Cargando...
Estás aquí:  Inicio  >  Gestión/ Management  >  Artículo actual

Las empresas no confían en su capacidad para detectar ataques tecnológicos

Por   /   20 noviembre, 2014  /   Sin Comentarios

La mayoría de las compañías del mundo no confían en sus capacidades para detectar ataques dirigidos a tiempo, según pone de manifiesto el informe “Cuando los Minutos Cuentan”, una investigación realizada por Evalueserve para Intel Security y su marca McAfee que valora la capacidad de las organizaciones para detectar y detener ataques tecnológicos dirigidos.

Ciberdelincuencia, de Free DownloadDe hecho, el estudio, que ha consultado a 473 responsables de TI de firmas de más de 50 empleados de Estados Unidos, Reino Unido, Alemania, Francia y Australia, muestra que sólo el 24% de las empresas confía en su capacidad para detectar un ataque en cuestión de minutos, y algo menos de la mitad reconoce que podrían pasar días, semanas o incluso meses antes de detectar un comportamiento malicioso. No obstante, la verdad es que prácticamente la mitad de las compañías encuestadas indican que cuentan con las herramientas y la tecnología adecuada para ofrecer una respuesta más rápida a incidentes, pero a menudo los indicadores críticos no están aislados del resto de alertas generadas, por lo que los equipos de TI se encuentra con una carga adicional de trabajo para examinar y filtrar la información a través de los datos de amenazas. Mientras, entre las que sí son capaces de detectar ataques en cuestión de minutos, el 78% cuentan con un sistema SIEM (Información de Seguridad y Administración de Eventos) de detección proactiva y en tiempo real.

Lo cierto es que nada menos que el 58% de las organizaciones dicen haber investigado al menos 10 ataques o más durante el pasado año y nada menos que el 74% de los participantes señalan que los ataques dirigidos son una de las principales preocupaciones para sus organizaciones.

El informe constata que incluso las empresas mejor preparadas para manejar ataques dirigidos están dedicando tiempo y recursos a investigar un gran volumen de incidentes, lo que contribuye a crear un sentimiento de urgencia y buscar enfoques creativos que permitan una detección temprana y una migración más efectiva.

En esa línea, y dada la importancia de identificar los indicadores críticos, el informe de Intel Security revela los ocho ataques más comunes que las organizaciones son capaces de detectar y detener satisfactoriamente:

1. Equipos internos que se comunican con destinos mal conocidos o con países extranjeros donde las organizaciones no llevan a cabo negocios.

2. Comunicaciones entre equipos internos y externos utilizando puertos no estándares con desajustes en protocolo/puerto, tales como el envío de comandos SSH en lugar de tráfico HTTP a través del puerto 80, el puerto web por defecto.

3. Zona (DMZ) o red perimetral de acceso público que se comunica con los equipos internos. Esto permite entrar y salir de la red, provocando la exfiltración de datos y el acceso remoto a los activos, y neutraliza el valor de la DMZ.

4. Detección de malware fuera de horas laborales. Las alertas que se producen fuera del horario laboral de las empresas, durante las noches o fines de semana, pueden ser señal de un equipo comprometido.

5. Escaneos de red por equipos internos contra múltiples equipos en un corto período de tiempo, que podría revelar a un atacante moviéndose lateralmente dentro de la red. Los sistemas de defensa de red perimetral, como los firewall y los IPS, raramente están configurados para monitorizar el tráfico en la red interna, pero podrían estarlo.

6. Múltiples eventos de alarma desde un equipo o eventos duplicados en múltiples máquinas en la misma subred durante un tiempo de 24 horas, tales como repetidos fallos de autentificación.

7. Después de ser limpiado, un sistema se vuelve a infectar de malware en los siguientes 5 minutos, reinfecciones repetidas señalan la presencia de un “rootkit” o un compromiso persistente.

8. Una cuenta de usuario intentando conectarse a múltiples recursos en pocos minutos desde o hacia diferentes regiones (esto indica que las credenciales del usuario han sido robadas o que un usuario está haciendo algo indebido).

Imagen cortesía de chanpipat / FreeDigitalPhotos.net

    Print       Email

Sobre el autor

Tras casi 35 años posicionada como la principal revista económica especializada en gestión y management, y habida cuenta de los nuevos modos y necesidades de sus habituales lectores (directivos, emprendedores y empresarios en un 90% de los casos), NUEVA EMPRESA lleva apostando desde principios de 2009 por el mercado digital, convirtiendo la Web en el principal punto de nuestra estrategia, dejando la edición en papel exclusivamente destinada a números especiales sin una periodicidad estipulada.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *