La ciberseguridad se enfrenta a un desafío constante: la innovación de los adversarios. El aumento de la inteligencia artificial ofensiva (IA) está transformando las estrategias de ataque, haciendo que sean más difíciles de detectar. Los actores de amenazas utilizan modelos de lenguaje grandes (LLMs) para ocultar código y generar scripts maliciosos sobre la marcha. Estos ataques demuestran una sofisticación sin precedentes y exponen las limitaciones de las defensas tradicionales.
En este nuevo panorama, confiar únicamente en la Detección y Respuesta de Endpoints (EDR) resulta insuficiente. La combinación de EDR con la Detección y Respuesta de Red (NDR) se ha vuelto esencial para contrarrestar las amenazas modernas.
La Evolución de las Tácticas de Evasión
Los ciberatacantes han desarrollado nuevas técnicas para eludir las defensas basadas en firmas y los sistemas EDR tradicionales:
- Orquestación de IA: Se han documentado campañas de ciberespionaje orquestadas por IA que automatizan etapas completas del ataque, desde el acceso inicial hasta la exfiltración de datos.
- Técnicas de Esteganografía: Ataques como “ClickFix” utilizan la esteganografía (ocultar malware dentro de archivos de imagen) para pasar desapercibidos en los escaneos basados en firmas. Estos ataques engañan a los usuarios con pantallas de actualización de software falsas o CAPTCHAs para desplegar troyanos de acceso remoto (RATs).
- Explotación de Reglas de Exclusión de AV: Los atacantes utilizan ingeniería social, ataques man-in-the-middle y “SIM swapping” para convencer a las víctimas de desactivar productos de seguridad y eliminar notificaciones de correo electrónico, permitiendo que el malware se propague sin activar alertas de endpoint.
Limitaciones del EDR frente a las Amenazas Modernas
Las técnicas mencionadas tienen un factor común: la capacidad de evadir las defensas heredadas como el EDR. La velocidad y la escala de los ataques impulsados por IA superan la capacidad de algunos sistemas EDR diseñados para amenazas anteriores.
- Movimiento Lateral Oculto: Los atacantes modernos combinan amenazas que atraviesan múltiples dominios (identidad, endpoint, nube) en una mezcla letal. Los actores maliciosos se ocultan detrás de esta complejidad para aumentar su alcance y dificultar la detección.
- Técnicas “Viviendo de la Tierra” (LoTL): En el ataque Volt Typhoon de 2023, actores patrocinados por el estado chino utilizaron técnicas LoTL en dispositivos de borde de red no administrados (como routers SOHO), evitando la detección de endpoint. Los atacantes pudieron alterar los paquetes para que parecieran provenir de una fuente legítima, pero el tráfico de red anómalo detectado por NDR delató el ataque.
- Vulnerabilidades en el Trabajo Remoto: El aumento del trabajo remoto y el uso de VPNs introduce nuevos puntos ciegos. Si un EDR no detecta que un endpoint ya está infectado antes de conectarse a la red corporativa a través de una VPN, el malware puede propagarse fácilmente.
La Sinergia EDR + NDR como Solución
La combinación de EDR y NDR ofrece una defensa más robusta al complementar las fortalezas de cada sistema:
- EDR (Endpoint Detection and Response): Se centra en lo que sucede dentro de cada endpoint, monitoreando la actividad interna del dispositivo.
- NDR (Network Detection and Response): Monitorea continuamente el entorno de la red, detectando amenazas a medida que atraviesan la organización. Se especializa en identificar anomalías de comportamiento y desviaciones de los patrones de red típicos que el EDR no percibe.
La sinergia entre ambos sistemas es crucial:
- Detección de Amenazas Multidominio: Grupos como “Blockade Spider” utilizan ataques multidominio. Para detectarlos, es necesario que NDR obtenga visibilidad de los sistemas virtuales y propiedades en la nube, mientras que EDR monitorea los endpoints administrados. La combinación permite rastrear el movimiento lateral en toda la red.
- Visibilidad de Puntos Ciegos: Ante el aumento del trabajo remoto y las VPNs, NDR puede identificar puntos de entrada y tránsito débiles, mientras que EDR puede proporcionar evidencia de una cuenta comprometida utilizada como punto de pivote.
Conclusiones
Los adversarios seguirán innovando, especialmente con el avance de la IA. La dependencia de sistemas de seguridad aislados, como el EDR en solitario, dejará a las organizaciones vulnerables a los ataques de próxima generación. La adopción de un enfoque combinado de EDR y NDR, donde ambos sistemas trabajan en conjunto para compartir metadatos y señales, es esencial para detectar técnicas innovadoras y responder de manera decisiva a las amenazas emergentes, reduciendo significativamente el riesgo para la organización.
Comfidentia
Qué haríamos en estos casos?
Ciberseguridad Defensiva | Protección y Respuesta a Amenazas - Comfidentia
Servicios de ciberseguridad defensiva: forensia digital, desarrollo de software seguro, gestión de vulnerabilidades, threat intelligence y respuesta a incidentes. Protege tus redes y servidores con nuestras soluciones de seguridad defensiva.
Análisis Forense
Descubre la verdad oculta en los datos con nuestro servicio deAnálisis Forense. Recopilamos, examinamos y analizamos a fondo cada rastro digital para revelar la causa raíz de cualquier incidente. Nuestro equipo de expertos sigue los pasos clave: Identificación, Adquisición, Análisis y Presentación de evidencia sólida. No pierdas más tiempo buscando respuestas, confía en nuestra experiencia para revelar la evidencia que necesitas.
Gestión de Vulnerabilidades
¡No arriesgues la seguridad de tu empresa! Con nuestras soluciones deGestión de Vulnerabilidades, no solo obtendrás un simple escaneo o evaluación de riesgos, sino una evaluación completa junto con tu equipo. Nuestro enfoque va más allá al proponer soluciones reales y duraderas, adaptadas a las capacidades y necesidades específicas de tu negocio y sistemas.
Protege tu Marca de Amenazas Cibernéticas
Protege tu negocio hoy conBrand Intelligence! Nuestro servicio especializado te proporciona información valiosa sobre posibles actores maliciosos que intentan suplantar tu marca o dominio. Al detectar estas amenazas, puedes tomar medidas rápidas y efectivas para salvaguardar la reputación de tu empresa. No permitas que los ciberdelincuentes dañen tu imagen, confía en Brand Intelligence para mantener tu negocio seguro en todo momento.
Desarrollo de Software Seguro
Con nuestras herramientas y habilidades especializadas, puedes crear aplicaciones y programas a prueba de vulnerabilidades de principio a fin. Nuestro enfoque se basa en un modelo sólido que incluye diseño seguro, proceso de desarrollo, gestión de vulnerabilidades e seguridad de la información. Esto asegura que tu software esté protegido en cada etapa del proceso. Fuente: Ver más en Comfidentia
Otras páginas relacionadas:
Agenda una presentación con Comfidentia
Referencias
Fuente original: Ver artículo original