En su último informe de amenazas, McAfee Labs Threats Report: March 2016,Intel Securit analiza la actitud de 500 profesionales de ciberseguridad hacia el intercambio de inteligencia de amenazas (CTI), examina el funcionamiento interno de la herramienta de administración remota (RAT) Adwind y señala un repunte del ransomware, el malware móvil y el malware en general en el cuarto trimestre de 2015.
En 2015 Intel Security entrevistó a 500 profesionales de seguridad Norteamérica, Asia Pacífico y Europa para evaluar el conocimiento de la CTI, su valor percibido en la seguridad corporativa y qué factores deben destacar en el proceso de una mayor implementación de la CTI en las estrategias de seguridad.
Los participantes ofrecieron una imagen muy valiosa del estado actual y de las potenciales oportunidades para el CTI en la empresa:
– Valor percibido y adopción. Del 42% de los participantes que dijeron utilizar intercambio de inteligencia de amenazas, un 97% creía que les permite ofrecer una mayor protección a su empresa. Por su parte, un 59% de ellos consideraba este intercambio “muy valioso” para sus organizaciones, mientras que un 38% lo señalaba como “valioso”.
– Inteligencia específica de sector. Casi un unánime 91% de los participantes mostró interés en inteligencia de ciberamenazas específica de un sector. En concreto, un 54% dijo estar “muy interesado” mientras que el 37% se consideró “interesado”. Sectores como los servicios financieros y las infraestructuras críticas destacaron como principales beneficiados por la CTI dada la naturaleza de alta especialización de las amenazas que McAfee Labs ha monitorizado en estos dos sectores de misión crítica.
– Disposición para compartir. Un 63% de los participantes indicaron que estarían dispuestos a ir más allá de simplemente recibir intercambio de CTI para contribuir con sus propios datos, siempre que se compartieran dentro de una plataforma segura y privada. Sin embargo, la idea de compartir su propia información es recibida con varios grados de entusiasmo, ya que un 24% respondió que eran “muy favorables” a compartir frente a un 39% que dijo ser “favorables” a compartir.
– Tipos de datos para compartir. Al preguntar qué tipo de datos de amenazas estaban dispuestos a compartir, los participantes señalaron el comportamiento de malware (72%), seguido de reputación de URL (58%), reputación de direcciones IP externas (54%), reputación de certificados (43%) y reputación de archivos (37%).
– Obstáculos para la CTI. A la pregunta de por qué no habían implementado intercambio de CTI en sus empresas el 54% de los encuestados señaló como motivo la política corporativa, seguida de regulaciones del sector (24%). El resto de participantes cuyas organizaciones no comparten datos señalaron su interés, pero necesitar más información al respecto (24%) o se mostraron preocupados porque esos datos estuvieran ligados a sus empresas o a ellos mismos como individuos (21%). Estos hallazgos sugieran una falta de experiencia o conocimiento de la variedad de opciones de integración de la CTI disponibles para la industria, así como una falta de comprensión de las implicaciones legales de compartir CTI.
“Dada la determinación demostrada por los cibercriminales, el intercambio de amenazas se convertirá en una herramienta importante para inclinar la balanza de la ciberseguridad a favor de los defensores” ha señalado Vincent Weafer, vicepresidente del grupo McAfee Labs de Intel Security.
“Sin embargo, nuestro estudio sugiere que una CTI de gran valor debe superar antes las barreras de las políticas de las organizaciones, restricciones de regulación y riesgos asociados con la atribución, confianza y falta de conocimiento de implementación para que se pueda conocer todo su potencial” añade Weafer.
El informe de este trimestre también evalúa la herramienta de administración remota (RAT) Adwind, un troyano backdoor basado en Java que se dirige a varias plataformas compatibles con archivos Java. Adwind se propaga generalmente a través de campañas de spam que emplean adjuntos al email portadores de malware, páginas web comprometidas y descargas ocultas. El informe de amenazas de McAfee Labs describe un rápido aumento en el número de muestras de archivos .jar identificadas por los investigadores de McAfee Labs como Adwind, registrando un total de 7.295 en el cuarto trimestre de 2015, un salto del 426% con respecto a las 1.388 del primer trimestre de 2015.
Estadísticas de amenazas en el 4º trimestre de 2015:
– El ransomware vuelve a dispararse.
– Repunte del malware móvil.
– Importante descenso del malware rootkit.
– El malware se recupera.
– Descienden los archivos binarios firmados maliciosos.
