Hoy en día, los ciberdelincuentes trabajan constantemente para encontrar nuevas formas de atrapar a víctimas potenciales. Desde hacerse pasar por usuarios legítimos en una red o utilizar técnicas nuevas y en evolución para eludir los mecanismos de detección, la variedad de herramientas sofisticadas en los arsenales de los actores de amenazas continúa creciendo.
Y el momento de los ataques también es crucial. Una encuesta realizada a casi 1.000 profesionales de la seguridad encontró que el 86% de las empresas objetivo de ransomware fueron atacados en un día festivo o fin de semana, mientras que tres cuartas partes de las víctimas de ransomware sufrieron un ataque durante un evento corporativo importante, como una fusión, adquisición o IPO. Claramente, los grupos de ransomware están atacando fuera del horario comercial normal, buscando aprovechar las defensas empresariales que probablemente estén reducidas o completamente fuera de línea.
Los actores de amenazas tienen paciencia para aumentar sus posibilidades de éxito
Dado que los días festivos y los fines de semana proporcionan tiempo de inactividad para la mayoría de la población activa, esto presenta un gran desafío para la mayoría de las organizaciones. Si bien la mayoría de las organizaciones administran un centro de operaciones de seguridad (SOC) las 24 horas del día, los 7 días de la semana, los 365 días del año, sabemos que muchas reducen el personal del SOC durante los días festivos y los fines de semana, a menudo hasta en un 50%. Una minoría no cuenta con personal en su SOC durante estos períodos, lo que deja las puertas abiertas a los atacantes. Al dejar los SOC sin personal suficiente, las empresas aumentan la probabilidad de que los actores de amenazas puedan llevar a cabo ciberataques exitosos.
Hay numerosos ejemplos disponibles para diseccionar. Por ejemplo, el perturbador ataque de ransomware a Transport for London tuvo lugar un domingo. Mientras tanto, en EE. UU., el ataque de ransomware contra Colonial Pipeline en 2021 se produjo durante el fin de semana del Día de la Madre. Una vez que han obtenido acceso a la red de una empresa, las bandas de ransomware suelen ser pacientes y metódicas con sus estrategias de ataque, a menudo permaneciendo discretas durante semanas, consolidando su posición y elevando privilegios mientras exploran datos clave y aplicaciones de negocios potencialmente cifrar como parte de un complot de extorsión.
La dotación de personal del SOC no se alinea con los patrones de ataque
Desafortunadamente, la dotación de personal del SOC a menudo no se alinea con los patrones de ataque que estamos viendo, y existen varias razones para ello. El equilibrio entre la vida personal y laboral es importante en muchas organizaciones y las empresas no consideran que sea necesaria una dotación de personal completa teniendo en cuenta la mayoría empleados horarios de trabajo entre semana. También existe la idea errónea de que los piratas informáticos no atacarán empresas de cierto tamaño o tipo, y muchas organizaciones se sienten seguras porque nunca antes han sido atacadas. Además, dotar de personal a un SOC las 24 horas del día, los 7 días de la semana, los 365 días del año es un desafío importante. Mantener una cobertura las 24 horas del día puede requerir entre 15 y 20 miembros del equipo como mínimo.
Esto crea un costoso dilema. Lo que comienza como un simple compromiso para mejorar la seguridad puede convertirse en un enorme gasto operativo. Para reducir esos gastos, muchas organizaciones optan por recortar personal o limitar las horas de cobertura, pensando que es menos probable que las amenazas ocurran fuera del horario laboral normal. Desafortunadamente, ese no es el caso.
Así como los ladrones evitan las zonas diurnas bien patrulladas, los actores de amenazas también buscan llevar a cabo ataques cuando hay menos ojos mirando. Asumir que está a salvo fuera del horario de atención brinda a los actores de amenazas puertas abiertas para el ataque. En cambio, las empresas siempre deben asumir que los ataques son inminentes, asegurándose de que su SOC no carezca de recursos en ningún momento. Yo lo llamo tener una mentalidad de incumplimiento asumida. Nunca aumentan ni disminuyen, los piratas informáticos son persistentes y nunca se toman un tiempo libre.
Mejorar el enfoque en la seguridad de la identidad
No se trata sólo de disponer de los recursos adecuados, sino también de utilizarlos de la manera más lógica y eficaz posible, centrándose en aquellas áreas que son de mayor vulnerabilidad o plantean el impacto potencial más significativo. Aquí, gestión de identidad debe tener prioridad. Hoy en día, el sistema de identidad se ha convertido en el nuevo perímetro de la seguridad empresarial, y el 90 % de los ataques de ransomware acaban comprometiendo el sistema de identidad.
Directorio activo (AD), que constituye la base de la gestión de identidades y accesos para la gran mayoría de las organizaciones a nivel mundial, es una vulnerabilidad particularmente común que los actores de amenazas trabajan constantemente para explotar. Como tecnología que se lanzó originalmente en 1999, muchas empresas ahora se enfrentan a la gestión de configuraciones de AD obsoletas y privilegios de usuario excesivos que pueden explotarse con relativa facilidad. Si a esto le sumamos el hecho de que AD a menudo carece de suficiente monitoreo y auditoría de seguridad, puede ser un desafío para las empresas detectar actividades inusuales o maliciosas con la suficiente rapidez.
Los atacantes conocen estos problemas mejor que nadie. Saben que si logran comprometer AD, obtendrán el control de las claves del reino de una organización, proporcionándoles acceso a datos confidenciales y sistemas críticos. Lamentablemente, sin embargo, ésta es un área que normalmente parece subestimarse o pasarse por alto. Muchas organizaciones no tienen ningún plan de recuperación de identidad o su plan de recuperación tiene lagunas preocupantes. No tener en cuenta los ciberataques, no realizar pruebas de vulnerabilidades de identidad y probar los planes de recuperación solo trimestralmente o con menos frecuencia son errores comunes que pueden resultar costosos en caso de un ataque.
¿Cuál es la solución?
Para las empresas, es vital abordar estas deficiencias, garantizando que las vulnerabilidades clave, como AD, estén protegidas y que el guardia de seguridad no se retire fuera de horario cuando los actores de amenazas buscan aprovechar al máximo los SOC con escasez de personal. Las empresas deben ver la seguridad como una parte central de su estrategia de resiliencia empresarial. Al igual que los riesgos de seguridad, financieros y reputacionales, la seguridad puede marcar la diferencia entre una empresa que sobresale o colapsa ante un incidente catastrófico que cambia las reglas del juego.
Para lograrlo, las empresas deben seguir varios pasos:
- Tener un plan en marcha: Empezar de cero en caso de una catástrofe no es un buen lugar. Al prepararse con antelación para posibles escenarios y probar los protocolos periódicamente, las empresas pueden responder de forma más rápida y eficaz en caso de que esas situaciones se conviertan en realidad.
- Utilice los presupuestos sabiamente: No se trata necesariamente de invertir más dinero en el problema. Se trata de utilizar los presupuestos que se tienen para lograr el mayor efecto posible, garantizando que los recursos existentes sean examinados y optimizados.
- Adoptar el ITDR: Para las organizaciones que buscan utilizar recursos limitados de manera efectiva, la detección y respuesta a amenazas de identidad (ITDR) puede ser una herramienta increíblemente útil, ya que proporciona capacidades clave como auditoría y alertas automatizadas, detección de patrones de ataque y reversión o suspensión de cambios inusuales en AD.
- Mejore la productividad a través de la automatización: Este soporte automatizado también puede ayudar a las empresas a respaldar al personal de seguridad capacitado que tienen, liberando a los ingenieros para dedicar tiempo a tareas más interesantes y de mayor valor.
Al tomar estas medidas para optimizar el rendimiento de la seguridad y aprovechar la automatización, las organizaciones pueden cerrar simultáneamente las brechas que existen actualmente tanto en su dotación de personal de SOC como en sus capacidades de seguridad de identidad, lo que les permite protegerse mejor contra los ataques, identificarlos, responderles y recuperarse de ellos, independientemente de si hacen huelga un martes o un domingo.
Hemos compilado una lista del mejor software de protección de terminales.
Este artículo se produjo como parte del canal Expert Insights de TechRadarPro, donde presentamos las mejores y más brillantes mentes de la industria tecnológica actual. Las opiniones expresadas aquí son las del autor y no son necesariamente las de TechRadarPro o Future plc. Si estás interesado en contribuir, descubre más aquí: https://www.techradar.com/news/submit-your-story-to-techradar-pro
