Inicio Datos duros. 28% de incidentes de seguridad son ataques dirigidos a empresas

28% de incidentes de seguridad son ataques dirigidos a empresas

Un nuevo informe de Enterprise Strategy Group (ESG), Detección de Entradas de Ataques y Respuesta a Incidentes, encargado por Intel Security, investiga las estrategias de seguridad de las organizaciones, el ambiente de ciberataque, desafíos de respuesta a incidentes y necesidades.

La encuesta mostró que los profesionales de seguridad se enfrentan a múltiples incidentes de seguridad, con un promedio de 78 casos por organización en el último año, con el 28% de los incidentes relacionados a ataques dirigidos -una de las formas más peligrosas y potencialmente perjudiciales de los ataques cibernéticos-.

De acuerdo con los profesionales de TI y de seguridad que fueron encuestados, las mejores herramientas de detección y análisis, sumadas a entrenamientos para hacer frente a los problemas de respuesta a incidentes, son las mejores prácticas para la eficiencia y la eficacia del personal de seguridad de la información.

 

[box]

Mejor Integración

Casi el 80% de los encuestados cree que la falta de integración y comunicación entre herramientas de seguridad crea saturación e interfiere con su capacidad para detectar y responder a las amenazas de seguridad. En tiempo real, la visibilidad integral es especialmente importante para la respuesta rápida a los ataques dirigidos, y el 37% de los encuestados considera importante dirigirse hacia una integración más estrecha entre la inteligencia y la seguridad de herramientas de negocios de TI. Algunas de las principales tareas que consumen mucho tiempo tienen que ver con el alcance y la adopción de medidas para minimizar el impacto de un ataque, las cuales pueden acelerar mediante la integración de herramientas. Estas respuestas sugieren que las arquitecturas de patchwork comunes en productos de seguridad individuales crean numerosos silos de herramientas, consolas, procesos e informes que ocasionan pérdida de tiempo al usarlas. Estas arquitecturas están creando volúmenes de datos cada vez más importantes que perjudican indicadores pertinentes de ataque.

[/box]

 

[box]

Mejor Comprensión

Los profesionales encuestados afirman que la visibilidad de la seguridad en tiempo real sufre de una comprensión limitada del comportamiento del usuario y de la red, las aplicaciones y el comportamiento de los host. Mientras que los cuatro primeros tipos de datos obtenidos son relacionados con la red, el 30% obtienen datos de la actividad del usuario; está claro que la captura de datos no es suficiente. Los usuarios necesitan más ayuda para contextualizar los datos para entender qué comportamiento es preocupante. Esta brecha puede explicar por qué el 47% de las organizaciones dijo que fue particularmente lento determinar el impacto o el alcance de un incidente de seguridad.

[/box]

 

[box]

Mejorías en los Análisis

Los usuarios entienden que necesitan ayuda para evolucionar desde la simple recopilación de volúmenes de eventos de seguridad y datos de inteligencia de amenazas para hacer más sentido efectivo a los datos y su uso para detectar y evaluar los incidentes. El 58% dijo que necesitan mejores herramientas de detección, (tales como herramientas de análisis estático y dinámico con inteligencia basada en la nube para analizar archivos de intención). El 53% dice que necesitan mejores herramientas de análisis para convertir los datos de seguridad en inteligencia práctica. Un 33% pidió mejores herramientas para los valores estándares de comportamiento del sistema para detectar más ágilmente las variaciones.

[/box]

 

[box]

Mejor Experiencia

Las personas que participaron de la encuesta admitieron la falta de conocimiento del panorama de las amenazas y de las habilidades de investigación de la seguridad, lo que sugiere que incluso una mejor visibilidad a través de las capacidades de integración o análisis técnicos será insuficiente si los equipos de respuesta a incidentes no pueden dar sentido a la información que ven. Por ejemplo, sólo el 45% de los encuestados se consideran muy bien informados acerca de las técnicas de camuflaje de malware, y el 40% pidieron más capacitación para mejorar los conocimientos y habilidades de la seguridad cibernética.

[/box]

 

[box]

Automatización para Potenciar la Acción

El volumen de las investigaciones, los recursos y habilidades limitados, contribuyen a un fuerte deseo entre los encuestados para ayudar a detectar incidentes y dar respuesta. El 42% informó que llevar a cabo medidas para minimizar el impacto de un ataque fue una de sus más elementales tareas, sin embargo, consumen mucho tiempo. Al 27% le gustaría un mejor análisis automatizado de herramientas de inteligencia de seguridad para acelerar la comprensión en tiempo real; mientras que el 15% necesita la automatización de los procesos para liberar personal y asignarlo a tareas más importantes.

[/box]

 

La ESG cree que hay una historia oculta dentro de la investigación de Intel Security que alude a las mejores prácticas y lecciones aprendidas. Estos datos sugieren fuertemente que los CISOs:

  • Creen una arquitectura de tecnología de seguridad de la empresa estrechamente integrada: Los CISOs deben reemplazar las herramientas  de seguridad individuales por una arquitectura de seguridad integrada. Esta estrategia trabaja para mejorar el intercambio de información de ataques y visibilidad de toda la empresa en el usuario, en endpoint y en el comportamiento de la red, para lograr respuestas coordinadas más efectivas.
  • Anclen su estrategia de seguridad cibernética con análisis sólidos, pasando de volumen a precio: Las estrategias de seguridad cibernéticas deben basarse en sólidos análisis de seguridad. Esto significa recoger, procesar y analizar cantidades masivas internas de datos (registros, flujos, paquetes, forensia en endpoint, análisis de malware estático/dinámico, inteligencia organizacional (el comportamiento del usuario, el comportamiento empresarial, etc.)) y datos externos (la información sobre amenazas, las notificaciones de vulnerabilidad, etc.).
  • Automaticen la detección y respuesta a incidentes siempre que sea posible: Porque las organizaciones siempre tendrán que luchar para mantenerse al día con las técnicas de ataque más recientes, los CISOs deben comprometerse a una mayor automatización, tales como análisis avanzados de malware, algoritmos inteligentes, aprendizaje automático, y la adquisición de información sobre amenazas para comparar el comportamiento interno con los incidentes de compromiso (IoCs) y las tácticas, técnicas y procedimientos (TTPs) utilizados por los ciber-adversarios
  • Comprometan una educación continua de ciber seguridad: Los CISOs deben exigir la educación continua para sus equipos de seguridad, incluyendo una serie anual de cursos que provean a los profesionales mayor profundidad en la comprensión de las amenazas y las mejores prácticas para una respuesta a incidentes eficiente y eficaz.