Una prevención de amenazas proactiva: respuesta en tiempo real, inteligencia integrada y ocho indicadores de ataques clave.
McAfee, que ahora forma parte de Intel Security, lanzó hoy un nuevo informe, Cuando los minutos cuentan, en el que se evalúan las capacidades de las organizaciones para detectar y bloquear ataques dirigidos, se revelan los ocho indicadores de ataques más importantes y se examinan las mejores prácticas para una respuesta a incidentes proactiva.
En el informe se muestra en qué medida son más eficaces las empresas cuando realizan análisis de muchas variables y en tiempo real de ataques imperceptibles e incluyen el tiempo y la inteligencia de amenazas para calcular los riesgos y establecer las prioridades de respuesta a incidentes.
Una encuesta encargada por Intel Security y llevada a cabo por Evalueserve, junto con el informe, indica que la mayoría de las empresas no confían en su capacidad para identificar a tiempo los ataques dirigidos. Incluso las compañías mejor preparadas para lidiar con ataques dirigidos invierten tiempo en la investigación de grandes volúmenes de eventos, lo que contribuye a establecer una urgencia y un enfoque organizativo en estrategias creativas para una detección más temprana y una mitigación más eficaz.
Algunos de los descubrimientos clave son:
- El 74 % de las personas encuestadas informó que los ataques dirigidos son una de las principales preocupaciones en sus organizaciones.
- El 58 % de las organizaciones investigó 10 o más ataques el último año.
- Solo el 24 % de las compañías confían en su capacidad de detectar un ataque en minutos y un poco menos de la mitad informó que tardarían días, semanas o incluso meses antes de observar un comportamiento sospechoso.
- El 78 % de las organizaciones que pueden detectar ataques en minutos contaban con un sistema de información de seguridad y gestión de eventos (SIEM, Security Information and Event Management) proactivo y en tiempo real.
- La mitad de las compañías encuestadas reveló que cuenta con las herramientas y las tecnologías adecuadas para proporcionar una respuesta a incidentes más rápida, pero con frecuencia no se separan los indicadores fundamentales del conjunto de alertas generadas, por lo que los equipos de TI deben examinar cuidadosamente los datos de amenazas.
«Solo tiene una ventaja sobre los ciberdelincuentes cuando aborda el desafío del tiempo para la detección», indicó Ryan Allphin, Vicepresidente Ejecutivo y Gerente General de gestión de seguridad de Intel Security. «Al simplificar la agitada tarea de filtrar un sinfín de alertas e indicadores con análisis e inteligencia en tiempo real podrá obtener acceso rápido a una mejor comprensión de los eventos relevantes y podrá tomar medidas para contener y bloquear los ataques con mayor velocidad».
Debido a la importancia de identificar los indicadores fundamentales, en el informe de Intel Security se revelan las ocho actividades de ataque más comunes que las organizaciones rastrean para detectar y bloquear ataques dirigidos. De estos ataques, en cinco se encontraron eventos de rastreo durante el tiempo transcurrido, lo que muestra la importancia de la correlación contextual:
- Hosts internos que establecen comunicaciones con destinos malos conocidos o con un país extranjero con el que la organización no está asociada.
- Hosts internos que establecen comunicaciones con hosts externos a través de puertos no estándar o discrepancias de protocolos/puertos, como el envío de shells de comandos (SSH) en lugar de tráfico HTTP por el puerto 80, el puerto web predeterminado.
- Hosts de acceso público o zona desmilitarizada (DMZ, demilitarized zone) que establecen comunicaciones con hosts internos. Esto habilita los saltos de afuera hacia adentro y de nuevo hacia afuera, lo que permite el filtrado de datos y el acceso remoto a los activos. De este modo se neutraliza el valor de la DMZ.
- Detección tardía de malware. Las alertas que se detectan fuera del horario estándar de la empresa (durante la noche o el fin de semana) pueden ser indicadores de que un host corre riesgo.
- Los análisis de red realizados a través de hosts internos que establecen comunicaciones con diversos hosts en un período corto, que pueden revelar a un delincuente que se mueve de manera lateral por la red. Las defensas del perímetro de red, como firewall e IPS, no suelen configurarse para supervisar el tráfico de la red interna (aunque pueden configurarse).
- Varios eventos de alarma de un único host o eventos duplicados en diversos equipos en la misma subred en un período de 24 horas, como fallas de autenticación repetidas.
- Luego de limpiarse, un sistema se infecta nuevamente con malware en cinco minutos; las infecciones repetidas indican la presencia de un rootkit o un riesgo persistente.
- Un usuario intenta iniciar sesión en diversos recursos en pocos minutos desde diferentes regiones; es un indicador de que se han robado las credenciales del usuario o el comportamiento del usuario es indebido.
«Observamos que una estación de trabajo realizaba solicitudes de autenticación al controlador de dominios a las dos de la mañana. Puede ser una actividad normal, pero también puede ser una señal de un elemento malicioso», indicó Lance Wright, Gerente Ejecutivo de Información de Cumplimiento y Seguridad de Información de Volusion, un proveedor comercial de soluciones que colaboró con el informe. «Luego de ese incidente establecimos una regla para generar alertas si alguna estación de trabajo realiza más de cinco solicitudes de autenticación durante el horario no comercial para ayudarnos a detectar el ataque en una etapa temprana, antes de que los datos corran riesgo».
«Las tecnologías SIEM, conscientes de inteligencia y en tiempo real, minimizan el tiempo necesario para la detección y evitan de manera proactiva infiltraciones basándose en la contextualización de los indicadores durante el análisis y las respuestas automatizadas basadas en políticas», expresó Allphin. «Con la posibilidad de acelerar la capacidad de detectar, responder y aprender de los eventos, las organizaciones pueden cambiar por completo su postura de seguridad y ser el ‘cazador’ en lugar del ‘cazado’».
Para ver el informe completo de Intel Security When Minutes Count, visite: www.mcafee.com/SIEM