Protocolos traidores y la astucia de la IA: Cato revela la anatomía de los ataques a empresas

Cato Networks ha publicado su primer informe dedicado al análisis de las ciberamenazas para las redes corporativas y la infraestructura de TI de las empresas. El documento se ha preparado utilizando las capacidades de la arquitectura SASE (Secure Access Service Edge), desarrollada por Cato Networks.

SASE combina servicios de red y seguridad en una única plataforma en la nube para un acceso seguro. Según Cato, generalmente las amenazas se analizan de forma aislada, por sistemas separados. Sin embargo, SASE permite realizar una evaluación integral de los datos externos, el tráfico entrante y saliente, así como la actividad de la red, proporcionando una visión completa del estado de seguridad de la organización.

El informe se basa en un colosal volumen de datos recopilados de más de 2200 clientes de Cato en todo el mundo: 1,26 billones de flujos de red y 21,45 mil millones de ataques repelidos. El análisis de la información se llevó a cabo utilizando algoritmos patentados de inteligencia artificial y aprendizaje automático de Cato, cientos de fuentes de datos sobre ciberamenazas y la experiencia de un equipo completo de especialistas, incluidos analistas militares y científicos.

Aplicando la estructura reconocida de MITRE ATT&CK, el informe ilumina exhaustivamente todos los peligros desde una perspectiva estratégica, táctica y operativa, incluyendo actividad maliciosa y sospechosa, así como aplicaciones, protocolos y herramientas utilizadas en redes corporativas.

Entre las conclusiones clave del informe:

1. Las empresas están implementando activamente herramientas de inteligencia artificial, en particular Microsoft Copilot, ChatGPT de OpenAI y la aplicación Emol para comunicarse con asistentes de IA "emocionales".

2. Las comunidades de hackers están discutiendo activamente el uso de tecnologías de inteligencia artificial para mejorar el software malicioso. Por ejemplo, se sugiere que ayudará a aumentar la eficacia de la herramienta SQLMap en la búsqueda y explotación de vulnerabilidades. Además, los hackers ofrecen a sus colegas servicios para generar credenciales falsas y crear deepfakes. También se está reclutando especialistas para desarrollar un análogo malicioso de ChatGPT.

3. Marcas conocidas, como Booking, Amazon y eBay, son explotadas activamente por delincuentes para fraudes y otros fines ilegales mediante métodos de suplantación de identidad.

4. En las redes corporativas todavía se utilizan ampliamente protocolos no seguros, como HTTP (62% del tráfico web), Telnet (54%) y SMBv1/v2 (46%), lo que permite a los atacantes moverse libremente por la red.

5. La principal amenaza para las empresas no son las vulnerabilidades de día cero, sino los problemas antiguos no resueltos. En particular, las brechas en Log4J (CVE-2021-44228) siguen siendo algunas de las más explotadas.

6. Los vectores de ciberataques varían significativamente según la industria de la empresa. Por ejemplo, para los negocios de entretenimiento, telecomunicaciones y minería son comunes los ataques DoS (denegación de servicio), mientras que en los sectores de servicios y hostelería se explotan activamente las vulnerabilidades para el robo de credenciales.

7. Al analizar las amenazas, el contexto es extremadamente importante, ya que una actividad aparentemente inofensiva puede en realidad indicar acciones maliciosas. Para su detección oportuna, se requiere una comprensión integral de los patrones de tráfico de red en combinación con el uso de tecnologías de inteligencia artificial y aprendizaje automático.

8. A pesar del papel crucial del DNS para las operaciones empresariales, solo el 1% de las organizaciones utiliza DNS seguro (DNSSEC). Las razones de su "impopularidad" aún no están claras.

Para obtener la información más actualizada y completa sobre amenazas, tendencias en ciberseguridad, actividades de comunidades de hackers y métodos de defensa, Cato recomienda consultar el texto completo del informe sobre ciberamenazas para SASE.