60 minutos para detectar y responder a los ataques en la red

Un estudio de Enterprise Strategic Group para Intel Security, llamado “Tackling Attack Detection and Incident Response” aseguró que la breve ventana de 60 minutos puede reducir en gran medida el impacto definitivo de un ataque.

Colombia. Julio 25 de 2016. La investigación fue hecha entre 700 profesionales de TI y de seguridad en empresas medianas (500 a 999 empleados) y grandes (más de 1000) en Asia, América del Norte, EMEA (Europa, Medio Oriente y África) y América del Sur.

El propósito de la encuesta es entender mejor los retos de seguridad que las empresas encaran actualmente y se extiende sobre un concepto que denominaron como la «hora dorada».

Los datos del estudio revelan que, 28% de las 78 investigaciones por incidentes de seguridad realizadas en 2014, estuvieron relacionadas con ataques dirigidos.

Los profesionales de la seguridad enfrentan un combate desigual ya que los atacantes engañan a los usuarios con una mezcla de tácticas de ingeniería social, combinadas con servicios de redes sociales disponibles para el público y malware sigiloso, con lo cual logran burlar los controles de seguridad y ponen en peligro a los sistemas.

Aunque esas tácticas de los atacantes sean muy sencillas, la defensa de seguridad digital es desordenada, en el mejor de los casos, los profesionales de seguridad frecuentemente tienen un conocimiento limitado sobre las últimas técnicas de hacking, herramientas adecuadas y procedimientos.

Aunado a estos problemas, la detección y respuesta a incidentes, se ven frenados por una serie de tareas que consumen tiempo por procesos manuales e ineficiencias que causan el alargamiento del tiempo de respuesta necesario para controlar el daño y realizar la limpieza.

Las herramientas utilizadas por los encuestados para supervisar la seguridad cuentan con una visibilidad limitada de los usuarios y las tecnologías, en tanto que las herramientas de seguridad en el punto terminal no tienen la integración necesaria para coordinar y monitorear las defensas de seguridad en toda la red.

Otro de los puntos destacables del estudio es que los profesionales de la seguridad entrevistados compartieron muchas sugerencias que ayudan a mejorar las defensas de seguridad cibernética, la detección de incidentes y la eficiencia de la respuesta.

De los profesionales encuestados, más del 50% resaltaron que necesitan mejores herramientas de seguridad para detectar incidentes y realizar análisis de seguridad, en tanto que alrededor del 40% recomiendan proporcionar más formación a los profesionales de la seguridad cibernética y el equipo SOC (Security Operations Center por sus siglas en inglés).

Asimismo, el 80% de las organizaciones participantes en el estudio consideran que sus procesos de detección/respuesta a incidentes se enfrentan a obstáculos debido a la falta de integración de los diferentes componentes de la tecnología de seguridad, por esta razón, muchos profesionales de esta área consideran que sus organizaciones se beneficiarían si contaran con una arquitectura de seguridad empresarial de punto a punto, con componentes estrechamente integrados. En conjunto, los avances de seguridad cibernética se necesitan para toda la gente, procesos y tecnología.

¿Qué hacer en la hora dorada?

Para enfrentar los incidentes en la “hora dorada”, el plazo más importante después de la infección, las empresas deben cambiar su estrategia de seguridad. He aquí las cinco tareas clave de las que, los entrevistados en el estudio consideran, dependen la detección de incidentes y de los procesos de respuesta y que, además, consumen un mayor tiempo:

• Determinar el impacto / alcance de un incidente de seguridad.
• Adoptar medidas para minimizar el impacto de un ataque.
• Analizar la inteligencia de seguridad para detectar los incidentes.
• Determinar cuáles activos siguen siendo vulnerables a un tipo similar de ataque.
• Realizar análisis forenses para determinar la causa de los problemas.

En los incidentes de seguridad digital, causados por ataques dirigidos, es necesario acelerar drásticamente las tareas destinadas a mejorar la detección de incidentes y los procesos de respuesta para pasar de la mera recolección de datos al análisis de los mismos, al tiempo que se reparan los daños y se mantiene la continuidad de las operaciones, para aprovechar la ventana de oportunidad de la “hora dorada”, es decir los 320 segundos fundamentales para reducir el impacto final de un ataque en la empresa.