Los resultados del informe “Cuando los minutos cuentan” (una encuesta encargada por McAfee/Intel Security y llevada a cabo por Evalueserve) ponen de manifiesto la gravedad de los ataques dirigidos: el 74% de los encuestados informó que las intrusiones dirigidas son una de las principales preocupaciones en sus organizaciones. Sólo el 24% confían en su capacidad de detectarlo en minutos y un poco menos de la mitad informó que tardarían días, semanas o incluso meses antes de observar un comportamiento sospechoso.
El reporte revela los ocho indicadores de ataques más importantes y examina las mejores prácticas para una respuesta a incidentes proactiva. Asimismo se muestra en qué medida son más eficaces las empresas cuando realizan análisis de muchas variables —y en tiempo real— de ataques imperceptibles, e incluyen tiempo e inteligencia de amenazas para calcular los riesgos y establecer las prioridades de respuesta a incidentes.
La citada encuesta señala que la mayoría de las empresas no confían en su capacidad para identificar a tiempo los ataques dirigidos. Incluso las compañías mejor preparadas para lidiar con ataques dirigidos invierten tiempo en la investigación de grandes volúmenes de eventos, lo que contribuye a establecer una urgencia y un enfoque organizativo en estrategias creativas para una detección más temprana y una mitigación más eficaz.
Algunos de los descubrimientos clave son:
- El 74% de las personas encuestadas informó que los ataques dirigidos son una de las principales preocupaciones en sus organizaciones.
- El 58% de las organizaciones investigó 10 o más ataques el último año.
- Sólo el 24% de las compañías confían en su capacidad de detectar un ataque en minutos y un poco menos de la mitad informó que tardarían días, semanas o incluso meses antes de observar un comportamiento sospechoso.
- El 78% de las organizaciones que pueden detectar ataques en minutos contaban con un sistema de información de seguridad y gestión de eventos (SIEM, Security Information and Event Management) proactivo y en tiempo real.
- La mitad de las compañías encuestadas reveló que cuenta con las herramientas y las tecnologías adecuadas para proporcionar una respuesta a incidentes más rápida, pero con frecuencia no se separan los indicadores fundamentales del conjunto de alertas generadas, por lo que los equipos de Tecnología de la Información (TI) deben examinar cuidadosamente los datos de amenazas.
“Sólo tiene una ventaja sobre los ciberdelincuentes cuando aborda el desafío del tiempo para la detección —indicó Ryan Allphin, vicepresidente ejecutivo y gerente general de Gestión de Seguridad de Intel Security—. Al simplificar la agitada tarea de filtrar un sinfín de alertas e indicadores con análisis e inteligencia en tiempo real podrá obtener acceso rápido a una mejor comprensión de los eventos relevantes y podrá tomar medidas para contener y bloquear los ataques con mayor velocidad”.
“Las tecnologías SIEM, conscientes de inteligencia y en tiempo real, minimizan el tiempo necesario para la detección y evitan de manera proactiva infiltraciones basándose en la contextualización de los indicadores durante el análisis y las respuestas automatizadas basadas en políticas —expresó Allphin—. Con la posibilidad de acelerar la capacidad de detectar, responder y aprender de los eventos, las organizaciones pueden cambiar por completo su postura de seguridad y ser el ‘cazador’ en lugar del ‘cazado’”.
El reporte de McAfee encontró que las organizaciones más efectivas se enfocan en varios indicadores clave para detectar los ataques. Estos son:
- Patrones inusuales de alerta. Pueden ayudar a las organizaciones a detectar reconocimientos, malware transformado en arma, activos comprometidos y actividades por control remoto.
- Tráfico de salida sospechoso muestra los hosts comprometidos, comando y control, y extracción de información.
- Tráfico interno inesperado revela privilegios robados, movimientos laterales, y propagación.
Para McAfee, los ocho indicadores que puede servir (por separado o de manera combinada) como diagnosticadores de ataques son:
- Hosts internos comunicándose con destinos calificados como malos o al extranjero, hacia países donde la corporación no tiene negocios.
- Hosts internos comunicándose con hosts externos usando puertos no estándares o con incongruencias de puertos o protocolos, como por ejemplo envío de command shells (SSH) en lugar de tráfico HTTP traffic sobre el puerto 80, que es el puerto web por defecto.
- Hosts públicamente accesibles o de DMZ comunicándose con hosts internos. Esto permite avanzar desde afuera hacia adentro y viceversa, habilitando la extracción de datos y el acceso remoto a los activos. Esto neutraliza el valor de una zona desmilitarizada o DMZ.
- Detección de malware fuera de hora. Alertas que ocurren fuera del horario de operaciones de la empresa (por la noche, o los fines de semana) podrían señalar un host comprometido
- Barridos de la red por hosts internos que se comunican con varios hosts en un período corto, lo cual puede revelar a un atacante moviéndose lateralmente dentro de la red. Las defensas de red perimetrales, como firewall e IPS, rara vez son configuradas para monitorear tráfico en las redes internas (pero debería configurárselas para que lo hagan).
- Múltiples eventos de alarma de un único host o eventos duplicados a través de varias máquinas en una misma subred en un período de 24 horas, como fallas de autenticación repetidas.
- Luego de ser limpiado, un sistema es reinfectado con malware dentro de los cinco minutos. Las infecciones repetidas apuntan a la presencia de un rootkit o un compromiso persistente.
- Una cuenta de usuario tratando de hacer login a múltiples recursos en pocos minutos desde o hacia diferentes regiones. Es un signo de que las credenciales del usuario podrían haber sido robadas o que un usuario está dispuesto a hacer travesuras.
Vale destacar que a partir del punto 4, los ítems son sensibles al tiempo.
Más detalles del informe en http://www.mcafee.com/us/resources/reports/rp-when-minutes-count.pdf
