La mayoría de los ciberdelincuentes son detectados en el servidor o en la red de las empresas

La mayoría de los ciberdelincuentes son detectados en el servidor o en la red de las empresas

Los directores de TI suelen detectar a la mayoría de los cibercriminales en sus servidores y redes empresariales. De hecho, los responsables de TI descubrieron el 37% de sus ciberataques más importantes en los servidores de su empresa y otro 37% en sus redes.

Así, solamente un 17% fue descubierto en endpoints y un 10% en dispositivos móviles. Esos son los principales resultados del estudio global “7 Verdades Incómodas de la Seguridad para Endpoints” realizado por Sophos.

El estudio se ha llevado a cabo a nivel mundial entre más de 3.100 responsables de TI de empresas de mediano tamaño y en 12 países de diferentes continentes entre los que se incluyen; Estados Unidos, Canadá, México, Colombia, Brasil, Reino Unido, Francia, Alemania, Australia, Japón, India y Sudáfrica.

Fusión Pro Autónomos

Japón experimentó el menor número de ataques (solo un 24 % fue víctima de un ciberataque durante el último año), mientras que México sufrió el mayor número de ataques (un 82 % de los encuestados admitió haber sido afectado)

Los servidores almacenan datos financieros, de empleados, propios y otros datos confidenciales, y con leyes cada vez más estrictas como la del GDPR que requieren que las empresas informen sobre las violaciones de datos, apostar por la seguridad de los servidores es un deber. Tiene sentido que los administradores de TI estén centrados principalmente en proteger los servidores críticos para la empresa y en evitar que los atacantes accedan a la red, lo que lleva a más detecciones de ciberdelincuentes en estas dos áreas“, dice Ricardo Maté, director general de Sophos para España y Portugal.

No obstante, los directores de TI no pueden ignorar a los endpoints ya que la mayoría de los ciberataques comienzan ahí, sin embargo, una cantidad más alta de la esperada de los administradores de TI todavía no es capaz de identificar cómo ni cuándo están llegando las amenazas al sistema.

 

Uno de cada cinco responsables de seguridad no supieron identificar el origen del ataque

Según el estudio, el 20% de los administradores de TI que fueron víctimas de uno o más ciberataques el año pasado no son capaces de identificar cómo accedieron los atacantes, y el 17% no saben cuánto tiempo pasaron en su entorno antes de detectarlas. Para mejorar esta falta de visibilidad, los administradores de TI necesitan una tecnología de detección y respuesta para endpoints (EDR) que exponga los puntos de inicio de amenazas y las huellas digitales de los atacantes que se mueven lateralmente a través de una red.

Si los administradores de TI no conocen el origen o el movimiento de un ataque, entonces no pueden minimizar el riesgo e interrumpir la cadena de ataques para evitar una mayor infiltración“, dice Maté.

La EDR ayuda a los administradores de TI a identificar el riesgo y establecer un proceso para las empresas en ambos extremos del modelo de madurez de seguridad. Si TI está más enfocado en la detección, la EDR puede encontrar, bloquear y arreglar más rápidamente; Si TI aún está construyendo una base de seguridad, la EDR es una pieza integral que proporciona una inteligencia sobre amenazas muy necesaria.

 

Las empresas tardan una media de 13 horas en detectar una amenaza importante en sus sistemas de TI

Los equipos de TI tienen poca visibilidad del tiempo de permanencia del atacante. De media, las empresas reconocieron tardar unas 13 horas en detectar el ciberataque más significativo del año pasado. El tiempo que se tarda en detectar las amenazas varía de un país a otro: Australia, Brasil y Canadá son los más rápidos, con una media de 10 horas, mientras que en el extremo opuesto, los equipos de TI japoneses tardan una media de 17 horas.

El tiempo que se tarda en detectar las amenazas varía de un país a otro

Además, las empresas que investigan uno o más posibles incidentes de seguridad cada mes pasan 48 días al año (cuatro días al mes) investigándolos. No sorprende que los directores de TI califiquen la identificación de eventos sospechosos (27%), la administración de alertas (18%) y la priorización de eventos sospechosos (13%) como las tres funcionalidades principales que necesitan las soluciones EDR para reducir el tiempo necesario para identificar y responder a las alertas de seguridad.

La mayoría de los ciberataques del estilo “spray and pray” se pueden detener en segundos en los endpoints sin causar alarma. Los atacantes persistentes, incluidos los que ejecutan ransomware dirigido, como SamSam, se toman el tiempo que sea necesario para violar un sistema al encontrar contraseñas elegibles y mal escogidas en sistemas de evaluación remota (RDP, VNC, VPN, etc.), estableciendo una posición estable y moviéndose de forma silenciosa hasta que el daño ya está hecho“, señala Maté.

Si los administradores de TI cuentan con una defensa en profundidad con EDR, también pueden investigar un incidente más rápidamente y usar la inteligencia de amenazas resultante para ayudar a encontrar la misma infección en todo el entorno. Una vez que los cibercriminales saben que ciertos tipos de ataques funcionan, normalmente los replican dentro de las empresas. Descubrir y bloquear patrones de ataque ayudaría a reducir la cantidad de días que los directores de TI pasan investigando potenciales incidentes.

El 57% de los encuestados señaló que planeaba implementar una solución EDR en los próximos 12 meses. Tener la EDR también ayuda a abordar la falta de capacidades. Según el estudio, el 80% de los responsables de TI desearían tener un equipo de seguridad más fuerte.


La mayoría de los ciberdelincuentes son detectados en el servidor o en la red de las empresas Movistar MásQueNegocio

Responder

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Nuestra web utiliza cookies propias para ofrecerle un mejor servicio. Si continúa navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información aquí

ACEPTAR
Aviso de cookies