Llegamos a ustedes gracias a:



Noticias

Sophos presenta estudio sobre la forma de detectar a los ciberdelincuentes

[13/03/2019] Sophos dio a conocer los resultados de su estudio global titulado "7 Verdades Incómodas de Seguridad en Endpoint, que revela que los gerentes de tecnología de la información (TI) tienen más probabilidades de atrapar a los ciberdelincuentes en los servidores y redes de su organización que en cualquier otro lugar. De hecho, los gerentes de TI descubrieron 37% de sus ataques cibernéticos más significativos en los servidores de su organización y 37% en sus redes. Solo 17% fueron descubiertos en los puntos finales y 10% se encontraron en dispositivos móviles. Sophos encuestó a más de 3.100 encargados de la toma de decisiones de TI de empresas en 12 países: Estados Unidos, Canadá, México, Colombia, Brasil, Reino Unido, Francia, Alemania, Australia, Japón, India y Sudáfrica.

"Los servidores almacenan datos confidenciales financieros, de empleados, propietarios y otras personas, que con leyes cada vez más estrictas como el Reglamento General de Protección de Datos o GDPR, requieren que las organizaciones informen de los robos de datos, esto pone a los riesgos de seguridad en el servidor en un nivel alto todo el tiempo. Tiene sentido que los gerentes de TI se enfoquen en proteger a los servidores críticos para el negocio y detener a los atacantes en primer lugar antes de que entren a la red y esto conduce a más detecciones de cibercriminales en estas dos áreas", señaló Chester Wisniewski, principal científico investigador en Sophos. "Sin embargo, los gestores de TI no pueden ignorar los puntos de conexión, porque la mayoría de los ciberataques comienzan allí, aunque una cantidad mayor a la esperada de los gestores de TI todavía no puede identificar cómo se están metiendo las amenazas en el sistema y cuándo".

El estudio señala que el 20% de los gerentes de TI que fueron víctimas de uno o más ataques cibernéticos el año pasado, no pudo identificar cómo los atacantes lograron su entrada, y 17% no sabe cuánto tiempo la amenaza estaba en el ambiente antes de que se detectara. Para mejorar esta falta de visibilidad, los gerentes de TI necesitan tecnología de detección y respuesta de endpoints (EDR) que expone los puntos de inicio de la amenaza y las huellas digitales de los atacantes moviéndose lateralmente a través de una red.

"Si los gerentes de TI no conocen el origen o el movimiento de un ataque, entonces no pueden minimizar el riesgo e interrumpir la cadena de asalto para evitar una mayor infiltración", añadió Wisniewski. "EDR ayuda a los gestores de TI a identificar riesgos y a poner en marcha un proceso para las organizaciones en ambos extremos del modelo de madurez de la seguridad. Si el departamento de TI está más enfocado en la detección, EDR puede encontrar, bloquear y remediar más rápidamente. Si todavía está construyendo una base de seguridad, EDR es una pieza integral que proporciona una inteligencia de amenazas muy necesaria".

En promedio, las organizaciones que investigan uno o más incidentes de seguridad potenciales cada mes, pasan 48 días al año (cuatro días al mes) investigándolos, según la encuesta. No sorprende que los gerentes de TI clasificaron la identificación de eventos sospechosos (27%), la administración de alertas (18%) y la priorización de eventos sospechosos (13%) como las tres características principales que necesitan de las soluciones de EDR para reducir el tiempo necesario para identificar y responder a las alertas de seguridad.

"La mayoría de los ciberataques "spray and pray se pueden detener en cuestión de segundos en los puntos finales sin causar alarma. Los atacantes persistentes, incluyendo aquellos que ejecutan ransomware dirigido como SamSam, toman el tiempo que necesitan para violar un sistema mediante la búsqueda de contraseñas mal elegidas y adivinables en sistemas de evaluación remota (RDP, VNC, VPN, etc.), establecer un punto de apoyo y moverse tranquilamente alrededor hasta que el daño se hace", indicó Wisniewski. "Si los gerentes de TI tienen una defensa en profundidad con EDR, también pueden investigar un incidente más rápidamente y usar la inteligencia de amenazas resultante para ayudar a encontrar la misma infección en un estado. Una vez que los ciberdelincuentes saben que ciertos tipos de ataques funcionan, normalmente los replican dentro de las organizaciones. El destape y el bloqueo de los patrones de ataque ayuda a reducir el número de días que los gerentes de TI gastan investigando posibles incidentes", señaló el ejecutivo.

El 57% de los encuestados dijo que planeaban implementar una solución de EDR en los próximos 12 meses. Tener EDR también ayuda a abordar una brecha de habilidades. El 80% de los gerentes de TI desearía que tuvieran un equipo más fuerte en su lugar, según la encuesta.