Las brechas en la telemetría disminuyen la visibilidad tan necesaria en las redes y sistemas de las empresas, especialmente porque el tiempo de permanencia del atacante (el que transcurre desde el acceso inicial hasta la detección) continúa disminuyendo, acortando el tiempo que los responsables de seguridad tienen para responder eficazmente a un incidente.
Así lo destaca Sophos en su informe Active Adversary Report for Security Practitioners durante el Sophos Day 2023, celebrado ayer en el Museo Reina Sofía ante más de 400 asistentes. El informe destaca que los atacantes están desactivando o eliminando intencionadamente los registros de telemetría, que incluyen todos los datos y registros de movimientos dentro de la red, con el objetivo de ocultar sus huellas.
«El tiempo es crítico cuando se responde a una amenaza activa. El tiempo entre la detección del acceso inicial y la mitigación completa de la amenaza debe ser lo más corto posible. Cuanto más avance el atacante y menos telemetría haya disponible, más dificultad y tiempo necesitarán los equipos de seguridad para mitigar el ataque. Estamos viendo que los atacantes van cada vez más rápidos, aunque no están cambiando sus técnicas porque les siguen funcionando”, comenta John Shier, CTO Field de Sophos.
¿Cómo están actuando los ciberatacantes?
El informe Sophos Active Adversary Report, basado en 232 casos reales realizados por el equipo de Respuesta a Incidentes (IR) de Sophos en 25 sectores desde el 1 de enero de 2022 hasta el 30 de junio de 2023, revela las tendencias en el comportamiento de los ciberdelincuentes:
Los expertos de Sophos clasifican los ataques de ransomware en el informe en:
- “Ataques rápidos” – con un tiempo de permanencia de los atacantes en la red de la víctima inferior o igual a cinco días, que representan el 38% de los ataques estudiados
- “Ataques lentos” – con un tiempo de permanencia superior a 5 días, lo que ocurre en la mayoría (62%) de los casos analizados
- En cuanto a las herramientas, técnicas y binarios «living-off-the-land» (LOLBins) que desplegaron los atacantes, no hay mucha variación entre ataques rápidos y lentos. Esto sugiere que no es necesario reinventar las estrategias defensivas para frenar esos ataques, aunque los ataques rápidos y la falta de telemetría puede obstaculizar enormemente los tiempos de respuesta, y, en consecuencia, conllevar más destrucción
- El tiempo de permanencia, desde el inicio de un ataque hasta que se detecta, continúa reduciéndose, situándose en 8 días en la primera mitad de 2023. En 2022, el tiempo medio de permanencia disminuyó de 15 a 10 días
- Los atacantes tardan menos de un día, aproximadamente 16 horas, en llegar a Active Directory (AD), el activo más importante de las empresas. AD normalmente gestiona la identidad y el acceso a los recursos en toda una organización, lo que significa que los atacantes pueden utilizar AD para escalar fácilmente sus privilegios en un sistema y llevar a cabo una amplia gama de actividades maliciosas
- La gran mayoría de los ataques de ransomware se producen fuera del horario laboral. Casi la mitad (43%) de los ataques de ransomware se detectaron el viernes o el sábado.
En los ataques analizados por Sophos en los que faltaba telemetría, los ciberdelincuentes desactivaron o borraron los registros para ocultar su rastro en el 82% de las ocasiones
Una nueva experiencia de ciberseguridad, entregada como servicio, en el corazón del Sophos Day 2023
En un evento global que reunió a clientes, socios, medios y expertos en ciberseguridad, Sophos abordó la complejidad actual del panorama de ciberseguridad. Destacando la creciente dificultad para que las empresas enfrenten las amenazas con herramientas efectivas, la empresa propone la ciberseguridad como servicio y su completo conjunto de Managed Detection and Response (MDR). Esta solución proporciona supervisión y capacidad de reacción las 24 horas, los 7 días de la semana, permitiendo a empresas de todos los tamaños y sectores implementar una seguridad sólida.
La jornada incluyó presentaciones sobre la ciberseguridad como servicio, resultados del Active Adversary Report, y claves del comportamiento de los atacantes por parte de los expertos de Sophos. Además, se presentaron las últimas tecnologías en MDR, XDR, Firewall y ZTNA para fortalecer el portfolio de Sophos y abordar las nuevas amenazas. También se llevó a cabo una mesa redonda donde expertos debatieron sobre las amenazas, necesidades y estrategias actuales en ciberseguridad.
Con respecto a cómo poder estar mejor preparados ante las amenazas, Maté comentó, “La única solución es avanzar hacia la ciberseguridad como servicio. Todas las organizaciones están evolucionando hacia servicios de ciberseguridad gestionada y creemos que ese es el camino.” Además, añade que “poder incorporar telemetría garantiza que las soluciones de ciberseguridad sean extensibles y completas, ya que supone un valor diferencial a la hora de detectar, mitigar y responder.”