Elaborado por el Advanced Research Center de Trellix, este informe (1) destaca ideas, inteligencia y recomendaciones obtenidas de múltiples fuentes de datos críticos sobre amenazas de ciberseguridad, y (2) desarrolla interpretaciones expertas, racionales y razonables de estos datos para orientar y facilitar las mejores prácticas en ciberdefensa. Esta edición se centra en las observaciones y datos recogidos entre el 1 de abril y el 30 de septiembre de 2023.
¿Cuál es el panorama real? ¿Qué podemos esperar? ¿Cómo podemos adelantarnos?
Estas son preguntas que nos hacemos a diario. Ustedes los CISO y también sus equipos de operaciones de seguridad, nuestros expertos del Advanced Research Center y yo mismo, todos, vamos de reuniones de crisis con CEO y juntas directivas a misiones intensivas de búsqueda y contraataque durante todo el fin de semana para rastrear a bandas de ransomware o cargas maliciosas.
Ya sea trabajando de forma independiente o conjunta, sus equipos y los nuestros representan la primera línea de defensa para prácticamente todas las organizaciones del mundo.
La prevención de estos incidentes y su impacto comienza por la inteligencia. Es preciso conocer el entorno de las amenazas y traducir los datos brutos de telemetría en acciones prácticas para responder a los ciberdelincuentes, las vulnerabilidades y los ataques.
Este informe de Trellix sobre ciberamenazas ha sido elaborado para ayudarle. En esta edición
del 4.º trimestre de 2023 encontrará información sobre los cuatro frentes que conforman el entorno de amenazas: (1) actividades y APT auspiciadas por Estados, (2) la continua evolución del ransomware, (3) cambios en el comportamiento de los ciberdelincuentes y (4) la nueva amenaza que presenta la IA generativa.
La inteligencia configura el campo de batalla. En ciberseguridad, eso empieza aquí.
En ciberseguridad, el contexto internacional juega siempre un papel fundamental. Las guerras y los conflictos desatan pasiones. Las frágiles relaciones entre las naciones son caldo de cultivo para la desconfianza y las tropelías. La inestabilidad económica ofrece a algunos una oportunidad para aprovecharse de los demás. Estos son algunos de los factores que han influido en nuestros datos y análisis de amenazas del 4.º trimestre de 2023:
Los expertos de talla mundial de nuestro Advanced Research Center recopilan las estadísticas, tendencias y datos que componen este informe a partir de una amplia gama de fuentes globales, tanto cautivas como abiertas. Los datos agregados se introducen en nuestras plataformas Insights y ATLAS. Aprovechando el aprendizaje automático, la automatización y la agudeza humana, el equipo efectúa una serie de procesos intensivos, integrados e iterativos con el objetivo de normalizar los datos, analizar la información y desarrollar ideas relevantes para los responsables de la ciberseguridad y los equipos SecOps en primera línea de la ciberseguridad en todo el mundo. Para obtener una descripción más detallada de nuestra metodología, consulte el final de este informe.
Es imperativo que todo equipo y en cualquier proceso de evaluación vanguardista se conozca, se admita y, en la medida de lo posible, se mitigue el efecto de la parcialidad: la inclinación natural, implícita o invisible a aceptar, rechazar o manipular los hechos y su significado. El mismo precepto es válido para los consumidores de contenidos.
A diferencia de una prueba o experimento matemático altamente estructurado y con base de control, este informe es intrínsecamente una muestra de conveniencia, un tipo de estudio no probabilístico que se utiliza a menudo en pruebas médicas, sanitarias, psicológicas y sociológicas, y que hace uso de datos disponibles y accesibles.
Para comprender los datos y conclusiones de este informe, es preciso tener en cuenta las siguientes consideraciones:
Los ciberdelincuentes auspiciados por Estados participan cada vez más en actividades de espionaje digital, campañas de desinformación y acciones de ciberguerra. De hecho, a medida que aumentan las hostilidades entre distintas entidadess, como Rusia y Ucrania, China y Taiwán, Israel y Hamás, y muchas otras, la ciberactividad, tanto de grupos de APT como de hacktivistas, se ha intensificado en todo el mundo, y lo ha hecho a un ritmo mucho mayor que en 2022 y en años anteriores. Solo en los seis últimos meses, la actividad de grupos auspiciados por Estados ha aumentado más de un 50 %.
Solo en función de los datos de telemetría, los Estados más prominentes fueron China, Rusia y Corea del Norte. Si se tienen en cuenta únicamente los incidentes públicos, el Estado más prominente fue Corea del Norte, con 36 denuncias de grupos vinculados, entre ellos, Lazarus, Kimsuky, APT37 y BlueNoroff. El segundo Estado más representado fue China, con 33 incidentes denunciados, muchos de ellos relacionados con Mustang Panda. Los ciberdelincuentes vinculados a Rusia representaron el tercer grupo más destacado, con 29 incidentes denunciados, relacionados con Gamaredon, APT28, APT29 y otras amenazas.
Países destacados en cuanto a ciberdelincuencia, segundo y tercer trimestre*
* Porcentaje del total de detecciones de APT por telemetría de Trellix y los incidentes denunciados por la industria.Países predominantes en ciberdelincuentes, por incidentes en el sector, 2.º y 3er trimestre*
Países predominantes en ciberdelincuentes, por detecciones de telemetría, 2.º y 3er trimestre*
1.
China
75,46 %
2.
Rusia
9,38 %
3.
Corea del Norte
7,37 %
4.
Irán
4,28 %
5.
Vietnam
1,17 %
Los grupos de APT más identificados en los incidentes denunciados en el segundo y tercer trimestre corresponden a Mustang Panda, de China, Lazarus, de Corea del Norte, y Gamaredon, de Rusia. Esto no implica necesariamente que esos grupos fueran los más activos, como reflejan los datos de telemetría a nivel mundial, sin embargo, sí es indicativo de los ataques y fugas de datos que provocaron un mayor impacto.
Como ocurre en muchos ataques APT auspiciados por China, el objetivo de Mustang Panda es recopilar inteligencia en otras regiones. Por ello, el grupo aplica una estrategia más metódica, prioriza el empleo de herramientas y malware personalizado y se centra exclusivamente en sectores y objetivos concretos. Por consiguiente, comparativamente es más probable identificar y denunciar las acciones de Mustang Panda.
Por otro lado, Lazarus, como muchos otros grupos de APT asociados a Corea del Norte, muestra un elevado porcentaje en los dos parámetros. Esto se debe a que el grupo (que probablemente es el autor de la campaña de ciberespionaje "Operation Dream Job") persigue fundamentalmente el beneficio económico, aprovecha una mayor variedad de herramientas y se dirige a un grupo de organizaciones más amplio, además de por sus prioridades estratégicas, como los ataques a infraestructuras militares, en sectores que incluyen la defensa y la ingeniería nuclear de alto nivel, en Estados Unidos, Israel, Australia y Rusia.
Grupos DE ciberdelincuentes predominantes, por detecciones de telemetría, 2.º y 3er trimestre*
1.
APT40
42,28 %
2.
Mustang Panda
15,93 %
3.
Lazarus
5,12 %
4.
APT1O
2,82 %
5.
Garmaredon Group
2,66 %
Grupos predominantes en ciberdelincuentes, por incidentes en el sector, 2.º y 3er trimestre*
La comparación de telemetría global y la denuncias de la industria permite perfilar las tendencias que reflejan algunos de los conflictos militares y las tensiones socioeconómicas a nivel mundial en 2023. Los grupos de APT auspiciados por Rusia siguen ejecutando ciberataques coordinados contra organizaciones y agencias ucranianas. Al mismo tiempo, mientras China hace ostentación militar en el Estrecho de Taiwán, los ciberdelincuentes asociados a China intensifican sus ataques contra la isla. Del mismo modo, los grupos de APT de Corea del Norte atacan Corea del Sur.
Los datos de amenazas que afectan a otros países también se reflejan en incidentes a nivel global. Aunque su vinculación con conflictos o acontecimientos geopolíticos más importantes aún no está demostrada, hay indicios de que hay grupos mayores y más consolidados que dirigen su atención o amplían sus ataques a regiones específicas.
En los próximos meses haremos un seguimiento exhaustivo de estos nuevos patrones de ataque.
Principales países atacados, 2.º y 3.er trimestre
* Porcentaje del total de detecciones de ransomware, por telemetría de Trellix e incidentes denunciados por la industria.El ransomware sigue siendo el tipo de ciberataque más extendido en todo el mundo. Las detecciones y los incidentes comunicados por la industria a nivel mundial, particularmente en el segundo trimestre, reflejan variaciones poco habituales en las familias de ransomware, así como en cuanto a los países y regiones atacadas. Los datos del primer trimestre se incluyen para ofrecer contexto.
Detecciones de ransomware en 2023*
* Número del total de detecciones de ransomware, por telemetría de Trellix.Incidentes de ransomware en 2023*
* Número del total de incidentes de ransomware, por incidentes denunciados por la industria.El análisis de la actividad del segundo y tercer trimestre indica que los "sospechosos habituales" siguen en los primeros puestos de la lista. LockBit se detectó con mucha más frecuencia (54 %) que otras variantes, seguido por BlackCat (22 %) y Cuba (20 %). Los incidentes más denunciados por la industria, sin embargo, fueron los relacionados con BlackCat y Trigona (ambos con un porcentaje del 6 %).
Principales variantes de ransomware, 2.º y 3.er trimestre*
* Porcentaje del total de incidentes de ransomware, por telemetría de Trellix e incidentes denunciados por la industria.El mayor incidente de ransomware durante este período fue el ataque contra MOVEit de Cl0P, un exploit de filtración de datos que afectó a más de 2500 organizaciones. Cl0P aprovechó una vulnerabilidad específica contra el software de transferencia de archivos gestionada MOVEit, que le permitió filtrar datos a gran escala.
A pesar del nivel de sofisticación del ataque, parece que Cl0P tuvo dificultades para gestionar el volumen de datos y comunicarse con las víctimas. Este factor, junto con los recursos y tiempo que Cl0p invirtió para conseguir unos beneficios mínimos, plantea interrogantes sobre el verdadero objetivo de los atacantes.
A principios del año, los grupos de ciberdelincuentes más destacados en 2022, como LockBit y Royal, seguían dominando la escena.
Sin embargo, en el 2.º trimestre, se incorporaron otros actores menos conocidos. BlackCat fue la variante más detectada (51 %), seguida por las familias Black Basta, Trigona, Rorschach y Cyclance. Rorschach (6 %) y Black Basta (4 %) se encontraron también entre las variantes más denunciadas, al igual que Trigona (9 %), durante un breve período de tiempo, hasta que un grupo conocido como Ukrainian Cyber Alliance eliminó sus servidores.
En el tercer trimestre, observamos una vuelta a la normalidad, ya que los principales actores recuperaron su prominencia, tanto en cuanto a telemetría global como a incidentes denunciados por la industria. Los más destacados fueron LockBit (60 % de las detecciones, 9 % de las denuncias), BlackCat (22 % de las detecciones, 9 % de las denuncias), y Cuba (19 % de las detecciones, 6 % de las denuncias).
Los actores y grupos de ransomware están aprovechando rápidamente las relaciones entre afiliados, una mayor colaboración y una comunicación más activa en el submundo de la ciberdelincuencia. Ahora pueden lanzar ataques sofisticados y a gran escala con mucha más facilidad que en el pasado.
Los países que sufren una mayor actividad de ransomware guardan una inquietante correlación con las tendencias de APT vinculadas a Estados.
Es posible que esto sea solo una coincidencia.
Pero también podría ser un indicio inicial de que las víctimas, los objetivos y los métodos de ataque en el caso del ransomware y de los grupos de APT empiezan a converger.
En cuanto a las regiones, durante el segundo y tercer trimestre observamos un asombroso nivel de actividad. India representó la inmensa mayoría de las detecciones de ransomware (77 %) y ocupó un destacado puesto en cuanto a incidentes denunciados en el industria (7 %). Los dos
países número de detecciones e incidentes fueron Estados Unidos y Turquía. Israel, Ucrania y Rusia también registraron un alto porcentaje de actividad de ransomware en este período.
Dispersión geográfica del ransomware, 2.º y 3.er trimestre*
* Porcentaje del total de incidentes de ransomware, por telemetría de Trellix e incidentes denunciados por la industria.Industrias y sectores afectados por el ransomware, 2.º y 3.er trimestre*
* Número total de incidentes de ransomware, por telemetría de Trellix e incidentes denunciados en el sector.Una reciente y destacada colaboración, una amplia red conocida como "Las Cinco Familias", es un excelente ejemplo de cómo los ciberdelincuentes unen fuerzas para acelerar, mejorar la eficacia operativa y aumentar el impacto de sus ataques.
La coalición, poco organizada y con más de 2000 miembros, está formada por el grupo de ransomware Stormous, así como por el grupo de foros clandestinos Blackforums.
En la segunda mitad de 2023 surgió una tendencia preocupante que habíamos previsto hace tiempo. Los ciberdelincuentes comenzaron a colaborar. Este nuevo comportamiento persigue tanto objetivos prácticos (compartir o vender vulnerabilidades y exploits de tipo zero day) como políticos. La colaboración se realiza por distintos medios, según los intereses, motivaciones e ideología política que compartan los grupos,
que aprovechan las capacidades que aporta cada uno para maximizar las ventajas. En lugar de centrarse exclusivamente en ataques con motivaciones políticas mediante el empleo de denegaciones de servicio distribuidas (DDoS), suplantación de sitios web y fugas de datos, ahora se dedican principalmente a las actividades de ransomware, incorporando una estrategia de doble extorsión.
Otras colaboraciones tienen fines políticos. Hemos observado un marcado incremento en el número de colectivos hacktivistas que operan en el marco del protagonismo digital del conflicto entre Rusia y Ucrania. Algunos actores, como los que se citan a continuación, unen sus recursos y esfuerzos, particularmente los que están a favor de Rusia.
Asimismo, aumenta la colaboración entre ciberdelincuentes en la periferia del conflicto Israel-Hamás. Justo después del comienzo de la guerra en octubre, nuestro equipo observó un acusado aumento de la ciberactividad. Desde el principio del conflicto, hemos identificado a casi 80 grupos propalestinos lanzando ciberataques contra organizaciones israelíes y más de dos docenas de atacantes proisraelíes participando en actividades contra Palestina. De los cientos de ataques realizados hasta el momento por estas dos partes, algunos incidentes destacados incluyen el compromiso de datos personales de soldados de las Fuerzas de Defensa de Israel y su venta en la web oscura, la filtración de credenciales robadas relacionadas con varias oficinas del gobierno palestino, y ciberataques y compromisos que han fortalecido a ambas partes en su confrontación contra la infraestructura crítica del adversario.
Durante la última parte de 2023, hemos seguido observando cómo algunos ciberdelincuentes clandestinos promocionan de forma activa exploits de tipo zero day que aprovechan vulnerabilidades tanto de sistemas Windows como Linux. Estas son algunas de las vulnerabilidades destacadas que más se citan en la web oscura:
Las vulnerabilidades que facilitan exploits de tipo RCE y LPE son las más atractivas para los ciberdelincuentes. Aunque se requiere un cierto nivel de experiencia para vender este tipo de exploits, y algunos ciberdelincuentes especializados han diseñado su modelo empresarial específicamente para su desarrollo y venta, la prevalencia de estos exploits zero day en el mercado clandestino ha aumentado significativamente.
De hecho, las vulnerabilidades zero day descubiertas actualmente se distribuyen a toda velocidad por la red clandestina de ciberdelincuentes y acaban rápidamente en manos de los grupos más sofisticados y peligrosos. Estas vulnerabilidades son una amenaza más acuciante que nunca, ya que los grandes ciberdelincuentes esperan con anhelo la próxima gran vulnerabilidad (Log4J, MOVEit o BlueKeep) para extremar los daños y conseguir extraordinarios beneficios económicos.
En los últimos años, ha aumentado considerablemente el empleo de lenguajes de programación nuevos, como Golang (o Go, como se conoce formalmente), Nim y Rust, para desarrollar software malicioso. Aunque el volumen sigue siendo bajo en comparación con lenguajes más antiguos, como Python o C++, los ciberdelincuentes están aprovechando claramente esta nueva capacidad.
Estos lenguajes son atractivos para los ciberdelincuentes por muchas razones. Nim se centra en el rendimiento y la expresividad, por lo que resulta útil para crear malware complejo. Las funciones de gestión de memoria de Rust son interesantes para los grupos de ransomware a los que preocupa la eficacia del cifrado de sus muestras. Gracias a su simplicidad y capacidad de concurrencia, Go es la opción favorita para elaborar malware ligero y rápido. En 2023, hemos observado un notable aumento de la popularidad del malware basado en Golang entre los ciberdelincuentes y hemos identificado varios patrones emergentes que seguiremos de cerca en los próximos meses.
Porcentaje de malware Golang
En un principio, los ciberdelincuentes empleaban Golang principalmente para crear muestras de ladrones de información destinados a obtener datos confidenciales de las víctimas, una práctica que en la actualidad solo representa el 3,66 % de las detecciones. Este año, los ciberdelincuentes que utilizan Golang como ransomware representan casi un tercio de las detecciones (32 %). El hecho de que los autores de malware hayan utilizado Golang para crear ransomware a esta escala supone un cambio preocupante en cuanto a complejidad y madurez. Las muestras de puertas traseras y troyanos prevalecen entre las muestras de Golang, representando alrededor del 25 y el 20 % respectivamente. Estos tipos de malware suelen distribuirse utilizando software falso para infectar a cualquier usuario que lo descargue.
Sin embargo, cabe destacar los incidentes en los que grupos de APT han desarrollado malware utilizando Golang entre sus métodos y tácticas. Por ejemplo, a principios de este año, los investigadores de seguridad descubrieron un nuevo ataque de Sandworm en Ucrania. El eliminador de datos SwiftSlicer de este grupo de APT se desarrolló con Golang. Se han observado otros incidentes, por ejemplo, el grupo APT28 auspiciado por Rusia distribuyó una versión de su malware Zebrocy basada en Go, y el grupo de APT Mustang Panda, vinculado a China, empleó un nuevo cargador basado en Go en varios ataques recientes. Estas observaciones ponen de manifiesto cómo los ciberdelincuentes se están adaptando al panorama de las amenazas mediante el empleo de nuevas tecnologías.
Se está produciendo un cambio importante y hasta cierto punto inadvertido en el panorama de las amenazas, que afecta a los dispositivos perimetrales, que no suelen recibir la debida atención. La superficie de ataque crece de manera significativa debido al aumento del número y diversidad de dispositivos conectados en las empresas, y los dispositivos periféricos, como los enrutadores y puntos de acceso, se están convirtiendo en la nueva frontera para los ciberdelincuentes, incluidos los grupos de APT.
Las detecciones de malware dirigido contra este tipo de dispositivos perimetrales siguen aumentando en todos los proveedores de dispositivos de punto de acceso. Los ciberdelincuentes aprovechan las vulnerabilidades de estos dispositivos para muchos fines, como establecerse para facilitar la investigación de la red, crear webshells o puertas traseras en la red, elevar los privilegios, utilizar los dispositivos para su uso en botnets de DDoS; e incluso llevar a cabo acciones de ciberespionaje estratégicas para Estados.
Lo que distingue las amenazas contra dispositivos periféricos de las demás es su nivel de sutileza. No se trata de las vulnerabilidades del Internet de las cosas (IoT) fácilmente previsibles, sino de los retos menos visibles que plantean los propios dispositivos. Los dispositivos perimetrales presentan sus propias complejidades. Sin embargo, no pueden detectar intrusiones. A diferencia de los componentes de red tradicionales, no basta con conectarlos a otro IDS o IPS. Las puertas de entrada a nuestro mundo digital son, por definición, la primera y la última línea de defensa. Por eso son tanto objetivo de ataques como ángulo muerto. La evolución de las tácticas que emplean los ciberdelincuentes, junto con la variedad de arquitecturas de los dispositivos perimetrales plantean retos impresionantes.
En 2023, nos enfrentamos a varios incidentes en los que grupos de APT y sofisticadas familias de ransomware aprovecharon las vulnerabilidades de los dispositivos perimetrales para llevar a cabo ataques importantes:
Con el avance y la evolución de la tecnología de inteligencia artificial (IA) y los nuevos grandes modelos de lenguaje (LLM), observamos cómo las nuevas soluciones y aplicaciones de ciberseguridad aprovechan estas innovaciones. Sin embargo, aunque estos LLM tienen un potencial tecnológico considerable para aplicaciones positivas, su naturaleza de uso dual también los expone a la explotación maliciosa por parte de ciberdelincuentes. Las principales aplicaciones de inteligencia artificial, como GPT-3.5, GPT-4, Claude y PaLM2, han alcanzado un nivel de eficacia incomparable en cuanto a generación de textos coherentes, respuesta a consultas complejas, resolución de problemas y codificación, entre otras áreas relacionadas con el lenguaje natural.
Sin embargo, a nuestro equipo le preocupa bastante, y no sin razón, su posible utilización indebida por parte de ciberdelincuentes en ataques a gran escala. A diferencia de los anteriores sistemas de inteligencia artificial menos sofisticados, las aplicaciones de IA actuales ofrecen una herramienta potente y rentable para los hackers, lo que elimina la necesidad de poseer grandes conocimientos, tiempo y recursos. Estas aplicaciones de inteligencia artificial pueden mitigar los importantes retos a los que se enfrentan los ciberdelincuentes, tanto los más pequeños que buscan aumentar la escala de sus actividades como los grupos más grandes que pretenden mejorar la focalización o la eficiencia. Estos son algunos ejemplos de los retos que implican los ataques de phishing:
Estas voces pueden imitar fielmente los patrones y matices del habla humana, por lo que distinguir las que son auténticas de las que son falsas será cada vez más difícil.
Además, pueden programarse para hablar varios idiomas, lo que permite a los estafadores dirigirse a víctimas de diversas regiones geográficas y orígenes lingüísticos— automatizando y ampliando el alcance y la eficacia de sus actividades fraudulentas.
La disponibilidad de software gratuito y de código abierto es lo que originalmente dio lugar al auge de los conocidos como "script kiddies", o personas con poca o ninguna experiencia técnica que utilizan herramientas automatizadas o scripts existentes para lanzar ataques contra sistemas o redes informáticos. Aunque a menudo se les tacha de aficionados inexpertos o aspirantes a hackers maliciosos (o Blackhats), con la creciente disponibilidad de herramientas avanzadas de IA generativa y su gran potencial en el ámbito del malware, casi cualquier ciberdelincuente puede representar una amenaza significativa y creciente para el mercado.
Los ciberdelincuentes pueden aprovechar las herramientas LLM para mejorar las fases clave de una campaña de phishing de éxito, con recopilación de información de contexto, extracción de datos para elaborar contenido a medida y generación de mensajes de phishing a gran escala, por un coste marginal reducido. Si bien aún existen pocas pruebas concluyentes que sugieran que esto ya está empezando a ocurrir, dado el uso malicioso de LLM para ataques, hay ciertas tendencias en la actividad que apuntan a que se trata de una posibilidad real. La velocidad y la escala a la que crecen los ataques de phishing, con cientos de millones de nuevos ataques cada trimestre, indica que los atacantes están utilizando herramientas LLM para sus actividades.
Sin embargo, el uso malicioso de la inteligencia artificial generativa es solo el principio. Están apareciendo herramientas más avanzadas que utilizan la IA generativa para burlar la seguridad de los endpoints, creando malware que elude las firmas y presenta una amenaza estratégica persistente para la ciberseguridad. Las futuras aplicaciones maliciosas basadas en IA generativa ofrecerán elusión integral de las defensas, anonimato casi total y dificultad para atribuir la responsabilidad, lo que complicará para los equipos de seguridad seguir el rastro de los ataques. Esto ampliará los tiempos de permanencia, facilitando los ataques estilo APT "discretos y lentos". Inevitablemente, la IA generativa democratizará el uso de estas capacidades poniéndolas a disposición de todos los atacantes, con lo que la interpretación del comportamiento, la detección de anomalías y la supervisión exhaustiva de los endpoints se convierten en funciones esenciales.
Compartimos nuestra inteligencia sobre ciberamenazas para ofrecerle una plataforma sólida y basada en hechos que respalde algunas de las decisiones más importantes que tomará en el próximo año. Nuestro propósito es ayudarle a mejorar sustancialmente sus capacidades de ciberdefensa y respuesta en 2024 y en el futuro, con independencia de cómo decida emplear la información que incluye este informe.
Cada uno de estos usos comienza con la inteligencia sobre ciberseguridad. La inteligencia le ayuda a conformar el campo de batalla y a comunicar sus argumentos al CEO y al consejo de administración. Lo que está haciendo y por qué. Lo que necesita hacer y lo que cuesta. La importancia de apoyar su agenda estratégica.
Esa historia empieza aquí.
Recopilación: los avezados expertos del Advanced Research Center recopilan las estadísticas, tendencias y datos que componen este informe a partir de una amplia gama de fuentes globales.
Normalización: los datos agregados se introducen en nuestras plataformas Insights y ATLAS. Aprovechando el aprendizaje automático, la automatización y la agudeza humana, el equipo efectúa una serie de procesos intensivos, integrados e iterativos con el objetivo de normalizar los datos, analizar la información y desarrollar ideas relevantes para los responsables de la ciberseguridad y los equipos SecOps en primera línea de la ciberseguridad en todo el mundo.
Análisis: a continuación, Trellix analiza esta vasta reserva de información, en relación con (1) su amplia base de conocimientos de inteligencia sobre amenazas, (2) informes del sector de la ciberseguridad de fuentes muy respetadas y acreditadas, y (3) la experiencia y los conocimientos de los analistas de ciberseguridad, investigadores, especialistas en ingeniería inversa, investigadores forenses y expertos en vulnerabilidades de Trellix.
Interpretación: por último, el equipo de Trellix extrae, revisa y valida información relevante que puede ayudar a los responsables de ciberseguridad y a los equipos de SecOps a (1) conocer las últimas tendencias en el entorno de las ciberamenazas, y (2) utilizar esta perspectiva para mejorar su capacidad para anticipar, prevenir y defender a su organización de ciberataques en el futuro.
Archivo de informes sobre amenazas
Trellix Advanced Research Center Discovers a New Privilege Escalation Bug Class on macOS and iOS
Trellix Advanced Research Center posee la carta de ciberseguridad más completa del sector y está a la vanguardia de los métodos, tendencias y ciberdelincuentes emergentes en el panorama mundial de las amenazas y es partner ineludible de los CISO, líderes de seguridad y sus equipos de operaciones de seguridad en todo el mundo. El Trellix Advanced Research Center ofrece inteligencia y contenido avanzado a los analistas de seguridad, mientras fomenta nuestra plataforma XDR. Además, el grupo de inteligencia de amenazas del Trellix Advanced Research Center ofrece productos y servicios de inteligencia sobre amenazas a clientes de todo el mundo.
Trellix es una empresa mundial que tiene como vocación redefinir el futuro de la ciberseguridad. Su plataforma de detección y respuesta ampliadas (eXtended Detection and Response, XDR), abierta y nativa, ayuda a organizaciones que se enfrentan a las amenazas más avanzadas en la actualidad a conseguir confianza en la protección y la resiliencia de sus operaciones. Trellix, junto con un nutrido ecosistema de partners ha acelerado las innovaciones tecnológicas gracias al aprendizaje automático y a la automatización para reforzar la protección de más de 40 000 clientes de los sectores privado y público mediante una seguridad evolutiva.
Suscríbase para recibir nuestra información sobre amenazas
Este documento y la información que contiene describen investigaciones en el campo de la seguridad informática, con fines informativos y para la conveniencia de los clientes de Trellix. Las investigaciones de Trellix se llevan a cabo de acuerdo con su Política de divulgación razonable de vulnerabilidades | Trellix. El riesgo por cualquier intento de recrear una parte o la totalidad de las actividades descritas será asumido exclusivamente por el usuario, y ni Trellix ni ninguna de sus empresas filiales asumirá responsabilidad alguna.
Trellix es una marca comercial registrada o marca registrada de Musarubra US LLC o sus empresas filiales en EE. UU. y otros países. Los demás nombres y marcas pueden ser reclamados como propiedad de otros.