Un informe de Kaspersky destaca el aumento en el tiempo de respuesta a incidentes de gravedad media y recomienda medidas preventivas para las organizaciones 

El equipo del Centro de Operaciones de Seguridad (SOC por sus siglas en inglés) de Kaspersky necesitó un promedio de 36 minutos para comunicar incidentes de alta gravedad, como amenazas en los sistemas de TI, un 17% menos de tiempo que en años anteriores, lo que resalta la eficiencia mejorada de la empresa en mitigar amenazas críticas.

El informe de Kaspersky presenta los resultados del análisis de incidentes MDR, problemas de ciberseguridad detectados y respondidos rápidamente por especialistas usando herramientas avanzadas, en 2023. A continuación, más detalles del análisis:

Cada año, Kaspersky elabora un informe sobre los incidentes que enfrenta su equipo del SOC. Este informe divide los incidentes en tres categorías: alta, media y baja gravedad:

• Incidentes de alta gravedad: ataques de origen humano o amenazas de malware que tienen un impacto significativo en los sistemas de TI del cliente.
• Incidentes de gravedad media: no presentan evidencias de participación humana directa en el ataque, pero pueden afectar la infraestructura del cliente sin consecuencias graves.
• Incidentes de baja gravedad: no afectan los sistemas informáticos del cliente, pero requieren la adopción de medidas de precaución.

Aunque los casos de alta gravedad han registrado una reducción en el tiempo de respuesta, los de gravedad media han registrado un aumento en el tiempo de respuesta de 30 a casi 33 minutos. Estos incidentes se refieren a ataques de malware y son los más comunes, lo que provocó un aumento general en el tiempo de respuesta.

En cuanto a la eficiencia de la respuesta, alrededor del 74% de ellos se resolvieron tras una sola alerta, lo que indica escenarios de respuesta claros y eficientes. Sin embargo, el 24% de los casos requirió de 2 a 10 alertas, necesitando la intervención de un especialista humano para resolver ataques en curso, como intentos de explotación de redes comprometidas o campañas de phishing.

Los resultados del informe muestran que solo el 2% de los incidentes involucraron más de 10 alertas. Normalmente, implican amenazas complejas que requieren una investigación exhaustiva antes de tomar medidas, o situaciones en las que el cliente optó únicamente por la monitorización.

"En América Latina, 20% de los incidentes cibernéticos se produjeron debido a violaciones de los protocolos de seguridad por parte de los empleados, y ese tipo de incidentes, en donde participa el factor humano, deben ser tratados de manera rápida y decisiva para contener los daños y evitar pérdidas financieras y de reputación para la empresa”, comenta Claudio Martinelli, director General para Américas en Kaspersky. “Por ello para la empresa es prioritario reducir el tiempo de respuesta a estos incidentes críticos. Con la protección multinivel que ofrece nuestro MDR, podemos seguir combatiendo eficazmente a los ciberdelincuentes en este escenario de amenazas en constante cambio".

En respuesta a los resultados de este informe, Kaspersky recomienda a las organizaciones:

• Realizar un inventario regular de la participación de grupos privilegiados para garantizar una gestión eficaz de privilegios y acceso.
• Implementar prácticas de caza de amenazas en combinación con la monitorización clásica basada en alertas.
• Realizar ejercicios cibernéticos para probar la eficiencia de los mecanismos de seguridad utilizados en la empresa.
• Adoptar un enfoque de seguridad en varios niveles para protegerse contra incidentes. Esto incluye una protección robusta de los endpoints, seguridad de la red e información sobre amenazas en colaboración con especialistas en ciberseguridad.
• Optar por servicios de seguridad gestionados si la empresa no cuenta con personal dedicado a la ciberseguridad. Utilice estas soluciones para obtener conocimientos especializados adicionales y cubrir todo el ciclo de gestión de incidentes, desde la identificación de amenazas hasta la protección y corrección continuas.

Origen

La frecuencia de incidentes de alta gravedad con participación humana directa superó la cifra de dos por día en 2023, según el equipo de Detección y Respuesta Gestionadas (MDR, por sus siglas en inglés) de Kaspersky. En su Informe más reciente de MDR, los analistas observaron esta tendencia en todas las industrias, con los sectores financiero, de TI, gubernamental e industrial situados en la parte superior de la lista.

El Informe anual de los analistas de Detección y respuesta gestionadas (MDR) proporciona información sobre los incidentes notificados, su naturaleza y su distribución por industria y región geográfica. También destaca las tácticas, técnicas y herramientas más comunes que los atacantes utilizaron el año pasado. Estos resultados se basan en el análisis de los incidentes de MDR detectados por el Centro de Operaciones de Seguridad (SOC) de Kaspersky.

Según el informe, el 22.9% de todos los incidentes de alta gravedad detectados se registraron en el sector gubernamental. Las empresas de TI ocuparon el segundo lugar (15.4%), seguidas de cerca por las empresas financieras e industriales, que reportaron el 14.9% y el 11.8% de los incidentes, respectivamente.

En cuanto a la naturaleza de estos incidentes, casi el 25% de ellos fueron provocados por personas. Poco más del 20% involucraron varios tipos de “ciberejercicios” que Kaspersky había clasificado previamente como ataques dirigidos, pero designados como “ciberejercicios” tras haberlos confirmado explícitamente el cliente.

El porcentaje de ataques de malware que tuvieron consecuencias graves disminuyó ligeramente en 2023 en comparación con años anteriores, y representó poco más del 12% del total de incidentes críticos reportados. Esta disminución representa la proporción más pequeña de incidentes de alta gravedad en los últimos años y puede atribuirse a la “estandarización de los ataques”. Esta tendencia refleja la adopción generalizada de herramientas que se habían desarrollado previamente para realizar campañas dirigidas y que, debido a filtraciones deliberadas o accidentales, se han vuelto comunes. Estas herramientas ahora se están reutilizando en un intento de implementar escenarios de ataque totalmente automatizados.

El informe del MDR de 2023 también encontró que la proporción de incidentes relacionados con la detección de artefactos de ataque dirigidos, vulnerabilidades críticas disponibles públicamente y el uso de ingeniería social rondaba entre un 4% y un 5%.

“En 2023, Kaspersky detectó un número menor de incidentes de alta gravedad, pero observó un aumento simultáneo en el número de incidentes de gravedad media y baja. Esta redistribución de casos se relaciona con la detección de malware sin rastros visibles de participación humana activa en los ataques, lo que puede explicarse por la “mercantilización de las herramientas”. Sin embargo, es importante comprender que el bajo número de incidentes de alta gravedad no necesariamente indica que los daños son bajos. Los ataques dirigidos se planifican ahora con más cuidado y se vuelven más peligrosos. Por lo tanto, recomendamos el uso de soluciones de ciberseguridad automatizadas y eficaces que se gestionen con la ayuda de analistas de SOC experimentados”, comenta Sergey Soldatov, jefe del Centro de Operaciones de Seguridad de Kaspersky.

Para mejorar la protección de su empresa contra ataques avanzados, los expertos de Kaspersky recomiendan implementar soluciones de ciberseguridad efectivas y contratar profesionales calificados para gestionarlas o adoptar servicios de seguridad gestionados, como Managed Detection and Response (MDR) e Incident Response. (Estos productos abarcan todo el ciclo de gestión de incidentes, desde la identificación de amenazas hasta la protección y remediación continua. Estos servicios ayudarán a proteger contra ataques cibernéticos evasivos, a investigar incidentes y brindar experiencia adicional, incluso si la empresa carece de trabajadores de seguridad.

El Informe completo para 2023 de los analistas de Kaspersky en respuesta y detección gestionada está disponible a través de este enlace.

Origen

Más de la mitad de los altos directivos en América Latina (55%) admite que una mala comunicación con sus equipos de TI y ciberseguridad ha provocado al menos un ciberincidente en sus organizaciones. Así lo afirma el 58% de argentinos y colombianos, el 55% de chilenos y peruanos, el 53% de brasileños y el 52% de mexicanos. Para un tercio de los ejecutivos (30%) de la región, esto genera la sensación de que la cooperación entre equipos disminuye, mientras que el 27% afirma que cuando la comunicación con los empleados de seguridad informática no es clara, se cuestionan las habilidades y capacidades de sus compañeros.

Un reciente informe de Forrester Analytics indica que las empresas gastan en promedio 37 días y alrededor de dos millones de dólares para detectar una brecha de ciberseguridad y recuperarse de ella. El éxito de la estrategia de ciberseguridad de una organización depende de distintos factores, entre ellos, la coordinación adecuada y oportuna entre el C-Level y los equipos de TI. Por eso, con el objetivo de identificar en qué medida el entendimiento entre ejecutivos y equipos de seguridad afecta a la ciberresiliencia empresarial, Kaspersky realizó una encuesta a más de 1,300 líderes de negocios de todo el mundo.

De acuerdo con el análisis, el 99% de los encuestados en América Latina que no están relacionados con el sector TI reconoció una falta de comunicación en cuanto a temas de seguridad informática. Las principales consecuencias son retrasos en los proyectos (66%) e incidentes de ciberseguridad (62%).

Uno de cada tres encuestados asegura, incluso, haberse encontrado con estos problemas más de una vez (29% con retrasos y 22% con ciberincidentes). Otros efectos negativos son el malgasto del presupuesto (55%), la pérdida del talento (58%) y el deterioro de las relaciones entre los equipos (58%), situaciones que se dieron en el (57%) de los encuestados.

Además de afectar a los indicadores de negocio, la falta de claridad en la comunicación con los empleados de seguridad informática afecta al estado emocional del equipo y provoca que los ejecutivos cuestionen sus habilidades y capacidades. De igual forma, el 24% de los directivos admite que los malentendidos les hacen perder la confianza en la seguridad de la empresa, mientras el 20% considera que es algo que les pone nerviosos y afecta a su rendimiento laboral.

"Una comunicación clara entre los directivos de la empresa y el equipo de seguridad TI es un requisito para la seguridad corporativa", asegura Alexey Vovk, director de Seguridad de la Información de Kaspersky. "El reto es ponerse en el lugar de los demás, anticiparse y evitar los malentendidos. Esto supone que, por un lado, el CISO debería conocer el lenguaje empresarial básico para explicar mejor los riesgos existentes y la necesidad de tomar medidas de seguridad. Por otro lado, las empresas deben entender que la seguridad de la información en el siglo XXI es una parte integral del negocio y que se debe destinar un presupuesto para proteger los activos de la empresa".

Para conseguir una comunicación más fluida entre los departamentos de seguridad TI y la parte de negocio, Kaspersky recomienda:

• Comprender a los profesionales de otro ámbito no solo requiere de empatía, sino también un conocimiento adicional. Los empleados de seguridad TI pueden aprender más sobre la terminología y los conceptos empresariales básicos a través de cursos de formación. Por su parte, los directivos deben ponerse en el lugar de los CISOs para conocer los retos más relevantes de ciberseguridad.
• Tanto los responsables de TI como los que no lo son deben crear un ‘círculo informativo’ profesional. Se debe estar atento tanto a la agenda y la actualidad empresarial como a lo que sucede en el mundo de la ciberseguridad. Es algo clave para que haya éxito en la comunicación y el entendimiento mutuo.
• Los expertos en ciberseguridad deben utilizar siempre argumentos comprensibles para comunicar sus necesidades a la junta directiva y justificar así el presupuesto en ciberseguridad. Se debe utilizar información sobre las amenazas y las medidas de seguridad más relevantes, según el sector de actividad y el tamaño de la empresa, con el fin de mostrar las probabilidades que existen de estar expuesto a riesgos y cuáles son las medidas de protección más oportunas.
• Hoy en día, las ciberamenazas son cada vez más relevantes y las empresas se ven obligadas a aumentar el presupuesto en seguridad. Por ello, es muy importante destinar las inversiones a herramientas eficaces, que demuestren de forma sencilla el retorno de la inversión. Esto supone contratar soluciones que reduzcan las falsas alarmas, acorten el tiempo de detección de los ataques y también el tiempo dedicado a cada uno de ellos, aspectos muy importantes para cualquier equipo de seguridad TI.

El informe completo y otras claves sobre la comunicación entre el nivel directivo y los equipos de seguridad TI se encuentran disponibles en este enlace.

Origen