Los ciberdelincuentes actuales encuentran constantemente nuevas formas de aprovecharse de víctimas potenciales. Desde disfrazarse de usuarios legítimos de la red o utilizar técnicas nuevas y sofisticadas para eludir los mecanismos de detección, el conjunto de herramientas en evolución en los arsenales de los actores de amenazas continúa creciendo.
El momento de los ataques también es crucial. Una encuesta realizada a casi 1.000 profesionales de la seguridad encontró que el 86% de las empresas son objeto de ransomware Fueron atacados durante un día festivo o un fin de semana, mientras que tres cuartas partes de las víctimas de ransomware fueron atacadas durante un evento importante de la empresa, como una fusión, adquisición o IPO. Obviamente, los grupos de ransomware atacan fuera del horario laboral normal, buscando aprovechar las defensas de una organización que probablemente estén inactivas o completamente fuera de línea.
Los actores de amenazas tienen paciencia para aumentar sus posibilidades de éxito
Dado que los días festivos y los fines de semana suponen tiempo de inactividad para la mayoría de los trabajadores, suponen un gran desafío para la mayoría de las organizaciones. Si bien la mayoría de las organizaciones operan un Centro de Operaciones de Seguridad (SOC) 24 horas al día, 7 días a la semana, 365 días al año, sabemos que muchas reducen la dotación de personal del SOC durante los días festivos y fines de semana, a menudo hasta en un 50 %. Una minoría no cuenta con personal en su centro de operaciones de seguridad durante estos períodos, lo que deja las puertas abiertas a los atacantes. Al dejar los centros de operaciones de seguridad sin suficiente personal, las empresas aumentan la probabilidad de que los actores de amenazas puedan llevar a cabo ataques cibernéticos exitosos.
Hay muchos ejemplos disponibles para la disección. Por ejemplo, el domingo se produjo un ataque de ransomware en Transport for London. Mientras tanto, en EE. UU., se produjo un ataque de ransomware contra Colonial Pipeline en 2021 durante el fin de semana del Día de la Madre. Una vez que obtienen acceso a una red corporativa, las bandas de ransomware suelen ser pacientes y metódicas en sus estrategias de ataque, a menudo permanecen ocultas durante semanas, fortalecen su posición y aumentan los privilegios a medida que exploran datos clave y Aplicaciones empresariales Por posible cifrado como parte de un complot de extorsión.
El personal del Centro de Operaciones de Seguridad (SOC) no es consistente con los patrones de ataque
Desafortunadamente, el personal del SOC a menudo no se mantiene al día con los patrones de ataque que vemos y existen varias razones para ello. El equilibrio entre la vida personal y laboral es importante en muchas organizaciones y empresas, y en la mayoría de ellas el pleno empleo no se considera necesario. empleados Horarios de trabajo durante los días laborables. También existe la idea errónea de que los piratas informáticos no atacarán empresas de cierto tamaño o tipo, y muchas organizaciones se sienten seguras porque nunca antes han sido atacadas. Además, nombrar un SOC 24 horas al día, 7 días a la semana, 365 días al año es un gran desafío. Mantener una cobertura las 24 horas del día puede requerir un mínimo de entre 15 y 20 miembros del equipo.
Esto crea un costoso dilema. Lo que comienza como un simple compromiso para mejorar la seguridad puede convertirse en un enorme gasto operativo. Para reducir estos gastos, muchas organizaciones optan por reducir la carga de trabajo reduciendo la plantilla o limitando las horas de cobertura, creyendo que es menos probable que las amenazas ocurran fuera del horario comercial normal. Lamentablemente, este no es el caso.
Así como los ladrones evitan las zonas diurnas bien vigiladas, los actores de amenazas también buscan llevar a cabo ataques cuando hay menos ojos mirando. Asumir que está seguro fuera del horario comercial brinda a los actores de amenazas puertas abiertas para atacar. En cambio, las empresas siempre deben asumir que los ataques son inminentes, garantizando que a su centro de operaciones de seguridad nunca le falten recursos en ningún momento. Yo lo llamo tener una mentalidad de incumplimiento asumida. Los piratas, que nunca crecen ni disminuyen, son persistentes y nunca se toman vacaciones.
Mejorar el enfoque en la seguridad de la identidad
No se trata sólo de proporcionar los recursos adecuados, sino también de utilizar esos recursos de la manera más lógica y eficaz posible, centrándose en las áreas que corren mayor riesgo o plantean el mayor impacto potencial. aquí, Gestión de identidad Debes tener prioridad. Hoy en día, el sistema de identidad se ha convertido en el nuevo perímetro de la seguridad empresarial: el 90 % de los ataques de ransomware terminan comprometiendo el sistema de identidad.
directorio activo AD, que subyace a la gestión de identidades y accesos para la gran mayoría de organizaciones a nivel mundial, es una vulnerabilidad particularmente común que los actores de amenazas explotan constantemente. Como tecnología lanzada originalmente en 1999, muchas empresas ahora se enfrentan a la gestión de configuraciones de anuncios obsoletas y privilegios de usuario excesivos que pueden explotarse con relativa facilidad. A esto se suma el hecho de que AD a menudo carece de supervisión y auditoría de seguridad adecuadas, y puede resultar difícil para las empresas detectar actividades inusuales o maliciosas con la suficiente rapidez.
Los atacantes conocen estos problemas mejor que nadie. Saben que si pueden piratear AD con éxito, podrán controlar las claves del reino de la organización, proporcionándoles acceso a datos confidenciales y sistemas importantes. Sin embargo, desafortunadamente, este campo a menudo parece subestimarse o pasarse por alto. Muchas organizaciones no tienen ningún plan de recuperación de identidad o su plan de recuperación tiene vulnerabilidades preocupantes. No tener en cuenta los ciberataques, no realizar pruebas de vulnerabilidades de identidad y probar los planes de recuperación solo trimestralmente o con menos frecuencia son errores comunes que pueden resultar costosos en caso de un ataque.
¿Cuál es la solución?
Para las organizaciones, es imperativo abordar estas deficiencias, garantizar que las vulnerabilidades clave como AD estén protegidas y que el guardia de seguridad no se quede fuera de horas cuando los actores de amenazas buscan aprovechar al máximo los Centros de Operaciones de Seguridad (SOC) con poco personal. Las empresas deberían ver la seguridad como una parte clave de su estrategia de resiliencia empresarial. Al igual que los riesgos de seguridad, los riesgos financieros y los riesgos reputacionales, la seguridad puede marcar la diferencia entre una organización que sobresale o colapsa ante un incidente catastrófico que cambia las reglas del juego.
Para lograrlo, hay varios pasos que las empresas deben dar:
- Tener un plan en marchaEmpezar de cero en caso de desastre no es el lugar adecuado. Al prepararse con anticipación para escenarios potenciales y probar los protocolos de manera regular, las empresas pueden responder de manera más rápida y efectiva si esas situaciones se vuelven realidad.
- Utilice los presupuestos sabiamente: No se trata necesariamente de gastar más dinero en el problema. Se trata de utilizar los presupuestos disponibles para lograr el máximo impacto, garantizando que los recursos existentes se examinen y optimicen.
- Acreditación del ITDR: Para las organizaciones que buscan utilizar recursos limitados de manera efectiva, la Detección y respuesta a amenazas de identidad (ITDR) puede ser una herramienta increíblemente útil, ya que proporciona capacidades clave como auditoría y alertas automatizadas, detección de patrones de ataque y reversión o suspensión de cambios inusuales en AD.
- Aumente la productividad a través de la automatización: Este soporte automatizado también puede ayudar a las organizaciones a reforzar su personal de seguridad capacitado existente, liberando a los ingenieros para dedicar tiempo a tareas más interesantes y de mayor valor.
Al tomar estas medidas para mejorar el rendimiento de la seguridad y aprovechar la automatización, las organizaciones pueden cerrar simultáneamente las brechas existentes tanto en la dotación de personal del centro de operaciones de seguridad (SOC) como en las capacidades de seguridad de la identidad, lo que les permite protegerse mejor, identificar, responder y recuperarse de los ataques, independientemente. de si llegan el martes o el domingo.
Hemos compilado una lista del mejor software de protección de terminales.
Este artículo se produjo como parte del canal Expert Insights de TechRadarPro, donde mostramos las mejores y más brillantes mentes de la industria tecnológica actual. Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí: https://www.techradar.com/news/submit-your-story-to-techradar-pro