Las diez principales consideraciones de la evaluación de MITRE de Trend Micro

La llegada de las evaluaciones de MITRE ATT&CK es bienvenida al campo de pruebas de terceros. El framework de ATT&CK, y las evaluaciones en particular, han contribuido en gran medida al avance de la industria de la seguridad en su conjunto, y de los productos de seguridad individuales que sirven al mercado.

La información obtenida de estas evaluaciones es increíblemente útil. Pero admitamos que para todos, excepto para aquellos inmersos en el análisis, puede ser difícil de entender. La información es valiosa, pero densa. Hay múltiples maneras de mirar los datos y aún más maneras de interpretar y presentar los resultados (¡como sin duda ya se habrá dado cuenta después de leer todos los blogs de proveedores y artículos del sector!) Hemos estado mirando los datos de la última semana desde que se publicaron, y todavía tenemos más para examinar en los próximos días y semanas.  

Cuanto más evaluamos la información, más clara se vuelve la historia, así que queríamos compartir con vosotros las 10 conclusiones clave de Trend Micro para obtener nuestros resultados:

1. Es importante ver los resultados de la primera serie de la evaluación:

Trend Micro ocupó el primer lugar en detección general inicial. Somos el líder en detecciones basadas en las configuraciones iniciales de productos. Esta evaluación permitió a los proveedores realizar ajustes de producto después de una primera ejecución de la prueba para aumentar las tasas de detección en una nueva prueba. Los resultados de MITRE muestran los resultados finales después de todos los cambios de producto. Si se evalúa lo que el producto podía detectar como se proporcionó originalmente, tuvimos la mejor cobertura de detección entre el grupo de 21 proveedores.

  • Esto es importante tenerlo en cuenta porque los ajustes del producto pueden variar en importancia y pueden o no estar disponibles inmediatamente en el producto actual de los proveedores. También creemos que es más fácil hacerlo mejor, una vez que se sabe lo que el atacante estaba haciendo – en el mundo real, los clientes no tienen un segundo intento contra un ataque.
  • Dicho esto, nosotros también aprovechamos la oportunidad de volver a realizar la prueba, ya que nos permite identificar las mejoras en el producto, pero nuestras detecciones generales fueron tan altas, que incluso eliminando las asociadas a un cambio de configuración, seguimos ocupando el primer puesto general.
https://blog.trendmicro.com/wp-content/uploads/2020/04/mitre4-e1588186211333.png
Y así nadie piensa que solo estamos dando vueltas… sin hacer ningún tipo de exclusiones a los datos, y cogiendo solo los resultados de MITRE en su totalidad, Trend Micro tuvo la segunda tasa de detección más alta, con una cobertura de detección del +91%.
https://blog.trendmicro.com/wp-content/uploads/2020/04/mitre1-e1588166647158.png

2. Existe una jerarquía en el tipo de detecciones principales: las técnicas son más significativas

  • Hay una jerarquía natural en el valor de los diferentes tipos de detecciones principales.
    • Una detección general indica que algo se consideró sospechoso pero no se asignó a una táctica o técnica específica.
    • Una detección en la táctica significa que la detección puede atribuirse a un objetivo táctico (por ejemplo, acceso a credenciales).
    • Por último, una detección en la técnica significa que la detección puede atribuirse a una acción de confrontación específica (por ejemplo, el dumping de credenciales).
  • Tenemos una fuerte detección en las técnicas, que es una mejor medida de detección. Con la técnica individual de MITRE identificada, se puede determinar la táctica asociada, ya que típicamente, solo hay un puñado de tácticas que se aplicarían a una técnica específica. Al comparar los resultados, se puede observar que los proveedores tuvieron en general detecciones tácticas más bajas, lo que demuestra un reconocimiento general de dónde debería estar la prioridad. 
 Asimismo, el hecho de que tuviéramos detecciones generales más bajas comparadas con las detecciones técnicas es positivo. Las detecciones generales están típicamente asociadas a una firma; como tal, esto prueba que tenemos una baja dependencia de AV.
También es importante tener en cuenta que lo hicimos bien en telemetría, que brinda a los analistas de seguridad acceso al tipo y la profundidad de visibilidad que necesitan al examinar en detalle la actividad de los atacantes a través de los activos. 
 
 

https://attackevals.mitre.org/APT29/detection-categories.html

3. Más alertas no es igual a una mejor alerta, sino todo lo contrario.

  • A primera vista, algunos pueden esperar que se tenga el mismo número de alertas que de detecciones. Pero no todas las detecciones son creadas iguales, y no todo debería tener una alerta (recuerde, estas detecciones son para pasos de ataque de bajo nivel, no para ataques separados).
  • Demasiadas alertas pueden llevar a una fatiga de alerta y añadir a la dificultad de clasificar a través del ruido lo que es más importante.
  • Si se consideran las alertas asociadas a nuestras detecciones de mayor fidelidad (por ejemplo, la detección de la técnica), se puede ver que los resultados muestran que Trend Micro lo hizo muy bien al reducir el ruido de todas las detecciones a un volumen mínimo de alertas significativas/accionables.

4. Las detecciones del Servicio Gestionado no son exclusivas

  • Nuestros analistas de MDR contribuyeron a la categoría de «detección retardada». Aquí es donde la detección involucró la acción humana y puede no haberse iniciado automáticamente.
  • Nuestros resultados muestran la fortaleza de nuestro servicio MDR como una forma de detección y enriquecimiento. Si se incluyera un servicio MDR en esta evaluación, creemos que le gustaría ver que proporciona una buena cobertura, ya que demuestra que el equipo es capaz de detectar basándose en la telemetría recogida.
  • Sin embargo, lo que es importante señalar es que los números para la detección retardada no significan necesariamente que era fuera única manera de hacer una detección; la misma detección podría ser identificada por otros medios. Hay superposiciones entre las categorías de detección.
  • Nuestros resultados de cobertura de detección se habrían mantenido sólidos sin esta participación humana – aproximadamente el 86% de cobertura de detección (con el MDR, aumentó hasta el 91%).

5. ¡No nos olvidemos de la eficacia y la necesidad del bloqueo!

  • En esta evaluación de MITRE no se comprobó la capacidad de un producto para bloquear/protegerse de un ataque, sino que se examina exclusivamente la eficacia de un producto para detectar un evento que ha ocurrido, por lo que no se incluye ninguna medida de la eficacia de la prevención.
  • Esto es significativo para Trend Micro, ya que nuestra filosofía es bloquear y prevenir tanto como se pueda para que los clientes tengan menos que limpiar/mitigar.

6. Necesitamos mirar más allá de Windows

  • Esta evaluación se centró en los endpoints y servidores de Windows solamente; no se consideró Linux por ejemplo, donde por supuesto Trend Micro tiene una gran fuerza en cuanto a capacidad.
  • Esperamos con interés la expansión de los sistemas operativos a su alcance. Mitre ya ha anunciado que la próxima ronda incluirá un sistema Linux.

7. La evaluación muestra hacia dónde va nuestro producto

  • Creemos que la máxima prioridad de esta evaluación son las detecciones principales (por ejemplo, la detección en técnicas como las mencionadas anteriormente). La correlación entra dentro de la categoría de detección de modificador, que analiza lo que sucede por encima y más allá de una detección inicial.
  • Estamos satisfechos con nuestras principales detecciones, y vemos una gran oportunidad de aumentar nuestras capacidades de correlación con Trend Micro XDR, en la que hemos invertido fuertemente y que es el núcleo de las capacidades que ofreceremos en producto a los clientes a finales de junio de 2020.
  • Esta prueba no evaluó nuestra correlación con la seguridad del correo electrónico, por lo que existe un valor de correlación que podemos ofrecer a los clientes más allá de lo que se representa aquí.

8. Esta evaluación nos está ayudando a mejorar nuestro producto

  • La información que nos ha proporcionado esta evaluaciónha sido inestimable y nos ha ayudado a identificar áreas de mejora y, como resultado, hemos iniciado las actualizaciones de productos. 
  • Además, tener un producto con una opción de modo “solo detección” ayuda a aumentar la inteligencia del SOC, por lo que nuestra participación en esta evaluación nos ha permitido hacer que nuestro producto sea aún más flexible de configurar; y por lo tanto, una herramienta más poderosa para el SOC.
  • Mientras que algunos proveedores intentan utilizarlo contra nosotros, nuestras detecciones adicionales después del cambio de configuración muestran que podemos adaptarnos al cambiante panorama de amenazas rápidamente cuando es necesario.

9. MITRE es más que la evaluación

  • Si bien la evaluación es importante, no lo es menos reconocer que MITRE ATT&CK es una importante base de conocimiento con la que la industria de la seguridad puede alinearse y contribuir.
  • El hecho de tener un lenguaje y un marco común para explicar mejor cómo se comportan los adversarios, qué es lo que intentan hacer y cómo tratan de hacerlo,  hace que toda la industria sea más potente. 
  • Entre las muchas cosas que hacemos con MITRE o en torno a él, Trend ha contribuido y continúa aportando nuevas técnicas a las matrices del framework y lo está aprovechando dentro de nuestros productos utilizando ATT&CK como lenguaje común para las descripciones de alertas y detección, y para los parámetros de búsqueda.

10. ¡Es difícil no confundirse con el fud*!

  • MITRE no califica, clasifica o proporciona una comparación de productos, así que a diferencia de otras pruebas o informes de analistas de la industria, no hay un conjunto de “líderes” identificados.
  • Como esta evaluación considera múltiples factores, hay muchas maneras diferentes de ver, interpretar y presentar los resultados (tal y como lo hemos hecho aquí en este blog).
  • Es importante que las organizaciones individuales comprendan el marco, la evaluación y, lo que es más importante, cuáles son sus propias prioridades y necesidades, ya que es la única manera de asignar los resultados a los casos de uso individuales.
  • Busque a sus proveedores para que le ayuden a explicar los resultados, en el contexto que tenga sentido para usted. Debería ser nuestra responsabilidad ayudar a educar, no explotar.

 *Nota: FUD es una estrategia simple pero eficaz que se basa en proporcionar a la audiencia información negativa para influir en sus decisiones, y es fácil ver por qué se ha convertido en algo frecuente en el mundo de la ciberseguridad, con la amenaza siempre presente de otro ataque importante.

5 razones para llevar la seguridad del endpoint a la nube ahora

A medida que el mundo ha ido adoptando iniciativas de teletrabajo, hemos visto a muchas organizaciones acelerar sus planes para pasar de las soluciones de seguridad y de detección y respuesta (EDR/XDR) para el endpoint on-premise a las versiones de software como servicio (SaaS). Diferentes empresas que ya adoptaron la modalidad SaaS el año pasado, han mostrado su satisfacción al haberlo hecho cuando pasaron a trabajar a distancia.

A continuación Trend Micro ofrece 5 razones para considerar el cambio a una solución gestionada en cloud:

1. Sin gestión de la infraestructura interna = menos riesgo

Si no ha encontrado tiempo para actualizar el software de seguridad de sus terminales y está utilizando en una o dos anteriores, está poniendo a su organización en riesgo de ataque. Las versiones más antiguas no tienen el mismo nivel de protección contra el ransomware y los ataques sin archivos. Así como las amenazas están siempre evolucionando, lo mismo ocurre con la tecnología creada para protegerse contra ellas.

Con Apex One as a Service, siempre se tiene la última versión. No hay parches de software que aplicar ni servidores Apex One que gestionar – Trend Micro se  encarga de ello por usted. Si teletrabaja, es una tarea menos de la que preocuparse y menos servidores en su entorno que podrían necesitar su atención.

2. Alta disponibilidad, fiabilidad

Con procesos redundantes y monitorización continua del servicio, Apex One as a Services ofrece el tiempo de actividad que usted necesita con una disponibilidad del 99,9%. El equipo de operaciones también monitoriza proactivamente los posibles problemas en sus endpoints, y con su aprobación previa, puede solucionar problemas menores con un agente de endpoint antes de que necesiten su atención.

3. Detección y respuesta más rápida (EDR/XDR)

Al transferir la telemetría del endpoint a un lago de datos cloud, las actividades de detección y respuesta como las investigaciones y el barrido pueden ser procesadas mucho más rápido. Por ejemplo, la creación de un diagrama de análisis de causa raíz en la nube lleva una fracción del tiempo, ya que los datos están fácilmente disponibles y pueden procesarse rápidamente con la potencia del cálculo de la nube.

4. Aumento del mapeo MITRE

El poder inigualable del cloud computing también permite el análisis a través de un gran volumen de eventos y la telemetría para identificar una serie de actividades sospechosas. Esto permite métodos de detección innovadores pero también un mapeo adicional de técnicas y tácticas al framework MITRE. Construir la potencia de cálculo equivalente en una arquitectura en el lugar sería de un coste prohibitivo.

5. XDR – Endpoint combinado + Detección y Respuesta en el Email

Según Verizon, el 94% de los incidentes de malware comienzan en el correo electrónico.  Cuando se produce un incidente en el endpoint, es probable que provenga de un mensaje de correo electrónico y quiera saber qué otros usuarios tienen mensajes con el mismo email o un archivo adjunto de correo electrónico en su bandeja de entrada. Puede pedir a su administrador de correo electrónico que realice estas búsquedas por usted, lo cual lleva tiempo y coordinación. Como Forrester reconoció en el informe recientemente publicado: Forrester Wave™ Enterprise Detection and Response, Q1 2020:

«Trend Micro ofrece la funcionalidad XDR que puede tener gran impacto hoy en día. El phishing puede ser la forma más efectiva para que un adversario entregue cargas útiles específicas en lo profundo de una infraestructura. Trend Micro reconoció esto e hizo su primera entrada en XDR al integrar las capacidades de gestión de Microsoft Office 365 y la suite Google G en sus flujos de trabajo EDR».

Esta capacidad XDR está disponible hoy en día mediante la combinación de alertas, registros y datos de actividad de Apex One as a Service y Trend Micro Cloud App Security. Los datos de los endpoints se vinculan con la información de correo electrónico de Office 365 o G Suite de Cloud App Security para evaluar rápidamente el impacto del correo electrónico sin tener que utilizar otra herramienta o coordinar con otros grupos.

El traslado de la protección de los puntos finales y la detección y respuesta a la nube, tiene un enorme ahorro en el tiempo de los clientes al tiempo que aumenta su protección y capacidades. Si tiene licencia de nuestras Smart Protection Suites, ya tiene acceso a Apex One as a Service y nuestro equipo de asistencia está listo para ayudarle en su migración. Si se trata de una suite más antigua, hable con su representante de ventas de Trend Micro acerca de la migración a una licencia que incluya SaaS.

El traslado de la protección del endpoint y la detección y respuesta a la nube, tiene un enorme ahorro en el tiempo de los clientes al igual que aumenta su protección y capacidades. Si tiene licencia de las Smart Protection Suites de Trend Micro, ya tiene acceso a Apex One as a Service y nuestro equipo de soporte está listo para ayudarle en su migración. Si se trata de una suite más antigua, hable con su representante comercial de Trend Micro acerca de la migración a una licencia que incluya SaaS.  

Carta de la CEO: es tiempo de bondad y compasión

Estimados clientes:

Juntos, nos enfrentamos a una situación sin precedentes y todos hemos tenido que adaptarnos a la nueva realidad. La pandemia mundial del coronavirus está afectando a nuestras familias, nuestras comunidades, nuestras organizaciones – de hecho, afecta a nuestra perspectiva y a nuestra forma de vida. Como sin duda usted también lo habrá hecho, en Trend Micro llevamos ocupados durante las últimas semanas garantizando la seguridad de nuestros empleados y ofreciendo al mismo tiempo un servicio y una protección ininterrumpidos a nuestros clientes. Hemos convertido en una prioridad ayudar a las organizaciones de todo el mundo a reforzar su seguridad y garantizar la continuidad del negocio mientras muchos de sus empleados trabajan de forma remota.

Como compañía global con sede en Japón, hemos estado expuestos al COVID-19 desde los primeros días cuando estalló en Asia por primera vez. Hemos visto el impacto masivo que este nuevo coronavirus ha tenido en todos nosotros: desde el distanciamiento social, hasta la separación de familias, la enfermedad e incluso la muerte. Nuestros pensamientos y oraciones están con todas las personas afectadas por el virus, directa o indirectamente.

La seguridad de nuestros empleados es nuestra primera prioridad y en las últimas semanas la gran mayoría de nuestra plantilla está trabajando desde casa, todos, los 7.000 en los 60 países donde estamos. Es reconfortante ver las diferentes actividades que los equipos han lanzado para mantenerse conectados mientras están separados: happy hours virtuales o reuniones de café por la mañana, clases de deporte online para mantenerse en forma, noches de cine e incluso karaoke a distancia. A veces siento que estamos más conectados que antes.

En medio de estos tiempos difíciles, también hemos visto el asombroso poder de la positividad y la bondad en todo el mundo. Estoy muy conmovida y orgullosa de cómo nuestros empleados, nuestros Trenders, se están esforzando más de lo normal para participar en actos de generosidad y apoyo a la comunidad. Algunos ejemplos incluyen:

  • Servicios de ayuda vecinal iniciados por los empleados, como compras para los ancianos.
  • Herramientas desarrolladas para ayudar a nuestros héroes médicos, por ejemplo, un clip impreso en 3D que permite al personal sanitario utilizar máscaras faciales más cómodamente Nuevo contenido para estudiantes y padres que ahora trabajan desde casa, desarrollado por nuestro equipo de Internet Safety for Kids & Families
  • Donación a nuestras comunidades de más de 60.000 mascarillas  
  • Actividades de Give & Match en apoyo de los barrios desfavorecidos en India y Filipinas, en las que la empresa iguala la donación de cada empleado.

También hemos visto a Trenders donando algunos de sus días de vacaciones pagadas acumuladas a colegas que podrían necesitar tiempo libre adicional para cuidar de la familia. Ha habido miles de esos actos de solidaridad, probablemente muchos más de los que no soy consciente. Conociendo la pasión y entrega de nuestros empleados, sé que hay nuevas actividades que se están organizando y que están teniendo lugar en este preciso momento.

Con este mismo espíritu, es muy importante para mí, así como para todo el equipo ejecutivo, que hagamos lo correcto para nuestros empleados y clientes en estos tiempos difíciles, en lugar de centrarnos únicamente en lo que es mejor para nuestros resultados. Tenemos la intención de retener a todos nuestros empleados, y estamos trabajando para garantizar que nuestros equipos que trabajan a comisión sigan teniendo un ingreso estable, sin importar cómo vayan los negocios. Sabemos que no todas las empresas son tan afortunadas como nosotros, y muchos familiares de nuestros empleados están sin trabajo, por lo que nuestros ejecutivos también se han comprometido a reducir sus salarios si es necesario, para asegurar que cada empleado reciba las bonificaciones de la compañía durante la primera mitad de 2020. Si protegemos a nuestra familia de Trend Micro, nuestra familia de Trend Micro puede proteger y cuidar de sus comunidades.

Entiendo que estos tiempos son difíciles y que mientras celebramos actos de bondad y positividad, muchos de nuestros amigos y familias están luchando y haciendo frente a  problemas de salud y otras preocupaciones. Nuestros corazones están con todos los afectados, con los trabajadores del sector sanitario y con todos los empleados esenciales que ayudan a mantener nuestras vidas. Les estamos agradecidos de todo corazón.

Por favor, cuídate y… ¡y quédate en casa!

Saludos cordiales,

Eva Chen

Trend Micro es reconocida como Google Cloud Technology Partner del Año 2019 en Seguridad

Este premio subraya el valor y el servicio inigualable prestado a la base de conjunta de clientes

Trend Micro Incorporated (TYO: 4704; TSE: 4704), líder global en soluciones de ciberseguridad, anuncia que ha sido sido galardonado con el premioGoogle Cloud Technology Partner del Año 2019 en Seguridad. Este premio reconoce los logros en Google Cloud y ratifica aún más el liderazgo de Trend Micro en materia de seguridad en la nube.

«Nos complace reconocer a Trend Micro como nuestro Technology Partner del Año en Seguridad», afirma Kevin Ichhpurani, vicepresidente corporativo del ecosistema global de Google Cloud. «Las organizaciones que ejecutan ‘Cloud One’ de Trend Micro en Google Cloud pueden beneficiarse de una plataforma única y unificada que reúne la seguridad de los contenedores, la carga de trabajo, la red y el almacenamiento de archivos, al tiempo que aprovechan la infraestructura global y elástica de Google Cloud».

Los clientes de Google Cloud que utilizan Trend Micro se han beneficiado durante mucho tiempo de un completo stack, que incluye infraestructura y seguridad integradas y probadas conjuntamente para ayudar a los clientes a cumplir con sus directrices de seguridad y gobierno.

Un cliente conjunto que depende tanto de Google Cloud como de Trend Micro es ClearDATA, que es líder en seguridad, cumplimiento y privacidad cloud de atención sanitaria. Su director de tecnología y cofundador, Matt Ferrari, comentó: «Nuestros clientes confían en nosotros para proteger la información confidencial de sus pacientes, por lo que es fundamental que mantengamos asociaciones técnicas que demuestren capacidades de implementación y seguridad en la nube que estén muy por delante del mercado. Con Trend Micro y Google Cloud, confiamos en nuestra capacidad de entrega para cumplir».

La seguridad cloud se ha simplificado en una única plataforma de servicios de seguridad. Lanzada recientemente, Cloud One de Trend Micro reúne la seguridad de la carga de trabajo, exploración de imágenes de contenedores/protección en tiempo de ejecución, seguridad de aplicaciones, seguridad de red, seguridad del almacenamiento de archivos y la gestión de la postura de seguridad en la nube (CSPM).

«Vemos a nuestros clientes de todo el mundo aprovechando Google Cloud y beneficiándose de los amplios controles que ofrece Cloud One», apunta Sanjay Mehta, vicepresidente senior de desarrollo de negocios y alianzas estratégicas de Trend Micro. «Ser seleccionado como Technology Partner del Año de Google Cloud en Seguridad es un gran reconocimiento para nosotros, especialmente en un mercado cloud donde muchos proveedores carecen de una cartera de seguridad cloud moderna e integrada para la protección de aplicaciones durante el tiempo de construcción y el de ejecución. No podríamos estar más orgullosos y estamos entusiasmados de compartir y sorpender a los clientes con las más innovaciones que hemos planeado para Google Cloud durante el próximo año».

Cualquier organización, especialmente los clientes de Google Cloud, interesados en avanzar en su estrategia de seguridad en la nube con Trend Micro pueden encontrar más aquí

Siguiendo la continua evolución del célebre grupo APT Pawn Storm

Trend Micro se dedica a proteger el mundo conectado, y a todos sus clientes en todos los rincones del planeta. Para ayudarnos en esta tarea, contamos con un equipo de más de 1.200 investigadores white hat dedicados a trabajar las 24 horas del día para anticipar e investigar las últimas ciberamenazas emergentes. Muchos de los grupos responsables de estas son bandas criminales. Pero cada vez más, pueden ser también hackers apoyados por el estado. Esto puede sonar muy lejos de la cotidianeidad del día a día de la empresa española media. Pero ese no es necesariamente el caso. 

Los sofisticados grupos de Amenazas Persistentes Avanzadas (APT) no siempre tienen como objetivo las grandes marcas o los sectores militares y de infraestructura crítica. Como destaca nuestra última investigación sobre el perverso grupo Pawn Storm, incluso van tras escuelas privadas, guarderías y médicos.

Breve historia de Pawn Storm

Las actividades de Pawn Storm se remontan a 2004, aunque hemos estado siguiendo al grupo de cerca durante los últimos seis años más o menos. También conocido por los apodos APT28, Sofacy, Sednit, Fancy Bear y Strontium, es uno de los grupos APT más destacados del mundo. Entre las víctimas notables del pasado se encuentran el partido de la Unión Demócrata Cristiana Alemana (CDU), la Agencia Mundial Antidopaje (AMA) y el Comité Nacional Democrático (DNC). Hillary Clinton ha culpado de los correos electrónicos confidenciales de este último que ayudaron a Donald Trump a llegar al poder. 

No se equivoquen, Pawn Storm es uno de los grupos de APT más sofisticados y con más recursos que hemos visto. Y gracias al seguimiento que hemos hecho de sus herramientas, tácticas y procedimientos (TTP), hemos podido detallar algunas nuevas tendencias en 2019.

¿Qué hay de nuevo?

Concretamente, vimos que el grupo decidió usar las cuentas de correo electrónico de objetivos de alto perfil que ya había comprometido para enviar correos electrónicos de phishing de credenciales a otros objetivos – principalmente a compañías de defensa de Oriente Medio. No está claro por qué lo hicieron, tal vez para evadir los filtros de spam, y no parece haber sido particularmente exitoso.

También observamos a Pawn Storm escudriñando servidores de correo electrónico y servidores Microsoft Exchange Autodiscover en todo el mundo, con el fin de forzar bruscamente las credenciales de los administradores, exfiltrando los datos de los correos electrónicos y utilizándolos para realizar phishing a una nueva oleada de objetivos. Curiosamente, sus objetivos para esta campaña no eran solo los sospechosos habituales de organizaciones militares y de defensa, gobiernos, bufetes de abogados, partidos políticos y universidades, sino también otros más inusuales como escuelas privadas en Francia y Reino Unido, e incluso una guardería en Alemania.

Esto es un testimonio del hecho de que ninguna organización está a salvo de los ataques APT hoy en día.

La buena noticia es que los tipos malos cometen errores que podemos utilizar para entender mejor sus métodos y motivaciones. Por ejemplo, pudimos rastrear las campañas de phishing de credenciales contra dos proveedores de correo web de EE.UU., uno ruso y otro iraní durante un período de dos años analizando la solicitud del Marco de Políticas de Remitente de DNS (SPF) de los dominios que utilizaba. Aunque el grupo asignó cinco dominios a los servidores utilizados en esta campaña, no los registró, lo que permitió a los investigadores de Trend Micro colarse sigilosamente y monitorizar la actividad.

Mantenerse a salvo

Predecimos que este grupo de amenazas en particular estará presente en los años próximos años. Y es solo uno de los muchos que operan hoy en día. A continuación ofrecemos algunas recomendaciones para aislar a su organización contra estos últimos ataques. Incluso si no es un objetivo de Pawn Storm, estas son una serie de buenas prácticas importantes a tener en cuenta:

  • Aplicar el principio de menores privilegios, y deshabilitar los servicios obsoletos o no utilizados
  • Parchear regularmente/actualizar el sistema operativo y las aplicaciones. Considere la posibilidad de aplicar parches virtuales para las vulnerabilidades conocidas y desconocidas
  • Monitorizar regularmente la infraestructura con firewalls y sistemas de detección y prevención de intrusiones
  • Desplegar autenticación de doble factor para las cuentas de correo electrónico corporativo, el acceso de red y los servicios subcontratados
  • Formar y concienciar a los empleados en materia de técnicas de phishing y vectores de ataque más comunes, y prohibir el uso del correo web personal y las cuentas de redes sociales para fines laborales
  • Realizar con frecuencia copias de seguridad de los datos y cifrar la información sensible almacenada

Para leer el informe completo, haga clic aquí