Entendiendo al adversario

Max Havey [00:00:00] Bienvenido a Security Visionaries, un podcast impulsado por Netskope enfocado en brindarle conversaciones con altos ejecutivos del mundo de la ciberseguridad, la tecnología, la confianza y las redes. Este episodio presenta una conversación con Ray Canzanese, director de Netskope Threat Labs. Ray se sienta a conversar con nosotros sobre su último informe trimestral sobre amenazas y nubes. Hablando de por qué eligió centrarse en el adversario esta vez, qué es lo que más le sorprendió de sus hallazgos y cómo el personal de seguridad y otros pueden utilizar los hallazgos de este informe. Aquí está nuestra conversación con Ray. Hola y bienvenido a Security Visionaries. Soy su anfitrión, Max Harvey. Y hoy nos sentamos a conversar sobre el informe sobre nubes y amenazas de octubre con Ray Canzanese, director de Netskope Threat Labs. Ray, bienvenido al espectáculo. ¿Cómo está hoy?

Ray Canzanese [00:00:44] Estoy bien, Max. Lo mejor que puedo un lunes. ¿Y tú?

Max Havey [00:00:47] Lo estoy haciendo, lo estoy haciendo de manera sólida. Me alegro mucho de tener esta conversación. ¿Entonces? Entonces, como director de Netskope Threat Labs, Ray es responsable de redactar nuestro informe trimestral sobre amenazas en la nube. Para comenzar aquí, Ray, ¿puedes darnos un poco de información sobre el informe provisional, cuánto tiempo llevas haciéndolo y por qué lo hacemos?

Ray Canzanese [00:01:06] Claro. Comenzamos a redactar estos informes en 2020, por lo que este será nuestro tercer año completo de redacción de estos informes. Publicamos uno nuevo cada trimestre y cubrimos un tema o ángulo ligeramente diferente cada vez que publicamos un informe nuevo. El objetivo de estos informes es proporcionar al lector información estratégica y procesable sobre amenazas. Eso es lo que esperamos que se refleje en todos estos, pero especialmente en el último informe que acabamos de publicar.

Max Havey [00:01:38] Absolutamente. Entonces, ¿puede decirnos cuál fue el enfoque de este informe más reciente y cuál fue su enfoque para escribirlo?

Ray Canzanese [00:01:45] Claro. Por lo tanto, informes anteriores han cubierto temas como dónde vemos que las víctimas descargan malware. Hemos hablado sobre dónde encuentran enlaces de phishing. Hemos hablado de los riesgos de la IA, cierto. Hemos hablado de los riesgos de amenazas internas. Así que hemos adoptado todos estos puntos de vista diferentes, muchos de ellos acerca de un adversario externo. Y para este último informe, decidimos centrarnos en ese adversario. Bien. Entonces, en lugar de centrarnos en algo específico como el phishing, el malware o los exploits, miremos a los adversarios. Veamos a los adversarios más activos contra los clientes de Netskope. Y veamos si podemos aprender algo de eso. Veamos si podemos aprender, por ejemplo, ¿cuáles son las principales tácticas y técnicas que se utilizan, independientemente de de qué adversario estemos hablando? O veamos si estoy trabajando en una industria específica, en una geografía específica, si hay un adversario en particular por el que debería preocuparme y, por lo tanto, un conjunto específico de tácticas y técnicas que son favorecidas por ese adversario en las que debería centrar mi atención. defensas encendidas.

Max Havey [00:02:59] Definitivamente. Entonces, una sensación de conocer a tu enemigo para poder hacer mejor las cosas por tu parte.

Ray Canzanese [00:03:05] Exactamente lo correcto. Y a veces siento que nos volvemos un poco abstractos cuando hablamos de ciberseguridad, como si estuviéramos hablando de dónde proviene el malware y dónde se encuentra. Y esto es como dar un paso atrás y recordarnos que hay alguien más haciendo eso, ¿verdad? Hay alguien enviando esos enlaces, ¿verdad? Hay alguien tratando de convencer a sus usuarios para que hagan estas cosas que comprometieron sus sistemas. Así que centrémonos realmente en quién es. Bien. ¿Quién es ese adversario al otro lado de esta especie de batalla de tipo ataque-defensa a la que nos enfrentamos en ciberseguridad?

Max Havey [00:03:45] ¿Cómo cambió el hecho de tener esa perspectiva la forma en que abordaste la redacción de este informe en comparación con, ya sabes, informes anteriores que has realizado?

Ray Canzanese [00:03:52] Claro. En primer lugar, cambió el enfoque de, llamémoslo, los 12 meses previos a la redacción de este informe. En otras palabras, lo primero que necesitábamos cambiar para incluso escribir este informe es intentar rastrear más de cerca y con mayor precisión al adversario. Bien. Entonces, lo primero que cambia para nosotros es que comenzamos a dedicar aún más tiempo cuando detectamos malware, cuando vemos a alguien visitando una página de phishing, cuando vemos tráfico de comando y control saliendo de un punto final, tratando de recopilar tanta información sobre eso como podamos, para luego intentar atribuirla a uno o más de los grupos adversarios que estamos rastreando. Bien. Entonces, todo ese trabajo, ya sabes, y me ahorro aproximadamente un año, ¿verdad? Que es más o menos lo que cubre este informe. Terminamos empezando a hablar de, ya sabes, desde principios del 23 hasta hoy. Ahí es donde comenzamos, el seguimiento. Y luego, cuando llega el momento de empezar a escribir el informe, lo que también estás viendo es: ¿hay adversarios que fueron más activos que otros? Bien. ¿Hay alguno que fuera más activo dentro de una determinada población que otros? Y luego simplemente comience a observar esas tácticas que están flotando hacia la cima, ¿verdad? Para ver cuáles son esas tendencias interesantes, aquellas cosas destacadas que luego nos guiarán en nuestra estrategia defensiva en el futuro.

Max Havey [00:05:18] Definitivamente se trata de un enfoque más cualitativo. Bueno, entonces, con eso en mente, ¿cuáles fueron algunas de las principales conclusiones y algunos de los grandes hallazgos que surgieron de este informe?

Ray Canzanese [00:05:27] Claro. Entonces, la gran conclusión, la primera y quizás la más fácil, es que en todos los adversarios que estábamos rastreando, cierto. Y creo que hubo alrededor de 50 grupos en total a los que rastreamos para este informe. Hubo algunas técnicas que se destacaron y todo el mundo las está usando. Bien. Entonces, si estoy adoptando ese enfoque, conozca su adversario, ¿verdad? Hay un ángulo que bueno, realmente no me importa cuál de los 50 adversarios sea. Es probable que estén haciendo estas seis cosas y estas seis cosas en un volumen bastante sustancial. Bien. Y esas seis cosas las habíamos rastreado en términos del marco MITRE ATT&CK. Entonces, el marco MITRE ATT&CK nos brinda un lenguaje realmente agradable para hablar entre nosotros en ciberseguridad sobre tácticas, técnicas y los grupos que las utilizan. Así que elegimos ese lenguaje común para escribir este informe y en ese lenguaje común hablamos sobre el acceso inicial, las técnicas que usan los adversarios para ingresar a un sistema objetivo. Hablamos de ejecución, que es cómo ejecutan código malicioso una vez que están en ese sistema, hablamos de comando y control, que obviamente es una vez que han comprometido el sistema, ¿cómo le hablan? Y finalmente, la filtración de datos, claro. ¿Cómo es que, si su objetivo final es, por ejemplo, intentar chantajearte, van a tener que robar algo para chantajearte, verdad? Por lo tanto, necesitan exfiltrar algunos datos a sus sistemas. Así que analizamos seis técnicas específicas en esas categorías y básicamente las encontramos en todos los ámbitos. Todos los adversarios que estábamos rastreando los estaban cometiendo. Y se centraron en el phishing, en lograr que los usuarios ejecutaran malware, y luego se centraron en realizar todo el comando, control y exfiltración a través de HTTP y HTTPS, básicamente para integrarse con todas las demás cosas en la red.

Max Havey [00:07:40] Básicamente, desglosando qué tipo de tácticas y consejos clave están viendo muchos de estos diferentes adversarios, todos los están aplicando y luego desglosándolos por industria. , por geografía y muchos otros factores una vez que los hayas establecido. Bien.

Ray Canzanese [00:07:55] Correcto. Y comenzamos con ellos porque si solo están tratando de obtener información de este informe, ¿qué debo hacer de manera diferente? Esos son los objetivos a los que apunta todo el mundo, ¿verdad? Entonces, si vas a comenzar por algún lado, comienza con los que son comunes porque tu estrategia defensiva funcionará contra prácticamente todos los grupos. Bien. Luego, el siguiente paso después de pasar por esas seis tácticas y técnicas es observar lo que está sucediendo en su industria y su geografía.

Max Havey [00:08:22] Definitivamente. Y a medida que profundiza en esas geografías e industrias, ¿hay algo que realmente le llamó la atención como algo sorprendente en estos hallazgos?

Ray Canzanese [00:08:30] Sí, hubo una cosa que realmente me sorprendió. Entonces, si nos fijamos en los adversarios que estamos rastreando, se encuentran aproximadamente en dos grupos. Tienen motivaciones financieras o geopolíticas. Bien. O son ciberdelincuentes. Bien. O son algún tipo de actor geopolítico patrocinado o afiliado al estado. Entonces, al observar esos dos grupos y toda nuestra red, creo que no sorprende a nadie que trabaje en ciberseguridad que el volumen abrumador sea el delito cibernético, ¿verdad? Se trata principalmente de actividad cibercriminal. La actividad geopolítica como porcentaje del volumen total de actividad de los atacantes es mucho menor. Ahora bien, hubo algunos destacados, ¿verdad? Así, por el lado de la industria, en los servicios financieros y en la atención sanitaria, los adversarios geopolíticos fueron más activos que en otras industrias. De manera similar, hubo aspectos destacados en las regiones geográficas donde es más o menos lo contrario. Hubo dos países destacados, siendo Australia y América del Norte que tuvieron una actividad geopolítica adversaria mucho menor que otras regiones. Entonces, realmente, ya sabes, fueron esos aspectos destacados los que fueron la parte sorprendente aquí, en términos de si lo que estábamos viendo era un delito cibernético o una actividad geopolítica.

Max Havey [00:10:06] Absolutamente. Entonces, ¿qué fueron tan interesantes esos aspectos destacados específicos y por qué deberían, ya sabes, personas que son como líderes de ciberseguridad u otras personas dentro de organizaciones de seguridad, por qué deberían tomar nota de ese tipo de anomalías y valores atípicos dentro de este tipo de ¿investigación?

Ray Canzanese [00:10:22] Correcto. Entonces, si trabaja en una de esas regiones atípicas. Bien. Eso te dice algo sobre el adversario al que te enfrentas. Bien. Y entonces no es solo. Mire si es geopolítico o criminal. Bien. Pero luego se puede utilizar el marco MITRE ATT&CK para observar a los principales adversarios geopolíticos en esas regiones. ¿Cuáles son las tácticas y técnicas que están utilizando? Bien. ¿Y qué tan bien afinadas están tus defensas contra ellos? En otras palabras, lo que aprendes al mirar es lo que tiene de especial tu industria o tu región, que tal vez deberías hacer algo ligeramente diferente y más dirigido al adversario al que te enfrentas. Y muchas veces puedes obtener información sobre esto hablando con tus organizaciones pares, ¿verdad? Así que hable con otras personas de su industria, otras personas de su industria que operen en la misma región que usted. A menudo puedes encontrar un ISAC o algún otro grupo al que puedas unirte y compartir entre sí lo que está sucediendo. Cómo tus compañeros están fortaleciendo sus defensas. Qué puedes hacer de manera diferente, aprendiendo de ellos para defenderte de los adversarios particulares a los que te enfrentas.

Max Havey [00:11:37] Y esa es una buena conclusión general, especialmente porque estamos, ya sabes, en medio del Mes de Concientización sobre la Seguridad en este momento, y estamos pensando en eso, simplemente alejándonos un poco. Un poco más allá, si tuviera que ofrecer una táctica clave o un consejo que surja de este informe a las organizaciones de seguridad más amplias, a la gente de seguridad que es técnica, no técnica, no amenazante, ya sabe, gente de seguridad. ¿Qué comida para llevar les ofrecerías?

Ray Canzanese [00:12:01] Claro. Entonces sé que uno de nuestros temas favoritos del que se habla en el Mes de la Concientización sobre la Ciberseguridad es el phishing. Permítanme hablar sobre phishing por un minuto, porque cuando pensamos en phishing, a menudo pensamos en el correo electrónico, ¿verdad? Gran parte de nuestra capacitación sobre phishing se centra en cómo saber si es seguro abrir ese correo electrónico. Lo que descubrimos es que el correo electrónico se está convirtiendo en una forma cada vez menos común en la que las personas caen en el phishing. ¿Bien? Y eso es uno, porque entrenas a todos para que sospechen del correo electrónico, y dos, porque construyes todas tus defensas anti-phishing en torno al correo electrónico. Y entonces, lo que estamos empezando a ver es que no son correos electrónicos, son mensajes de texto, son llamadas telefónicas, son mensajes directos en Instagram, son reseñas falsas en Facebook. Son resultados de búsqueda extraños los que encontró en Google cuando buscó algo realmente específico que quería saber sobre algún software que usa o algún hardware que usa y que un atacante logró obtener una página de phishing incluida en los resultados de búsqueda de Google para eso. En otras palabras, creo que la historia del phishing es que el phishing no es correo electrónico, ¿verdad? El phishing es alguien que intenta engañarlo para que proporcione su nombre de usuario o su contraseña o inicie sesión en algo cuando está mirando virtualmente por encima del hombro. Y eso puede comenzar en cualquier lugar y puede comenzar fuera del correo electrónico. Entonces, si le preocupa el phishing desde una perspectiva técnica porque trabaja en ciberseguridad, asegúrese de que sus defensas contra el phishing vayan más allá del correo electrónico. Si eres una persona mayor normal y corriente que está un poco paranoica y preocupada por el phishing, la solución fácil es nunca hacer clic en enlaces. Nunca visites sitios web que otras personas te indiquen. En otras palabras, si quiero iniciar sesión en el sitio web de mi banco, abro mi navegador y escribo la URL del sitio web de mi banco. No hay otra manera de iniciar sesión en el sitio web de mi banco. Ningún mensaje de texto que suene espantoso. Sin DM de Instagram, sin Snapchat, sin Facebook, nada. No hay nadie en ningún lugar que pueda convencerme de iniciar sesión en algo importante de otra manera.

Max Havey [00:14:29] Bueno, y ese también es un buen punto, señalar cómo ha evolucionado este phishing, como vimos incluso en las noticias recientemente con el ataque de MGM, donde eso se hizo mediante phishing de voz, mediante una llamada telefónica, a través del servicio de asistencia técnica. Hay ejemplos de cómo esto continúa desarrollándose, creciendo y cambiando. Y creo que creo que es un punto excelente tenerlo ahí.

Ray Canzanese [00:14:48] Sí, absolutamente. Y quiero decir, no sé qué tan común es esto, pero probablemente recibo una docena de llamadas telefónicas y mensajes de texto al día que ciertamente son estafas de algún tipo. Entonces, ya sabes, están haciendo phishing para obtener credenciales, están tratando de que les envíe dinero. Bien. Pero algo está pasando ahí. Así que creo que la gente podría estar familiarizada con algunos de estos de mayor volumen. Pero cuando empiezas a entrar en el volumen más bajo, los más matizados es donde la gente empieza a dejarse engañar. Así que deja de pensar en el canal y empieza a pensar en lo que realmente está pasando. Alguien está intentando que visites un sitio web falso. Así que no le des a nadie esas oportunidades, ¿verdad? Nunca, nunca hagas clic en enlaces. Bien. Solución fácil. Desenchufe esa computadora.

Max Havey [00:15:37] Deja de pensar en el canal y concéntrate en el resultado. Se siente como la verdadera gran comida para llevar aquí. Siento que eso es algo bastante fácil de recordar y tener en cuenta para todos los miembros de nuestra audiencia mientras operan desde Internet.

Ray Canzanese [00:15:50] Correcto. Porque, ya sabes, doy todos esos ejemplos de lo que es hoy en día, ¿no? Pero mañana será, no sé, Mastodon o alguna otra plataforma que no es tan popular ahora, pero que a medida que se vuelva popular se convertirá en un canal al que acudirán phishers, estafadores, ciberdelincuentes, actores geopolíticos. ahí también.

Max Havey [00:16:13] Sí, absolutamente. Creo que eso me lleva al final de mis preguntas aquí. ¿Hay algo más que le gustaría agregar que no hayamos cubierto en esta conversación hasta ahora?

Ray Canzanese [00:16:22] Bueno, si no íbamos a dar el discurso, lo daré yo. Bien. Este informe está disponible en netskope.com/threat-labs. En nuestra web encontrarás más detalles de todo lo que hemos hablado hoy aquí. Y cada mes verá nuevos informes mensuales en nuestro sitio web. Hablaremos sobre amenazas interesantes en vivo a medida que suceden en nuestro blog. Y cada trimestre verá otro de estos grandes informes. Si no puede mantenerse al día con todas estas cosas interesantes que estamos haciendo, también tengo una lista de correo que encontrará exactamente en el mismo sitio web que es netskope.com/threat-labs.

Max Havey [00:17:04] Absolutamente. Y para todos los que quieran comprobar esto por su cuenta, tendré un enlace en las notas del programa del episodio. Pero hasta entonces, hasta que tengamos otro informe para usted. Ray, muchas gracias por tomarte el tiempo. Siempre es esclarecedor hablar contigo sobre todas las cosas nuevas e interesantes que estás descubriendo en Netskope Threat Labs.

Ray Canzanese [00:17:19] Gracias, Max.

Max Havey [00:17:20] Impresionante. Tener una buena.