CIBERSEGURIDAD

Respuesta a incidentes: ¿Qué tan tarde es demasiado tarde?

Por Mike Smart, estratega de seguridad en Proofpoint

La conciencia de las amenazas cibernéticas no se limita a una multitud desconocida de expertos en codificación, y no lo ha estado durante mucho tiempo. De hecho, a principios de este año, el director de inteligencia de EE. UU., James Clapper, anunció que los ciberataques encabezan la lista de amenazas a las que se enfrenta EE. UU.[1] La gran cantidad de infracciones reportadas es testimonio del hecho de que los equipos de TI están luchando para detectar y combatir ataques a pesar de los mayores esfuerzos para mantenerse al día con la creciente escala y complejidad de las amenazas. Parece que ninguna empresa, independientemente de su tamaño y recursos, es inmune.
¿Por qué muchas víctimas no logran proteger con éxito sus activos a pesar de una gran cantidad de medidas preventivas? La respuesta es que, literalmente, el tiempo es esencial. A continuación se examina por qué el tiempo es fundamental para defenderse con éxito de un ataque, la realidad a la que se enfrentan la mayoría de las organizaciones y, lo que es más importante, qué herramientas y estrategias están disponibles para ayudar.
Una carrera contra el tiempo
Es imposible generalizar cuánto tiempo tarda un ciberataque en pasar las etapas críticas de compromiso y exfiltración de datos; simplemente hay demasiadas variables involucradas. Desafortunadamente, en la mayoría de los casos, la exfiltración comienza unos minutos después de que se ha producido la infección. Idealmente, las consecuencias catastróficas se evitan porque las amenazas se detectan, investigan y detienen tan pronto como ocurre la detección.
Según el Informe de Investigaciones de Violación de Datos de Verizon 2014, casi el 90 por ciento de las intrusiones en los puntos de venta vieron la exfiltración de datos en minutos o segundos después del compromiso, y más del 90 por ciento de los incidentes de ataques a aplicaciones web requirieron días o más para contenerlos. Cualquier retraso en la respuesta a incidentes significa literalmente más registros perdidos, pérdida de ingresos y pérdidas de la buena voluntad del cliente. Está claro que la respuesta rápida debe ser una alta prioridad, pero a menudo es difícil de abordar para las organizaciones. Mis conversaciones con los gerentes de TI responsables indican que los procesos llevados a cabo por grandes organizaciones pueden tardar hasta 14 días en completarse.
El tiempo de respuesta demorado se debe a los muchos pasos necesarios para pasar de la detección a la contención y la resolución. La respuesta a incidentes heredados implica un esfuerzo manual, la entrada o transferencia manual de datos e incluso un análisis humano variable que a menudo requiere una doble verificación de la precisión. Estos pasos incluyen: notificación de alerta de seguridad y recopilación centralizada; recopilación de datos sobre el usuario y el sistema objetivo; configuración de citas de la mesa de servicio y recopilación de datos del sistema local para el punto final objetivo; análisis unificado de datos del sistema y del objetivo; investigación en registro de dominios, sistemas de detección de antivirus y sistemas de inteligencia; análisis de decisiones de respuesta; y finalmente la acción de ejecución, que también puede involucrar la emisión de boletos, el control de cambios y la negociación interdepartamental para la acción final.
Para las organizaciones globales, este proceso de respuesta a incidentes heredados puede variar según las diferencias de tiempo entre ubicaciones geográficamente separadas, así como la disponibilidad de personal en diferentes departamentos, como infraestructura, mensajería, firewall, etc. Si son organizaciones grandes, ¿quién puede pagar el tiempo y los recursos? para poner en práctica medidas específicas, están luchando; a las empresas más pequeñas les va aún peor sin los medios para invertir activamente en protección. No es una coincidencia que algunas de las infracciones más grandes más recientes se iniciaron a través de socios más pequeños de las empresas objetivo, lo que permitió a los ciberdelincuentes afianzarse antes de moverse para atacar el objetivo más grande. La notificación de la aplicación de la ley suele indicar cuántas empresas se dan cuenta de que sus redes están comprometidas. La limpieza sola puede llevar más de un mes. El Instituto Ponemon estima que el tiempo necesario para resolver un ataque es de 45 días.[2]
Dejar las redes abiertas y vulnerables durante períodos prolongados de tiempo para la limpieza es vergonzoso en el mejor de los casos, paralizante en el peor. Tomemos la brecha de Sony, por ejemplo: incluso antes de la gran ruptura de PlayStation Network, se robaron 25 millones de conjuntos de datos de clientes adicionales sin ser detectados. El Global Cyber ​​Security Center (GCSEC) afirma que esto se debe al hecho de que tanto los planes internos de respuesta a incidentes como las prácticas de garantía de seguridad demostraron ser ineficaces. Pasó demasiado tiempo entre la detección de intrusiones y el reconocimiento de que se robaron millones de registros.[3]
La brecha de Target cuenta una historia similar. En este caso, se detectó la intrusión y se alertó a los equipos de seguridad; sin embargo, la organización se mantuvo al margen, observando que 40 millones de números de tarjetas de crédito abandonaban su red antes de que interfirieran. Se perdió la alerta inicial.
¿Por qué las organizaciones luchan por contener las amenazas?
En el centro del problema está la enorme escala, complejidad y sofisticación del panorama de amenazas en evolución. La tasa anual de malware nuevo está superando rápidamente la capacidad de mantenerse al día con las medidas defensivas y el personal calificado. Además, la mayoría de las organizaciones están luchando por encontrar el tiempo y los recursos necesarios para invertir y poner en funcionamiento de forma eficaz las nuevas tecnologías de seguridad.
Una vez instalado, puede haber desafíos y costos ocultos adicionales. Del mismo modo, las empresas pueden, sin saberlo, verse abrumadas por una codificación compleja e incapaces de obtener un resultado significativo. En resumen, incluso si una organización ha gastado cientos de miles, o incluso millones, en técnicas de detección, toda la información proporcionada confirma que tienen malware, junto con el 70-95 por ciento de otras redes corporativas en todo el mundo.
Esto no quiere decir que la prevención y la detección no sean necesarias. De hecho, herramientas como el cifrado, el bloqueo de amenazas conocidas y la capacitación de los empleados para reconocer patrones sospechosos (como correos electrónicos de phishing) contribuyen a reducir la probabilidad de un ataque exitoso. Sin embargo, estas medidas deben ser constantes, las 24 horas del día, los 7 días de la semana y siempre actualizadas con los últimos vectores de ataque, una tarea prácticamente imposible de realizar manualmente o con recursos internos limitados.
Terceros, como SIEM y proveedores de inteligencia, han contribuido a la identificación y monitoreo de vectores de amenazas nuevos y desconocidos. Desafortunadamente, confiar en el código de terceros para las nuevas funciones y la integración puede dejar a los equipos de TI vulnerables y abrumados si no tienen la capacidad de personalizar y aplicar el código a su entorno específico. De hecho, algunas empresas han revelado haber escrito hasta 500 reglas para filtrar el «ruido» de sus procesos de seguridad, y el resultado final carece de fidelidad y salida procesable.
La solución: inteligencia procesable, automatizada e integrada
Incluso si todos los sistemas de detección y prevención funcionan correctamente, están actualizados, supervisados ​​y se actúa con rapidez, no será suficiente. Numerosos informes establecen fundamentalmente que los ataques exitosos continuarán ocurriendo, incluso con las defensas más sólidas. Sí, un director ejecutivo podría creer que invertir en una serie de costosos sistemas de prevención y detección debería ser suficiente para mantener la empresa fuera de peligro; sin embargo, incluso las alertas más oportunas son inútiles si no existe una ruta clara y la información que ayude al equipo de TI a iniciar contramedidas efectivas.
Para que una defensa tenga éxito, la información procesable debe derivarse de cada uno de los múltiples sistemas dispares de las redes. A menudo, las organizaciones carecen de la infraestructura y el volumen de datos necesarios para obtener la información que tanto se necesita para determinar las medidas adecuadas contra las amenazas. Además, la realidad es que las soluciones que requieren el desarrollo, la integración y el mantenimiento de módulos personalizados pueden volverse rápidamente tan costosos como construir y mantener las soluciones dedicadas existentes. El resultado puede retrasar o incluso obstaculizar la capacidad de una organización para actuar inmediatamente contra los malos actores.
Las organizaciones necesitan tecnología de respuesta a amenazas que tome datos de todas las herramientas de detección de amenazas y reduzca las alertas con inteligencia y contexto de amenazas mejorados y automatizados. Una vez que se priorizan las amenazas, este mismo sistema confirma las infecciones y ayuda a los equipos de TI a concentrar los recursos en proteger a la organización contra las amenazas. La conclusión es que la tecnología inteligente de respuesta a amenazas, que combina detección, verificación y protección oportunas, es una capa de seguridad necesaria para cualquier organización que intente mantenerse al día con las amenazas maliciosas actuales.
[1]http://www.computerweekly.com/news/2240241391/Cyber-attacks-top-US-national-threat-list
[2]http://www.csoonline.com/article/2837805/malware-cybercrime/your-business-can-t-afford-the-cost-of-cyber-crime.html
[3]http://www.gcsec.org/blog/data-breach-and-electronic-crime-sonys-case

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar