Detrás de las estrategias y soluciones necesarias para contrarrestar las ciberamenazas actuales se encuentran investigadores dedicados a la ciberseguridad. Se pasan la vida diseccionando código y analizando informes de incidentes para descubrir cómo detener a los malos.

Pero, ¿qué impulsa a estos especialistas? Para comprender las motivaciones de por qué estos profesionales de la ciberseguridad hacen lo que hacen, decidimos hablar con analistas de ciberseguridad de todo el mundo.

Para obtener puntos de vista de toda Europa, Asia y América, recientemente hablamos con un equipo de investigadores de la red global de Centros de Operaciones de Protección Cibernética (CPOC) de Acronis: Candid WüestVP de Cyber ​​​​Protection Research con sede en Suiza; Alejandro Ivanyuk, director sénior de Posicionamiento de Producto y Tecnología, con sede en Singapur; y dos Analistas de Ciberseguridad, topher tebow y blake collinsambos con sede en los EE. UU.

La conversación arrojó algunas ideas interesantes sobre su visión del mundo, cómo abordan el análisis de amenazas cibernéticas y qué riesgos se destacan como los mayores desafíos que enfrenta el campo de la seguridad cibernética en la actualidad.

Como analista de seguridad, ¿qué lo impulsa a hacer este tipo de trabajo?

Si bien las motivaciones individuales de por qué estos investigadores de seguridad cibernética hacen lo que hacen varían de persona a persona (como lo harían en cualquier industria), dos rasgos estaban al frente y al centro: el amor por la resolución de problemas y el deseo de ser los buenos.

Wüest explicó: «Soy una persona curiosa a la que le gustan los acertijos y los desafíos. Por lo tanto, rastrear los ataques cibernéticos y encontrar formas de interrumpir su proceso de manera eficiente es fascinante para mí».

Collins se hizo eco de ese sentimiento y dijo: «El malware es fascinante para mí, ya que puede ser un poco un rompecabezas. ¿Cómo llegó allí, qué está haciendo y quién es el responsable? Indagar en el código ofuscado, comprenderlo y revertirlo es tan satisfactorio Además, cuando eliminas una amenaza, hay una sensación de hacer que el mundo sea mejor «.

Ese impulso para hacer del mundo digital un lugar más seguro también fue compartido por otros. Tebow explicó: «De alguna manera, escribir reglas de detección o informar sobre un nuevo servidor C2 se siente como justicia vigilante. Puede que no siempre sea Batman, pero aún se siente increíble ser Alfred, apoyando el esfuerzo para acabar con los criminales».

Wüest reconoce que hacer de Internet un lugar más seguro para todos tiene un impacto real. «Es preocupante ver que algunos ataques cibernéticos han destruido vidas en el mundo real. Por lo tanto, me gustaría hacer mi contribución para mejorar la situación».

Sus esfuerzos para resolver problemas y prevenir ataques son definitivamente necesarios. Si bien el 75 % de las empresas informa tener implementadas todas las medidas de seguridad recomendadas, más de la mitad experimentó un tiempo de inactividad inesperado debido a la pérdida de datos el año pasado.

¿Cuál es la mayor sorpresa que te has encontrado durante tu carrera como analista de seguridad?

Incluso después de 55 años combinados en ciberseguridad, estos investigadores todavía encuentran sorpresas en su trabajo diario.

Desde una perspectiva técnica, dice Collins, «el gran volumen de malware que existe me sorprende. Si sigues las noticias de seguridad cibernética, tienes una idea general de que el malware está en todas partes y causa problemas. Pero detrás de escena, comienzas a apreciar cuán asombrosamente alto es el número de variantes de malware es «.

Igual de desalentador, agregó Wüest, es cuánto tiempo lleva cambiar los malos hábitos. «Como industria, todavía luchamos mucho con viejos conceptos de problemas como inyecciones de SQL, contraseñas predeterminadas débiles o datos confidenciales sin cifrar. Existen soluciones para estos problemas, pero no se aplican tan ampliamente como deberían. Incluso cuando hay un gran escándalo de privacidad, hay una protesta inicial, pero la gente rápidamente vuelve a sus viejos hábitos».

Esos hábitos, desafortunadamente, pueden conducir a algo peor: la apatía. «La mayor sorpresa es la complacencia entre los profesionales de la ciberseguridad», dijo Tebow. «Me sorprende la frecuencia con la que me he encontrado con una actitud de ‘así es como es’. Me encantaría ver a un mayor número de profesionales emocionados por el desafío de acabar con los ciberdelincuentes, incluso celebrando las pequeñas victorias en el camino». . «

¿Qué tendencias o técnicas ha encontrado más efectivas para identificar o contrarrestar nuevas ciberamenazas?

Dada la avalancha de nuevas amenazas, que aumenta constantemente ahora que los atacantes utilizan la automatización y las optimizaciones de IA/ML, Wüest propone soluciones de protección independientes de las amenazas.

«En lugar de tratar de identificar los 4 millones de nuevas muestras de malware que aparecen cada semana, concéntrese en proteger sus datos de cualquier manipulación o encriptación no deseada, independientemente de cómo se vea el malware. El monitoreo inteligente del comportamiento que va más allá del contexto de los procesos puede ser un arma eficaz contra las ciberamenazas modernas».

Como jefe de investigación de protección cibernética, agrega que el análisis del comportamiento de la entidad del usuario (UEBA) combinado con Zero Trust, Secure Access Service Edge (SASE) y la autenticación multifactor (MFA) es prometedor, especialmente dado el trabajo actual desde cualquier lugar. -con-nada de realidad – pero advirtió que no hay una bala de plata.

«Un enfoque integrado en todos los silos con automatización y visibilidad eficientes es clave, pero también lo es la importancia de los conceptos básicos, como la autenticación sólida y la gestión de parches, que demasiadas organizaciones aún pasan por alto».

Ivanyuk estuvo de acuerdo y dijo que «el uso de heurística de comportamiento y modelos adecuados de IA/ML es fundamental para identificar incursiones, pero cosas simples como MFA y administración basada en roles, respaldadas por evaluaciones constantes de vulnerabilidades y administración de parches, son sorprendentemente efectivas para prevenir ataques».

Para hacer posible ese tipo de soluciones automatizadas, Collins dice que tener la capacidad de destilar comportamientos o códigos comúnmente maliciosos en una simple regla o firma le ha resultado muy útil.

«Estos tipos de detecciones le permiten lanzar una red amplia que puede traer malware nuevo no detectado para su análisis».

Tebow señaló que el análisis de tendencias también es una técnica eficaz. Al investigar el malware de cryptojacking, decidió examinar las tendencias generales de las criptomonedas. «Descubrí que los picos y las caídas en el cryptojacking siguieron el aumento y la caída en el valor de la criptomoneda. Esto nos dio una ventaja de 24 a 48 horas para defendernos contra la próxima ola de ataques y saber qué criptomoneda buscar».

¿Ha habido algún incidente en el que la sofisticación del ataque le haya sorprendido, o incluso le haya impresionado?

Mientras que Ivanyuk apunta a clásicos como el ataque de Stuxnet y el reciente hackeo de SolarWinds como buenos ejemplos, Collins señala que no siempre es la sofisticación de un ataque lo que impresiona.

«Siempre me impresionan las vulnerabilidades que pueden encontrar los actores maliciosos», dijo. «Hace unos años hubo un error en PHP7 que permitía RCE que era sorprendentemente fácil de usar al pasar un parámetro con una carga útil en una dirección web. A veces, cuanto más simple es el exploit, más impresionante es».

Wüest, que formó parte del equipo que realizó uno de los primeros análisis profundos de Stuxnet, dijo que algunos atacantes de ransomware adoptaron un enfoque interesante al usar una consola de copia de seguridad en la nube sin protección.

«Robaron datos confidenciales mediante la creación de una nueva copia de seguridad en una ubicación en la nube bajo su control. Luego, usaron el software de copia de seguridad para restaurar el malware en las cargas de trabajo críticas dentro de la organización. Fue un uso impresionante de las técnicas de vivir fuera de la tierra, volviendo la propia infraestructura de confianza de la víctima en su contra».

¿Puede clasificar las amenazas de seguridad que más le preocupan y explicar por qué?

Los cuatro investigadores de seguridad cibernética coincidieron en que el ransomware sigue siendo la mayor amenaza para la seguridad en la actualidad, en particular dado el cambio del cifrado de datos simple a la exfiltración de datos.

«El ransomware dirigido es el primero de mi lista porque el esquema de doble extorsión, donde se roban los datos y se cifran las cargas de trabajo, puede ser muy rentable para los atacantes», dijo Wüest. «Con demandas de rescate que alcanzan los 50 millones de dólares, no hay razón para que los ciberdelincuentes se detengan. Las técnicas aplicadas se han fusionado durante mucho tiempo con métodos APT, como vivir de la tierra o explotar servicios expuestos como la vulnerabilidad Exchange ProxyLogon, lo que hace que sea más difícil detectar de forma fiable».

Durante los últimos 15 meses, los analistas de Acronis CPOC encontraron evidencia de que se filtraron los datos de más de 1600 empresas de todo el mundo después de un ataque de ransomware, por lo que llamaron a 2021 «El año de la extorsión».

«Hasta el punto de que dudo en llamarlas pandillas de ransomware», agregó Tebow. «Empecé a referirme a ellos como bandas de extorsión. La exfiltración de datos y la amenaza de liberar cualquier cosa confidencial se ha convertido en un método principal de extorsión, al que agregan crecientes demandas de rescate después de un período de tiempo inicial y amenazas de ataques adicionales, como un DDoS, si no se paga el rescate».

«El ransomware les permite obtener dinero en criptomonedas imposibles de rastrear, cuando robar dinero a través de la banca en línea aumenta las posibilidades de que los atrapen más tarde», explicó Ivanyuk. «El problema es que el ransomware sigue funcionando bien, especialmente porque las personas y las empresas siguen sin estar informadas sobre el ransomware».

De hecho, una encuesta reciente de Acronis entre usuarios y profesionales de TI de todo el mundo reveló que el 25 % de los usuarios no sabían qué es el ransomware.

Más allá del ransomware, los cuatro investigadores esperan ver un aumento en los ataques a la cadena de suministro como la violación de SolarWinds. «Hay muchas variaciones de estos ataques, desde comprometer a un proveedor de software hasta inyectar código en un repositorio de código fuente abierto», dijo Wüest.

«Debido a la naturaleza de la cadena de confianza, puede ser casi imposible identificar una manipulación de este tipo hasta que sea demasiado tarde, ya que se descarga a pedido de una fuente confiable y se verifica con el certificado digital oficial. Tales ataques no son triviales de crear, pero seguirá aumentando en el futuro, ya que tienen éxito incluso con objetivos bien protegidos».

Tebow agregó que había un riesgo más que cualquier persona en seguridad cibernética debería tener en cuenta, ya sea un investigador o esté en la línea del frente.

“Veo el deseo de analistas y organizaciones de ‘hacerlo por su cuenta’ como una tremenda amenaza”, advirtió. «Si mantenemos el método aislado de la vieja escuela para combatir el ciberdelito, no tenemos ninguna esperanza de derrotar a los ciberdelincuentes. Solo trabajando juntos tendremos la oportunidad de ganar grandes batallas contra los ciberdelincuentes».

Acerca de los Centros de operaciones de ciberprotección de Acronis: Acronis mantiene una red global de Centros de Operaciones de Protección Cibernética, con ubicaciones en Singapur, Arizona y Suiza que permiten a los analistas de CPOC utilizar un enfoque de seguimiento del sol para operaciones de 24 horas. Los analistas detectan, analizan y preparan respuestas a nuevos riesgos para los datos, desde los últimos ciberataques hasta catástrofes naturales. Los conocimientos recopilados se utilizan para emitir alertas de amenazas para proteger los entornos de los clientes y ayudar a la empresa a desarrollar sus soluciones de protección cibernética.