Autor: Ernesto Monge
¿Qué es MDR?
Analiza archivos y URL sospechosos con el portal gratuito Intelix de SophosLabs
El portal Intelix de SophosLabs es un recurso excelente para mantenerse informado sobre las últimas ciberamenazas
Nos complace anunciar el lanzamiento del portal Intelix de SophosLabs, una interfaz basada en la web que permite a cualquier persona enviar ficheros y URL sospechosos para su análisis y clasificación. Este servicio gratuito es un recurso excelente para particulares, investigadores y organizaciones que deseen estar al día de las últimas ciberamenazas.
Intelix proporciona inteligencia sobre amenazas detallada, explicable y probada, lo que permite tomar decisiones con conocimiento de causa. Los archivos y URL enviados se someten a un análisis detallado de las amenazas, que incluye búsquedas en la nube, análisis estáticos y análisis dinámicos (sandboxing en la nube).
A partir de los informes generados, los usuarios pueden comprender el veredicto y las características y comportamientos que lo han provocado.
El portal Intelix, muestra la potencia de las tecnologías de detección de SophosLabs y la plataforma de inteligencia sobre amenazas Sophos X-Ops que utilizan los productos de Sophos.
Si eres un cliente registrado de Sophos, el portal Intelix ofrece funciones adicionales. Si inicias sesión con tu ID de Sophos, podrás acceder a los resultados de todos los análisis anteriores durante un año, como máximo. También puedes escalar instantáneamente un análisis al Soporte de Sophos o a SophosLabs para que un humano revise el veredicto.
El portal Intelix de SophosLabs es un recurso excelente para mantenerse informado sobre las últimas ciberamenazas. Tanto si eres un investigador, un particular o una empresa, el portal ofrece una gran cantidad de información para ayudarte a ir un paso por delante de los ciberdelincuentes. Intelix también está disponible en AWS Marketplace y para casos de uso OEM.
Pruébalo hoy mismo o visita Sophos.com/Intelix para obtener más información.
Partner Autorizado para Costa Rica de Sophos
Licenciamiento Endpoint Sophos Costa Rica
La ciberseguridad como servicio (CSaaS)
La ciberseguridad es demasiado compleja y cambia demasiado deprisa para que la mayoría de organizaciones puedan gestionarla eficazmente
¿Qué es SaaS?
SaaS es un método de entrega de software que permite acceder a los datos desde cualquier dispositivo con conexión a Internet y un navegador web. En este modelo basado en web, los proveedores de software alojan y mantienen los servidores, las bases de datos y el código que forma una aplicación.
El modelo tradicional de entrega de software en las instalaciones se diferencia del SaaS en dos aspectos clave:
-
Las implementaciones de SaaS no requieren un hardware extenso, lo que permite a los compradores subcontratar la mayoría de las responsabilidades de TI que normalmente se requieren para solucionar problemas y mantener el software internamente.
-
Los sistemas SaaS generalmente se pagan dentro de un modelo de suscripción, mientras que el software local generalmente se compra a través de una licencia perpetua, pagada por adelantado.
Los usuarios locales también pueden pagar hasta un 20% anual en tarifas de mantenimiento y soporte. La tarifa de suscripción anual o mensual para un sistema SaaS generalmente incluirá la licencia de software, el soporte y la mayoría de las demás tarifas.
Seguridad empresarial moderna
Desafortunadamente, la seguridad comprometida ya no es la excepción. En la primera mitad de 2019, las infracciones dejaron expuestos 4.100 millones de registros. Se espera que las empresas de todo tipo gasten más de $ 1 billón en medidas de seguridad entre 2017 y 2021. Y con el auge de la tecnología de Internet de las cosas (IoT) y la prevalencia de dispositivos conectados, este número seguramente aumentará.
Las estimaciones sugieren que el gasto solo en soluciones de seguridad de IoT aumentará de 1,5 mil millones a más de 3,1 mil millones en todo el mundo para 2021. Y los esfuerzos parciales de soluciones de seguridad de la industria de IoT hasta ahora han sido preocupantes por decir lo mínimo.
Podemos gestionar su ciberseguridad con Cybersecurity as a Service nuestro equipo de expertos ofrece un servicio totalmente gestionado con funciones de búsqueda, detección y respuesta a amenazas 24/7. Mantenga sus datos protegidos con Sophos Managed Detection and Response (MDR).
Partner Autorizado para Costa Rica de Sophos
Licenciamiento Corporativo de Sophos
La ciberseguridad tema crítico en la actualidad
La importancia de la ciberseguridad
La ciberseguridad es el conjunto de prácticas y tecnologías diseñadas para proteger los sistemas y dispositivos electrónicos de ataques, robo o daño. Con el aumento del uso de dispositivos digitales y la interconexión de redes, la ciberseguridad se ha vuelto más importante que nunca. Las empresas, en particular, son un objetivo frecuente de los ciberdelincuentes que buscan acceder a información confidencial o causar daño.
Los ataques cibernéticos pueden tomar muchas formas, desde malware que infecta una red y roba datos, hasta ransomware que cifra archivos y exige un rescate para desbloquearlos. Incluso los ataques de phishing, en los que los atacantes engañan a los usuarios para que revelen información confidencial, pueden tener graves consecuencias. Si bien es imposible prevenir todos los ataques, la ciberseguridad adecuada puede minimizar el riesgo y garantizar que, en caso de un ataque, se puedan tomar medidas para mitigar el daño.
Sophos: Protección integral contra amenazas cibernéticas
Sophos es una empresa líder en seguridad cibernética que ofrece una amplia gama de soluciones de protección. Con una variedad de productos diseñados para adaptarse a las necesidades específicas de las empresas, Sophos puede ayudar a proteger su red contra una amplia gama de amenazas.
Sophos Endpoint Protection es una solución todo en uno que ofrece protección contra malware, ransomware, exploit y phishing. Al utilizar tecnología de inteligencia artificial y aprendizaje automático, Sophos Endpoint Protection puede identificar y detener amenazas antes de que puedan causar daño.
Sophos Firewall es otra solución importante que puede ayudar a proteger su red. La firewall de Sophos utiliza una variedad de tecnologías de protección para bloquear amenazas y prevenir intrusiones no autorizadas.
Sophos Intercept X es una solución de protección de endpoints de próxima generación que utiliza una combinación de tecnología de prevención de amenazas avanzada, tecnología de detección y respuesta de endpoints (EDR) y análisis de comportamiento para proteger contra amenazas cibernéticas sofisticadas.
Sophos también ofrece soluciones de seguridad de correo electrónico y de nube que pueden ayudar a proteger su empresa contra amenazas cibernéticas en múltiples frentes.
Conclusión
La ciberseguridad es esencial para cualquier empresa que opere en un entorno digital. Sophos ofrece una amplia gama de soluciones de protección que pueden ayudar a garantizar que su empresa esté protegida contra amenazas cibernéticas. Desde Endpoint Protection hasta Firewall y Intercept X, Sophos tiene soluciones para adaptarse a las necesidades específicas de su empresa. Si está buscando protección contra amenazas cibernéticas, Sophos es una opción líder en el mercado.
Partner Autorizado para Costa Rica de Sophos
Debería tener un antivirus en mi empresa?
Qué es Sophos?
Sophos es una empresa de ciberseguridad líder en el mercado que se dedica a proteger las redes y los sistemas informáticos de empresas y organizaciones contra amenazas digitales como virus, malware, ransomware y otras formas de ataques cibernéticos. La empresa ofrece una amplia gama de soluciones de seguridad para proteger a las empresas y organizaciones de todos los tamaños contra las amenazas cibernéticas en constante evolución. Entre sus soluciones se encuentran firewalls, software antivirus, soluciones de encriptación y protección de datos, herramientas de análisis de vulnerabilidades, entre otros.
Sophos utiliza una combinación de tecnologías avanzadas de inteligencia artificial, machine learning y análisis de comportamiento para detectar y neutralizar amenazas de seguridad. También se enfoca en la educación y concientización de los empleados de las empresas y organizaciones, ya que considera que la educación y la formación son la primera línea de defensa contra los ciberataques. Entre las soluciones destacan:
-
Sophos Intercept X: una solución de seguridad avanzada que utiliza inteligencia artificial y machine learning para proteger contra ransomware, malware y otras amenazas avanzadas.
-
Sophos XG Firewall: una solución de firewall de próxima generación que proporciona una protección completa y flexible para las redes empresariales.
-
Sophos Endpoint Protection: una solución de seguridad para dispositivos finales que protege contra virus, malware, ransomware y otras amenazas.
-
Sophos Mobile: una solución de seguridad móvil que protege los dispositivos móviles de la empresa contra amenazas cibernéticas.
-
Sophos Email: una solución de seguridad de correo electrónico que protege contra spam, phishing y otros ataques de correo electrónico.
-
Sophos Encryption: una solución de encriptación de archivos y discos que protege los datos sensibles de la empresa contra el acceso no autorizado.
-
Sophos Server Protection: una solución de seguridad para servidores que protege contra amenazas cibernéticas en los servidores empresariales.
-
Sophos Phish Threat: una solución de entrenamiento y simulación de phishing que ayuda a educar a los empleados de la empresa sobre cómo detectar y evitar los ataques de phishing.
En resumen, Sophos ofrece una amplia gama de soluciones de seguridad que protegen los sistemas y redes empresariales contra las amenazas cibernéticas en constante evolución. Desde soluciones de seguridad avanzadas hasta soluciones de entrenamiento y simulación, Sophos tiene una solución para cada necesidad empresarial.
Partner Autorizado para Costa Rica de Sophos
Sophos identifica más de 500 herramientas únicas utilizadas por los ciberatacantes en 2022
Según el informe “Active Adversary Report for Business Leaders”, la causa más común del origen de los ataques fueron vulnerabilidades no parcheadas y credenciales comprometidas
Sophos, líder mundial en innovación y entrega de ciberseguridad como servicio, publica el informe “Active Adversary Report for Business Leaders”, un análisis en profundidad sobre los comportamientos en constante evolución y las técnicas de ataque que los adversarios han utilizado durante el 2022. Los datos analizados por el equipo de Respuesta a Incidentes de Sophos (IR, por sus siglas en inglés) a partir de más de 150 casos, identificaron más de 500 herramientas y técnicas únicas, incluyendo 118 binarios “Living off the Land” (LOLBins). A diferencia del malware, los LOLBins son ejecutables que se encuentran de forma natural en los sistemas operativos, lo que los hace mucho más difíciles de bloquear para los equipos de seguridad cuando los atacantes los explotan para actividades maliciosas.
Además, Sophos ha descubierto que las vulnerabilidades sin parchear han sido la vía de acceso más común utilizada por los ciberatacantes para obtener el acceso inicial a los sistemas de las víctimas. De hecho, en la mitad de las investigaciones incluidas en el informe, los atacantes explotaron las vulnerabilidades ProxyShell y Log4Shell -vulnerabilidades identificadas desde 2021- para infiltrarse en las redes de las empresas. La segunda causa de los ataques más común fueron las credenciales comprometidas.
“Hoy en día, cuando los cibercriminales no están forzando el acceso a una red, simplemente están entrando directamente. La realidad es que el entorno de las amenazas ha crecido en volumen y complejidad hasta el punto de que no hay huecos perceptibles que los equipos de seguridad puedan aprovechar. Para la mayoría de las empresas, los días en los que podían protegerse por su cuenta han quedado atrás. Realmente es todo, en todas partes, todo a la vez. Sin embargo, hay herramientas y servicios a disposición de las empresas que pueden aliviar parte de la carga defensiva, permitiéndoles centrarse en las prioridades reales de su negocio”, explica John Shier, CTO de Sophos.
Más de dos tercios de los ataques que ha investigado el equipo de Respuesta a Incidentes de Sophos (68%) implicaban ransomware, lo que demuestra que este tipo de ataques sigue siendo una de las amenazas más generalizadas para las empresas. El ransomware también ha representado casi tres cuartas partes de los informes del equipo IR de Sophos en los últimos tres años.
Aunque el ransomware sigue dominando el panorama de las amenazas, el tiempo de permanencia de los atacantes se ha reducido en 2022, pasando de 15 a 10 días, para todos los tipos de ataque. En los casos de ransomware, el tiempo de permanencia se redujo de 11 a 9 días, mientras que la disminución ha sido aún mayor en los ataques sin ransomware. El tiempo de permanencia para estos últimos disminuyó de 34 días en 2021 a solo 11 días en 2022. Sin embargo, a diferencia de años anteriores, no ha habido variaciones significativas en los tiempos de permanencia investigados entre empresas de distinto tamaño o sectores.
“Las empresas que han implantado con éxito protección por capas con supervisión constante están obteniendo mejores resultados en cuanto a la gravedad de los ataques. El efecto secundario que provoca la mejora de las defensas implica que los adversarios tienen que aumentar la velocidad para completar sus ataques. Por lo tanto, los ataques más rápidos requieren también una detección más temprana. La carrera entre atacantes y defensores seguirá intensificándose y quienes no dispongan de una vigilancia proactiva sufrirán consecuencias mayores“, afirma Shier.
El informe “Sophos Active Adversary Report for Business Leaders” se basa en 152 investigaciones del equipo de Respuesta a Incidentes (IR) que abarcan 22 sectores de todo el mundo. Las empresas atacadas se encontraban en 31 países diferentes, incluidos Estados Unidos y Canadá, Reino Unido, Alemania, Suiza, Italia, Austria, Finlandia, Bélgica, Suecia, Rumanía, España, Australia, Nueva Zelanda, Singapur, Japón, Hong Kong, India, Tailandia, Filipinas, Qatar, Bahréin, Arabia Saudí, Emiratos Árabes Unidos, Kenia, Somalia, Nigeria, Sudáfrica, México, Brasil y Colombia. Los sectores con mayor presencia en el informe son el sector industrial (20%), seguido del sector sanitario (12%), la educación (9%) y el retail (8%).
El informe Sophos Active Adversary Report for Business Leaders proporciona a las empresas información práctica sobre amenazas y los conocimientos necesarios para optimizar las estrategias de seguridad y las defensas.
Para obtener más información sobre los comportamientos, herramientas y técnicas de los atacantes, está disponible el informe Sophos Active Adversary Report for Business Leaders en Sophos.com.
Más información sobre productos Sophos en Costa Rica https://www.systec.co.cr/sophos/
https://news.sophos.com/es-es/2023/03/06/los-federales-advierten-del-ransomware-royal-que-utiliza-toda-la-gama-de-ttp/
El malware EDR AuKill abusa del controlador Process Explorer
Aumentan los ataques basados en controladores contra productos de seguridad
En los últimos meses, Sophos X-Ops ha investigado múltiples incidentes en los que los atacantes intentaban desactivar clientes EDR con una nueva herramienta de evasión de defensas que hemos bautizado como AuKill. La herramienta AuKill abusa de una versión anticuada del controlador utilizado por la versión 16.32 de la utilidad de Microsoft, Process Explorer, para desactivar los procesos EDR antes de desplegar una puerta trasera o un ransomware en el sistema objetivo.
La herramienta se utilizó durante al menos tres incidentes de ransomware desde principios de 2023 para sabotear la protección del objetivo y desplegar el ransomware: en enero y febrero, los atacantes desplegaron el ransomware Medusa Locker después de utilizar la herramienta; en febrero, un atacante utilizó AuKill justo antes de desplegar el ransomware Lockbit.
No es la primera vez que informamos sobre múltiples grupos de amenazas que despliegan simultáneamente software diseñado para matar a los agentes EDR que protegen los ordenadores. En diciembre de 2022, Sophos, Microsoft, Mandiant y SentinelOne informaron de que varios atacantes habían utilizado controladores personalizados para desactivar productos EDR.
En cambio, la herramienta AuKill abusaba de un controlador legítimo, pero obsoleto y explotable. Esta técnica se conoce comúnmente como ataque “trae tu propio controlador vulnerable” (BYOVD).
El método de abusar del controlador Process Explorer para eludir los sistemas EDR no es nuevo: se implementó en la herramienta de código abierto Backstab, publicada por primera vez en junio de 2021. De hecho, Sophos y otros proveedores de seguridad han informado anteriormente de múltiples incidentes en los que Backstab, o una versión de este controlador, se utilizó con fines maliciosos.
El pasado noviembre, por ejemplo, Sophos X-Ops informó que un ciberdelincuente que trabajaba para el grupo de ransomware LockBit utilizó Backstab para desactivar procesos EDR en una máquina infectada. Tres meses después, Sentinel One publicó un informe sobre una herramienta que denominaron MalVirt, que utiliza el mismo controlador Process Explorer para desactivar productos de seguridad antes de desplegar la carga útil final en la máquina objetivo.
Mas información https://news.sophos.com/es-es/2023/04/21/el-malware-edr-aukill-abusa-del-controlador-process-explorer/
