Actuacions de cooperació policial internacional contra el cibercrim

És ben sabut per les forces policials que els serveis DDoS –denegació de servei distribuïda– han reduït considerablement la barrera d’entrada al ciberdelicte. Per una tarifa tan baixa com uns 10 €, qualsevol persona poc qualificada pot llançar atacs DDoS amb el clic d’un botó, deixant fora de línia llocs web i xarxes senceres.

Els danys que es poden infligir a les víctimes poden ser considerables, arribant fins i tot a paralitzar econòmicament les empreses i privant les persones de serveis essencials que ofereixen entitats diverses com bancs, forces policials o administracions governamentals.

Envalentits per un anonimat percebut, molts joves entusiastes de les tecnologies s’impliquen en aquest crim aparentment de baix nivell, sense conèixer les conseqüències que poden comportar aquestes activitats en línia. Per exemple, les forces de l’ordre actuen intensament contra els serveis DDoS. I, en aquest sentit, tots els nivells d’usuari se situen en el radar de les forces de l’ordre, ja sigui un jugador que arrenca la competència des d’un videojoc com un pirata informàtic d’alt nivell que realitza atacs DDoS contra objectius comercials per obtenir guanys financers.

Els efectes que una investigació criminal pot tenir en la vida d’aquests usuaris de DDoS poden ser molt greus, atenent a les penes de presó que es preveuen en alguns països.

En aquesta línia, cossos policials dels Estats Units, el Regne Unit, Polònia i Alemanya van desenvolupar una operació coneguda com a Power off contra aquesta mena d’atacs cibernètics que poden arribar a paralitzar internet.

Aquesta operació internacional destinada a combatre els proveïdors de serveis DDoS, dissenyats per permetre els usuaris llançar una denegació de servei distribuïda paral·lela contra infraestructures en línia crítiques, ha permès desactivar una cinquantena de proveïdors dels serveis informàtics il·legals més grans del món. Un d’aquests serveis neutralitzat s’havia utilitzat per cometre més de 30 milions d’atacs.

En el marc d’aquesta acció, fins ara s’han detingut set administradors entre els Estats Units i el Regne Unit, amb noves accions previstes contra els usuaris d’aquests serveis il·legals.

La cooperació policial internacional va ser fonamental per a l’èxit d’aquesta operació, ja que els administradors, els usuaris, la infraestructura crítica i les víctimes estaven dispersos per tot el món. El Centre Europeu de Ciberdelinqüència d’Europol va coordinar les activitats a Europa mitjançant el seu Joint Cybercrime Action Taskforce (J-CAT).

Aquesta operació internacional segueix les edicions anteriors d’operacions Power Off que es dirigia als administradors i usuaris del mercat DDoS webstresser.org.

_____

Esta entrada en español / This post in English / Post en français

Desena edició de l’informe de l’Agència Europea de la Ciberseguretat –ENISA

Aquesta és la desena edició de l’informe ENISA Threat Landscape (ETL), un informe anual sobre l’estat global de les amenaces en l’àmbit de la ciberseguretat. El document identifica les principals amenaces, les principals tendències observades pel que fa a les amenaces, els actors de l’amenaça i les tècniques d’atac, així com l’anàlisi d’impacte i motivació. També descriu les mesures de mitigació més rellevants en l’actualitat.

El treball d’enguany ha tornat a comptar amb el suport del Grup de treball ad hoc d’ENISA sobre paisatges d’amenaça a la ciberseguretat (CTL). Durant el període d’informe de l’ETL 2022, les principals amenaces identificades inclouen: programari de segrest o ransomware, programari maliciós, amenaces d’enginyeria social, amenaces contra les dades, amenaces contra la disponibilitat: denegació de servei, amenaces d’Internet, desinformació i atacs a la cadena de subministrament.

Per a cadascuna de les amenaces identificades, es proposen determinades tècniques d’atac, incidents i tendències notables juntament amb mesures de mitigació. Pel que fa a les tendències durant el període d’elaboració de l’informe, el document destaca el següent:

Impacte de la geopolítica en el panorama de les amenaces a la ciberseguretat:

  • El conflicte entre Rússia i Ucraïna ha remodelat el panorama de les amenaces durant el període d’elaboració de l’informe.
  • La geopolítica continua tenint un impacte molt fort en les operacions cibernètiques.
  • Els atacs destructius són un component destacat de les operacions dels actors estatals.
  • La desinformació és una eina en la ciberguerra. Es va utilitzar fins i tot abans que comencés la guerra “física” com a activitat preparatòria per a la invasió russa d’Ucraïna.

El ransomware i els atacs contra la disponibilitat són els més alts durant el període de l’informe:

  • Augment significatiu dels atacs contra la disponibilitat, especialment DDoS, i la guerra en curs són els motius principals d’aquests atacs.
  • La pesca a les xarxes socials o phishing torna a ser el vector més comú per a l’accés inicial. Els avenços en la sofisticació de la pesca, la fatiga dels usuaris i la pesca orientada i basada en el context han provocat aquest increment. Els nous esquers en les amenaces d’enginyeria social s’estan centrant en el conflicte Ucraïna-Rússia d’una manera semblant al que va passar durant la situació de covid.
  • El programari maliciós torna a augmentar després de la disminució que es va notar, vinculada a la pandèmia de la COVID-19.
  • Els DDoS són cada cop més grans i complexos, s’estan avançant cap a xarxes mòbils i IoT i s’utilitzen en el context de la ciberguerra.

Les noves amenaces, híbrides i emergents, estan marcant el panorama d’amenaces amb un gran impacte.

  • Desinformació i falsificacions profundes amb intel·ligència artificial.
  • Entendre les tendències relacionades amb els actors de les amenaces, les seves motivacions i els seus objectius ajuda molt a planificar les defenses de ciberseguretat i les estratègies de mitigació. Per tant, als efectes de l’ETL 2022, es tornen a considerar les quatre categories següents d’actors d’amenaça de ciberseguretat: actors patrocinats per l’estat, actors de cibercrim, actors pirates informàtics i hacktivistes.

Mitjançant una anàlisi contínua, ENISA va obtenir tendències, patrons i coneixements per a cadascuna de les principals amenaces presentades a l’informe ETL 2022. Les conclusions i els judicis clau d’aquesta avaluació es basen en recursos múltiples i disponibles que es proporcionen a les referències utilitzades per al desenvolupament d’aquest document. L’informe s’adreça principalment als decisors estratègics i als responsables polítics, alhora que és d’interès per a la comunitat tècnica de ciberseguretat.

_____

Esta entrada en español / This post in English / Post en français

La Unió Europea reforça la ciberseguretat i la resiliència a tota la Unió

El Consell Europeu va adoptar determinats aspectes legislatius per tal d’aplicar-los a un alt nivell comú de ciberseguretat a tota la Unió. L’objectiu és millorar encara més la resiliència i les capacitats de resposta a incidents del sector públic i privat i de la Unió en conjunt.

La nova directiva, anomenada ‘NIS2’, substituirà la directiva actual sobre seguretat de xarxes i sistemes d’informació (la directiva NIS). Amb aquesta iniciativa, des del mateix Consell consideren que sens dubte la ciberseguretat seguirà sent un repte clau per als propers anys. En aquesta línia, la nova legislació és una aposta enorme per a les nostres economies i els nostres ciutadans.

L’NIS2 establirà la línia de base per a les mesures de gestió del risc de ciberseguretat i les obligacions d’informació en tots els sectors que estan coberts per la directiva, com ara l’energia, el transport, la salut i la infraestructura digital.

La directiva revisada té com a objectiu harmonitzar els requisits de ciberseguretat i la implementació de mesures de ciberseguretat als diferents estats membres. Per aconseguir-ho, estableix normes mínimes per a un marc normatiu i mecanismes per a una cooperació efectiva entre les autoritats rellevants de cada estat membre. Actualitza la llista de sectors i activitats subjectes a obligacions de ciberseguretat i preveu recursos i sancions per garantir-ne l’execució.

La directiva establirà formalment la Xarxa Europea d’Organització d’Enllaç de Crisis Cibernètiques, EU-CYCLONE, que donarà suport a la gestió coordinada d’incidents i crisis de ciberseguretat a gran escala.

Si bé, segons l’antiga directiva NIS, els estats membres eren els encarregats de determinar quines entitats complirien els criteris per qualificar-se com a operadors de serveis essencials, la nova directiva NIS2 introdueix una regla de límit de mida com a regla general per a la identificació d’entitats regulades. Això significa que totes les entitats mitjanes i grans que operen dins dels sectors o presten serveis objecte de la directiva entraran en el seu àmbit d’aplicació.

Tot i que la directiva revisada manté aquesta norma general, el seu text inclou disposicions addicionals per garantir la proporcionalitat, un nivell més elevat de gestió del risc i criteris de criticitat clars per permetre a les autoritats nacionals determinar altres entitats cobertes.

El text també aclareix que la directiva no s’aplicarà a les entitats que desenvolupin activitats en àmbits com la defensa o la seguretat nacional, la seguretat pública i l’aplicació de la llei. El poder judicial, els parlaments i els bancs centrals també en queden exclosos.

La NIS2 s’aplicarà igualment a les administracions públiques a escala central i regional. A més, els estats membres poden decidir que s’apliqui a aquestes entitats també a escala local.

D’altra banda, la nova directiva s’ha alineat amb la legislació sectorial específica, en particular la regulació sobre la resiliència operativa digital del sector financer (DORA) i la directiva sobre la resiliència de les entitats crítiques (CER), per proporcionar claredat jurídica i garantir la coherència entre la NIS2 i aquests actes.

Un mecanisme voluntari d’aprenentatge entre iguals augmentarà la confiança mútua i l’aprenentatge de les bones pràctiques i experiències a la Unió, i contribuirà així a assolir un alt nivell comú de ciberseguretat.

La nova legislació també racionalitza les obligacions de declaració per tal d’evitar que es produeixi una sobreinformació i una càrrega excessiva per a les entitats cobertes.

_____

Esta entrada en español / This post in English / Post en français

Reptes de futur: metavers i ciberseguretat

Cada cop és més probable que el metavers sigui objecte de ciberatacs que suposin un risc real tant per a les empreses que opten per ser-hi activament com per als usuaris que hi accedeixen. El creixement del metavers posa l’accent en la necessitat d’abordar els reptes de ciberseguretat que planteja aquest nou entorn multimèdia.

S’estima que el metavers representarà un percentatge de l’1% de l’economia global, que podria arribar als 8-13 bilions de dòlars l’any 2030, segons el banc d’inversió Citi. Precisament per aquest creixement, cada cop és més probable que el metavers sigui objecte de ciberatacs que suposen un risc real.

Tal com expliquen els webs Ooda i Lexology, el metavers fa referència a un univers digital, resultat de múltiples elements tecnològics que inclouen la realitat virtual i la realitat augmentada. La idea és que els usuaris puguin accedir al metavers a través de visors 3D i tenir experiències virtuals. De fet, és possible crear avatars realistes, conèixer altres usuaris o fer totes aquelles accions que duem a terme de manera desconeguda a internet en una única plataforma, fins i tot crear un immoble o un mercat.

El metavers, doncs, requereix l’ús simultani de moltes tecnologies on la realitat augmentada, les tecnologies del núvol i la intel·ligència artificial es combinen per ser funcionals, i on també hi ha la possibilitat de crear una economia única mitjançant criptomonedes.

Donades les tecnologies implicades, el risc de ser víctima de ciberatacs al metavers és molt elevat. A més, l’ús simultani de tecnologies tan diferents, així com la recollida d’innombrables quantitats de dades, tant personals com no personals, i l’ús de blockchain (cadena de blocs), fan que l’ús de sistemes de seguiment i prevenció dels ciberatacs sigui molt complex, en comparació amb el que passa al món virtual o real. Per exemple, hi ha desenes de casos de venda d’obres o productes falsificats al món descentralitzat.

Tot i que se suposa que les activitats de phishing poden experimentar un fort augment amb el metavers, també és possible que succeeixi el següent:

  • Robatori d’identitat: els ciberdelinqüents, a través de la informació que es troben en línia i al metavers, podrien recórrer al robatori d’identitat dels usuaris, per exemple mitjançant el robatori d’avatars.
  • Robatori de criptomoneda: els ciberdelinqüents podrien prendre possessió de les carteres i les claus d’accés dels usuaris al metavers i dur a terme accions delictives.

No obstant això, la principal preocupació de ciberseguretat en el metavers s’ha d’adreçar a les dades personals (a més, com en el món real), que seran el principal objectiu d’atac per part dels ciberdelinqüents.

Només cal tenir en compte les dades biomètriques alliberades pels usuaris per aprofitar dispositius que permeten passar de la realitat virtual a la realitat augmentada que utilitzen les dades biomètriques de l’usuari per permetre l’accés dins del metavers.

Les empreses hauran de preparar-se amb antelació per prevenir aquest tipus d’atacs i garantir que els seus sistemes de seguretat siguin segurs i lliures de vulnerabilitats que puguin causar danys greus no només a l’economia i la reputació de les empreses, sinó també als usuaris. En aquest context, però, continuen mancant règims normatius que, tan aviat com sigui possible, s’haurien de posar en marxa per garantir la protecció del metavers i dels seus usuaris.

_____

Esta entrada en español / This post in English / Post en français

100.000 noves modalitats de troians de banca mòbil detectades l’any 2021

Fins fa poc, el programari maliciós mòbil era relativament estrany. Actualment, el focus s’ha desplaçat des dels ordinadors cap als telèfons mòbils. I és que els investigadors han trobat gairebé 100.000 noves variants de troians de banca mòbil en només un any, segons informa Charlie Osborne des del web tecnològic zdnet.

A mesura que les nostres vides digitals han començat a centrar-se més en els telèfons mòbils que en els ordinadors d’escriptori, molts desenvolupadors de programari maliciós han centrat part dels seus objectius en la creació d’amenaces mòbils.

Entre els països més habituals de patir l’actuació dels troians de la banca mòbil hi hauria els residents del Japó, Espanya, Turquia, França, Austràlia, Alemanya, Noruega, Itàlia, Croàcia i Àustria.

Segons Kaspersky, l’empresa russa de seguretat informàtica, s’ha constatat que després d’un fort increment del nombre d’atacs detectats l’any 2020, els tipus de troians bancaris haurien començat una certa tendència a la baixa.

Els investigadors de ciberseguretat van afegir que és certa aquesta tendència a la baixa dels atacs mòbils en general, però això és paral·lel al fet que els atacs són cada cop més sofisticats tant pel que fa a la funcionalitat del programari maliciós com als vectors.

Moltes de les rutes d’infecció tradicionals continuen sent viables, inclòs el phishing o la descàrrega i execució de programari sospitós, però també és patent que els ciberdelinqüents s’infiltren en els aparadors d’aplicacions oficials per atraure els propietaris de telèfons mòbils a descarregar programari que aparenta ser de confiança.

Aquesta tècnica s’associa sovint amb la distribució de troians d’accés remot (RATs). Tot i que Google manté barreres de seguretat per evitar que les aplicacions malicioses s’allotgin entre les seves aplicacions, hi ha mètodes que eviten aquests controls.

L’any 2021, per exemple, Malwarebytes va trobar una aplicació a Google Play disfressada com un útil escàner de codis de barres amb més de 10 milions d’instal·lacions actives. Tot i que l’aplicació es va enviar com a programari legítim, es va emetre una actualització al programari després d’haver acumulat una gran base d’usuaris que va convertir l’aplicació en una forma de programari publicitari agressiu.

La mateixa tàctica es pot utilitzar per convertir aplicacions aparentment benignes en troians bancaris dissenyats per robar dades financeres i credencials del compte dels serveis en línia. Al món mòbil, el robatori es pot produir redirigint els usuaris a pàgines de phishing o realitzant atacs de superposició, en què una finestra cobreix la pantalla d’una aplicació bancària. Els troians també poden registrar tranquil·lament les seves víctimes als serveis telefònics prèmium.

Els troians bancaris responsables dels atacs més detectats durant l’any 2021 van ser Trojan-Banker.AndroidOS.Agent, Trojan-Banker.AndroidOS.Anubis i Trojan-Banker.AndroidOS.Svpeng.

_____

Esta entrada en español / This post in English / Post en français

Una estafa d’inversió en línia provoca pèrdues de més de 10 milions d’euros

Les autoritats de Bulgària han acabat amb una gran estafa d’inversió en línia responsable de pèrdues al voltant dels 10 milions d’euros, en què els estafadors operaven a través de webs falsos i centres de trucades que s’adreçaven a víctimes d’Alemanya i Grècia.

Les autoritats judicials i policials de Bulgària, amb el suport d’Europol i Eurojust, han desmantellat una xarxa d’estafadors d’inversions en línia involucrats en el rentat de capitals.

El dia que es va portar a terme l’acció policial, agents de la Policia Nacional de Bulgària (ГД Национална Полиция) van arrestar un sospitós per frau a inversors, principalment alemanys i grecs. També es van escorcollar 24 immobles i locals, mentre que es van interrogar 66 testimonis a Sofia i Burgas. A més, es van intervenir diversos equips electrònics, informació financera i enregistraments.

Europol hi va intervenir amb dos experts sobre el terreny per facilitar l’intercanvi d’informació i proporcionar anàlisis operatives i experiència tècnica en temps real. Pel que fa a Eurojust, va coordinar el dia d’acció conjunta i va proporcionar suport judicial transfronterer. Les autoritats nacionals van desplegar més de cent oficials i fiscals durant la jornada.

L’estafa va quedar en evidència després que els inversionistes alemanys i grecs presentessin queixes i denúncies conforme havien perdut tots els dipòsits en què havien invertit. El grup de crim organitzat responsable havia creat webs i centres de trucades que semblaven legítims però que, en realitat, eren fraudulents.

L’activitat delictiva la van portar a terme dos centres de trucades. Mentre actuaven com a consultors financers, els operadors de trucades –que parlaven alemany, grec, anglès i espanyol– es van posar en contacte amb potencials inversors amb promeses de guanys suculents i segurs. Com a resultat, diversos centenars de persones van fer fortes inversions, però van acabar perdent tots els diners.

Les autoritats búlgares van iniciar les investigacions a finals de l’any 2019, mentre Eurojust creava en paral·lel un equip conjunt d’investigació entre Bulgària, Alemanya, Grècia, Sèrbia i Europol.

Després de cinc reunions de coordinació amb Europol i Eurojust, els membres de l’equip van poder identificar els dos centres de trucades fraudulents a Bulgària. La policia búlgara, amb el suport de les autoritats sèrbies, va desmantellar els dos centres el dia de l’acció policial.

Amb tot, l’any 2020 es va utilitzar un modus operandi similar en un altre cas i una jornada d’acció coordinada va comportar el desmantellament de dos centres de trucades més.

_____

Esta entrada en español / This post in English / Post en français

La darrera tàctica dels ciberdelinqüents: cobrar a canvi de no atacar

Darrerament es parla sobradament del programari de segrest (ransomware) com a servei i d’aquest tipus d’atacs a través de les cadenes de subministrament. Ara apliquen una nova tàctica: “pagueu-nos per tal que no us ataquem”, tal com recull Howard Solomon al web itworldcanada.

S’estan donant casos d’atacants prou audaços per llançar atacs de pagar per mantenir-se allunyats, segons Sumit Bhatia, director d’innovació i política de Rogers Cybersecure Catalyst de la Universitat de Ryerson. Amb aquesta tàctica, demostren a una organització la seva capacitat per atacar però no ho fan. Això sí, adverteixen l’organització que els pagui abans de llançar un atac a gran escala. Generalment ho fan amb organitzacions que no tenen els recursos o l’experiència per modificar o ajustar els sistemes a temps per evitar un atac futur.

En paral·lel a aquesta nova forma d’actuació dels ciberdelinqüents, l’Agència de Seguretat d’Infraestructura i Ciberseguretat dels Estats Units (CISA) i els seus socis a Austràlia i el Regne Unit van emetre una alerta deguda a un augment dels incidents de ransomware sofisticats i d’alt impacte contra infraestructura crítica arreu del món.

En aquesta alerta de ransomware, les agències van notar que l’any passat havien vist atacs contra els principals sectors d’infraestructura crítica, inclosos defensa, aliments, govern, atenció mèdica, serveis financers, energia i educació superior.

Si el model de negoci criminal de ransomware continua generant retorns financers per als seus actors, els incidents relacionats amb aquests atacs seran més freqüents.

L’alerta descriu els comportaments i les tendències dels atacants, així com les mitigacions recomanades:

  • Apedaçar els sistemes operatius i les aplicacions corporatives.
  • Assegurar i monitorar els serveis d’accés remot utilitzats per empleats i socis.
  • Requerir autenticació multifactor per a tants serveis com sigui possible.
  • Exigir l’ús de contrasenyes segures, especialment comptes de servei, administrador i administrador de domini.
  • Utilitzar mòduls de seguretat de Linux en sistemes que executen aquest sistema operatiu.
  • Segmentar xarxes.
  • Utilitzar encriptació d’extrem a extrem en les comunicacions en línia.
  • Assegurar-se que totes les dades de la còpia de seguretat estan encriptades.
  • Altres que augmentin la seguretat del sistema.

Les petites empreses no han de pensar que no seran atacades. Els atacants poden perseguir les petites empreses que són sòcies de les empreses més grans a les quals ataquen, ja sigui perquè tenen dades valuoses dels clients o per propietat intel·lectual.

Aquestes petites empreses poden tenir una bona seguretat cibernètica si s’enfoquen en el que és bàsic: els atacants busquen vulnerabilitats fàcilment explotables, inclosos els sistemes mal configurats. Simplement fent allò fonamental, com tenir un programa sòlid o conèixer els actius que té, s’estarà més avançat que altres empreses que recorren a tecnologia avançada i ignoren els fonaments.

_____

Esta entrada en español / This post in English / Post en français

Les 5 amenaces de ciberseguretat a les quals s’enfronta el món l’any 2022

Amb grans inversions en recerca i desenvolupament, Bitdefender Labs descobreix 400 amenaces cada minut i comprova 30.000 milions d’amenaces cada dia. Ara ha elaborat una llista de les 5 principals amenaces de ciberseguretat per a aquest any en curs:

1. El programari de segrest (ransomware) seguirà dominant l’àmbit de les amenaces i esdevindrà el ciberdelicte més lucratiu, tal com ho ha estat durant l’any 2021. Solament en el cas dels Estats Units, el Tresor nord-americà diu que ha suposat el pagament de 5,2 milions de dòlars només durant el darrer any.

S’espera un augment dels atacs de ransomware com a servei (Raas) centrats en l’exfiltració de dades amb finalitats d’extorsió, i també l’anomenat ransomware silenciós –que es manté inactiu durant períodes de temps abans de xifrar les dades.

2. Els atacs sostinguts pels governs tindran un gran impacte en la societat. Les tensions polítiques podrien tenir un gran efecte en l’àmbit de la ciberseguretat a mesura que els governs competeixen per la supremacia digital.

És probable que l’any 2022 sigui l’any dels ciberatacs contra les infraestructures crítiques, buscant no només interrompre els serveis públics, sinó també parts d’internet. Igualment es poden veure iniciatives de pirateria a tot el món, especialment contra els estats que brinden als ciberdelinqüents un port segur pels delictes digitals adreçats a institucions nord-americanes o europees.

3. Es podria produir un augment dels atacs a la cadena de subministrament i les vulnerabilitats de dia zero. A diferència d’altres amenaces, els atacs a la cadena de subministrament són més silenciosos, més difícils d’aturar i es propaguen a més velocitat.

4. Les filtracions de dades produiran un augment d’atacs comercials. A mesura que la informació personal robada en filtracions de dades es torni més accessible per als ciberdelinqüents, les campanyes de correu brossa seran molt més específiques.

Les estafes durant el 2022 probablement capitalitzaran els processos de reclutament en línia imposats per la pandèmia. Els ciberdelinqüents poden començar a fer-se passar per empreses per enganyar possibles candidats i així infectar dispositius a través de documents adjunts.

A més, els operadors de ciberdelictes probablement utilitzaran aquesta oportunitat de treball en remot per reclutar persones incautes que busquen feina per a activitats il·legals, com el contraban de diners.

5. Internet de les coses (IoT), infraestructura web i mercats negres: és probable que aquest any es doni un augment important dels atacs a les infraestructures al núvol, inclosos els allotjats per proveïdors de primer nivell.

També es preveu un augment de l’activitat dels mercats negres pel que fa al tràfic de substàncies il·legals.

_____

Esta entrada en español / This post in English / Post en français

Es podria predir un incident de ciberseguretat?

Tal i com va publicar Ooda Loop, si es pensa en tres grans empreses com, per exemple, Amazon, Google o Tesla, les dues primeres paraules que vindrien al cap són innovació i disrupció. Van interrompre les seves respectives indústries predient el futur de forma correcta. De manera similar, sempre ha planat la pregunta de si es podria predir el tipus d’incidents de seguretat que es poden esperar trobar a la seva empresa. Si la resposta és sí, es podria estalviar molt de temps i recursos en la construcció d’un marc de detecció d’amenaces. Però, com ja se sap, en el seguiment del món real, detectar un incident real és com trobar una agulla en un paller.

Normalment, els hackers fan el reconeixement d’una empresa per detectar els punts forts i els punts febles d’aquesta infraestructura. Basant-se en el resultat d’aquesta activitat, dissenyen la seva càrrega útil per tenir una probabilitat d’èxit més alta. En aquest escenari, si els defensors poden predir la tècnica d’un hacker i crear un model de detecció, llavors les possibilitats de detectar aquest tipus d’incidents i respondre-hi serien molt més ràpides.

Per construir aquest marc de predicció es necessiten, per començar, dos conjunts de dades essencials. El primer és la llista de tècniques que utilitzen els hackers per comprometre una empresa. Afortunadament, el marc Mitre Att&ck ja proporciona aquestes tècniques. El segon és cartografiar casos d’ús del Security Information and Event Management (SIEM) amb tècniques Mitre Att&ck. Això ajudarà els defensors a entendre el punt cec en les seves deteccions contra els diferents mètodes utilitzats pels pirates informàtics. Per exemple, una de les tècniques podria ser una tasca programada com a defensor: caldria buscar casos d’ús rellevants i registre adequat disponible al vostre SIEM. En aquest escenari, els registres d’incidències del Windows haurien d’estar disponibles a la plataforma SIEM i el cas d’ús de detecció hauria de buscar l’identificador d’esdeveniment del Windows 4698.

Després de l’activitat anterior, es podran conèixer les tècniques on no hi ha cobertura des del punt de vista de l’ús. Aquestes tècniques es poden mapar utilitzant la matriu de mapatge Mitre per determinar quins adversaris tindran una taxa d’èxit més alta contra qualsevol empresa. Un cop feta aquesta activitat, els defensors poden adoptar un enfocament centrat en construir múltiples models de cerca d’amenaces per detectar aquests adversaris. Aquest enfocament també ajuda a millorar la cobertura de registre d’una organització en tots els seus dispositius.

_____

Esta entrada en español / This post in English / Post en français

Enfortir la ciberseguretat i la resiliència a tota la Unió Europea

La Unió Europea treballa per millorar la resiliència davant les ciberamenaces cada cop més grans i per mantenir la societat i l’economia digital segures.

El Consell Europeu ha acordat la seva posició sobre mesures per a un alt nivell comú de ciberseguretat a tota la Unió Europea, per millorar encara més la resiliència i les capacitats de resposta a incidents tant del sector públic com privat i de la UE en conjunt.

Un cop aprovada, la nova directiva, anomenada NIS2, substituirà la directiva actual sobre seguretat de xarxes i sistemes d’informació (la directiva NIS).

La NIS2 ha d’establir la línia de base per a les mesures de gestió del risc de ciberseguretat i les obligacions de presentació d’informes en tots els sectors coberts per la directiva, com ara l’energia, el transport, la salut i la infraestructura digital.

La directiva revisada pretén eliminar les divergències en els requisits de ciberseguretat i la implementació de les mesures de ciberseguretat als diferents estats membres. Per aconseguir-ho, estableix normes mínimes per a un marc normatiu i mecanismes per a una cooperació efectiva entre les autoritats rellevants de cada estat membre. També actualitza la llista de sectors i activitats subjectes a obligacions de ciberseguretat, i preveu recursos i sancions per garantir-ne l’execució.

La directiva establirà formalment la Xarxa Europea d’Organització de Cibercrisis d’Enllaç, EU-CyCLONe, que ha de donar suport a la gestió coordinada d’incidents de ciberseguretat a gran escala.

Si bé, segons l’antiga directiva NIS, els estats membres eren responsables de determinar quines entitats complirien els criteris per qualificar-se com a operadors de serveis essencials, la nova directiva NIS2 introdueix una regla de límit de mida. Això significa que totes les entitats mitjanes i grans que operen dins dels sectors o presten serveis objecte de la directiva entraran en el seu àmbit d’aplicació.

Tot i que la posició del Consell manté aquesta norma general, inclou disposicions addicionals per garantir la proporcionalitat, un nivell més gran de gestió del risc i uns criteris clars per a la determinació de les entitats cobertes.

El text del Consell també aclareix que la directiva no s’aplicarà a les entitats que desenvolupin activitats en àmbits com la defensa o la seguretat nacional, la seguretat pública, la policia i el poder judicial. També queden exclosos de l’àmbit els parlaments i els bancs centrals.

Com que les administracions públiques també són sovint objectiu d’atacs cibernètics, la NIS2 s’aplicarà a les entitats d’administració pública dels governs centrals. A més, els estats membres poden decidir que s’apliqui a aquestes entitats també a escala regional i local.

El Consell ha alineat el text amb la legislació sectorial específica, en particular el Reglament sobre la resiliència operativa digital del sector financer (DORA) i la Directiva sobre la resiliència de les entitats crítiques (CER), per proporcionar claredat jurídica i garantir la coherència entre la NIS2 i aquests actes.

Un mecanisme voluntari d’aprenentatge entre iguals augmentarà la confiança mútua i l’aprenentatge de bones pràctiques i experiències, i contribuirà així a assolir un alt nivell comú de ciberseguretat.

Els estats membres tindran dos anys des de l’entrada en vigor de la directiva per incorporar les disposicions a la seva legislació estatal.

_____

Esta entrada en español / This post in English / Post en français