Ha sido un año extremadamente difícil, para todos, en todos los sectores. Si este año nos ha enseñado algo, es que todos podemos tolerar un poco la incertidumbre. Sin embargo, son los equipos y las personas con las que se interactúa a diario los que pueden ayudarnos a recuperar un poco de certeza. Así que, conforme empecemos a ver que el 2020 pasa a la historia, paremos un momento y valoremos dónde estamos y lo que tenemos.
Este año hemos aprendido mucho, no solo sobre cómo los cibercriminales aprovechan el miedo y la incertidumbre para generar más caos, sino también sobre cómo un mundo remoto y digital podría funcionar. Hubo una curva de aprendizaje pronunciada a medida que los colegios, los negocios y las personas tuvieron que pasar del contacto cara a cara a la interacción frente a una pantalla. También se aprendió mucho sobre el establecimiento de límites y entornos, ya que ahora nuestros hogares también son oficinas, colegios, centros de actividades y mucho más.
Todos estamos aprendiendo juntos. Pero hay dos importantes conclusiones que podemos sacar de este año: Lávese las manos y no reutilice sus contraseñas.
Notas generales
Los datos utilizados para todas las secciones se limitaron al mismo periodo de 12 meses, desde el 1 de octubre de 2019 hasta el 30 de septiembre de 2020. La mayor parte de este informe se ha obtenido directamente de informes anteriores de este año, así que no dude en consultar los informes individuales para obtener información detallada sobre cómo se compiló cada uno.
Ataques a aplicaciones web
Estos datos describen las alertas en la capa de aplicación generadas por Kona Site Defender y Web Application Protector. Los productos activan estas alertas cuando detectan una carga maliciosa en una solicitud a un sitio web o aplicación protegidos.
Las alertas no indican una vulneración eficaz. Aunque estos productos permiten un alto nivel de personalización, recopilamos los datos presentados aquí de una manera que no tiene en cuenta las configuraciones personalizadas de las propiedades protegidas.
Los datos se tomaron de Cloud Security Intelligence (CSI), una herramienta interna de almacenamiento y análisis de eventos de seguridad detectados en Akamai Intelligent Edge Platform. Esta es una red de aproximadamente 300 000 servidores en 4000 ubicaciones, 1400 redes y 135 países. Nuestros equipos de seguridad utilizan estos datos, medidos en petabytes mensuales, para investigar ataques, detectar comportamientos maliciosos y proporcionar información adicional a las soluciones de Akamai.
Uso indebido de credenciales
Los intentos de uso indebido de credenciales se identificaron como intentos fallidos de inicio de sesión en las cuentas que utilizan una dirección de correo electrónico como nombre de usuario. Utilizamos dos algoritmos para distinguir entre intentos de uso indebido y usuarios reales que no pueden escribir. El primero consiste en una regla volumétrica sencilla que cuenta el número de errores de inicio de sesión en una dirección concreta. La capacidad de detección de Akamai es mucho mayor que la de una sola organización, ya que compara datos de cientos de organizaciones.
El segundo algoritmo utiliza datos de nuestros servicios de detección de bots para identificar el uso indebido de credenciales de botnets y herramientas conocidas. Una botnet bien configurada puede evitar la detección volumétrica distribuyendo su tráfico entre varios objetivos, usando un gran número de sistemas en su análisis o repartiendo el tráfico a lo largo del tiempo, entre otros ejemplos de evasión. Estos datos también se extrajeron del repositorio de CSI.
DDoS
Prolexic Routed defiende a las organizaciones contra ataques DDoS mediante la redirección del tráfico de red a través de los centros de barrido de Akamai, con lo que solo deja pasar tráfico limpio. Los expertos del centro de operaciones de seguridad (SOC) de Akamai pueden adaptar los controles de mitigación proactivos para detectar y detener los ataques al instante, y realizan análisis en tiempo real del tráfico restante para implementar medidas de mitigación adicionales si es necesario.
Los eventos de ataques DDoS son detectados por el SOC o la propia organización objetivo, según el modelo de implementación elegido (siempre activado o a la carta), pero el SOC registra los datos de todos los ataques mitigados. Al igual que el tráfico de aplicaciones web, la procedencia se determina según el origen del tráfico IP anterior a la red de Akamai.
Descubre más desde Revista Ciberseguridad
Suscríbete y recibe las últimas entradas en tu correo electrónico.
