Sophos: Los ciberdelincuentes son más propensos a ser atrapados en servidores y redes (RSA Conference)
Los ciberdelincuentes son más propensos a ser atrapados en servidores y redes, pero detectar su punto de entrada sigue siendo un misterio
- En el marco de la RSA Conference 2019 en San Francisco, Sophos dio a conocer los resultados de su estudio global 7 Verdades Incómodas de Seguridad en Endpoint.
- Un quinto de los gerentes de TI admitió no saber cómo llegó el ataque más significativo, o por cuánto tiempo estuvo allí antes de ser detectado.
- En promedio, las organizaciones que investigan uno o más incidentes de seguridad potenciales cada mes, pasan 48 días al año (cuatro días al mes) investigándolos.
San Francisco, Conferencia RSA, Sophos, firma especializada en ciberseguridad, dio a conocer los resultados de su estudio global 7 Verdades Incómodas de Seguridad en Endpoint, que revela que los gerentes de tecnología de la información (TI) tienen más probabilidades de atrapar a los ciberdelincuentes en los servidores y redes de su organización que en cualquier otro lugar. De hecho, los gerentes de TI descubrieron 37 por ciento de sus ataques cibernéticos más significativos en los servidores de su organización y 37 por ciento en sus redes. Solo el 17 por ciento fue descubierto en los endpoints, y el 10 por ciento se encontró en dispositivos móviles. Sophos encuestó a más de 3.100 encargados de la toma de decisiones de TI de empresas en 12 países: Estados Unidos, Canadá, México, Colombia, Brasil, Reino Unido, Francia, Alemania, Australia, Japón, India y Sudáfrica.
"Los servidores almacenan datos confidenciales financieros, de empleados, propietarios y otras personas, que con leyes cada vez más estrictas como el Reglamento General de Protección de Datos o GDPR, requieren que las organizaciones informen de los robos de datos, esto pone a los riesgos de seguridad en el servidor en un nivel alto todo el tiempo. Tiene sentido que los gerentes de TI se enfoquen en proteger a los servidores críticos para el negocio y detener a los atacantes en primer lugar antes de que entren a la red y esto conduce a más detecciones de cibercriminales en estas dos áreas ", dijo Chester Wisniewski, principal científico investigador en Sophos. "Sin embargo, los gestores de TI no pueden ignorar los puntos de conexión, porque la mayoría de los ciberataques comienzan allí, aunque una cantidad mayor a la esperada todavía no puede identificar cómo y cuándo se están metiendo las amenazas en el sistema".
Según la encuesta, el 20 por ciento de los gerentes de TI que fueron víctimas de uno o más ataques cibernéticos el año pasado no pudo identificar cómo los atacantes lograron su entrada, y 17 por ciento no sabe cuánto tiempo estuvo la amenaza en el ambiente antes de que se detectara. Para mejorar esta falta de visibilidad, los gerentes de TI necesitan tecnología de detección y respuesta de endpoints (EDR) que expone los puntos de inicio de la amenaza y las huellas digitales de los atacantes moviéndose lateralmente a través de una red.
"Si los gerentes de TI no conocen el origen o el movimiento de un ataque, entonces no pueden minimizar el riesgo e interrumpir la cadena de asalto para evitar una mayor infiltración", dijo Wisniewski. "EDR ayuda a los gestores de TI a identificar riesgos y a poner en marcha un proceso para las organizaciones en ambos extremos del modelo de madurez de la seguridad. Si el departamento de TI está más enfocado en la detección, EDR puede encontrar, bloquear y remediar más rápidamente. Si todavía está construyendo una base de seguridad, EDR es una pieza integral que proporciona una inteligencia de amenazas muy necesaria ".
En promedio, las organizaciones que investigan uno o más incidentes de seguridad potenciales cada mes pasan 48 días al año (cuatro días al mes) investigándolos, según la encuesta. No sorprende que los gerentes de TI clasificaron la identificación de eventos sospechosos (27 por ciento), la administración de alertas (18 por ciento) y la priorización de eventos sospechosos (13 por ciento) como las tres características principales que necesitan de las soluciones de EDR para reducir el tiempo necesario para identificar y responder a las alertas de seguridad.
"La mayoría de los ciberataques "spray and pray" se pueden detener en cuestión de segundos en los puntos finales sin causar alarma. Los atacantes persistentes, incluyendo aquellos que ejecutan ransomware dirigido como SamSam, toman el tiempo que necesitan para violar un sistema mediante la búsqueda de contraseñas mal elegidas y adivinables en sistemas de evaluación remota (RDP, VNC, VPN, etc.), establecer un punto de apoyo y moverse tranquilamente alrededor hasta que el daño se hace ", dijo Wisniewski. "Si los gerentes de TI tienen una defensa en profundidad con EDR, también pueden investigar un incidente más rápidamente y usar la inteligencia de amenazas resultante para ayudar a encontrar la misma infección en un estado. Una vez que los ciberdelincuentes saben que ciertos tipos de ataques funcionan, normalmente los replican dentro de las organizaciones.El destape y el bloqueo de los patrones de ataque ayuda a reducir el número de días que los gerentes de TI gastan investigando posibles incidentes ".
El 57 por ciento de los encuestados dijo que planea implementar una solución de EDR en los próximos 12 meses. Tener EDR también ayuda a abordar una brecha de habilidades. El 80 por ciento de los gerentes de TI desearía que tuvieran un equipo más fuerte en su lugar, según la encuesta. Más información está disponible en las 7 Verdades Incómodas de Seguridad en Endpoint y en Sophos News.
El estudio 7 Verdades Incómodas de Seguridad en Endpoint fue realizado por Vanson Bourne, agencia especialista independiente en investigación de mercados, en diciembre 2018 y enero 2019. Se entrevistaron a 3.100 encargados de la toma de decisiones de TI en 12 países y en seis continentes, en Estados Unidos, Canadá, México, Colombia, Brasil, Reino Unido, Francia, Alemania, Australia, Japón, India y Sudáfrica. Todos los encuestados eran de organizaciones con entre cien y cinco mil empleados.
Sophos está en SPiN durante la Conferencia RSA 2019 el 5 y 6 de marzo. Para más información, por favor visite Sophoscom/spin. La información adicional para los medios que cubren RSA está disponible en la página de prensa de Sophos.
###
Lee las últimas noticias y opiniones sobre seguridad en el galardonado Naked Security News y en el canal de noticias de Sophos.
Twitter, LinkedIn, Facebook, Spiceworks, YouTube, Google+
Acerca de sophosSophos es un líder en endpoint de próxima generación y seguridad de red. Como pionero de la seguridad sincronizada, Sophos desarrolla su innovadora cartera de soluciones de seguridad de punto final, red, cifrado, web, correo electrónico y móvil para trabajar mejor juntas. Más de 100 millones de usuarios en 150 países confían en las soluciones de Sophos como la mejor protección contra amenazas sofisticadas y pérdida de datos. Los productos de Sophos están disponibles exclusivamente a través de un canal global de más de 39,000 socios registrados. Sophos tiene su sede en Oxford, Reino Unido y se cotiza en la Bolsa de Valores de Londres bajo el símbolo "SOPH". Más información está disponible en www.sophos.com
"Los servidores almacenan datos confidenciales financieros, de empleados, propietarios y otras personas, que con leyes cada vez más estrictas como el Reglamento General de Protección de Datos o GDPR, requieren que las organizaciones informen de los robos de datos, esto pone a los riesgos de seguridad en el servidor en un nivel alto todo el tiempo. Tiene sentido que los gerentes de TI se enfoquen en proteger a los servidores críticos para el negocio y detener a los atacantes en primer lugar antes de que entren a la red y esto conduce a más detecciones de cibercriminales en estas dos áreas ", dijo Chester Wisniewski, principal científico investigador en Sophos. "Sin embargo, los gestores de TI no pueden ignorar los puntos de conexión, porque la mayoría de los ciberataques comienzan allí, aunque una cantidad mayor a la esperada todavía no puede identificar cómo y cuándo se están metiendo las amenazas en el sistema".
Según la encuesta, el 20 por ciento de los gerentes de TI que fueron víctimas de uno o más ataques cibernéticos el año pasado no pudo identificar cómo los atacantes lograron su entrada, y 17 por ciento no sabe cuánto tiempo estuvo la amenaza en el ambiente antes de que se detectara. Para mejorar esta falta de visibilidad, los gerentes de TI necesitan tecnología de detección y respuesta de endpoints (EDR) que expone los puntos de inicio de la amenaza y las huellas digitales de los atacantes moviéndose lateralmente a través de una red.
"Si los gerentes de TI no conocen el origen o el movimiento de un ataque, entonces no pueden minimizar el riesgo e interrumpir la cadena de asalto para evitar una mayor infiltración", dijo Wisniewski. "EDR ayuda a los gestores de TI a identificar riesgos y a poner en marcha un proceso para las organizaciones en ambos extremos del modelo de madurez de la seguridad. Si el departamento de TI está más enfocado en la detección, EDR puede encontrar, bloquear y remediar más rápidamente. Si todavía está construyendo una base de seguridad, EDR es una pieza integral que proporciona una inteligencia de amenazas muy necesaria ".
En promedio, las organizaciones que investigan uno o más incidentes de seguridad potenciales cada mes pasan 48 días al año (cuatro días al mes) investigándolos, según la encuesta. No sorprende que los gerentes de TI clasificaron la identificación de eventos sospechosos (27 por ciento), la administración de alertas (18 por ciento) y la priorización de eventos sospechosos (13 por ciento) como las tres características principales que necesitan de las soluciones de EDR para reducir el tiempo necesario para identificar y responder a las alertas de seguridad.
"La mayoría de los ciberataques "spray and pray" se pueden detener en cuestión de segundos en los puntos finales sin causar alarma. Los atacantes persistentes, incluyendo aquellos que ejecutan ransomware dirigido como SamSam, toman el tiempo que necesitan para violar un sistema mediante la búsqueda de contraseñas mal elegidas y adivinables en sistemas de evaluación remota (RDP, VNC, VPN, etc.), establecer un punto de apoyo y moverse tranquilamente alrededor hasta que el daño se hace ", dijo Wisniewski. "Si los gerentes de TI tienen una defensa en profundidad con EDR, también pueden investigar un incidente más rápidamente y usar la inteligencia de amenazas resultante para ayudar a encontrar la misma infección en un estado. Una vez que los ciberdelincuentes saben que ciertos tipos de ataques funcionan, normalmente los replican dentro de las organizaciones.El destape y el bloqueo de los patrones de ataque ayuda a reducir el número de días que los gerentes de TI gastan investigando posibles incidentes ".
El 57 por ciento de los encuestados dijo que planea implementar una solución de EDR en los próximos 12 meses. Tener EDR también ayuda a abordar una brecha de habilidades. El 80 por ciento de los gerentes de TI desearía que tuvieran un equipo más fuerte en su lugar, según la encuesta. Más información está disponible en las 7 Verdades Incómodas de Seguridad en Endpoint y en Sophos News.
El estudio 7 Verdades Incómodas de Seguridad en Endpoint fue realizado por Vanson Bourne, agencia especialista independiente en investigación de mercados, en diciembre 2018 y enero 2019. Se entrevistaron a 3.100 encargados de la toma de decisiones de TI en 12 países y en seis continentes, en Estados Unidos, Canadá, México, Colombia, Brasil, Reino Unido, Francia, Alemania, Australia, Japón, India y Sudáfrica. Todos los encuestados eran de organizaciones con entre cien y cinco mil empleados.
Sophos está en SPiN durante la Conferencia RSA 2019 el 5 y 6 de marzo. Para más información, por favor visite Sophoscom/spin. La información adicional para los medios que cubren RSA está disponible en la página de prensa de Sophos.
###
Lee las últimas noticias y opiniones sobre seguridad en el galardonado Naked Security News y en el canal de noticias de Sophos.
Twitter, LinkedIn, Facebook, Spiceworks, YouTube, Google+
Acerca de sophosSophos es un líder en endpoint de próxima generación y seguridad de red. Como pionero de la seguridad sincronizada, Sophos desarrolla su innovadora cartera de soluciones de seguridad de punto final, red, cifrado, web, correo electrónico y móvil para trabajar mejor juntas. Más de 100 millones de usuarios en 150 países confían en las soluciones de Sophos como la mejor protección contra amenazas sofisticadas y pérdida de datos. Los productos de Sophos están disponibles exclusivamente a través de un canal global de más de 39,000 socios registrados. Sophos tiene su sede en Oxford, Reino Unido y se cotiza en la Bolsa de Valores de Londres bajo el símbolo "SOPH". Más información está disponible en www.sophos.com
No hay comentarios.