infocyte-placeholder_img

Control del tiempo de espera - Se trata de mucho más que de cumplimiento de normas

This post was last updated on junio 25th, 2019 at 08:48 am

4 principios de ciberseguridad tiempo de permanencia del atacante

Tiempo de espera, o la brecha en la detección de infracciones

Son términos de ciberseguridad que se utilizan para describir el período de tiempo que transcurre entre la ejecución del malware en un entorno y su detección. La detección puede lograrse a través de una variedad de procedimientos y soluciones de seguridad, sin embargo, parece ocurrir a menudo cuando se notifica a una empresa de una actividad bancaria sospechosa o de una violación de datos.

Las últimas semanas han hecho público un nuevo lote de víctimas - las compañías de Equifax y Deloitte a los restaurantes Sonic Drive-In han sido las últimas en sufrir. Las consecuencias de ataques exitosos más antiguos también han sido noticia, específicamente FedEx, que anunció que un ataque cibernético el pasado mes de junio que perturbó su negocio de TNT Express, mermó sus ganancias en el tercer trimestre en un tercio, por un valor aproximado de 300 millones de dólares.

El tiempo de espera y sus implicaciones

Entonces, ¿qué está pasando aquí? Las empresas invierten cantidades significativas de dinero en defensas para proteger los activos de la empresa, pero el malware y los APT siguen infringiéndose. No sólo se rompe, sino que acecha sin ser detectado durante largos períodos de tiempo. Las estadísticas no son alentadoras; según los últimos informes de M-Trend, el promedio de tiempo de permanencia global es de 99 días. Las regiones de EMEA y Asia-Pacífico están aún peor, con una media de 106 días para Europa, Oriente Medio y África, que se elevan a la asombrosa cifra de 172 días en Asia.

Estos largos tiempos de permanencia ofrecen a los atacantes una amplia oportunidad de hacer de todo, desde desviar fondos silenciosamente y acceder a información personal o de propiedad exclusiva para observar y registrar el comportamiento de los usuarios para permitir nuevas actividades ilegales. Lo más importante es que el tiempo de permanencia es el tiempo que los atacantes necesitan para detectar malware secundario, RATs, puertas traseras y otros APTs. Este tipo de movimiento lateral permite una gran cantidad de actividades perjudiciales, como acceder a otros puntos finales, escalar las credenciales y la extracción de datos.

Examinando un poco más la brecha de Deloitte, las recientes filtraciones han arrojado luz sobre algunos detalles acerca del hacker. Deloitte depende en gran medida de los certificados autofirmados para la seguridad, y en este caso, fue el servidor de certificación el que se vio comprometido, lo que llevó a que todas las cuentas de administración se vieran comprometidas. Además, las credenciales de las cuentas de los clientes se vieron comprometidas, lo que dio credibilidad a la posición de que, contrariamente a las declaraciones oficiales de la compañía, mucho más de 6 clientes se vieron afectados. Citando fuentes anónimas, The Guardian reportó que unos 350 clientes fueron afectados, incluyendo agencias del gobierno de los Estados Unidos y grandes corporaciones.

La brecha de Deloitte data del otoño de 2016, pero no fue reportada hasta septiembre de 2017. Equifax fue violada a mediados de mayo de 2017 y no fue descubierta hasta el 29 de julio de 2017. Hay una correlación en estos incidentes que es innegable, cuanto más largo sea el tiempo de permanencia, más impactante será el incumplimiento.

Grandes brechas, grandes problemas

El tiempo de espera se está convirtiendo rápidamente en una de las principales preocupaciones de seguridad para los directivos, ejecutivos y profesionales de la seguridad de TI. El tema es relevante para todas las partes e impacta a todos: es mucho más que una cuestión de cumplimiento.

Como hemos visto, las consecuencias de los incumplimientos con tiempos de permanencia prolongados incluyen la pérdida de capital, el robo de activos, la percepción negativa de los clientes, las caídas en el precio de las acciones y el impacto en las ganancias, por nombrar algunos.

Además de estas preocupaciones comerciales, el largo tiempo de permanencia se ha convertido en una cuestión jurídica recurrible. La demanda colectiva presentada contra Noodles & Co el año pasado se basaba en parte en la responsabilidad que tenía la empresa por permitir que el malware persistiera sin ser detectado durante un período de tiempo tan largo, en ese caso, el tiempo de permanencia era de aproximadamente 5 meses. La demanda fue finalmente desestimada debido a que las pérdidas incurridas por las instituciones financieras, que eran los demandantes, estaban cubiertas por contratos con VISA y MasterCard. No se abordó la cuestión de la responsabilidad subyacente fundamental. Podemos predecir que la responsabilidad se incrementará en el futuro en diferentes circunstancias legales.

Las empresas pueden perder contratos lucrativos, clientes, cuota de mercado y más si la dirección no acepta y aprecia que el tiempo de permanencia es una preocupación clave de seguridad que puede ser gestionada y controlada.

El impacto global en las empresas ha sido estudiado en un informe de investigación de 2016 realizado por el Grupo Aberdeen, que determinó que la simple limitación del tiempo de permanencia a 30 días reduce el impacto en las empresas en un 23%. Una mayor compresión del tiempo de permanencia proporciona resultados aún mejores para las empresas: cuando el tiempo de permanencia se limita a 7 días, el impacto se reduce en un 77%, y si se reduce a 1 día, prácticamente se erradica el impacto, con una reducción del 96% del impacto en las empresas.

Gestión del tiempo de espera - Por qué es la meta

A medida que las empresas maduran sus conocimientos y expectativas sobre la ciberseguridad, la nueva mejor práctica debe ser el control y la gestión del tiempo de permanencia. No es realista esperar alcanzar el 100% de seguridad utilizando soluciones defensivas; esto simplemente no funciona y no funcionará. El malware y los APT evolucionan tan rápidamente que simplemente no hay defensa que pueda proteger contra todas las amenazas existentes y futuras. Del mismo modo, no existe ninguna solución en el mercado que pueda atrapar todas las amenazas a medida que superan las defensas.

Las organizaciones con visión de futuro aceptarán que el malware va a romper sus defensas y, por lo tanto, deben adquirir la capacidad de detectar de forma proactiva e iterativa el malware utilizado por los atacantes cibernéticos exitosos.

Esto es lo que Infocyte HUNT ofrece. Utilizando encuestas de búsqueda de amenazas sin agente para escanear los puntos finales, la plataforma Infocyte ofrece a las empresas la oportunidad de controlar de forma efectiva el tiempo exacto que se permite que persista un malware desconocido. La programación de escaneos regulares, diarios, por ejemplo, da como resultado un posible tiempo de espera de 24 horas.

Esta es una meta razonable y alcanzable. No existe una solución mágica que proteja a una empresa de actores maliciosos, pero sí existe una herramienta que devuelve el control a las manos de las empresas.

Conozca más sobre las mejores prácticas de Infocyte para lograr la salud de los puntos finales y cómo Infocyte HUNT puede ayudar a las organizaciones a controlar y administrar el tiempo de permanencia.
Conozca más

Publicado en