Nuevas amenazas, nueva mentalidad:
estar preparado para los riesgos
en un mundo de ataques complejos
Cómo abordar los desafíos de respuesta a incidentes
Introducción
Este año, los informes trimestrales sobre amenazas de Kaspersky Lab señalaron desarrollos importantes en el mundo de los ataques avanzados y los brotes epidémicos, con los infames ataques de WannaCry y ExPetr dominando los titulares de todo el mundo. Actualmente, además de tener que lidiar con la avalancha casi constante de malware tradicional, las empresas también corren el riesgo de enfrentarse a amenazas más sofisticadas que, por lo general, involucran malware sin archivos, ransomware, actividades de reconocimiento y técnicas de ingeniería social. Dichos ingeniosos ataques generalmente son operaciones multicapa que incluso pueden no involucrar malware en absoluto, lo que les permite pasar fácilmente desapercibidos a través de soluciones de protección endpoint, lo que deja a las empresas con una falsa sensación de seguridad cuando los delincuentes informáticos no dejan pistas o destruyen casi todos los rastros de su actividad.
Aparentemente, los endpoints todavía son el principal punto de entrada para los atacantes, por l que las estrategias tradicionales de prevención utilizadas por las empresas ya no son adecuadas. Con las brechas de seguridad siendo actualmente una cuestión de “cuándo”, y no de “si acaso”, las empresas necesitan reconsiderar su enfoque respecto a la gestión de la seguridad corporativa, enfocándose más en la supervisión y el análisis “siempre activos” y haciendo uso de threat intelligence, así como también reduciendo las consecuencias de los incidentes. Actualmente para las empresas es imposible reparar y bloquear todo, lo que significa que se deben establecer marcos que permitan la investigación constante y la evaluación regular para garantizar que las estrategias de respuesta estén actualizadas. Por lo tanto, la ciberseguridad ya no es un destino, sino un viaje constante.
En dicho entorno, la respuesta a incidentes se vuelve un proceso organizativo complejo que requiere estrategia, tecnologías de seguridad cibernética avanzadas y aportes de muchas personas dentro de la organización. Requiere de un enfoque rápido y eficiente para evaluar el inmenso volumen de datos de seguridad generados por el presente panorama de amenazas que evoluciona rápidamente. Los días en que se podía responder manualmente a las alertas y generar un panorama completo de la seguridad se han ido, lo que causó un problema de “millones de alertas” para los departamentos de seguridad TI. Junto con una escasez de habilidades en toda la industria, esto puede hacer que los equipos de seguridad desbordados pierdan los indicadores de incidentes más cruciales mientras los atacantes pasan desapercibidos dentro de la infraestructura corporativa y permanecen allí, sin ser descubiertos, para espiar, robar o hacer daño.
Para ayudar a las empresas a navegar a través del panorama de amenazas cibernéticas actual y abordar los desafíos y las estrategias organizativas de minimizar riesgos y responder a los ataques, Kaspersky Lab realizó un estudio que investiga las principales inquietudes de la industria y los incidentes reales que las empresas han enfrentado en los últimos 12 meses. Los hallazgos se resumen en el siguiente informe.
Metodología
La encuesta de Kaspersky Lab Corporate IT Security Risks Survey es un estudio global sobre los responsables de la toma de decisiones en empresas de TI, llevado a cabo por B2B International en nombre de Kaspersky Lab en abril de 2017.
El estudio interrogó a 5,274 trabajadores sobre varios aspectos de la ciberseguridad, incluidas las actitudes de la empresa hacia esta área, los principales desafíos que están enfrentando y los tipos de enfoques o estrategias que utilizan actualmente.
Los encuestados representaban a empresas muy pequeñas (de 1 a 49 empleados), pymes (de 50 a 999 empleados) y grandes organizaciones con más de 1000 empleados. Los resultados se compararon con los de la encuesta del año pasado, además entre regiones, industrias y tamaños de empresas, para representar una visión integral del panorama de amenazas.
Hallazgos principales
- Los ataques dirigidos se han convertido en una de las amenazas de mayor crecimiento en 2017, aumentando en prevalencia general en un 6 % en comparación con 2016 y en un 11 % para las empresas. Compuesto no solo por malware común, sino por un patrón malicioso único que los delincuentes informáticos están utilizando en las organizaciones, un ataque dirigido es extremadamente peligroso para las empresas que dependen exclusivamente de enfoques convencionales de ciberseguridad.
- Ya que no existe un enfoque común para combatir las amenazas complejas, las empresas se están esforzando para entender cómo enfrentar los ataques dirigidos, donde el 42 % de los encuestados admitieron no estar seguros sobre la estrategia de respuesta más efectiva. De manera alarmante, esta cifra es considerablemente mayor (63 %) entre los encuestados que son expertos en seguridad TI.
- La falta de expertos en seguridad TI, especialmente de aquellos con conocimientos específicos en administración de operaciones de seguridad informática (SOC), respuesta a incidentes y búsqueda de amenazas, está agravando la situación. La mitad de las empresas (50 %) admite que necesitan contratar a profesionales en ciberseguridad con mayor experiencia y que una escasez de personal interno especializado aumenta la exposición a ataques dirigidos en un 15 %.
- Sin embargo, las organizaciones son reacias a aumentar los gastos de seguridad en protección contra los ataques dirigidos: el 78 % de los encuestados piensan que actualmente están gastando lo suficiente, o incluso por demás, a la hora de invertir en defensa avanzada contra amenazas.
- Mientras tanto, existe una necesidad evidente de soluciones de seguridad que van más allá de la prevención, ya que la velocidad de la detección es fundamental cuando se trata del costo de los fallos. Cuando los ataques se detectaron inmediatamente, el costo promedio de recuperación fue de 63 mil dólares para las pymes y 102 mil dólares para las grandes empresas, comparado con 465 mil dólares y 1.2 millones de dólares respectivamente si la detección tardó más de una semana.
- Finalmente, la respuesta eficiente a incidentes no se trata solo de tecnología. Para poder combatir de manera efectiva las ciberamenazas complejas, las organizaciones necesitan considerarlas como un proceso, no como un destino. Además de las tecnologías adecuadas, la estrategia también debería incluir experiencia humana (interna o contratada), marcos de investigación de incidentes, procedimientos y planificación de eficiencia de costos.
Ataques dirigidos: una dura batalla
No es ningún secreto que los equipos de seguridad TI han estado ocupados durante los últimos 12 meses, especialmente por el hecho de que más de tres cuartas partes (77 %) de las empresas informaron que experimentaron algún tipo de incidente durante este periodo.
De hecho, todos los tipos de ataques han aumentado en prevalencia durante el año pasado, con los ataques dirigidos mostrando específicamente uno de los más grandes aumentos en general (6 %).
Esto está ejerciendo una presión enorme en los equipos de seguridad y muchos enfrentan el dilema de cómo incorporar una estrategia de respuesta que sea capaz de proteger a sus organizaciones de las ciberamenazas complejas sin generar un impacto en los procesos empresariales.
Las brechas de seguridad ya no son una cuestión de “y si”, sino de cuándo
Más de una cuarta parte (27 %) de las empresas admiten que han experimentado ataques dirigidos en su infraestructura, sobrepasando el 21 % en esta época el año pasado, y el 33 % de las empresas sienten que están siendo afectadas específicamente por ciberataques.
Como era de esperarse, las grandes organizaciones han experimentado la mayor cantidad de ataques dirigidos probablemente debido al tesoro oculto de los datos corporativos confidenciales que las empresas mantienen actualmente, mientras que las organizaciones de las industrias de TI y telecomunicaciones (30 %), sanidad (30 %) y servicios públicos (29 %) han recibido el mayor interés por parte de los ciberdelincuentes.
Pero no solo la cantidad de incidentes está causando problemas para las empresas. Dos tercios de los encuestados (66 %) reconocen que las amenazas de seguridad TI se están volviendo más complejas, donde un 62 % afirmó que han experimentado incidentes de seguridad de IT complejos en 2017, mientras los ciberdelincuentes continúan desarrollando sus habilidades.
Como resultado, las organizaciones se están dando cuenta del hecho de que los fallos de seguridad informática ahora son inevitables. De hecho, el 57 % de las empresas creen que sus organizaciones se verán comprometidas en algún punto, superando el 51 % de 2016, lo cual sugiere que las mentalidades están cambiando en materia de seguridad cibernética y resalta la necesidad de ser capaz de responder de manera efectiva a cualquier ataque.
Sin embargo, a pesar de la concienciación sobre las amenazas, las empresas todavía son reacias a aumentar los gastos de seguridad, potencialmente debido a que se les dice de manera reiterada que compren soluciones nuevas para enfrentar la “próxima gran amenaza”.
Tal como se muestra en la siguiente gráfica, solo el 15 % de las empresas no creen que gastan lo suficiente en protección contra ataques dirigidos.
Con respecto a los ataques dirigidos específicamente, la gran mayoría (84 %) de los especialistas de TI de nivel C cree que su empresa está gastando lo suficiente o gastando demás en protección.
Curiosamente, esta cifra es algo menor (79 %) entre los ejecutivos de nivel C que no ocupan funciones de TI, lo cual sugiere que están más preocupados por los riesgos de la empresa relacionados con los ataques dirigidos.
A la hora de responder a un ataque, reina la confusión
Un desafío importante que enfrentan las empresas en la batalla cibernética actual se relaciona con la falta de conocimiento y experiencia, lo cual dificulta cada vez más que las empresas establezcan estrategias de respuesta claras.
Cuando se preguntó a los encuestados, el 42 % reconoció que su organización no está segura acerca de la estrategia más efectiva para combatir las amenazas de ataques dirigidos. Esta cifra es mayor para las empresas en los sectores de sanidad (46 %) y la fabricación (47 %), lo que posiblemente sugiere que las firmas de estas industrias se ven abrumadas por la amenaza que representan dichos incidentes.
También existen algunas diferencias geográficas. La mitad de las empresas de la región de Asia-Pacífico reconocieron que no estaban seguras acerca de la mejor estrategia de respuesta, en comparación con el 41 % en Europa, el 39 % en Norteamérica y tan solo el 31 % en Rusia.
Asimismo, el 46 % de los encuestados reconocieron que su conocimiento sobre amenazas a la seguridad TI específicamente dirigidas a su empresa dista de ser el ideal, llegando al 62 % en Asia-Pacífico y cayendo al 42 %, 41 % y 36 % en Europa, Norteamérica y Rusia respectivamente.
Actualmente, las empresas no pueden permitirse ser complacientes en materia de seguridad cibernética, entonces, necesitan asegurarse de que haya una estrategia de respuesta efectiva establecida que incluya una combinación de procedimientos, tecnologías y expertos cuando ocurra un ataque.
Necesidad de velocidad
Una cuestión clave que resalta la investigación es la importancia de la velocidad a la hora de detectar y responder a las brechas de datos y los ataques dirigidos.
Además de que la velocidad de detección es uno de los impulsores más fuertes del costo general, la remediación rápida es clave para limitar los costos relacionados con el daño prolongado relativo a la reputación como la pérdida de negocios, las primas de seguro aumentadas y las vergonzosas indemnizaciones.
Sin embargo, de acuerdo con la investigación, solo una cuarta parte (25 %) de las empresas descubrió el incidente de seguridad en el mismo día, lo que resalta la importancia de un proceso de respuesta a incidentes integral. De manera alarmante, a una de cada diez empresas le tomó un año descubrir la pérdida, el robo o el daño a los datos, lo que hizo de la remediación un proceso más complicado y costoso.
Tiempo hasta la detección | Porcentaje |
Más de un año | 5.9 |
Alrededor de un año | 10,3 |
Varios meses | 16.6 |
Varias semanas | 18.3 |
Varios días | 22.9 |
En un día | 12.3 |
En unas horas | 8.7 |
Casi al instante | 3.6 |
Fuente: IT Security Risks Survey 2017, datos globales
Las organizaciones gubernamentales fueron las más rápidas, donde el 34 % detectó el incidente de seguridad más grave en un día, en comparación con los servicios públicos en donde la detección demoró un año o más en el 21 % de los casos.
La diferencia se debe probablemente a una combinación de razones, incluidas las presiones del gobierno que enfrentan las organizaciones a la hora de proteger los datos, el énfasis que se pone en la seguridad en general y la complejidad de las arquitecturas de red internas.
Y sin duda, a las empresas les conviene estar al tanto, ya que la velocidad de detección tiene un impacto material significativo en el costo económico de un ataque. Para las pymes, el costo promedio de recuperación de un ataque dirigido si se detecta inmediatamente es de 63 mil dólares. Esta cifra luego sube a 78 mil dólares si se detecta en una semana y 102 mil dólares si la detección demora más de una semana.
Para las empresas, el aumento es incluso más sustancial, donde un ataque dirigido cuesta en promedio 1.2 millones de dólares si permanece oculto durante más de una semana; tres veces mayor que el costo de 456 mil dólares para la detección inmediata.
Igual de esencial que la detección es la remediación, que es particularmente importante para limitar el daño reputacional y financiero a largo plazo asociado con un ataque cibernético.
Los factores como la pérdida de negocios, el empleo de profesionales externos, la capacitación de personas y el pago adicional para que RR. PP. repare el daño a la filial, todo se toma en cuenta, lo que suma potencialmente cientos de miles de dólares en la factura de recuperación y hace una respuesta rápida incluso más importante.
La escasez de habilidades hace a las empresas lentas e inestables
Entonces, ¿por qué las empresas son tan lentas para detectar y responder a las amenazas dirigidas? La respuesta fácil es que simplemente hay demasiado ruido. Con las empresas enfrentando una cantidad cada vez mayor de ataques, los equipos de seguridad están luchando con la incapacidad de detectar las amenazas más peligrosas a través de cientos de miles, sino millones, de alertas de incidentes.
Más de la mitad (52 %) de las empresas admitió que se está volviendo más difícil diferenciar entre los ataques genéricos y las amenazas verdaderamente serias, lo que significa que es probable que los ataques dirigidos pasen desapercibidos y causen daños severos. Claramente, es fundamental una estrategia de respuesta integral.
Una falta de experiencia en seguridad TI está agravando el asunto aún más. La escasez de habilidades en ciberseguridad ha sido un tema ampliamente discutido, marcado por la proporción de empresas que se han visto forzadas a recurrir a ayuda externa al recuperarse de una brecha de datos.
Casi tres quintas partes (58 %) de los encuestados manifestaron que un ciberataque los forzó a emplear los servicios de consultores de seguridad TI, lo que sugiere una falta de talento interno. Curiosamente, hubo diferencias geográficas notables. En Japón, por ejemplo, el 65 % de las empresas contrató consultores externos, mientras que la cifra fue significativamente menor para las organizaciones de Europa (54 %) y Rusia (40 %).
Las industrias de sanidad (65 %), las telecomunicaciones (63 %) y financieras (63 %) fueron las que probablemente buscaron más ayuda externa, mientras que las organizaciones minoristas y gubernamentales probablemente dependieron más del personal existente.
Impacto económico total para las pymes |
91 mil dólares
|
86 mil dólares
|
Impacto económico total para las empresas |
1.1 millones de dólares
|
930 mil dólares
|
Presencia de especialistas internos | No | Sí |
Fuente: IT Security Risks Survey 2017, datos globales
Finalmente, el 53 % de las empresas reconoció que necesitan emplear más especialistas con experiencia específica en TI antes que profesionales de TI generales, una cifra que se dispara a 61 % para las empresas. Esta es una tendencia preocupante, ya que tener especialistas de seguridad TI internos les brinda a las empresas una ventaja financiera a la hora de responder a las filtraciones de información.
Además, resalta la importancia de incorporar una combinación de personas, procesos y tecnología en una estrategia de respuesta a incidentes efectiva.
Protección proactiva: La respuesta a los ataques dirigidos
Todas estas tendencias se están combinando para formar una especie de tormenta perfecta de ciberamenazas y los profesionales de seguridad TI han comenzado a aceptar que se requiere un cambio de actitud para combatirlas.
Las empresas se están dando cuenta de que para ganar visibilidad a través del mar de alertas y reaccionar de inmediato ante las amenazas más graves, una mentalidad proactiva de “detección y respuesta” es la mejor manera de avanzar.
Casi tres quintas partes (59 %) de las empresas creen que su estrategia de seguridad TI debe priorizar la capacidad de detectar y responder de manera más efectiva a los ataques, con las industrias financieras (66 %) y de servicios públicos (63 %) llevando la delantera.
Esta mentalidad prevalece especialmente en las grandes empresas con más de 1000 empleados (62 %), posiblemente debido a la gran cantidad de ataques que afectan a dichas organizaciones y una comprensión más madura del panorama de las amenazas modernas.
También existe una clara necesidad de soluciones de seguridad que vayan más allá de la prevención y proporcionen un paquete de seguridad cibernética más completo. Por ejemplo, el 56 % de las empresas reconoció que necesitan mejores herramientas para detectar y responder a las amenazas persistentes avanzadas (APT) y los ataques dirigidos, y el 67 % de las empresas consideran soluciones que continuamente y de forma proactiva buscan amenazas y actores de amenazas que se dirigen a sus organizaciones para ser efectivas.
Los países de Europa parecen estar particularmente a favor de este enfoque, donde el 75 % de las empresas en Italia, el 71 % en España, el 70 % en Francia y el 69 % en el Reino Unido están de acuerdo. En el extremo opuesto del espectro están Estados Unidos (60 %) y Japón (55 %).
Finalmente, los que trabajan en TI apoyan una actitud a favor de la detección y respuesta proactiva, ya que el 60 % del personal de TI cree en la efectividad de los servicios que buscan de forma proactiva amenazas dirigidas a su organización, en comparación con el 47 % del personal que no pertenece a TI.
Evidentemente las empresas están preparadas para cambiar su pensamiento con respecto a las estrategias de seguridad efectivas. El desafío es crear un proceso eficiente que haga uso de la tecnología y de personas para ayudar a las organizaciones a estar un paso por adelante de los atacantes.
Conclusión
El desarrollo rápido y constante del panorama de ciberseguridad significa que las empresas simplemente no pueden permitirse permanecer inmóviles a la hora de protegerse contra ataques sofisticados y dirigidos, una de las amenazas de más rápido crecimiento en 2017.
Las soluciones de seguridad están generando más alertas de incidentes que nunca, y a los equipos de TI con sobrecarga de trabajo lógicamente les resulta difícil remover los obstáculos, lo que significa que las amenazas más peligrosas a menudo pasan desapercibidas. Esto junto con el rápido aumento en los costos de recuperación mientras las amenazas permanecen sin ser descubiertas y el hecho de que las amenazas se están volviendo más complejas, está poniendo a las empresas en apuros.
Evidentemente, algo tiene que cambiar. El 57 % de los encuestados reconoció que un ataque se realizará en algún momento, lo que significa que las organizaciones deben poder tener una idea completa de la ciberseguridad en toda la organización. Esto también permitirá a las empresas adaptar su enfoque y centrarse en ser capaces de detectar y responder de inmediato a las amenazas, a diferencia de la mentalidad más tradicional de centrarse solo en la prevención.
Los departamentos de seguridad TI, como guardianes de la tecnología, tienen la responsabilidad de guiar esta evolución asegurándose de que sus organizaciones continúen invirtiendo en tecnologías avanzadas y en profesionales con conocimiento específico y experiencia en búsqueda de amenazas, análisis forense y respuesta a incidentes.
Sin embargo, como la protección contra las amenazas modernas es un proceso complejo, estos componentes se deben complementar con procedimientos de recuperación efectivos y un marco de investigación de incidentes integral, compuesto por supervisión continua, detección avanzada y mitigación crítica de eventos de seguridad.
En el mundo actual, las empresas nunca pueden estar completamente libres de riesgos. Sin embargo, al cambiar su enfoque hacia la protección proactiva, adoptando un enfoque estratégico para la seguridad y la planificación anticipada, pueden obtener una posición para poder responder de manera efectiva a los ataques dirigidos y limitar el daño.