7 Verdades Incómodas de Seguridad en Endpoint

“Detectar el punto de entrada de los ataques sigue siendo un misterio”. Esta es una de las principales conclusiones de un estudio realizado por la empresa Sophos y presentado en el marco de la RSA Conference 2019 en San Francisco.

El estudio revela que los gerentes de tecnología de la información tienen más probabilidades de atrapar a los ciberdelincuentes en los servidores y redes de su organización que en cualquier otro lugar. De hecho, los gerentes de IT descubrieron 37 por ciento de sus ataques cibernéticos más significativos en los servidores de su organización y 37 por ciento en sus redes. Solo el 17 por ciento fue descubierto en los endpoints, y el 10 por ciento se encontró en dispositivos móviles. Sophos encuestó a más de 3.100 encargados de la toma de decisiones de TI de empresas en 12 países: Estados Unidos, Canadá, México, Colombia, Brasil, Reino Unido, Francia, Alemania, Australia, Japón, India y Sudáfrica.

“Los servidores almacenan datos confidenciales financieros, de empleados, propietarios y otras personas, que con leyes cada vez más estrictas como el Reglamento General de Protección de Datos o GDPR, requieren que las organizaciones informen de los robos de datos, esto pone a los riesgos de seguridad en el servidor en un nivel alto todo el tiempo. Tiene sentido que los gerentes de IT se enfoquen en proteger a los servidores críticos para el negocio y detener a los atacantes en primer lugar antes de que entren a la red y esto conduce a más detecciones de cibercriminales en estas dos áreas “, dijo Chester Wisniewski, principal científico investigador en Sophos. “Sin embargo, los gestores de IT no pueden ignorar los puntos de conexión, porque la mayoría de los ciberataques comienzan allí, aunque una cantidad mayor a la esperada todavía no puede identificar cómo y cuándo se están metiendo las amenazas en el sistema”.

Según la encuesta, el 20 por ciento de los gerentes de IT que fueron víctimas de uno o más ataques cibernéticos el año pasado no pudo identificar cómo los atacantes lograron su entrada, y 17 por ciento no sabe cuánto tiempo estuvo la amenaza en el ambiente antes de que se detectara. Para mejorar esta falta de visibilidad, los gerentes de TI necesitan tecnología de detección y respuesta de endpoints (EDR) que expone los puntos de inicio de la amenaza y las huellas digitales de los atacantes moviéndose lateralmente a través de una red.

“Si los gerentes de IT no conocen el origen o el movimiento de un ataque, entonces no pueden minimizar el riesgo e interrumpir la cadena de asalto para evitar una mayor infiltración”, dijo Wisniewski. “EDR ayuda a los gestores de IT a identificar riesgos y a poner en marcha un proceso para las organizaciones en ambos extremos del modelo de madurez de la seguridad. Si el departamento de IT está más enfocado en la detección, EDR puede encontrar, bloquear y remediar más rápidamente. Si todavía está construyendo una base de seguridad, EDR es una pieza integral que proporciona una inteligencia de amenazas muy necesaria”.

En promedio, las organizaciones que investigan uno o más incidentes de seguridad potenciales cada mes pasan 48 días al año (cuatro días al mes) investigándolos, según la encuesta. No sorprende que los gerentes de IT clasificaron la identificación de eventos sospechosos (27 por ciento), la administración de alertas (18 por ciento) y la priorización de eventos sospechosos (13 por ciento) como las tres características principales que necesitan de las soluciones de EDR para reducir el tiempo necesario para identificar y responder a las alertas de seguridad.

“La mayoría de los ciberataques “spray and pray” se pueden detener en cuestión de segundos en los puntos finales sin causar alarma. Los atacantes persistentes, incluyendo aquellos que ejecutan ransomware dirigido como SamSam, toman el tiempo que necesitan para violar un sistema mediante la búsqueda de contraseñas mal elegidas y adivinables en sistemas de evaluación remota (RDP, VNC, VPN, etc.), establecer un punto de apoyo y moverse tranquilamente alrededor hasta que el daño se hace “, dijo Wisniewski. “Si los gerentes de IT tienen una defensa en profundidad con EDR, también pueden investigar un incidente más rápidamente y usar la inteligencia de amenazas resultante para ayudar a encontrar la misma infección en un estado. Una vez que los ciberdelincuentes saben que ciertos tipos de ataques funcionan, normalmente los replican dentro de las organizaciones. El destape y el bloqueo de los patrones de ataque ayuda a reducir el número de días que los gerentes de IT gastan investigando posibles incidentes “.

El 57 por ciento de los encuestados dijo que planea implementar una solución de EDR en los próximos 12 meses. Tener EDR también ayuda a abordar una brecha de habilidades. El 80 por ciento de los gerentes de IT desearía que tuvieran un equipo más fuerte en su lugar.

Etiquetas
Mostrar más
Gustavo Aldegani

Gustavo Aldegani

Consultor Independiente en Seguridad Informática, con 25 años de experiencia, especializado en Implementación de Sistemas Informáticos Seguros en organizaciones militares, de gobierno y privadas de Estados Unidos, América Latina y Argentina. Profesor de la Materia Seguridad Informática en la Universidad de Belgrano.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Close