La investigación demuestra que los atacantes pasan un promedio de 200 días dentro de una red antes de ser erradicados. Es escalofriante imaginar todo el daño que podría causar un atacante en ese período de tiempo.
Los profesionales de seguridad de TI y los ejecutivos al mando de las empresas desean mantener a los atacantes fuera de sus redes y sistemas. Sin embargo este plan puede ser difícil de ejecutar. La realidad es que las fugas de datos existen y los ataques provienen tanto desde adentro como desde afuera de la compañía.
Los datos son alarmantes: según un informe de investigaciones sobre fugas de datos de 2015, hubo más de 79,790 incidentes de seguridad en el año 2014. Aún con las mejores defensas cibernéticas, debido a fallas humanas, es razonable suponer que los atacantes pueden entrar a la red de una empresa.
En el whitepaper: Tiempo de permanencia y movimiento lateral de los ataques cibernéticos, Forcepoint examina a fondo esta nueva hipótesis de seguridad y brinda una guía sobre cómo pueden protegerse las empresas contra amenazas internas y externas.
Si la fuga de datos es inevitable, ¿qué se debe hacer entonces? La respuesta debe orientarse hacia la detección y reducción del «tiempo de permanencia» de un atacante dentro de la red. Cuando vienen de afuera los atacantes imitarán a los empleados y por eso se deben identificar las vías de ataque que siguen dentro de la red, conocidas como movimiento lateral. Esto brindará información clave sobre la intención y el impacto potencial de una fuga. Lo más importante es limitar la duración de la fuga para reducir el daño.
El objetivo principal del envío de malware normalmente no es extraer la mayor cantidad de información intelectual posible, sino establecer una puerta de entrada a los entornos que los atacantes no controlan. Ese sistema infiltrado es ideal para comenzar el proceso de movimiento lateral.
En muchos casos, los atacantes van en busca de las credenciales de una persona, lo que les permite moverse en la red aparentando ser un usuario legítimo. Es esencial comprender en dónde y cómo ocurre esto ya que brinda información sobre la intención y el impacto potencial de un ataque.
Las empresas deben comprender que habrá fugas y que la prevención, aunque es muy necesaria, no puede ser su única táctica de seguridad. También es primordial enfocarse en la contención para identificar y controlar a un atacante lo antes posible. El objetivo es evitar que provoquen estragos y obtengan bienes importantes de la empresa.
La investigación demuestra que los atacantes pasan un promedio de 200 días dentro de una red antes de ser erradicados. Es escalofriante imaginar todo el daño que podría causar un atacante en ese período de tiempo. Si los atacantes pueden ser contenidos en menos tiempo agotarán sus recursos para obtener lo que desean.
A continuación se detallan cinco prácticas que ayudarán a las organizaciones a reducir el tiempo de permanencia de un ataque cibernético mediante la detección, la contención y el control de las amenazas cibernéticas.
- Controles de seguridad. Al implementar controles fundamentales de seguridad –como la aplicación regular de parches, el acceso administrativo restringido, la autenticación y la segmentación de la red– el atacante se verá obligado a invertir mayores recursos para encontrar una manera de ingresar.
- Visibilidad granular e inteligencia correlacionada. Las empresas deben implementar funcionalidades de control de redes como Netflow y recolectar registros de cualquier dispositivo que capte el uso de identidad. Esto les permite crear indicadores relacionados con el robo de identidad, la pérdida de datos y la actividad anormal.
- Monitoreo continuo de dispositivos finales. Con el monitoreo continuo de dispositivos, las organizaciones pueden tener una percepción aguda de las personas, los procesos y las máquinas para generar políticas de operación casi en tiempo real.
- Predicción demostrable del comportamiento humano. La predicción del comportamiento le permite a las empresas anticipar los movimientos que podría hacer un atacante para tener acceso a blancos de alto valor. Al comprender la ruta anterior de un atacante los profesionales de seguridad pueden predecir su ruta futura.
- Reconocimiento del usuario. Es imperativo que las organizaciones eduquen a sus empleados no solo sobre las políticas corporativas y los mandatos gubernamentales, sino también sobre el creciente riesgo que representan las amenazas avanzadas para la organización. Al implementar programas educativos formales, los profesionales de seguridad obtienen un mayor respaldo de los usuarios finales, lo que aumenta la probabilidad de cambiar el comportamiento riesgoso.
Al implementar estas prácticas para reducir la permanencia de una amenaza, los atacantes pueden regresar, pero se darán cuenta de que sus esfuerzos son demasiado costosos y tienen poco retorno de inversión. Entonces se irán en busca de una empresa menos protegida.
