Sophos ha anunciado los resultados de su estudio global ‘Siete Verdades Incómodas de la Seguridad para Endpoints’, en el que se desvela que los directores de TI suelen detectar a la mayoría de los cibercriminales sobre todo en sus servidores y redes empresariales. De hecho, los responsables de TI descubrieron el 37% de sus ciberataques más importantes en los servidores de su empresa y otro 37% en sus redes. Solamente un 17% fue descubierto en endpoints y un 10% en dispositivos móviles. El estudio se ha llevado a cabo a nivel mundial entre más de 3.100 responsables de TI de empresas de mediano tamaño y en 12 países de diferentes continentes entre los que se incluyen; Estados Unidos, Canadá, México, Colombia, Brasil, Reino Unido, Francia, Alemania, Australia, Japón, India y Sudáfrica.
Según el estudio, el 20% de los administradores de TI que fueron víctimas de uno o más ciberataques el año pasado no son capaces de identificar cómo accedieron los atacantes, y el 17% no saben cuánto tiempo pasaron en su entorno antes de detectarlas. Para mejorar esta falta de visibilidad, los administradores de TI necesitan una tecnología de detección y respuesta para endpoints (EDR) que exponga los puntos de inicio de amenazas y las huellas digitales de los atacantes que se mueven lateralmente a través de una red.
La mayoría de los ciberdelincuentes son detectados en el servidor (37%) o en la red (37%), mientras que en 17% son descubiertos en endpoints y un 10% en dispositivos móviles
Los equipos de TI tienen poca visibilidad del tiempo de permanencia del atacante. De media, las empresas reconocieron tardar unas 13 horas en detectar el ciberataque más significativo del año pasado. El tiempo que se tarda en detectar las amenazas varía de un país a otro: Australia, Brasil y Canadá son los más rápidos, con una media de 10 horas, mientras que, en el extremo opuesto, los equipos de TI japoneses tardan una media de 17 horas. Además, las empresas que investigan uno o más posibles incidentes de seguridad cada mes pasan 48 días al año (cuatro días al mes) investigándolos. No sorprende que los directores de TI califiquen la identificación de eventos sospechosos (27%), la administración de alertas (18%) y la priorización de eventos sospechosos (13%) como las tres funcionalidades principales que necesitan las soluciones EDR para reducir el tiempo necesario para identificar y responder a las alertas de seguridad.
De media, las empresas dedican hasta 48 días al año (cuatro días al mes) a la investigación de incidentes de ciberseguridad
El 57% de los encuestados señaló que planeaba implementar una solución EDR en los próximos 12 meses. Según el estudio, el 80% de los responsables de TI desearían tener un equipo de seguridad más fuerte.
Cómo puede ayudar la tecnología EDR
“Si los administradores de TI no conocen el origen o el movimiento de un ataque, entonces no pueden minimizar el riesgo e interrumpir la cadena de ataques para evitar una mayor infiltración”, dice Ricardo Maté, director general de Sophos para España y Portugal. “La tecnología EDR (Endpoint Detection and Response) ayuda a los administradores de TI a identificar el riesgo y establecer un proceso para las empresas en ambos extremos del modelo de madurez de seguridad. Si TI está más enfocado en la detección, la EDR puede encontrar, bloquear y arreglar más rápidamente; Si TI aún está construyendo una base de seguridad”.
“La mayoría de los ciberataques del estilo ‘spray and pray’ se pueden detener en segundos en los endpoints sin causar alarma. Los atacantes persistentes, incluidos los que ejecutan ransomware dirigido, como SamSam, se toman el tiempo que sea necesario para violar un sistema al encontrar contraseñas elegibles y mal escogidas en sistemas de evaluación remota (RDP, VNC, VPN, etc.), estableciendo una posición estable y moviéndose de forma silenciosa hasta que el daño ya está hecho”, señala Maté.