugares de alojamiento populares–todos ellos servicios que la mayoría de las organizaciones no bloquearían.
Ahora, más que nunca, las organizaciones deben plantearse cómo hacer frente a esta creciente exposición al riesgo. Parte de la respuesta es, por supuesto, utilizar la mejor detección de puntos finales, pero debemos tener esto en cuenta antes en la cadena de ataque si queremos reducir nuestra exposición al riesgo.
Las organizaciones deben asegurarse de que cuentan con una herramienta de filtrado web y en la nube que:
- Ofrezca conocimiento de la instancia: un filtro que pueda comprender la diferencia entre el acceso a una instancia corporativa de OneDrive, una instancia de OneDrive de un socio comercial o una instancia personal o de terceros.
- Proporcione descifrado SSL completo y análisis de TODO el tráfico de aplicaciones SaaS.
- Pueda entender el lenguaje utilizado por las aplicaciones SaaS actuales y ser capaz de identificar la acción realizada por un usuario (JSON y API).
- Proporcione una política de acceso basada en confianza cero, diseñada para permitir al usuario realizar únicamente las acciones necesarias para completar su tarea y nada más.
- Puede llevar a cabo este análisis en profundidad, incluido el escaneado de malware y el descifrado SSL sin afectar a la experiencia del usuario. Lo ideal es que ofrezca SLA de latencia de procesamiento que abarquen todos los aspectos mencionados anteriormente.
Con demasiada frecuencia, las organizaciones facilitan la vida a los perpetradores de amenazas permitiendo un acceso generalizado a las aplicaciones SaaS, especialmente a aquellas que son seleccionadas y gestionadas oficialmente por la organización. Pero, ¿por qué permitir el acceso a TODAS las cuentas de OneDrive, por qué permitir a los usuarios descargar archivos almacenados en terceros, cuando normalmente no necesitan este nivel de acceso para completar las tareas cotidianas?
Es hora de que las organizaciones tomen medidas para bloquear y detectar este tipo de amenazas en una fase más temprana de la cadena de ataque, antes incluso de que lleguen al punto final. En Netskope, trabajamos con las organizaciones para ayudarlas a reducir riesgos, acelerar el rendimiento y obtener una visibilidad inigualable de cualquier actividad en la nube, la Web y las aplicaciones privadas, día tras día. Es sólo una de las razones por las que la plataforma Security Service Edge (servicio de seguridad en el borde o SSE) de Netskope es la elección de muchas de las organizaciones más grandes del mundo.
Nuestro Informe de amenazas de febrero de 2023 está disponible aquí y o puede leer un resumen del panorama de amenazas de enero aquí.
Lea el blog