Endpoint Protection Noticias

7 verdades incómodas de Endpoint Security: un informe de Sophos

Un informe publicado por Sophos revela que los gerentes de TI tienen más probabilidades de atrapar a los ciberdelincuentes en los servidores y redes de su organización que en cualquier otro lugar.

El estudio, 7 Verdades incómodas de Endpoint Security, encuestó a más de 3,100 gerentes de TI en 12 países diferentes en sectores verticales de la industria y tamaños de organización, y fue realizado por el especialista en investigación independiente Vanson Bourne.

El informe revela que los gerentes de TI descubrieron el 37% de sus ataques cibernéticos más significativos en los servidores de su organización y el 37% en sus redes. Solo el 17% se descubrió en puntos finales y el 10% en dispositivos móviles.

Probablemente haya escuchado el dicho: “No es una cuestión de si, sino cuándo se atacará”, y los datos de la encuesta ciertamente lo respaldan, con la mayoría de las organizaciones que respondieron a esta encuesta (68% de promedio global) Ya ha sido violado.

Es por eso que hay un impulso creciente no solo para enfocarse en las tácticas y herramientas que evitan los ataques, sino también para impulsar los programas de respuesta a amenazas para encontrar más rápidamente a los intrusos que ya están en la red y para responder de manera más efectiva a los ataques que ya están en marcha.

En otras palabras, para la seguridad de la organización, ya no es suficiente pensar en las amenazas detenidas en el ‘perímetro’. Las empresas también deben centrarse en el tiempo de permanencia, que es el tiempo que lleva detectar un ataque en curso.

De los equipos que pudieron medir definitivamente el tiempo promedio de permanencia del atacante, respondieron que podían detectar a un atacante en tan solo 13 horas, con Australia, Brasil y Canadá informando 10 horas de tiempo de permanencia en un extremo del promedio, y Japón informa 17 horas por el otro.

Si no está familiarizado con la charla de la industria sobre el tiempo de permanencia, 13 horas pueden parecer una eternidad para que un atacante esté enraizando los activos de su organización, pero en comparación con otros puntos de referencia de la industria, como el Informe de investigaciones de violación de datos de Verizon (DBIR), cuyos encuestados en promedio el tiempo de permanencia del reloj en semanas o meses – 13 horas parece casi imposiblemente rápido.

Como el conjunto de encuestados y los tipos de amenazas que se evalúan en esta encuesta y los estudios DBIR de Verizon no son exactamente lo mismo, no podemos ni debemos hacer una comparación uno a uno entre los dos. En cambio, este informe profundiza en por qué hay una disparidad en los resultados, y por qué la brecha en los tiempos de detección de aquellos con equipos de seguridad dedicados frente a los que no tienen puede mantener tal variabilidad.

La falta de visibilidad sobre el comportamiento del atacante y la información sobre las rutas del atacante sigue siendo una barrera importante para detectar ataques y reducir el tiempo de permanencia. Según la encuesta, el 20% de los gerentes de TI que fueron víctimas de uno o más ataques cibernéticos el año pasado no pueden determinar cómo los atacantes lograron ingresar, y el 17% no sabe cuánto tiempo estuvo la amenaza en el medio ambiente antes de ser detectada.

Para mejorar esta falta de visibilidad, los gerentes de TI necesitan tecnología de detección y respuesta de punto final (EDR) que exponga dónde se originan las amenazas, así como las huellas digitales de los atacantes que se mueven lateralmente a través de una red. El 57% de los encuestados informaron que no tenían una solución EDR en este momento, pero que planeaban implementarla en los próximos 12 meses.

Chester Wisniewski, científico investigador principal de Sophos dijo:

Si los gerentes de TI no conocen el origen o el movimiento de un ataque, entonces no pueden minimizar el riesgo e interrumpir la cadena de ataque para evitar una mayor infiltración.

EDR ayuda a los gerentes de TI a identificar el riesgo y a implementar un proceso para las organizaciones en ambos extremos del modelo de madurez de seguridad. Si TI está más enfocado en la detección, EDR puede encontrar, bloquear y remediar más rápidamente; Si TI todavía está construyendo una base de seguridad, EDR es una pieza integral que proporciona inteligencia de amenazas muy necesaria.

En promedio, las organizaciones que investigan uno o más posibles incidentes de seguridad cada mes pasan 48 días al año (cuatro días al mes) investigándolos, según la encuesta. No sorprende que los gerentes de TI clasificaran la identificación de eventos sospechosos (27%), la gestión de alertas (18%) y la priorización de eventos sospechosos (13%) como las tres características principales que necesitan de las soluciones EDR para reducir el tiempo necesario para identificar y responder a alertas de seguridad.

Si los gerentes de TI tienen una defensa en profundidad con EDR, pueden investigar un incidente más rápidamente y utilizar la inteligencia de amenazas resultante para ayudar a encontrar la misma infección en un estado. Una vez que los cibercriminales saben que ciertos tipos de ataques funcionan, generalmente los replican dentro de las organizaciones. Descubrir y bloquear patrones de ataque ayudaría a reducir la cantidad de días que los gerentes de TI pasan investigando posibles incidentes.

Este informe profundiza en los detalles de las amenazas detectadas (de qué tipo y dónde), así como los recursos gastados en la investigación de incidentes. Al echar un vistazo más amplio a las industrias en todas las geografías y el tamaño de la organización, este informe arroja luz sobre los desafíos inesperados que enfrenta la seguridad empresarial en todo el mundo.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Abrir chat
1
Hola, soy Mónica, ¿te puedo apoyar con algo?