Las empresas mejoran la detección de amenazas pero …



Además, más terceros están descubriendo los ataques en lugar de las propias empresas.

Las organizaciones detectan más rápidamente a los atacantes en sus redes y sistemas, pero la mayoría de los ataques aún los encuentran terceros y no grupos de seguridad internos.

En 2019, las empresas necesitaron 56 días, en promedio, para detectar a un atacante en sus redes, en comparación con 78 días en 2018, afirmó FireEye Mandiant en su informe «M-Trends 2020», publicado hoy. Si bien la mejora se debe en parte a que las empresas gastan más esfuerzo y recursos en detectar amenazas y responder a incidentes, gran parte del ímpetu para mejorar se debe a una segunda tendencia identificada en el informe: los atacantes están tomando medidas más rápidamente una vez dentro de la crimson de una víctima, y a menudo la acción es destructiva, dice Charles Carmakal, vicepresidente de consultoría y director de tecnología de FireEye Mandiant.

«Desafortunadamente, estamos viendo muchas más amenazas disruptivas», dice. «Estamos viendo mucho más ransomware por ahí, y los operadores de ransomware se están implementando en días o semanas, ejecutándose en un marco de tiempo mucho más corto que las amenazas de tipo espionaje».

En standard, el 43% de los ataques tienen un elemento destructivo, según la compañía.

Los resultados indican que, si bien las organizaciones están mejorando en la detección de amenazas, los atacantes también se han vuelto más ágiles.

Los grupos detrás de los ataques, por ejemplo, se están expandiendo más allá de solo atacar los sistemas Home windows. En 2019, 274 de las 1.268 familias de malware rastreadas por FireEye, el 22% del whole, se dirigieron al sistema operativo Linux o Mac OS. Siete de cada 10 muestras de malware encontradas pertenecían a las cinco principales familias de malware, que se basan en herramientas de código abierto y en desarrollo activo, afirmó la compañía en el informe. Alrededor del 41% de las familias de malware encontradas por FireEye eran previamente desconocidas.

«Los atacantes continúan siendo más expertos en trabajar en una amplia gama de sistemas operativos y tipos de dispositivos, así como en arquitecturas locales y en la nube». el informe declaró. «Las barreras tradicionales para el éxito del atacante continúan disminuyendo con el tiempo. En pocas palabras, más atacantes pueden hacer más cosas en entornos más diversos».

Si bien el tiempo basic entre el compromiso de una red y la detección del ataque mostró una mejora, el porcentaje de ataques descubiertos por los empleados de la compañía, en comparación con terceros externos, disminuyó al 47% en 2019, lo que demuestra que las empresas deben centrarse más en su propia seguridad En 2017, la detección interna de amenazas alcanzó el 62%.

Las organizaciones con sede en las Américas tuvieron el mejor éxito, con un 52% detectando amenazas internamente en lugar de depender de terceros, mientras que la región de Asia y el Pacífico dependía mucho más de terceros, con casi tres cuartos de los ataques descubiertos por fuentes externas.

Los datos sobre detección de amenazas varían ampliamente. La empresa de ciberseguridad CrowdStrike, por ejemplo, ve a las compañías detectar ataques más rápidamente descubrió que la organización promedio tarda cinco días en detectar un ataque y un poco menos de siete días para contener una violación. Mientras tanto, un informe de Trustwave descubrió que las empresas detectaron ataques dentro de los 14 días en 2018, en comparación con los 26 días del año anterior.

Las diferencias en las estimaciones del llamado «tiempo de permanencia» podrían deberse al enfoque de la empresa que recopila los datos. FireEye Mandiant se enfoca en la respuesta a incidentes, ayudando a las compañías que ya han sido violadas, mientras que Trustwave y CrowdStrike buscan prevenir de manera proactiva las violaciones y detectar ataques.

La compañía rastreó 1.268 familias de malware en 2019, el 41% de las cuales eran nuevas. Mientras que la gran mayoría de los programas maliciosos apuntaban a los sistemas Home windows, 208 apuntaban o podían afectar los sistemas Linux y 66 apuntaban o podían afectar los sistemas Mac.

El enfoque de los atacantes en el ransomware y otros ataques disruptivos aumenta las apuestas para las organizaciones. Si bien muchas compañías están preparadas para recuperarse de tales ataques, la copia de seguridad de los datos es una prioridad, muchas aún pagan rescates para acelerar la recuperación, dice Carmakal.

«La suposición es que cuando las víctimas pagan, lo hacen porque no han hecho buenos respaldos, pero ese no es el caso», dice. «Hay muchas organizaciones que tienen excelentes copias de seguridad. Pero si tiene tantos sistemas desconectados en cuestión de minutos u horas, y tiene que recuperar tantos servidores en su entorno, la cantidad de tiempo de inactividad puede ser excesiva».

Carmakal se negó a decir cuántos incidentes de ransomware, o en qué fracción, resultaron en que la víctima pagara un rescate.

contenido relacionado

Revisa El borde, La nueva sección de Dark Examining para características, datos de amenazas y perspectivas en profundidad. La historia principal de hoy: «8 cosas que los usuarios hacen que hacen que los profesionales de seguridad sean miserables«.

Periodista de tecnología veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET News.com, Dark Looking at, MIT&#39s Know-how Critique, Well known Science y Wired News. Cinco premios para el periodismo, incluyendo Mejor fecha límite … Ver biografía completa

Más concepts





Enlace a la noticia original