Informe de Intel Security detalla los desafíos del atraso de respuesta a los ataques dirigidos

Portada_intel.jpg

El 28% de los incidentes de seguridad corresponden a ataques dirigidos; la integración de producto, el análisis de eventos y las insuficientes habilidades, son desafíos clave para la respuesta oportuna a incidentes.

Un nuevo informe de Enterprise Strategy Group (ESG), Detección de Entradas de Ataques y Respuesta a Incidentes, encargado por Intel Security, investiga las estrategias de seguridad de las organizaciones, el ambiente de ciberataque, desafíos de respuesta a incidentes y necesidades. La encuesta mostró que los profesionales de seguridad se enfrentan a múltiples incidentes de seguridad, con un promedio de 78 casos por organización en el último año, con el 28 por ciento de los incidentes relacionados a ataques dirigidos, una de las formas más peligrosas y potencialmente perjudiciales de los ataques cibernéticos. De acuerdo con los profesionales de TI y de seguridad que fueron encuestados, las mejores herramientas de detección y análisis, sumadas a entrenamientos para hacer frente a los problemas de respuesta a incidentes, son las mejores prácticas para la eficiencia y la eficacia del personal de seguridad de la información.

Cuando se trata de la detección y respuesta a incidentes, el tiempo tiene una correlación amenazadora al perjuicio potencial«, dijo Jon Oltsik, Senior Principal Analyst de ESG. «Cuanto más se tarde una organización para identificar, investigar y responder a un ataque cibernético, lo más probable es que sus acciones no serán suficientes para evitar un daño  costoso referente a información confidencial. Con esto en mente, los Directores de Información de Seguridad (Chief Information Security Officer, CISOs por sus siglas en inglés) deben recordar que la recolección y tratamiento de datos de ataque es un medio hacia la acción -la mejora de la detección de amenazas y eficacia de la respuesta y la eficiencia”.

Mejor Integración

Intel_C4D_by_PLISS_R92Casi el 80 por ciento de los encuestados creen que la falta de integración y comunicación entre herramientas de seguridad crea saturación e interfiere con su capacidad para detectar y responder a las amenazas de seguridad. En tiempo real, la visibilidad integral es especialmente importante para la respuesta rápida a los ataques dirigidos, y el 37 por ciento de los encuestados considera importante dirigirse hacia una integración más estrecha entre la inteligencia y la seguridad de herramientas de negocios de TI. Algunas de las principales tareas que consumen mucho tiempo, tienen que ver con el alcance y la adopción de medidas para minimizar el impacto de un ataque, las cuales pueden acelerar mediante la integración de herramientas. Estas respuestas sugieren que las arquitecturas de patchwork comunes en productos de seguridad individuales, crean numerosos silos de herramientas, consolas, procesos e informes que ocasionan pérdida de tiempo al usarlas. Estas arquitecturas están creando volúmenes de datos cada vez más importantes que perjudican indicadores pertinentes de ataque.

Mejor Comprensión

17-04-2015 11-03-58Los profesionales encuestados afirman que la visibilidad de la seguridad en tiempo real sufre de una comprensión limitada del comportamiento del usuario y de la red, las aplicaciones y el comportamiento de los host. Mientras que los cuatro primeros tipos de datos obtenidos son relacionados con la red, el 30 por ciento obtienen datos de la actividad del usuario, está claro que la captura de datos no es suficiente. Los usuarios necesitan más ayuda para contextualizar los datos para entender qué comportamiento es preocupante. Esta brecha puede explicar por qué casi la mitad (el 47 por ciento) de las organizaciones dijo que fue particularmente lento determinar el impacto o el alcance de un incidente de seguridad.

Mejorías en los Análisis

intelLos usuarios entienden que necesitan ayuda para evolucionar desde la simple recopilación de volúmenes de eventos de seguridad y datos de inteligencia de amenazas, para hacer más sentido efectivo a los datos y su uso para detectar y evaluar los incidentes. El cincuenta y ocho por ciento dijo que necesitan mejores herramientas de detección, (tales como herramientas de análisis estático y dinámico con inteligencia basada en la nube para analizar archivos de intención). El cincuenta y tres por ciento dice que necesitan mejores herramientas de análisis para convertir los datos de seguridad en inteligencia práctica. Un tercio (el 33 por ciento) pidió mejores herramientas para los valores estándares de comportamiento del sistema para detectar más ágilmente las variaciones.

Mejor Experiencia

Las personas que participaron de la encuesta admitieron la falta de conocimiento del panorama de las amenazas y de las habilidades de investigación de la seguridad, lo que sugiere que incluso una mejor visibilidad a través de las capacidades de integración o análisis técnicos, será insuficiente si los equipos de respuesta a incidentes no pueden dar sentido a la información que ven. Por ejemplo, sólo el 45 por ciento de los encuestados se consideran muy bien informados acerca de las técnicas de camuflaje de malware, y el 40 por ciento pidieron más capacitación para mejorar los conocimientos y habilidades de la seguridad cibernética.

Automatización para Potenciar la Acción

El volumen de las investigaciones,  los recursos y habilidades limitados, contribuyen a un fuerte deseo entre los encuestados para ayudar a detectar incidentes y dar respuesta. El cuarenta y dos por ciento informó que llevar a cabo medidas para minimizar el impacto de un ataque fue una de sus más elementales tareas, sin embargo, consumen mucho tiempo. Al veintisiete por ciento le gustaría un mejor análisis automatizado de herramientas de inteligencia de seguridad para acelerar la comprensión en tiempo real; mientras que el 15 por ciento necesita la automatización de los procesos para liberar personal y asignarlo a tareas más importantes.

17-04-2015 11-03-06Así como la profesión médica debe llevar a los pacientes de ataque cardiaco al hospital dentro de  «la hora crítica” para maximizar la probabilidad de sobrevivencia, la industria de la seguridad debe trabajar para reducir el tiempo que toma a las organizaciones detectar y desviar los ataques, antes de que ocurra el daño«, dijo Chris Young, Gerente General de Intel Security. «Esto requiere que hagamos y contestemos preguntas difíciles sobre lo que está fallando, y evolucionar nuestro pensamiento en torno a la forma en cómo hacemos la seguridad«.

La ESG cree que hay una historia oculta dentro de la investigación de Intel Security que alude a las mejores prácticas y lecciones aprendidas. Estos datos sugieren fuertemente que los CISOs:

IntelCreen una arquitectura de tecnología de seguridad de la empresa estrechamente integrada: Los CISOs deben reemplazar las herramientas  de seguridad individuales por una arquitectura de seguridad integrada. Esta estrategia trabaja para mejorar el intercambio de información de ataques y visibilidad de toda la empresa en el usuario, en endpoint y en el comportamiento de la red, para lograr respuestas coordinadas más efectivas.

Anclen su estrategia de seguridad cibernética con análisis sólidos, pasando de volumen a precio: Las estrategias de seguridad cibernéticas deben basarse en sólidos análisis de seguridad. Esto significa recoger, procesar y analizar cantidades masivas internas de datos (registros, flujos, paquetes, forensia en endpoint, análisis de malware estático/dinámico, inteligencia organizacional (el comportamiento del usuario, el comportamiento empresarial, etc.)) y datos externos (la información sobre amenazas, las notificaciones de vulnerabilidad, etc.).

Automaticen la detección y respuesta a incidentes siempre que sea posible: Porque las organizaciones siempre tendrán que luchar para mantenerse al día con las técnicas de ataque más recientes, los CISOs deben comprometerse a una mayor automatización, tales como análisis avanzados de malware, algoritmos inteligentes, aprendizaje automático, y la adquisición de información sobre amenazas para comparar el comportamiento interno con los incidentes de compromiso (IoCs) y las tácticas, técnicas y procedimientos (TTPs) utilizados por los ciber-adversarios

Comprometan una educación continua de ciber seguridad: Los CISOs deben exigir la educación continua para sus equipos de seguridad, incluyendo una serie anual de cursos que provean a los profesionales mayor profundidad en la comprensión de las amenazas y las mejores prácticas para una respuesta a incidentes eficiente y eficaz.

jtraverso

jtraverso

Juan Pablo Traverso, Ingeniero Civil Industrial y MBE de la Universidad de Chile.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

scroll to top