En las empresas, siempre es importante detectar los ataques de hackers lo antes posible. Un análisis de comportamiento ayuda a acortar el "tiempo de permanencia" de los ataques exitosos.
Los hacks a menudo se representan en las películas como una especie de robo de un banco digital: los piratas informáticos atraviesan los mecanismos de protección de su objetivo de manera dramática y luego solo tienen unos minutos para robar los datos codiciados, mientras que la seguridad de TI intenta desesperadamente detener a los atacantes. . La realidad es muy diferente, porque la mayoría de los ciberdelincuentes se sienten como en casa en la red y, a veces, pasan meses o años allí antes de ser descubiertos. Si tiene tanto tiempo, por supuesto que puede causar mucho daño, y el tiempo de permanencia es uno de los indicadores más importantes cuando se analizan hacks exitosos para determinar qué tan grave fue un ataque. En muchos casos, incluso unas pocas horas de acceso pueden comprometer una cantidad significativa de datos.
Los atacantes pasan 56 días en el entorno objetivo antes de ser detectados
En un informe reciente, el tiempo medio global de permanencia de los ciberdelincuentes antes de ser detectados fue de 56 días. Este valor fue significativamente mejor que el del año anterior, cuando los atacantes aún tenían 78 días antes de ser descubiertos. En algunos casos, sin embargo, las infracciones pasaron desapercibidas durante varios años, con graves consecuencias para todos los involucrados. Una de las razones por las que los ataques pueden pasar desapercibidos durante tanto tiempo es la creciente expansión de las redes de la mayoría de las organizaciones. Cuanto más grandes, más dispersas y desorganizadas se vuelven estas redes, más fácil les resulta a los delincuentes permanecer ocultos. Una vez allí, los atacantes navegan por la red sin ser detectados, escaneando y exfiltrando datos a medida que avanzan. Por supuesto, para las empresas que tienen clientes confidenciales o datos de investigación secretos, es una pesadilla imaginar que los atacantes podrían permanecer sin ser detectados en la red durante meses o incluso años. Numerosos ejemplos muestran cuán graves son las filtraciones de datos de larga duración para las empresas involucradas.
La pesadilla de la seguridad informática: Atacantes en la red desapercibidos durante años
Hay innumerables ejemplos de empresas que han sido víctimas de hackeos exitosos que han costado miles de millones en daños. El proveedor de servicios financieros de EE. UU. Equifax, por ejemplo, perdió el 2017 por ciento de su valor bursátil después de que se conociera una importante filtración de datos en 35, tuvo que aceptar un daño inmenso a su reputación y pagar más de 2018 millones de dólares estadounidenses en multas. El caso de Cathay Pacific en 9,4, en el que se comprometieron 2014 millones de datos de pasajeros, también es legendario y casi inigualable en términos de duración de la estadía. La investigación de Cathay Pacific tomó más de seis meses para descubrir una serie de revelaciones impactantes: la fecha más antigua conocida de acceso no autorizado a la red fue hace casi cuatro años, en octubre de XNUMX. ¡Así que los atacantes no fueron detectados en la red durante cuatro años completos! Y como si esto no fuera lo suficientemente vergonzoso para la seguridad de TI de Cathay Pacific, la vulnerabilidad a través de la cual habían penetrado los atacantes era fácil de explotar y, además, había sido de conocimiento público durante mucho tiempo.
Ambos casos sirven como advertencia de lo que puede pasar en el peor de los casos y como ejemplo de que el daño puede ser limitado si la brecha de seguridad informática se detecta lo antes posible. Durante mucho tiempo se ha reconocido que todas las organizaciones son vulnerables y que es solo cuestión de tiempo antes de que ocurra una brecha de seguridad. Esto plantea la pregunta de qué soluciones y habilidades necesita la seguridad de TI para poder detectar estas actividades maliciosas lo antes posible.
El análisis de comportamiento avanzado proporciona un sistema de alerta temprana mucho mejor
Aparentemente, las habilidades y soluciones utilizadas no están en buenas condiciones en muchas empresas cuando los atacantes tienen un promedio de dos meses para sentirse cómodos en un entorno objetivo. Cuando se trata de la tarea de prevenir los ataques por completo o de reducir su tiempo de permanencia, muchos equipos de seguridad se encuentran en una posición bastante perdida. Porque muchas soluciones de seguridad comunes producen sobre todo una cosa: falsas alarmas. Los equipos tienen que dedicar mucho tiempo a procesar manualmente la avalancha de alarmas. Esto deja poco o ningún tiempo para participar en el proceso aún más largo de encontrar atacantes que ya hayan ingresado a la red y eliminarlos.
Una tecnología significativamente más efectiva que la evaluación manual de las alertas de seguridad es el análisis de comportamiento. Puede ayudar a identificar actividades sospechosas de usuarios o redes de manera más efectiva. Las soluciones de análisis de comportamiento aprovechan los registros de incidentes de seguridad preexistentes, lo que significa que ya conocen el alcance completo y el contexto de los detalles de eventos relacionados. Como resultado, los analistas de seguridad ya no necesitan analizar grandes cantidades de registros de eventos para crear manualmente líneas de tiempo de incidentes. Al eliminar este proceso que consume mucho tiempo, las posibles infracciones de seguridad se pueden detectar mucho más rápidamente, lo que permite a los equipos de seguridad rastrear rápidamente a los atacantes y eliminar virtualmente el tiempo de permanencia de los atacantes.
Conclusión: Analizar el comportamiento de los usuarios y entidades detecta antes las amenazas
Las regulaciones de privacidad modernas son más estrictas que nunca, lo que significa que las empresas simplemente ya no pueden darse el lujo de ser complacientes con la seguridad de los datos. Pero como las redes ahora son más grandes y están más dispersas que nunca, protegerlas con herramientas de seguridad tradicionales y análisis manual se ha vuelto poco rentable. Las nuevas tecnologías, como el análisis de comportamiento avanzado, eliminan el trabajo preliminar que consumía mucho tiempo y que requerían las herramientas más antiguas, evitando falsos positivos y ayudando a detectar amenazas reales mucho antes.
[ID de starbox = 17]