Un informe de Intel Security revela la importancia de la denominada “Golden Hour”: el momento entre el descubrimiento de un ciberataque y su solución •  El 80% de las organizaciones achacan a la falta de arquitecturas integradas la dificultad para detectar y responder a las Ciberamenazas•  Casi un 30% de los ciberataques del 2014 fueron ataques dirigidos, los más peligrosos al tratarse de ataques silenciosos e imperceptibles

Un nuevo informe, Tackling Attack Detection and Incident Response, de Enterprise Strategy Group (ESG), encargado por Intel Security, examina las estrategias de ciberseguridad de las empresas, los entornos de los ciberataques y los actuales retos y necesidades de en materia de ciberseguridad. El estudio afirma que los profesionales de la ciberseguridad están desbordados con los continuos incidentes que se producen con cada vez mayor frecuencia en las organizaciones, con una media de 78 investigaciones al año en 2014, siendo un 28% de ellas sobre ataques dirigidos –sin lugar a dudas los más peligrosos tanto en cuanto se tratan de ataques realizados normalmente de manera silenciosa e imperceptible.. Según los profesionales de TI y de seguridad encuestados, mejores herramientas de detección y análisis y más formación sobre cómo manejar la respuesta a incidentes contribuirían a mejorar la eficiencia de los CIOs.

“Cuando se trata de la detección y respuesta a un incidente, el tiempo juega en nuestra contra” afirma Jon Oltsik, senior principal analyst en ESG, consultora que ha realizado el estudio. “Cuanto más tiempo tarde una organización en identificar, investigar y responder a un ciberataque, lo más probable es que las medidas que se tomen no sean suficientes para cerrar la brecha. Teniendo esto presente, los CISOs deberían recordar que la recopilación y tratamiento de los datos de ataque es una forma de pasar a la acción – mejorando la detección de amenazas y la eficacia de respuesta”.

Mejor Integración

Cerca del 80% de los encuestados cree que la carencia de integración, comunicación y en definitiva de interoperabilidad entre las herramientas de seguridad interfiere en su capacidad para detectar y responder ante las amenazas. Una identificación y visibilidad de estos incidentes en tiempo real es especialmente crítica para una rápida respuesta a ataques dirigidos, así, un 37% de los encuestados pide una mayor integración e interoperabilidad entre las diferentes soluciones y aplicaciones de seguridad con las que cuentan las empresas.

El dato en bruto ya no lo es todo

La simple captura de datos ya no es suficiente. Los expertos en seguridad necesitan ayuda para contextualizar los datos que recogen y entender qué comportamiento es preocupante y puede alertar sobre posibles riesgos. Esta brecha podría explicar por qué el 47% de las organizaciones afirman que determinar el impacto o el alcance de un incidente de seguridad consumía mucho tiempo.

Los expertos en seguridad entienden que necesitan ayuda para desarrollar actividades como la recopilación de volúmenes de eventos de seguridad y datos de inteligencia de amenaza, contextualizar los datos y utilizarlos para detectar incidentes. El 58% de los encuestados afirma que necesita herramientas para una mejor detección de amenazas (como herramientas de análisis dinámico y estático con inteligencia basada en cloud para analizar los archivos). El 53% afirma necesitar mejores herramientas de análisis para convertir los datos de seguridad en inteligencia práctica.

Automatización para potenciar la acción

El volumen de investigaciones, recursos y capacidades limitadas contribuyen a un fuerte deseo entre los encuestados de obtener ayuda para la detección y respuesta de incidentes. El 42% informa de que llevar a cabo acciones para minimizar el impacto de un ataque es una de las actividades que más tiempo requiere. Al 27% le gustaría disponer de un mejor análisis automático de las herramientas de inteligencia de seguridad para una comprensión más rápida y en tiempo real, mientras que el 15% quiere automatizar el proceso para que su equipo pueda atender actividades más importantes.

“Del mismo modo que los médicos deben garantizar a los pacientes una atención médica inmediata para incrementar la probabilidad de supervivencia, la industria de la seguridad debe trabajar para reducir el tiempo que lleva a las organizaciones detectar los ataques antes de que se produzca el daño” afirma Chris Young, Director general de Intel Security. “Esto requiere que nos preguntemos qué está fallando y evolucionemos en la forma en la que desarrollamos e implantamos la seguridad”.

Mejores prácticas que deben llevar a cabo los CISOs:

  • Implementar una arquitectura de ciberseguridad completamente integrada e interoperable: los CISOs deben reemplazar las herramientas individuales de seguridad por una arquitectura de seguridad integrada e interoperable. Esta estrategia mejora la capacidad de compartir información de ataques y visibilidad en el usuario, terminales, y comportamiento de red, sin olvidar una mayor eficacia y respuestas coordinadas.
  • Fijar sus estrategias de ciberseguridad con análisis, pasando del volumen al valor. Las estrategias de seguridad deben estar basadas en sólidos análisis de seguridad. Esto implica la recopilación, proceso y análisis de masivas cantidades de datos internos (flujos, paquetes, endpoint, análisis de malware dinámico / estático, inteligencia organizacional (comportamiento de usuario, empresarial…)) y datos externos (inteligencia de amenazas, notificaciones de vulnerabilidades…)
  • Automatizar la detección de incidentes y respuesta si es posible: las organizaciones deben estar al tanto de las técnicas de ataque más recientes, por lo que los CISOs deben comprometerse con la automatización de procesos como el análisis de malware avanzado, algoritmos inteligentes, aprendizaje automático y el uso de inteligencia de amenazas para comparar el comportamiento interno con indicadores de compromiso (IoCs) y tácticas, técnicas y procedimientos (TTPs) utilizados por los cibercriminales.
  • Compromiso continuo con la educación en ciberseguridad: los CISOs deben solicitar una mayor cibereducación para sus equipos, incluyendo cursos anuales que proporcionen a los profesionales un profundo entendimiento de las amenazas y mejores prácticas para una eficaz respuesta de incidentes.

Related Post