A medida que empresas e instituciones invierten en mejores sistemas de seguridad, los cibercriminales usan métodos cada vez más ingeniosos para sortear las barreras y lograr su propósito. Por eso, en los últimos meses hemos visto un mayor número de ataques que no utilizan malware, fácilmente detectable por herramientas de ciberseguridad avanzada. En su lugar, los atacantes asumen la identidad del administrador, tras haber conseguido sus credenciales de red. Es algo que ya está sucediendo: en el 62% de las brechas de seguridad en empresas en 2017 se han empleado técnicas de hacking; y en el 49% de esos incidentes no se utilizó malware. En 2018 esta situación se agravará.
Las técnicas empleadas por los ciberdelincuentes para atacar sin utilizar malware pueden ser muy variadas, aprovechando todo tipo de herramientas no maliciosas que forman parte del día a día de los responsables de TI. Sirva de ejemplo un ataque automatizado que detectó PandaLabs y en el que se utilizó una combinación de diferentes técnicas: ataque de malware sin fichero, uso de PowerShell, exploits y Mimikatz personalizado para instalar un software de minería de Monero en los equipos comprometidos. Este ataque es una clara muestra de cómo herramientas tan esenciales para los administradores de sistemas, como PowerShell, son cada vez más empleadas por los hackers para realizar sus ataques.
La solución: Threat Hunting
El auge de ataques que recurren a métodos tan sofisticados constata que el modelo de protección tradicional basado en antivirus y ficheros de firmas está obsoleto. La clave para combatir un ataque carente de malware radica en la capacidad de detectarlo basándose en el comportamiento exhibido por los usuarios de la red corporativa. Para “cazar” estas amenazas es necesario disponer de herramientas de Threat Hunting que monitoricen el comportamiento de los equipos, las aplicaciones que se ejecutan en ellos y, fundamentalmente, qué hacen los usuarios de la red. Disponer de una cantidad tan ingente de datos y de perfiles de comportamiento esperado permite cotejar los modelos contra los datos reales para alertar de cualquier desviación sobre el comportamiento que resulte sospechosa. A continuación, los sistemas de Machine Learning priorizarán los incidentes potenciales, que serán estudiados en profundidad con herramientas de análisis forense remotas integradas en la plataforma de Threat Hunting.
