Las empresas tardan una media de 13 horas en detectar una amenaza importante en sus sistemas de TI
De media, las empresas dedican hasta 48 días al año, cuatro días al mes, a la investigación de incidentes de ciberseguridad.
Sophos, líder global en seguridad para protección de redes y endpoints, ha anunciado los resultados de su estudio global “7 Verdades Incómodas de la Seguridad para Endpoints” en el que se desvela que los directores de TI suelen detectar a la mayoría de los cibercriminales sobre todo en sus servidores y redes empresariales. De hecho, los responsables de TI descubrieron el 37% de sus ciberataques más importantes en los servidores de su empresa y otro 37% en sus redes. Solamente un 17% fue descubierto en endpoints y un 10% en dispositivos móviles. El estudio se ha llevado a cabo a nivel mundial entre más de 3.100 responsables de TI de empresas de mediano tamaño y en 12 países de diferentes continentes entre los que se incluyen; Estados Unidos, Canadá, México, Colombia, Brasil, Reino Unido, Francia, Alemania, Australia, Japón, India y Sudáfrica.
“Los servidores almacenan datos financieros, de empleados, propios y otros datos confidenciales, y con leyes cada vez más estrictas como la del GDPR que requieren que las empresas informen sobre las violaciones de datos, apostar por la seguridad de los servidores es un deber. Tiene sentido que los administradores de TI estén centrados principalmente en proteger los servidores críticos para la empresa y en evitar que los atacantes accedan a la red, lo que lleva a más detecciones de ciberdelincuentes en estas dos áreas", dice Ricardo Maté, director general de Sophos para España y Portugal. "No obstante, los directores de TI no pueden ignorar a los endpoints ya que la mayoría de los ciberataques comienzan ahí, sin embargo, una cantidad más alta de la esperada de los administradores de TI todavía no es capaz de identificar cómo ni cuándo están llegando las amenazas al sistema".
Según el estudio, el 20% de los administradores de TI que fueron víctimas de uno o más ciberataques el año pasado no son capaces de identificar cómo accedieron los atacantes, y el 17% no saben cuánto tiempo pasaron en su entorno antes de detectarlas. Para mejorar esta falta de visibilidad, los administradores de TI necesitan una tecnología de detección y respuesta para endpoints (EDR) que exponga los puntos de inicio de amenazas y las huellas digitales de los atacantes que se mueven lateralmente a través de una red.
"Si los administradores de TI no conocen el origen o el movimiento de un ataque, entonces no pueden minimizar el riesgo e interrumpir la cadena de ataques para evitar una mayor infiltración", dice Maté. “La EDR ayuda a los administradores de TI a identificar el riesgo y establecer un proceso para las empresas en ambos extremos del modelo de madurez de seguridad. Si TI está más enfocado en la detección, la EDR puede encontrar, bloquear y arreglar más rápidamente; Si TI aún está construyendo una base de seguridad, la EDR es una pieza integral que proporciona una inteligencia sobre amenazas muy necesaria".
Los equipos de TI tienen poca visibilidad del tiempo de permanencia del atacante. De media, las empresas reconocieron tardar unas 13 horas en detectar el ciberataque más significativo del año pasado. El tiempo que se tarda en detectar las amenazas varía de un país a otro: Australia, Brasil y Canadá son los más rápidos, con una media de 10 horas, mientras que en el extremo opuesto, los equipos de TI japoneses tardan una media de 17 horas. Además, las empresas que investigan uno o más posibles incidentes de seguridad cada mes pasan 48 días al año (cuatro días al mes) investigándolos. No sorprende que los directores de TI califiquen la identificación de eventos sospechosos (27%), la administración de alertas (18%) y la priorización de eventos sospechosos (13%) como las tres funcionalidades principales que necesitan las soluciones EDR para reducir el tiempo necesario para identificar y responder a las alertas de seguridad.
“La mayoría de los ciberataques del estilo “spray and pray” se pueden detener en segundos en los endpoints sin causar alarma. Los atacantes persistentes, incluidos los que ejecutan ransomware dirigido, como SamSam, se toman el tiempo que sea necesario para violar un sistema al encontrar contraseñas elegibles y mal escogidas en sistemas de evaluación remota (RDP, VNC, VPN, etc.), estableciendo una posición estable y moviéndose de forma silenciosa hasta que el daño ya está hecho", señala Maté. “Si los administradores de TI cuentan con una defensa en profundidad con EDR, también pueden investigar un incidente más rápidamente y usar la inteligencia de amenazas resultante para ayudar a encontrar la misma infección en todo el entorno. Una vez que los cibercriminales saben que ciertos tipos de ataques funcionan, normalmente los replican dentro de las empresas. Descubrir y bloquear patrones de ataque ayudaría a reducir la cantidad de días que los directores de TI pasan investigando potenciales incidentes".
El 57% de los encuestados señaló que planeaba implementar una solución EDR en los próximos 12 meses. Tener la EDR también ayuda a abordar la falta de capacidades. Según el estudio, el 80% de los responsables de TI desearían tener un equipo de seguridad más fuerte.