El análisis de la Respuesta a Incidentes de CYREBRO presenta las deficiencias de visibilidad y cómo eliminarlas
Hoy en día, la cuestión no es si su empresa sufrirá un incidente de seguridad, sino cuándo.
Hace unos años, salió a la luz una estadística impactante cuando CYREBRO analizó los informes internos de respuesta a incidentes (IR): El 75% de los incidentes de seguridad reportados fueron causados por una inversión inadecuada en soluciones de seguridad que causaron puntos ciegos en la visibilidad de la red.
Descubrir esa estadística y sus implicaciones fue una de las inspiraciones que nos llevaron a crear la plataforma CYREBRO SOC. Enseguida comprendimos que hasta el más mínimo punto ciego podía ser aprovechado por los atacantes, poniendo en riesgo a una empresa. Dado que la mayoría de las empresas sufren una escasez de personal y habilidades, han recurrido a herramientas automatizadas para suplir la falta de personal. Sin embargo, la falta de herramientas o la configuración incorrecta de las mismas, además de las prácticas incompletas de ciberseguridad, crean problemas de visibilidad en la red, dejando a las empresas incapaces de rechazar las amenazas o mitigarlas una vez que las encuentran.
La investigación de CYREBRO descubre las tres causas más comunes de los incidentes
A medida que las empresas adoptan nuevas tecnologías, sus superficies de ataque crecen inevitablemente, pero a menudo sus prácticas de seguridad y herramientas cibernéticas permanecen estancadas, creando deficiencias en la visibilidad de la red. Al investigar los casos de Respuesta a Incidentes registrados, descubrimos las tres causas más comunes de los incidentes y ataques.
Puertos y servicios de fácil acceso
Aunque algunos servidores deben ser accesibles desde Internet, con demasiada frecuencia los puertos, servidores y servicios críticos están abiertos y expuestos en línea. Los atacantes pueden tomar el control de los servidores, utilizándolos como punto de entrada a los recursos y a las redes internas. Nuestra investigación descubrió que el 64% de los incidentes de seguridad se debían a que los puertos y servicios críticos eran accesibles desde Internet sin ningún tipo de filtro.
Los sistemas obsoletos y al final de su vida útil son susceptibles a ser vulnerados
Los sistemas obsoletos que ya no reciben actualizaciones de seguridad y los sistemas sin parches de seguridad son objetivos comunes para los atacantes que despliegan scripts que escanean automáticamente los sistemas que son susceptibles a vulnerabilidades conocidas. En el 67% de los casos que investigamos, los atacantes utilizaron aplicaciones y sistemas operativos sin parches, obsoletos o al final de su vida útil en los ataques.
Visibilidad débil debido a la falta de herramientas
Las empresas que pasaron de las soluciones locales a las plataformas en la nube y a las soluciones SaaS sin las herramientas adecuadas quedaron expuestas y no pudieron detectar y responder a los incidentes. Descubrimos que el 78% de los ataques se produjeron porque las empresas no tenían una solución EDR o antimalware instalada en los puntos finales, y el 35% de los casos no tenían una solución IPS o IDS en su red.
La visibilidad evita el caos
¿Cómo pueden las empresas prevenir los incidentes en primer lugar? La única solución es obtener una visibilidad completa de la red, que se reduce a tener conocimiento de todos los componentes y datos dentro de tu red. Sin visibilidad o una solución centralizada para los puntos finales, los hackers son indetectables. Pueden moverse por las redes, realizar actividades maliciosas y causar estragos.
No dejes a los analistas sin nada
Las empresas que tienen una visibilidad adecuada dan a los analistas una oportunidad de luchar, ya que pueden ver las acciones de los atacantes, descifrar qué y cómo se ha producido el ataque, y reaccionar en tiempo real. Dotar a tu equipo de seguridad con las herramientas necesarias para conseguir visibilidad en todos los ámbitos -red, punto final y actividad de los usuarios- es esencial, ya que los ataques son cada vez más frecuentes y sofisticados. Sin embargo, un conjunto de herramientas independientes puede causar más problemas de los que resuelve. En su lugar, las empresas deben buscar soluciones que funcionen juntas para eliminar los puntos ciegos.
Juntando todo a través de la experiencia
Las ideas y conclusiones que aquí se exponen proceden de nuestras propias investigaciones de casos reales de Respuesta a Incidentes que hemos encontrado en los últimos años. Hemos visto a demasiadas empresas convertirse en víctimas debido a la falta de herramientas o a la incapacidad de conectar todos sus sistemas y herramientas de seguridad a un mando central, que es la única forma de conseguir una visibilidad completa.
Sin visibilidad de toda la infraestructura, es imposible entender realmente lo que está sucediendo en su entorno. El equipo no será capaz de reconstruir la historia correcta del ataque, haciendo que la recuperación sea increíblemente difícil y que la prevención de ataques similares en el futuro sea casi imposible. Teniendo en cuenta que se tarda una media de 287 días en identificar una infracción con un coste medio de 4,24 millones de dólares, ¿ puede usted permitirse una falta de visibilidad?
Si Usted quiere saber cómo eliminar las brechas de visibilidad más comunes, en qué herramientas y sistemas debería invertir, y las prácticas de ciberseguridad adecuadas que deben implementarse, descargue su copia gratuita de nuestro Informe de Análisis de Respuesta a Incidentes 2022.