Más del 50% de las solicitudes de respuesta a incidentes ocurre cuando el daño es evidente

Alrededor del 56% de las solicitudes de respuesta a incidentes (IR, por sus siglas en inglés) procesadas en 2018 por los expertos en seguridad de Kaspersky ocurrió cuando la organización afectada había experimentado un ataque que ya tenía consecuencias visibles, como transferencias de dinero no autorizadas, estaciones de trabajo cifradas por ransomware y falta de disponibilidad de servicio. El 44% de las solicitudes se procesó cuando el ataque fue detectado durante una etapa temprana, lo que ahorró al cliente consecuencias potencialmente graves. Estas son algunas de las principales conclusiones del más reciente Informe analítico de respuesta a incidentes realizado por Kaspersky.

A menudo se supone que la respuesta a incidentes solo es necesaria en los casos en que el daño de un ciberataque ya ha ocurrido y existe la necesidad de una mayor investigación. Sin embargo, el análisis de diversos casos de respuesta a incidentes en los que los especialistas de seguridad de Kaspersky participaron durante 2018, muestra que esta oferta no solo puede servir como investigación, sino también como una herramienta para detectar un ataque durante una etapa más temprana y así evitar daños.

En 2018, el 22% de los casos de IR se inició después de haber detectado una actividad potencialmente maliciosa en la red, y un 22% adicional se inició después de haberse encontrado un archivo malicioso en la red. Sin ningún otro signo de violación, ambos casos pueden sugerir que hay un ataque en curso. Sin embargo, no todos los equipos de seguridad corporativos pueden saber si las herramientas de seguridad automatizadas ya han detectado y detenido la actividad maliciosa, o si esto fue solo el comienzo de una operación maliciosa más grande e invisible en la red y será necesario contratar especialistas externos. Como resultado de una evaluación incorrecta, la actividad maliciosa se convierte en un ciberataque grave con consecuencias reales. En 2018, el 26% de los casos «tardíos» investigados fue causado por infección con malware de cifrado, mientras que el 11% de los ataques tuvo como resultado el robo de dinero. El 19% de los casos «tardíos» fue resultado de la detección de spam en una cuenta de correo electrónico corporativo, detección de indisponibilidad de servicio o detección de un ataque exitoso.

“Esta situación indica que en muchas compañías ciertamente hay margen para mejorar los métodos de detección y los procedimientos de respuesta a incidentes. Cuanto antes una organización detecte un ataque, menores serán las consecuencias. Pero de acuerdo con nuestra experiencia, a menudo las empresas no prestan la debida atención a los artefactos de los ataques graves, por lo que con frecuencia nuestro equipo de respuesta a incidentes recibe llamados cuando ya es demasiado tarde para evitar daños. Por otro lado, vemos que muchas empresas han aprendido cómo evaluar los signos de un ciberataque grave en su red y evitar lo que pudo haber sido un incidente mayor. Hacemos un llamado a las otras organizaciones para que consideren esto como un estudio de caso exitoso”, dijo Ayman Shaaban, experto en seguridad de Kaspersky.

Otras conclusiones del informe incluyen:

• Se encontró que el 81% de las organizaciones que proporcionó datos para el análisis tenían indicadores de actividad maliciosa en su red interna.

• El 34% de las organizaciones mostraba signos de un ataque dirigido avanzado.

• Se descubrió que el 54.2% de las organizaciones financieras fue atacado por un grupo o grupos de amenazas persistentes avanzadas (APT, por sus siglas en inglés).

Para responder acertadamente a los incidentes, Kaspersky recomienda:

• Asegúrese de que la empresa tenga un equipo dedicado (o un empleado al menos) responsable de los problemas de seguridad de TI en la empresa.

• Implemente sistemas de respaldo (copias de seguridad) para activos críticos.

• Para responder de manera oportuna a un ataque cibernético, combine el equipo interno de IR como primera línea de respuesta y contratistas para escalar incidentes más complejos.

• Desarrolle un plan de IR con instrucciones y procedimientos detallados para diferentes tipos de ataques cibernéticos.

• Incluya capacitación de concientización para educar a los empleados sobre la higiene digital y explicar cómo pueden reconocer y evitar correos electrónicos o enlaces potencialmente maliciosos.

• Implemente procedimientos de administración de parches para actualizar el software.

• Realice periódicamente evaluaciones de seguridad de su infraestructura de TI.