Max Havey [00:00:02] Hola y bienvenido a otra edición del Security Visionaries Podcast, un podcast sobre el mundo de los datos cibernéticos y la infraestructura tecnológica, que reúne a expertos de todo el mundo y de todos los dominios. Hoy, echamos un vistazo al año en materia de amenazas con Ray Canzanese, director de Netscape Threat Labs, profundizando en algunas de las tendencias que vio, así como en lo que lo sorprendió sobre los hallazgos para 2023. ¿Cómo te va, Ray? ¿Cómo está hoy?
Ray Canzanese [00:00:23] Hola, feliz año nuevo, Max. Me alegra verte de nuevo. Me alegra estar aquí nuevamente hablando de ciberseguridad. No más galletas y pasteles.
Max Havey [00:00:30] Sí, se nos acabaron las galletas y los pasteles. Y casi hemos terminado la temporada de reflexión de fin de año 2023. Esto nos está cerrando aquí. Nos hemos quedado sin predicciones, nos hemos quedado sin resoluciones. Hablemos. Echemos un vistazo al año en materia de amenazas y luego veamos qué tenemos reservado para 2024 aquí. Entonces, para empezar, al mirar hacia atrás en 2023, ¿cuáles fueron algunas de las tendencias más importantes que encontró al mirar esos Datos?
Ray Canzanese [00:00:51] Sí, claro. Te daré tres. Bien. El primero tiene que ser la IA generativa. Y a lo que me refiero con eso fue como hace un año, ¿no? Si miramos hacia atrás, a finales de 2022, nadie utilizaba la IA generativa para nada. Avance rápido hasta el día de hoy. Tenemos alrededor del 10% de todos los usuarios empresariales cada mes que utilizan al menos una de estas aplicaciones de IA generativa basadas en la nube. Y aún más que eso, la cantidad de uso que estamos viendo de esas aplicaciones crece exponencialmente. Bien. Así que estas cosas se están volviendo cada vez más populares minuto a minuto. Troyanos número dos, ¿verdad? Vimos a los troyanos como el método de ataque más popular que utilizaban los atacantes para ingresar a la organización de la víctima y hemos visto que gran parte de esa infiltración ocurre al entregar esos troyanos a través de aplicaciones en la nube muy populares. Y luego diría que el número tres es probablemente la evolución continua del manual de extorsión. ¿Bien? Esto comenzó como Ransomware. Bien. Y luego la gente dejó de pagar rescates y dijeron, está bien, revelaremos todos sus secretos públicamente, ¿verdad? Si no paga nuestro rescate, ha evolucionado un poco más donde vemos Ahora, es como ladrones y limpiadores de información Ransomware . Y como será mejor que pagues eso, Ransomware paga eso y paga ese rescate rápido, o voy a Inicio rompiendo cosas y voy a Inicio a publicar Datos. Bien. Son simplemente más herramientas para intentar incentivar a las víctimas a pagar.
Max Havey [00:02:19] Definitivamente. Y entre esas tendencias, ¿hubo algo que realmente te llamó la atención como una gran sorpresa? ¿Hubo algo que te llamó la atención?
Ray Canzanese [00:02:25] Sí. Entonces no es por una de las tres cosas que acabo de decir. Y es porque creo que es difícil sorprenderme cuando se trata de tendencias relacionadas con amenazas. Creo que lo que más me sorprendió cuando miramos todo esto a finales de año fue que, por todos los medios que consumí durante todo el año, estaba convencido de que ya nadie usaba Twitter. Bien. Habría esperado que Twitter Usar después de la adquisición de Elon Musk, según lo que había estado leyendo, disminuyera significativamente, pero en su mayor parte se mantuvo plano. Era prácticamente exactamente igual que hace un año. Así que tal vez esa sea la forma en que me sorprende que surja una tendencia como esa, donde obviamente las redes sociales tienen sus flujos y reflujos. ¿Bien? Vimos que algunas Plataformas perdieron popularidad como Facebook. Vimos que esto ganaba popularidad. Pero me sorprendió mucho cuando vi Twitter. Tienen razón sobre los mismos niveles. Fue hace un año.
Max Havey [00:03:18] Definitivamente. Creo que esa fue la sensación de mucha gente, como alguien que ha usado Twitter durante más de una década. En este punto. Me sorprendió escuchar eso cuando mencionaste eso y ¿es Twitter Malware usar para campañas , para personas usar ataques y cosas por el estilo?{cph0}{cph0}
Ray Canzanese [00:03:31 ] Esto es solo Twitter Usar en general, ¿verdad? Esto es como si la gente iniciara sesión en Twitter y mirara lo que sus amigos están haciendo o los eventos actuales o lo que sea que los niños estén usando Twitter en estos días.
Max Havey [00:03:42] Absolutamente. Siempre he descrito esto. Seguiría regresando allí pensando, oh sí, sé que esto es una lavandería, pero este lugar sirve para servir hamburguesas realmente buenas. Así es como más se siente. Aunque todo va a partir de ahí. Han estado sucediendo muchas cosas en el mundo. Entonces, pensando en gran parte de la agitación geopolítica que hemos visto este año, ¿ha visto este tipo de desarrollo en el panorama de las amenazas cibernéticas? ¿Es algo que ha surgido entre este tipo de tendencias clave y que has notado?
Ray Canzanese [00:04:04] Absolutamente. Vivimos en un mundo ahora donde las operaciones cibernéticas, cierto, cuando hablamos de espionaje, sabotaje, guerra de información, campañas de desinformación, todo eso, es un componente estándar y central de las relaciones internacionales. Y así, dondequiera que veamos un conflicto geopolítico, veremos un conflicto cibernético que refleja ese conflicto geopolítico. Así es el mundo ahora, obviamente, por ejemplo, en Ucrania, hemos visto y hemos cubierto en nuestro alcance de red a través del blog labs, múltiples ataques dirigidos a servicios públicos en Ucrania, a ciudadanos privados en Ucrania, a empresas. en Ucrania. Y sólo debido a ese conflicto y otros en toda Asia, hemos visto una actividad de grupos de amenaza geopolítica muy alta más que en cualquier otra región.
Max Havey [00:05:05] Absolutamente. Y creo que eso tiene mucho sentido y que las tendencias que estamos viendo en otros lugares serán populares entre los actores de amenazas que están en todos los lados de este tipo de conflictos. La guerra cibernética es sólo la última frontera de todo esto. Pasando de eso a otro tipo de tendencias que hemos visto aquí, Ransomware fue una tendencia realmente grande y amplia hasta 2023. ¿Realmente dominó las conversaciones como esperabas? Cuando pensábamos en las cosas del 2022, de cara al 2023.
Ray Canzanese [00:05:30] Ransomware fue absolutamente dominante como se esperaba y continuó creciendo también. Así que la extorsión ha sido una gran fuente de ingresos para los ciberdelincuentes. Y entonces, cuando hayas ganado tanto dinero, seguirás viendo grupos de Nuevo Intentar entrar en ese juego. Y eso lo verá en los laboratorios de amenazas de Netskope. Vamos a cubrir estas cosas todo el tiempo. La familia Nuevo Ransomware fue publicada escrita en este idioma Nuevo y dirigida a este conjunto de víctimas de Nuevo. Nuevos grupos que se forman a partir de grupos antiguos que se han desintegrado o dividido en miembros de grupos antiguos. Bien. Se ha convertido en este Sector, ¿verdad? Lo cual va a ser muy difícil de romper. Y mencioné cuando llegamos a Inicio que vimos ese manual de extorsión que Usar solo era Ransomware y luego se convirtió en Ransomware y ladrones de información. Ahora parece que se trata de Ransomware y ladrones y limpiadores de información, donde no son más que grupos que se duplican, filtran Datos, destruyen Datos y hacen todo lo que pueden para que sus víctimas paguen. E incluso has visto muchos grupos en el último año que pretenden ser los buenos, ¿verdad? Como si estuviéramos extorsionando a la gente, pero las únicas personas a las que extorsionamos son las compañías petroleras, ¿verdad? Nunca extorsionaríamos a un hospital. Bien. Estás viendo muchos grupos Ahora que ya no trazan esa línea, ¿verdad? Que han terminado de intentar jugar ese juego de que estamos extorsionando benevolentemente a la gente aquí para extorsionar a todos los que podamos. Bien. Simplemente estamos aquí para ganar dinero con cualquiera que podamos, sin importar lo que suceda como resultado.
Max Havey [00:07:15] Definitivamente. Y creo que es especialmente interesante pensar en ese tipo de cambio que ha tenido lugar con los atacantes. ¿Y es eso algo que vio evolucionar a lo largo de 2023? Porque recuerdo que en algunos grupos de piratas informáticos diferentes y específicos de los que habló, en el informe de amenazas mensual anterior, decía: oh, no vamos a atacar la infraestructura crítica, no vamos a atacar los hospitales, pero solo estás viendo menos de ese tipo de misión ética o, entre comillas, declaraciones de misión ética dentro de estos grupos.
Ray Canzanese [00:07:40] Yo diría anteriormente que básicamente cada grupo tenía una declaración de misión como esa. Y lo que estamos empezando a ver ahora son grupos que carecen de esa declaración de misión, no es que nunca antes hayamos visto hospitales o infraestructura crítica afectados. Bien. Fue solo decir, intentemos lo mejor que podamos para evitar hacer eso, ¿verdad? Uno, porque no intentamos herir ni matar a nadie. ¿Bien? Sólo estamos tratando de ganar dinero. Y dos, cuando haces cosas que lastiman y matan a personas, se te aplica un nivel diferente de escrutinio y, si estás actuando en una empresa ilegal, quieres limitar tu exposición a las fuerzas del orden y a las presiones geopolíticas. cuanto más se pueda.
Max Havey [00:08:25] Por supuesto, no necesariamente quieres ese tipo de humo que surge al apuntar a ese tipo de entidades esenciales.
Ray Canzanese [00:08:31] Exacto.
Max Havey [00:08:33] Interesante. Ese es un enfoque muy interesante. Ese tipo de visión de la forma en que el hacker o no hacker, la ideología del atacante cambió de esa manera. Ese es un enfoque interesante. Sí, lo hemos hecho.
Ray Canzanese [00:08:42] Incluso he visto grupos que durante la fase de demanda de extorsión decían cosas como, aquí somos los buenos, ¿verdad? Hay otros grupos que son mucho peores que nosotros y que habrían hecho cosas mucho más terribles que las que les hicimos a ustedes. Así que deberías pagarnos como agradecimiento por no hacerte cosas peores. Una vez que obtuvimos acceso a su red.
Max Havey [00:09:11] Sí, el viejo deberías estar agradecido de que solo esté haciendo esto porque podría estar haciendo cosas mucho peores que esto.
Ray Canzanese [00:09:15] Sí
Max Havey [00:09:17] Y a partir de ahí. ¿Hubo algún tipo de tendencia específica del sector o de la región que también le llamó la atención? ¿O los patrones fueron los mismos entre regiones y sectores que en 2023?
Ray Canzanese [00:09:29] Claro. Entonces, como el panorama general, ¿verdad? Si damos un gran paso atrás, el panorama general era el cibercrimen y la extorsión, ¿verdad? Esa fue la gran historia. No importa en qué sector o región estuviera trabajando, Rusia estaba del otro lado en la mayoría de las circunstancias, es decir, grupos que operaban o se suponía que operaban desde Rusia. Cuando empiezas a ver las diferencias, el primer lugar en el que empiezas a ver las diferencias es cuando empiezas a mirar las cosas a nivel regional. Bien. Ya hablamos de Ucrania, ¿no? Entonces, si nos fijamos solo en la Organización en Asia y analizamos el desglose de la actividad criminal versus la actividad geopolítica, vemos un porcentaje mucho mayor de actividad geopolítica en Asia en torno especialmente al conflicto en Ucrania. América Latina, donde también hay mucha agitación geopolítica, tampoco se queda atrás en términos de cuánta actividad cibernética geopolítica vemos allí. Entonces creo que la siguiente capa en la que empiezas a ver diferencias es cuando empiezas a despegarte, ¿en qué sector estoy trabajando, en qué geografía y quién se dirige a mí allí? Así, por ejemplo, destacamos algunos de estos grupos en nuestro último Informe. Miras TA-505. Son un grupo criminal ruso. En su mayoría, sólo se dirigen a Organización en Asia y Europa. Bien. Así que no tienes que preocuparte tanto por ellos. ¿Bien? Si reside en algún otro lugar del mundo. De manera similar, APT-241 es un grupo geopolítico afiliado al gobierno chino. El año pasado se centró principalmente en los servicios financieros de la Organización. Y la mayor parte de la Organización a la que apuntaban estaba en Singapur. Bien. Y entonces, Inicio para observar los detalles en los matices de lo que está sucediendo. Ahí es donde el sector en el que estás trabajando y la geografía del lugar donde estás ubicado realmente determina a qué grupos específicos te diriges. Y luego cada uno de esos grupos obviamente tiene su propio modus operandi en términos de herramientas y tácticas que usan. Bien. Y si piensas en esto desde el punto de vista de la defensa, es importante, ¿verdad? Importa quién está a la ofensiva, ¿verdad? Es importante porque así es como apuntarás a tus defensas. Asegúrese de que todas sus herramientas protejan contra las herramientas que los atacantes están usando contra usted.
Max Havey [00:11:58] Definitivamente la sensación de conocer a tu adversario. Como estábamos hablando de la última vez que estuviste en la cápsula aquí. Conocer a tus adversarios, el primer paso para saber cómo protegerte mejor de dicho adversario, y más o menos tomar ese tipo de Datos para fortalecer mejor tus defensas. Mientras mira hacia el año que viene. Entonces, volviendo al tema que mencionaste al principio del grupo, la IA generativa, ¿qué tipo de impacto estamos viendo realmente de la IA en el panorama de amenazas? ¿Está siendo utilizada por los actores de amenazas? ¿Está siendo Usado por los equipos de defensa? Y si es así, ¿a qué escala estamos viendo que esto suceda?
Ray Canzanese [00:12:30] Sí, es una pregunta interesante, ¿verdad? Porque desde que trabajo en ciberseguridad, ha habido IA en ciberseguridad, ¿verdad? Estábamos Usando IA para detectar y bloquear Malware para reducir el ruido en el SOC. Lo hemos estado usando para identificar amenazas internas y otras amenazas difíciles de detectar durante mucho tiempo. Desde que existe, ha estado ahí porque obviamente, como Sector, intentamos crear mejores herramientas y hacer más con menos. Y todo lo que promete la IA. El tipo de cosa nueva que vimos el año pasado es la idea de que se pueden usar estos grandes modelos de lenguaje como una interfaz copiloto en estos conjuntos de datos de seguridad masivos que tenemos, lo cual es algo realmente genial e increíble que hacer con el modelo de lenguaje grande y alimentarlo con un montón de Datos y poder extraer información de los Datos. Así que eso es ciertamente algo nuevo que vemos que la gente usa en el último año. Ahora bien, desde la perspectiva de los atacantes, es lo mismo, ¿verdad? Aquí tenéis algunas herramientas nuevas. Bien. ¿Por qué no usaría algunas herramientas nuevas? Es un ejemplo tonto, pero a menudo uso este correctamente. Cuando escribo todo mi código, uso un IDE, ¿verdad? He estado usando productos de inteligente. Bien. Facilita la escritura de código. Es esta interfaz realmente agradable. Si estuviera escribiendo un código incorrecto, ¿usaría intelli-J? ¿Bien? Por supuesto que lo haría, ¿verdad? Estas son herramientas que facilitan la escritura de código. Por supuesto, voy a Usar las herramientas que facilitan la escritura de código, especialmente si esas herramientas son gratuitas. ¿Bien? Y, por supuesto, los atacantes van a utilizar todas las herramientas a su disposición, verdad, para hacer lo que están haciendo más fácil y efectivo. Sin embargo, la otra cosa que creo que es interesante es con algo como la IA y la IA generativa y todo el revuelo en torno a ellas y todas las nuevas herramientas, y no sé, Max, cuál de las 75 herramientas de IA que viste Anuncios de esta semana ¿estás usando? ¿Bien? ¿Recuerdas cómo iniciar sesión en ellos? ¿Tienes que descargar algo para usarlos? Bien, con todas estas preguntas. Es una oportunidad para los atacantes. Bien. Y entonces, hemos visto muchas cosas que ni siquiera son como Usar AI, pero se aprovechan del hecho de que otras personas usan AI para intentar engañarlos para que visiten una página de phishing e ingresen sus credenciales de Google. Desde interactuar con un bot ChatGPT falso que simplemente graba toda la conversación para ver qué pueden usar hasta incluso hemos visto troyanos, ¿verdad? Si buscas en Google, ¿dónde descargo ChatGPT? No sé cuáles son los resultados en este momento, pero varias veces hemos tenido que informar a Google. Oye, ¿cuándo buscas en Google? ¿Dónde descargo ChatGPT? Los mejores resultados son troyanos, spyware, adware y todo tipo de basura. Porque obviamente tú y yo sabemos que no descargas ChatGPT.
Max Havey [00:15:22] Y es interesante en ese sentido dónde está la IA como medio para realizar estas campañas de phishing frente a amenazas habilitadas como Usar AI. Realmente es como la simplicidad de lo que la gente no sabe dónde conseguir estas herramientas. Entonces, encontrar formas de engañarlos con estas herramientas es solo el camino de menor resistencia en este momento. Y sé que en el mismo sentido, Colin Estep, de su equipo, también escribió sobre ataques de inyección rápida a principios de este año, que está más en la línea de Usar IA generativa como vector de ataque. Pero es interesante ver que la gran mayoría de ellos ni siquiera lo están haciendo todavía. Sigue siendo sólo el truco básico para engañar a las personas que intentan encontrar su camino hacia la IA generativa.
Ray Canzanese [00:16:01] Claro, sí, hay un montón de investigadores que están actuando con buenas y malas intenciones, están tratando de que estas aplicaciones de inteligencia artificial revelen cosas que no deberían. ¿Bien? Para filtrar información entre usuarios, ¿verdad? Hay todo tipo de ataques a las propias aplicaciones de IA. Hay ataques a empresas que ejecutan aplicaciones de inteligencia artificial, con la idea de que deben tener muchos datos confidenciales. ¿Bien? Si quisiera entrar en una empresa y obtener acceso a algunos datos confidenciales, sí, optaría por esas empresas de inteligencia artificial. Bien. Entonces hay tantas capas en esto, ¿verdad? Donde se ven muchos tipos diferentes de cambios y cómo las personas usan estas herramientas y cómo esto afecta el comportamiento y las interacciones más amplias de las personas. Y me ayuda a escribir Informe. ¿Bien? Escribo cosas, van a Grammarly. Grammarly dice, oye, podrías haber dicho esto de otra manera, y habría sido más claro y más fácil de entender, cierto, si estuviera escribiendo algo para convencer a alguien de algo que no era cierto o para visitar una página de phishing. Podría usar las mismas herramientas, ¿verdad? Y me ayudaría igual.
Max Havey [00:17:06] Exactamente. Sí. Entonces, lo que estamos viendo ahora es que aquí somos solo la punta del iceberg. Continuaremos viéndolos crecer y desarrollarse a medida que nos adentremos en 2024 y mucho más allá.
Ray Canzanese [00:17:15] Absolutamente.
Max Havey [00:17:16] Y mirando hacia atrás en 2023 de manera integral, Ray, si tuvieras que resumir las tendencias de amenazas de 2023 en una sola conclusión, lo que te viene a la mente.
Ray Canzanese [00:17:25] Yo diría que una conclusión es que los atacantes siguen mejorando en su ocultación, y el hecho de que todos estemos usando aplicaciones en la nube Ahora para casi todo les brinda muchas oportunidades para esconderse. Bien. Así que los hemos visto usar aplicaciones populares en la nube para propagar Malware. Hemos visto a algunos atacantes utilizar esas mismas aplicaciones como canales de comando y control. Bien. ¿Por qué usar la infraestructura de comando y control cuando puedes simplemente enviarte algunos mensajes directos en Twitter? Bien. Entonces es cada vez mejor que se oculten mejor, ¿verdad? Lo que hace que sea más difícil para quienes trabajan en ciberseguridad diferenciar entre lo bueno y lo malo. Y esa tendencia de que los atacantes mejoren cada vez más en sigilo y se mezclen, continuará, ¿verdad? No es que hayan descubierto el secreto, y eso es lo que van a hacer para siempre. Han descubierto cómo operar de manera efectiva ahora mismo, y continuarán operando de esa manera hasta que les resulte muy difícil operar de esa manera, porque el Sector de ciberseguridad ha mejorado en encontrarlos allí, y cambiarán. de nuevo.
Max Havey [00:18:40] Exacto. Siempre están encontrando una puerta trasera Nuevo a Nuevo en forma de Nuevo hacia cualquier jardín amurallado en el que estemos tratando de trabajar. Entonces, en el mismo sentido, Ray, ¿cuál sería un consejo que les darías a los líderes de seguridad que están tomando estos Datos de algo como la reflexión Cloud Threat Informe sobre 2023
Ray Canzanese [00:18:56] Sí, yo diría que se concentre en lo que los adversarios están haciendo actualmente y que tiene éxito. Bien. Entonces, por ejemplo, lo que están haciendo bien ahora es exitoso. Están atacando y abusando de las aplicaciones en la nube. Bien. Entonces ¿qué hago con esa información? Intento controlar la aplicación en la nube Usar. ¿Bien? No dejo que mis usuarios simplemente usen lo que quieran usar por capricho todo el tiempo. Encuentro las aplicaciones que todo el mundo usa, ¿verdad? Google Workspaces, Microsoft 365 y yo nos aseguramos de que estén monitoreados de cerca, estén fuertemente bloqueados y de que sepa exactamente lo que está sucediendo allí en caso de una infracción o una amenaza interna. Y me aseguro de que no tenga esos puntos ciegos. ¿Bien? Estoy monitoreando, inspeccionando todo el tráfico de mi red y haciendo todo lo que puedo para defenderme de lo que están haciendo los atacantes ahora, con una salvedad: diría que estoy listo para adaptarme lo antes posible. tan pronto como ese panorama cambie. No lo escribí como algo en lo que me concentraré durante todo el 2024, y no voy a revisarlo ni a hacer ningún cambio hasta, eh, 2025. Sepa si eso cambia. Así que prepárate para adaptarte y cambiar con ello.
Max Havey [00:20:16] Sí, esa adaptabilidad parece ser la única solución para todos los líderes de seguridad en estos días: hay que seguir evolucionando a medida que el panorama, los atacantes y los vectores de amenazas continúan evolucionando.
Ray Canzanese [00:20:26] Absolutamente. Y es duro, ¿verdad? Porque no quieres exagerar en ese sentido, donde cada artículo de noticias de Nuevo sobre alguna amenaza de Nuevo, dejas todo lo que estás haciendo y te concentras en esa. ¿Bien? Así que existe un equilibrio entre no cambiar nunca y no adaptarse nunca. Bien. Y hiperadaptar estos flujos y reflujos diarios, que en realidad no representan cambios importantes que requerirían una especie de cambio estratégico.
Max Havey [00:20:57] Absolutamente. Y Ray, mientras llego al final de mis preguntas aquí. ¿Dónde pueden acudir las personas para obtener más información sobre, eh, desde su nube y el Informe de amenazas del año en revisión para 2023? ¿Dónde puede la gente encontrar esto para profundizar en estos Datos y echarle un vistazo?
Ray Canzanese [00:21:12] Sí, absolutamente. Puedes ir a. Alcance neto.com/amenaza laboratorios. Encontrarás ese Informe allí. Encontrarás mi lista de correo allí. Y encontrará muchos otros contenidos que publicamos periódicamente sobre las amenazas y tendencias que observamos.
Max Havey [00:21:27] Muy bueno. Bien. Muchas gracias por acompañarnos hoy. Como siempre, es una conversación siempre esclarecedora sobre la forma en que está cambiando el mundo de las amenazas, y siempre tienes una muy buena perspectiva que plantear. Así que muchas gracias por acompañarnos.
Ray Canzanese [00:21:37] Gracias por invitarme, Max.
Max Havey [00:21:38] Excelente. Has estado escuchando el podcast Security Visionaries y yo he sido tu presentador, Max Havey. Si disfrutó este episodio, compártalo y suscríbase a Security Visionaries en su plataforma de podcasting favorita. Allí puede escuchar nuestro catálogo anterior de episodios y estar atento a los nuevos que se lanzan cada dos semanas, presentados por mí o por mi copresentadora, la gran Emily Wearmouth. Y con eso, nos vemos en el próximo episodio.
Por qué Netskope 
){kind=icon}
