Un nuevo estudio de Sophos basado en 3000 directivos de ciberseguridad de 14 países revela que la realidad actual es un sistema de ciberseguridad de dos velocidades, en el que adversarios y defensores se mueven a velocidades diferentes. También proporciona información valiosa sobre cómo las organizaciones pueden adelantarse a los atacantes en 2023. Descarga el informe completo aquí.
Los adversarios se aceleran
Como indica el Informe sobre Amenazas 2023 de Sophos, uno de los cambios más significativos en el panorama de las amenazas en el último año ha sido la transformación de la economía cibercriminal en una industria en sí misma, con una red de servicios de apoyo y enfoques bien establecidos y profesionalizados en las operaciones.
Al igual que las empresas tecnológicas han cambiado a ofertas “como servicio”, también lo ha hecho el ecosistema de la ciberdelincuencia, reduciendo las barreras de entrada para los aspirantes a ciberdelincuentes. Junto con el crecimiento del uso de tecnologías de automatización y la adaptación constante, el modelo “como servicio” ha permitido a los actores de amenazas acelerar el volumen, la velocidad y el impacto de sus ataques.
El resultado es que ahora los adversarios pueden ejecutar una amplia gama de ataques sofisticados a escala. El 94% de las organizaciones sufrieron algún tipo de ciberataque el año pasado, y aunque el ransomware fue el ataque más denunciado, las organizaciones experimentaron muchas otras amenazas.
Uno de los mayores riesgos para las organizaciones hoy en día son los adversarios activos, actores de amenazas que adaptan sus técnicas, tácticas y procedimientos (TTP) sobre la marcha, utilizando acciones prácticas en tiempo real en respuesta a las acciones de las tecnologías de seguridad y los defensores, y como táctica para eludir la detección. Estos ataques, que a menudo dan lugar a devastadores incidentes de ransomware y violación de datos, se encuentran entre los más difíciles de detener.
El 23% de los encuestados informaron de que su organización sufrió un ataque de un adversario activo el año pasado. La tasa de ataques fue constante independientemente del tamaño de la organización, variando solo en dos puntos porcentuales en todos los segmentos de tamaño de organización.
Curiosamente, en las organizaciones con menos de 10 millones de dólares de ingresos anuales, el índice de ataques de adversarios activos comunicados descendió a solo el 11%, lo que puede indicar que los atacantes se centran deliberadamente en objetivos con más dinero. La detección de adversarios activos requiere un alto nivel de habilidad y es probable que la tasa real de incidentes sea aún mayor.
Como reflejo de la devastación potencial de estos ataques, el 30% de los encuestados declaró que los adversarios activos son una de sus principales preocupaciones en materia de ciberamenazas para 2023.
Los defensores son incapaces de seguir el ritmo
Frenados por la escasez de experiencia, un volumen abrumador de alertas y demasiado tiempo dedicado a la respuesta a incidentes, los defensores están cansados y se están quedando atrás.
El 93% de las organizaciones encuentran “difícil” la ejecución de tareas esenciales de las operaciones de seguridad, como identificar las señales del ruido, obtener el contexto que las rodea y remediar las alertas a tiempo.
Como reflejo de estas dificultades, el tiempo medio para detectar, investigar y responder a una alerta de seguridad es de nueve horas para las organizaciones con 100-3000 empleados, y aumenta a 15 horas para las organizaciones con 3001-5000 empleados, lo que probablemente refleja la mayor complejidad de sus entornos operativos. Aunque la mayoría de las alertas no requerirán el proceso completo de tres pasos, está claro que la sobrecarga humana de la respuesta a las amenazas es considerable.
Desde el punto de vista operativo, los defensores carecen de confianza en sus procesos, y la mala configuración de las herramientas de seguridad se identifica como el principal riesgo de seguridad percibido en 2023, seguido de las amenazas de día cero y la falta de conocimientos/experiencia internos en ciberseguridad.
Como resultado de estos problemas, más de la mitad (52%) de los profesionales de la ciberseguridad afirman que las ciberamenazas son ahora demasiado avanzadas para que su organización las afronte por sí sola, porcentaje que se eleva al 64% entre las pequeñas empresas (100-250 empleados).
El sistema de dos velocidades tiene importantes consecuencias empresariales
Las repercusiones financieras directas de un ciber incidente son enormes y ya bien conocidas: el coste medio para una organización pequeña o mediana de la reparación de un ataque de ransomware asciende a 1,4 millones de dólares. Sin embargo, estos costes de limpieza de incidentes son solo una parte de la historia.
El tiempo y el esfuerzo necesarios para hacer frente a la ciberseguridad reducen la capacidad de ejecución de los programas de TI. El 55% de los encuestados afirman que hacer frente a las ciberamenazas ha afectado negativamente al trabajo del equipo de TI en otros proyectos. Además, la naturaleza urgente e impredecible de la ciberseguridad también se interpone en los esfuerzos centrados en el negocio: el 64% desearía que el equipo de TI pudiera dedicar más tiempo a cuestiones estratégicas y menos a la extinción de incendios.
El tiempo dedicado a detectar, investigar y remediar las alertas de seguridad también tiene un impacto financiero. Teniendo en cuenta que el salario medio de un especialista en seguridad informática en EE.UU. ronda los 100.000 dólares anuales [www.indeed.com], el coste en recursos de cada investigación de una alerta de seguridad es considerable.
La situación también supone una pesada carga para los empleados. El 57% de los profesionales de TI afirman que la preocupación de que la organización sufra un ciberataque a veces les quita el sueño. La propensión a que las preocupaciones por la ciberseguridad impidan dormir aumenta constantemente a medida que crecen los ingresos de la organización, empezando por el 43% de los que trabajan en organizaciones con menos de 10 millones de dólares de ingresos anuales y aumentando hasta el 67% en organizaciones que facturan 5000 millones de dólares o más.
El agotamiento es un problema importante en la ciberseguridad. Demasiadas alertas y tener demasiado que hacer supone un estrés considerable para los empleados. Los equipos sobrecargados son más propensos a pasar por alto señales importantes, lo que añade más presión. En última instancia, la gente acabará rompiendo.
Acelera la defensa
Permitir que los defensores superen a los atacantes en la carrera de la ciberseguridad de 2023 requiere un enfoque integral, pero sencillo.
En primer lugar, las organizaciones deben establecer un proceso de respuesta a incidentes que pueda escalar, minimizando la superficie de ataque y el volumen de alertas que requieren atención y optimizando el tiempo de respuesta mediante el aprovechamiento de servicios especializados.
A continuación, necesitan implantar defensas adaptativas que se ajusten automáticamente a la situación. Esto les permite ralentizar a los adversarios y ganar tiempo a los defensores para responder.
Por último, también necesitan establecer un círculo virtuoso que combine tecnología y experiencia humana para turbo alimentar las defensas, permitiendo un aumento de la velocidad, la eficacia y el impacto. Juntos aceleran la inercia de los defensores, permitiéndoles tomar la delantera.
Las defensas son esenciales
La calidad de tus tecnologías de ciberseguridad es primordial. Los controles de seguridad deben:
- Optimizar la prevención, detectando y deteniendo automáticamente tantas amenazas como sea posible en una fase temprana de la cadena de ataque. Al hacerlo, reduces el riesgo al tiempo que liberas a los defensores para que se centren en menos incidentes.
- Reducir la exposición, facilitando que las inversiones en seguridad se desplieguen correcta y óptimamente, y evitando problemas de mala configuración.
- Interrumpir a los adversarios. Las tecnologías que detectan e interrumpen automáticamente la actividad de los adversarios frustran a los atacantes al tiempo que ganan tiempo a los defensores para neutralizar el incidente.
Abordar la causa raíz con personas y tecnología
Junto a unas defensas fuertes, también es esencial una reparación oportuna, bien informada y bien ejecutada de la causa raíz. Los defensores deben utilizar el valioso tiempo que les proporcionan sus defensas para investigar y responder a los ataques.
Como ha demostrado la investigación, los adversarios no siguen un único camino. Al aprovechar la telemetría de todo el entorno de seguridad, utilizando los controles de seguridad que las organizaciones ya tienen, los defensores pueden ver y responder a las amenazas más rápidamente, al tiempo que aumentan el rendimiento de las inversiones existentes.
Encontrar actividad maliciosa entre las alertas benignas suele ser como buscar la aguja en el pajar (o incluso la aguja en el montón de agujas). Procesar las señales a través de una plataforma de Detección y Respuesta Ampliadas (XDR) que añada perspectivas contextuales y correlacione las alertas relacionadas permite a los defensores internos centrarse rápidamente en lo importante.
El equipo interno puede investigar y responder a través de una plataforma XDR. Alternativamente, las organizaciones pueden externalizar el trabajo de detección, investigación y respuesta a un servicio especializado de Detección y Respuesta Gestionadas (MDR).
Acelerar la defensa
Una vez que las defensas empiezan a ganar velocidad, hay que seguir mejorando. Las organizaciones pueden acelerar su ciberseguridad combinando tecnologías de seguridad y experiencia humana. Unos controles de seguridad sólidos reducen el volumen de alertas que deben atender los defensores, lo que les permite centrarse en neutralizar los ataques y elevar su postura de seguridad. A su vez, esto aumenta la eficacia de sus controles de seguridad, creando un círculo virtuoso.
Las organizaciones planean adoptar capacidades de detección y respuesta
La encuesta reveló que la mayoría de las organizaciones tienen previsto añadir soluciones de detección y respuesta a amenazas a su pila de seguridad en los próximos 12 meses.
Más de tres cuartas partes (78%) tienen previsto añadir herramientas de Detección y Respuesta para Endpoints (EDR) y/o de Detección y Respuesta Ampliadas (XDR) en el próximo año, mientras que el 44% tiene previsto contratar servicios de Detección y Respuesta Gestionadas (MDR). Con la escasez de conocimientos/experiencia internos en ciberseguridad como uno de los tres principales riesgos cibernéticos percibidos para 2023, las organizaciones hacen bien en buscar el apoyo de expertos externos.
Para profundizar en los resultados de la encuesta, descarga el informe completo aquí.
Sophos puede ayudar
Sophos proporciona los servicios y tecnologías que permiten a las organizaciones acelerar su defensa y adelantarse a los adversarios.
Nuestras soluciones de endpoint/EDR, firewalls, correo electrónico, red y nube ofrecen defensas más fuertes, frenando a los atacantes y dando a los defensores el tiempo y la información que necesitan para responder:
- Optimizar la prevención: Sophos bloquea automáticamente el 99,98% de las amenazas desde el principio, minimizando el riesgo y permitiendo a los defensores centrarse en menos incidentes que requieran intervención humana.
- Reducir la exposición: la configuración de protección óptima se despliega automáticamente desde el primer día, eliminando las lagunas de seguridad. Las comprobaciones integradas del estado de las cuentas detectan la falta de software y los problemas de configuración que pueden provocar infecciones evitables.
- Interrumpir a los adversarios. La Protección Adaptativa contra Atacantes activa inmediatamente las defensas reforzadas cuando se detecta una intrusión en un endpointl “con las manos en el teclado”, lo que frustra a los atacantes y da tiempo a los defensores para responder.
Cuanto más vean los defensores, más rápido podrán actuar. Utilizamos detecciones de todo el entorno de seguridad, integrando la telemetría tanto de Sophos como de controles de seguridad de terceros para acelerar la detección y la respuesta, y aumentar el rendimiento de las inversiones en seguridad existentes.
El servicio MDR de Sophos reúne a más de 500 expertos para buscar, investigar y responder a adversarios activos y otros ataques en tu nombre, 24 horas al día, 7 días a la semana, 365 días al año. Con un tiempo medio de respuesta a las amenazas de solo 38 minutos, Sophos MDR es considerablemente más rápido que la media de los equipos internos indicada en la encuesta.
Como alternativa, las organizaciones pueden utilizar la plataforma Sophos XDR, que incluye todas las funciones EDR, para investigar y responder a los ataques directamente o trabajar en colaboración con el equipo Sophos MDR.
Para más información, visita http://www.sophos.com/ o habla con un asesor de seguridad.
Dejar un comentario