Hoy en día, los ciberdelincuentes trabajan constantemente para encontrar nuevas formas de atrapar a víctimas potenciales. Desde hacerse pasar por usuarios legítimos en línea o utilizar técnicas nuevas y emergentes para eludir los mecanismos de detección, la variedad de herramientas sofisticadas en el arsenal de los actores de amenazas continúa creciendo.
Y el momento de los ataques también es crucial. Una encuesta realizada a casi 1.000 profesionales de la seguridad encontró que el 86% de las empresas atacadas por ransomware fueron atacadas en un día festivo o fin de semana, mientras que tres cuartas partes de las víctimas de ransomware fueron atacadas durante un evento corporativo importante, como una fusión, adquisición o IPO. Está claro que los grupos de ransomware atacan fuera del horario laboral normal, buscando aprovechar las defensas organizacionales que probablemente estén inactivas o completamente fuera de línea.
Los actores de amenazas tienen paciencia para aumentar sus posibilidades de éxito
Dado que los días festivos y los fines de semana proporcionan tiempo de inactividad para la mayoría de la población activa, esto presenta un desafío importante para la mayoría de las organizaciones. Si bien la mayoría de las organizaciones administran un Centro de Operaciones de Seguridad (SOC) las 24 horas del día, los 7 días de la semana, los 365 días del año, sabemos que muchas reducen la dotación de personal del SOC durante los días festivos y los fines de semana, a menudo hasta en un 50%. Una minoría de ellos no cuenta con personal en su SOC durante estos períodos, lo que deja las puertas abiertas a los atacantes. Al dejar los SOC sin personal, las organizaciones aumentan la probabilidad de que los actores de amenazas puedan lanzar ciberataques exitosos.
Hay muchas muestras disponibles para analizar. Por ejemplo, el domingo tuvo lugar el perturbador ataque de ransomware a Transport for London. Mientras tanto, en los EE. UU., el ataque de ransomware Colonial Pipeline de 2021 se produjo durante el fin de semana del Día de la Madre. Una vez que obtienen acceso a la red de una empresa, las bandas de ransomware suelen ser pacientes y metódicas con sus estrategias de ataque, y a menudo permanecen inactivas durante semanas, consolidando su presencia. escalada de hábitos y privilegios mientras busca datos clave y aplicaciones comerciales para cifrar como parte de la extorsión. mucho
El equipo SOC no se alinea con los patrones de ataque
Desafortunadamente, el equipo SOC a menudo no se alinea con los patrones de ataque que vemos, y existen varias razones para ello. El equilibrio entre la vida personal y laboral es importante en muchas organizaciones y las empresas no sienten la necesidad de contratar personal completo, dado que la mayoría de los empleados trabajan en horarios de lunes a viernes. También existe la idea errónea de que los piratas informáticos no atacarán empresas de cierto tamaño o tipo, y muchas organizaciones se sienten seguras porque no han sido atacadas en el pasado. Además, gestionar un SOC las 24 horas del día, los 7 días de la semana, los 365 días del año es un desafío importante. Mantener una cobertura las 24 horas del día puede requerir entre 15 y 20 miembros del equipo como mínimo.
Esto crea un dilema costoso. Lo que comienza como un simple compromiso para mejorar la seguridad puede generar un enorme gasto operativo. Para reducir estos gastos, muchas organizaciones optan por recortar personal o limitar las horas de cobertura, pensando que es menos probable que las amenazas ocurran fuera del horario comercial normal. Lamentablemente, este no es el caso.
Así como los ladrones evitan las zonas diurnas bien vigiladas, los actores de amenazas también buscan llevar a cabo ataques cuando hay menos ojos mirando. Asumir que está seguro fuera del horario comercial brinda a los actores de amenazas puertas abiertas para atacar. En cambio, las organizaciones siempre deben asumir que los ataques son inminentes y asegurarse de que su SOC no tenga recursos en ningún momento. Yo lo llamo pensamiento putativo de vaca. Nunca crezcas, nunca desaparezcas, los piratas informáticos son persistentes y nunca se toman un tiempo libre.
Mejorar el enfoque en la seguridad de la identidad
No se trata sólo de tener los recursos adecuados, sino también de utilizar esos recursos de la manera más lógica y eficiente posible, centrándose en aquellas áreas que son más vulnerables o tienen el impacto potencial más significativo. Aquí, la gestión de la identidad debe tener prioridad. Hoy en día, el sistema de identidad se ha convertido en el nuevo dominio de la seguridad corporativa: el 90% de los ataques de ransomware terminan en daños al sistema de identidad.
Active Directory (AD), que constituye la base de la gestión de identidades y acceso para la gran mayoría de organizaciones en el mundo, es una vulnerabilidad particularmente común que los actores de amenazas trabajan constantemente para explotar. Como tecnología lanzada originalmente en 1999, muchas empresas ahora se enfrentan a la gestión de configuraciones de AD obsoletas y privilegios de usuario excesivos que pueden explotarse con relativa facilidad. Si a esto le sumamos el hecho de que AD a menudo carece de suficiente monitoreo y auditoría de seguridad, puede ser un desafío para las empresas detectar actividades inusuales o maliciosas con la suficiente rapidez.
Los atacantes conocen estos problemas mejor que nadie. Saben que si logran comprometer AD, obtendrán el control de las claves del reino de la organización, dándoles acceso a datos confidenciales y sistemas críticos. Lamentablemente, sin embargo, ésta es un área que generalmente parece subestimarse o ignorarse. Muchas organizaciones no tienen ningún plan de recuperación de identidad o su plan de recuperación incluye lagunas. No considerar los ataques cibernéticos, no realizar pruebas de vulnerabilidades de identidad y probar los planes de recuperación solo trimestralmente o con menos frecuencia son errores comunes que podrían resultar costosos en caso de un ataque.
¿Cuál es la solución?
Para las organizaciones, es esencial abordar estas deficiencias, garantizando que las vulnerabilidades clave, como AD, estén protegidas y que el guardia de seguridad no esté fuera de horario laboral mientras los actores de amenazas buscan aprovechar al máximo los SOC deficientes. Las empresas deben ver la seguridad como una parte central de su estrategia de resiliencia empresarial. Al igual que el riesgo de seguridad, financiero y reputacional, la seguridad puede marcar la diferencia entre una empresa sobresaliente o el colapso versus un evento catastrófico que cambie las reglas del juego.
Para lograrlo, las organizaciones deben tomar varios pasos:
- hay un plan: Empezar de cero en caso de una catástrofe no es un buen lugar. Al prepararse con antelación para posibles escenarios y revisar los protocolos periódicamente, las organizaciones pueden responder de forma más rápida y eficaz en caso de que estas situaciones se conviertan en realidad.
- Utilice los presupuestos sabiamente: No se trata necesariamente de destinar más dinero al problema. Se trata de utilizar los presupuestos que tienes de la mejor manera posible, asegurando que los recursos existentes sean probados y optimizados.
- Adoptar el ITDR: Para las organizaciones que buscan utilizar recursos limitados de manera eficiente, la detección y respuesta a amenazas de identidad (ITDR) puede ser una herramienta increíblemente útil, ya que proporciona capacidades clave como auditoría y alertas automatizadas, identificación de patrones de ataque y revertir o suspender cambios anormales de AD.
- Mejore la productividad a través de la automatización: Este soporte automatizado también puede ayudar a las organizaciones a respaldar al personal de seguridad capacitado que tienen, liberando a los ingenieros para dedicar tiempo a tareas más interesantes y de mayor valor.
Al tomar estas medidas para optimizar el rendimiento de la seguridad y aprovechar la automatización, las organizaciones pueden cerrar simultáneamente las brechas que existen hoy en día tanto en sus capacidades de seguridad de identidad como de SOC, lo que les permite protegerse, detectar, responder y recuperarse mejor de los ataques, independientemente de la cuestión de si hacen huelga el martes o el domingo.
Hemos compilado una lista del mejor software de protección de terminales.
Este artículo se produjo como parte del canal Expert Insights de TechRadarPro, donde mostramos las mejores y más brillantes mentes de la industria tecnológica actual. Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si estás interesado en donar, descubre más aquí: