Intel Security dio a conocer su Informe de Amenazas de McAfee Labs: Marzo de 2015, que evalúa las actitudes de 500 profesionales de ciberseguridad en relación a intercambiar inteligencia de ciberamenazas (CTI, por sus siglas en inglés), examina el funcionamiento interno de la herramienta de administración remota (RAT, por sus siglas en inglés), y detalla los aumentos de ransomware, malware, móvil y malware en general durante el cuarto trimestre de 2015.
En 2015, Intel Security entrevistó a 500 profesionales de la seguridad en una amplia variedad de industrias a lo largo de Norteamérica, Asia Pacífico y Europa, para medir el conocimiento de la CTI, su valor percibido en la seguridad de las industrias, y qué factores pueden interponerse en el camino de una mayor aplicación de la CTI en las estrategias de seguridad. Los encuestados proporcionaron una valiosa ilustración del estado actual y las oportunidades potenciales de la CTI en la empresa:
· Percepción de valor y adopción. Del 42% de los encuestados que informaron compartir inteligencia de amenazas, el 97% creen que les permite proporcionar una mejor protección para su compañía. De los participantes encuestados, al 59% le parece que dicho intercambio es “muy valioso” para sus organizaciones, mientras que al 38% le parece que el intercambio es “de alguna manera valioso”.
· Inteligencia específica de la industria. El 91% de los encuestados, expresaron interés en inteligencia de ciberamenazas específica de la industria, y 54% respondieron que están “muy interesados”, y un 37% respondieron que estaban “de alguna manera interesados”. Los sectores como los servicios financieros e infraestructura crítica podrían beneficiarse más de esta CTI específica de la industria, dada la naturaleza altamente especializada de las amenazas que McAfee Labs ha monitoreado en estas dos industrias de misión crítica.
· Disposición de compartir. 63% de los encuestados indican que pueden estar dispuestos a ir más allá de simplemente recibir CTI compartida, para contribuir realmente con sus propios datos, siempre que puedan ser compartidos dentro de una plataforma segura y privada. Sin embargo, la idea de compartir su propia información es aceptada con diversos grados de entusiasmo, siendo que el 24% respondió que es “muy probable” que la compartan, mientras que el 39% dijo que “de alguna manera es probable” que la compartan.
· Tipos de datos a compartir. Cuando se les preguntó qué tipos de datos de amenazas están dispuestos a compartir, los encuestados dijeron comportamiento de malware (72%), seguido por reputaciones de URL (58%), reputaciones de direcciones IP externas (54%), reputaciones de certificados (43%), y reputaciones de archivos (37%).
· Barreras a la CTI. Cuando se le preguntó por qué no habían implementado CTI compartida en sus empresas, el 54% de los encuestados identificó a las políticas corporativas como el motivo, seguidas por normatividades de la industria (24%). El resto de los encuestados cuyas organizaciones no comparten datos informan que están interesados, pero necesitan más información (24%), o están preocupados de que los datos compartidos sean enlazados de regreso a sus firmas o a ellos mismos como individuos (21%). Estos descubrimientos sugieren una falta de experiencia con, o conocimiento de, las variedades de opciones de integración CTI disponibles para la industria, así como una falta de comprensión de las implicaciones legales de compartir CTI.
“Dada la determinación demostrada por los ciberdelincuentes, el intercambio de CTI se convertirá en una herramienta importante en inclinar la balanza de ciberseguridad a favor de los defensores”, dijo Vincent Weafer, Vicepresidente del Grupo McAfee Labs de Intel Security. “Pero nuestra encuesta sugiere que la CTI de alto valor debe superar las barreras de las políticas organizativas, restricciones reglamentarias, riesgos asociados con la atribución, confianza y falta de conocimientos de implementación antes de que su potencial pueda aprovecharse plenamente”.
El informe también evalúa la herramienta de administración remota (RAT) Adwind, un troyano de puerta trasera basado en Java que ataca a diversas plataformas que dan soporte a archivos Java. Adwind normalmente se propaga a través de campañas de spam que emplean archivos adjuntos de correo eletrónico cargados de malware, páginas web riesgosas y descargas desapercibidas. El informe de McAfee Labs muestra un rápido incremento en el número de muestras de archivos .jar identificadas por los investigadores de McAfee Labs como Adwind, con 7.295 en el cuarto trimestre de 2015, un salto del 426% a partir de 1.388 en el primer trimestre de 2015.
