Respuesta Ante Incidentes: Necesitamos un Nuevo Modelo
Hoy vamos a analizar los resultados de una encuesta realizada por FireEye en el sector de las TIC, extrayendo las conclusiones oportunas. Desde luego, podemos decir claramente que se necesita un nuevo modelo de acción ante el cambiante escenario.
Sergio Méndez Galindo
4 de September · 989 palabras.
4 de September · 989 palabras.
x
🕘 Resumen
Un estudio revela que solo el 20% de los profesionales de seguridad encuestados considera que su sistema de respuesta antes incidentes es "muy bueno". El otro 80% plantea preocupaciones sobre sus capacidades. El informe destaca la importancia de asegurarse de que se está preparado para detectar, contener y solucionar los actuales y avanzados ataques que son una plaga en el sector. El estudio también mostró que el 66% de los encuestados no puede detectar APTs en sus organizaciones, lo que sugiere que la mayoría está trabajando ciegamente sin saber lo que ocurre en su organización. Además, el 62% no puede detectar amenazas en el momento adecuado y el 44% tiene problemas con la precisión de las detecciones. El informe confirma el aumento constante de la sofisticación de las amenazas y la incapacidad de las herramientas actuales para detectarlas a tiempo. La amplitud de los ataques ha aumentado significativamente y su naturaleza se ha modificado, partiendo de ataques simples y con un espectro muy amplio a otros altamente dirigidos y seleccionados.Otro punto preocupante es el referente a los niveles de “eficacia de detección” encontrados. Sirvan como ejemplo 3 aspectos principales:
El 66% de los encuestados es incapaz de detectar APTs (Advanced Persisten Threats) en sus organizaciones. De aquello que no puedes ver, no te puedes defender. Lo que sugieren estos números es que la mayor parte de los consultados están volando “a ciegas” sin saber lo que ocurre en su organización.
El 62% es incapaz de detectar las amenazas a tiempo. Cuanto más tiempo nos lleva el saber como y donde se ha producido la brecha, más consiguen los atacantes expandir su alcance en los sistemas para, de ese modo, seguir extrayendo mayor cantidad de información.
El 44% de los encuestados tiene problemas con la precisión de las detecciones. Las empresas y organismos que carecen de una adecuada precisión, tienen menos visión para confirmar cúal es el problema, su amplitud de espectro y las ubicaciones de las brechas actuales. No facilita las cosas el enorme tamaño de la información manejada hoy en día, información que hay que separar y desechar para quedarnos con lo útil.
Los resultados del informe confirman el aumento constante de la sofisticación de las amenazas y la incapacidad de las herramientas actuales para detectarlas (a tiempo). La amplitud de ataques ha aumentado significativamente, según FireEye, un evento relacionado con malware ocurre en cada organización en intervalos medios de 3 minutos. Su naturaleza también se ha modificado, partiendo de ataques simples y con un espectro muy amplio a otros altamente dirigidos y seleccionados (individuos u organizaciones concretas)
No solamente se ha contemplado un aumento del volumen de ataques (el año pasado 184 países informaron de actividad de malware, un 41% más que el año anterior) sino que además se han vuelto más sofisticados. La nueva generación de ciber-ataques está creando amenazas desconocidas, persistentes y dirigidas. Son capaces incluso de evadir las comprobaciones de firmas de virus en muchos casos, a pesar de los billones de € invertidos en este campo.
Firewalls, antivirus, IPs, gateways, no importa, todos son vulnerables a este tipo de nuevas amenazas.
Atacantes: la nueva generación
Nos topamos con el hecho de que aumentan los ataques y que los atacantes se vuelven más y más sofisticados, pero es importante comentar las razones técnicas que permiten este cambio..
Ya hemos hablado de la coordinación entre las organizaciones cibercriminales, además del hecho de que los ataques se vuelven más focalizados o dirigidos. Además, los delincuentes ya no lanzan aquellos virus o gusanos dirigidos a expandirse por la red como la pólvora. Los atacantes se han vuelto más precavidos, y la evasión es un importantísimo factor para ellos.
Aunque, por otro lado, también tiene relación el hecho de que sus motivaciones han cambiado. Si hace 10 años, el perfil de un creador de virus era mayormente ganar notoriedad y transgredir (le interesaba la propaganda) ahora mismo lo que más se lleva es fabricar dinero de forma silenciosa, o espiar a un adversario del tipo que sea.
Hablando de evasión, un campo en el que han mejorado ampliamente los delincuentes, sus kits de herramientas mejoradas les permiten diseñar más y mejores etapas de ataque, múltiples vectores o algo tan simple como el polimorfismo, que evade el control de las medidas de seguridad actuales realizando simples cambios sobre el malware. Todo esto provoca, no solo que ahora los ataques posean mayor porcentaje de éxito, sino que su cota de daño se ve aumentada.
Se necesita un nuevo modelo de actuación
De la encuesta podemos extraer claramente que los equipos de seguridad de las TI lo están pasando realmente mal para detectar estos problemas a tiempo y de una forma precisa (cuando consiguen detectarlos)
¿Qué se puede hacer para taponar estos huecos? Para decirlo de forma simple, necesitamos un nuevo modelo que asegure que los equipos de respuesta tengan acceso en tiempo y forma a aquella información relevante, particularmente cuando existen recursos limitados y riesgos altos.
Los equipos de respuesta necesitan una forma de poder separar el ruido del sonido para saber qué es real y qué no lo és. Necesitan un margen visual y de medios para realizar un balance a tiempo y con precisión, para así poder desarrollar herramientas informativas antes, incluso, futuras amenazas.
Si el equipo en cuestión no se toma en serio los riesgos y entiende a qué nos enfrentamos, es solo cuestión de tiempo que su organización ocupe otro titular en la prensa. Empresas principales en todo el mundo, con inversiones multimillonarias en seguridad, ya han caído, como es el caso de CISCO:
Datos finales
Para poner al lector en mejor situación, acabamos con datos de interés de otros estudios similares. Verizon, en su último estudio anual de brechas de seguridad e incidentes, analizando 47000 incidentes de seguridad y 621 violaciones de seguridad confirmadas, concluye entre otras cosas:
El 92% de las brechas de seguridad se debieron a la actuación de individuos ajenos a la organización.
El 40% incorporaba malware.
El 66% tardó meses o más en ser descubierto.
El coste medio de cada violación de seguridad mundial es de 136$ por cada entrada comprometida.
El 37% de los incidentes estudiados implicaba un ataque criminal o malicioso.
Las brechas consecuencia de ataques criminales o maliciosos costaban mucho más -157$ por cada entrada-.
Programas PC y software para acelerar el pc en nuestra web Mejor Antivirus