A partir de 2019, el informe de Verizon DBIR [PDF] ha tratado de señalar que lo único seguro sobre la seguridad de la información es que nada es seguro. Incluso con todos los datos que tenemos, nunca sabremos nada con absoluta certeza.
Sin embargo, en lugar de levantar las manos y quejarnos de que es imposible medir algo en un entorno con poca información o, peor aún, simplemente inventar cosas, el informe muestra que la incertidumbre se puede manejar con algunas cifras del informe.
Los términos mencionados en el informe se corresponden con el framework Vocabulary for Event Recording and Incident Sharing (VERIS), un marco diseñado para permitir una recopilación coherente e inequívoca de detalles de incidentes de seguridad.
En VERIS, las categorías principales que usamos para describir un incidente se denominan las 4A: Actor (quién), Acción (cómo), Activo (dónde) y Atributo (qué). Un incidente necesita que estos cuatro estén "completos", incluso si al final del día algunos de ellos son desconocidos para las partes que investigan el incidente.
- Actor de amenazas: ¿Quién está detrás del evento? Este podría ser el "chico malo" externo que lanza una campaña de phishing o un empleado que deja documentos confidenciales en el bolsillo trasero de su asiento.
- Acción de amenaza: ¿Qué tácticas (acciones) se usaron para afectar un activo? VERIS utiliza siete categorías principales de acciones de amenaza: malware, hacking, social, uso indebido, físico, error y ambiental.
- Variedad: enumeraciones más específicas de categorías de nivel superior, por ejemplo, clasificar al "chico malo" externo como un grupo criminal organizado1 o registrar una acción de hacking como inyección SQL o fuerza bruta.
El conjunto de datos de Verizon actualmente contiene 953.894 incidentes, de los cuales 254. 968 son brechas confirmadas.
- Incidente: un evento de seguridad que compromete la integridad, confidencialidad o disponibilidad de un activo de información.
- Brecha: un incidente que da como resultado la divulgación confirmada, no solo la exposición potencial, de datos a una parte no autorizada. Un ataque de denegación de servicio distribuido (DDoS), por ejemplo, suele ser un incidente más que una infracción, ya que no se extraen datos.
Resumen de hallazgos
- Los ataques de ingeniería social suelen ser muy efectivos y extremadamente lucrativos para los ciberdelincuentes. Tal vez esta es la razón por la cual los ataques Business Email Compromise (BEC) que, en esencia son ataques de pretexto, casi se han duplicado en todo nuestro conjunto de datos de incidentes, y ahora representan más del 50% de los incidentes dentro del patrón de ingeniería social.
- El 74% de todas las brechas incluyen el elemento humano, con personas involucradas ya sea por error, uso indebido de privilegios, uso de credenciales robadas o ingeniería social.
- El 83% de las brechas involucraron a actores externos, y la principal motivación de los ataques sigue siendo abrumadoramente económica, en el 95% de las brechas.
- Las tres formas principales en que los atacantes acceden a una organización son el robo de credenciales, el phishing y la explotación de vulnerabilidades.
- El ransomware continúa su reinado como uno de los principales tipos de acciones presentes en los ataques y, aunque en realidad no creció, se mantuvo estadísticamente estable en un 24%. El ransomware es omnipresente entre organizaciones de todos los tamaños y en todas las industrias.
- Más del 32% de toda la actividad de escaneo de la vulnerabilidad Log4j (CVE-2021-44228) en el transcurso de diciembre 2021 y enero 2022 ocurrió dentro de los 30 días posteriores a su descubrimiento (con el mayor pico de actividad dentro de los 17 días).
Fuente: Informe completo Verizon DBIR