Intercept X - EDR Image: Sophos

• En el marco de la RSA Conference 2019 en San Francisco, Sophos dio a conocer los resultados de su estudio global 7 Verdades Incómodas de Seguridad en Endpoint.
• La mayoría de los ciberdelincuentes se detectan en el servidor (37 por ciento) o en la red (37 por ciento); 17 por ciento se encuentran en los puntos finales y 10 por ciento se encuentran en los dispositivos móviles
• Un quinto de los gerentes de TI admitió no saber cómo llegó el ataque más significativo, o por cuánto tiempo estuvo allí antes de ser detectado
• En promedio, las organizaciones que investigan uno o más incidentes de seguridad potenciales cada mes pasan 48 días al año (cuatro días al mes) investigándolos.

De hecho, los gerentes de TI descubrieron 37 por ciento de sus ataques cibernéticos más significativos en los servidores de su organización y 37 por ciento en sus redes. Solo 17 por ciento fueron descubiertos en los puntos finales y 10 por ciento se encontraron en dispositivos móviles. Sophos encuestó a más de 3,100 encargados de la toma de decisiones de TI de empresas en 12 países: Estados Unidos, Canadá, México, Colombia, Brasil, Reino Unido, Francia, Alemania, Australia, Japón, India y Sudáfrica.

"Los servidores almacenan datos confidenciales financieros, de empleados, propietarios y otras personas, que con leyes cada vez más estrictas como el Reglamento General de Protección de Datos o GDPR, requieren que las organizaciones informen de los robos de datos, esto pone a los riesgos de seguridad en el servidor en un nivel alto todo el tiempo. Tiene sentido que los gerentes de TI se enfoquen en proteger a los servidores críticos para el negocio y detener a los atacantes en primer lugar antes de que entren a la red y esto conduce a más detecciones de cibercriminales en estas dos áreas ", dijo Chester Wisniewski, principal científico investigador en Sophos. "Sin embargo, los gestores de TI no pueden ignorar los puntos de conexión, porque la mayoría de los ciberataques comienzan allí, aunque una cantidad mayor a la esperada de los gestores de TI todavía no puede identificar cómo se están metiendo las amenazas en el sistema y cuándo".

El 20 por ciento de los gerentes de TI que fueron víctimas de uno o más ataques cibernéticos el año pasado no pudo identificar cómo los atacantes lograron su entrada, y 17 por ciento no sabe cuánto tiempo la amenaza estaba en el ambiente antes de que se detectara, según la encuesta. Para mejorar esta falta de visibilidad, los gerentes de TI necesitan tecnología de detección y respuesta de endpoints (EDR) que expone los puntos de inicio de la amenaza y las huellas digitales de los atacantes moviéndose lateralmente a través de una red.

"Si los gerentes de TI no conocen el origen o el movimiento de un ataque, entonces no pueden minimizar el riesgo e interrumpir la cadena de asalto para evitar una mayor infiltración", dijo Wisniewski. "EDR ayuda a los gestores de TI a identificar riesgos y a poner en marcha un proceso para las organizaciones en ambos extremos del modelo de madurez de la seguridad. Si el departamento de TI está más enfocado en la detección, EDR puede encontrar, bloquear y remediar más rápidamente. Si todavía está construyendo una base de seguridad, EDR es una pieza integral que proporciona una inteligencia de amenazas muy necesaria ".

En promedio, las organizaciones que investigan uno o más incidentes de seguridad potenciales cada mes pasan 48 días al año (cuatro días al mes) investigándolos, según la encuesta. No sorprende que los gerentes de TI clasificaron la identificación de eventos sospechosos (27 por ciento), la administración de alertas (18 por ciento) y la priorización de eventos sospechosos (13 por ciento) como las tres características principales que necesitan de las soluciones de EDR para reducir el tiempo necesario para identificar y responder a las alertas de seguridad. 

"La mayoría de los ciberataques “spray and pray” se pueden detener en cuestión de segundos en los puntos finales sin causar alarma. Los atacantes persistentes, incluyendo aquellos que ejecutan ransomware dirigido como SamSam, toman el tiempo que necesitan para violar un sistema mediante la búsqueda de contraseñas mal elegidas y adivinables en sistemas de evaluación remota (RDP, VNC, VPN, etc.), establecer un punto de apoyo y moverse tranquilamente alrededor hasta que el daño se hace ", dijo Wisniewski. "Si los gerentes de TI tienen una defensa en profundidad con EDR, también pueden investigar un incidente más rápidamente y usar la inteligencia de amenazas resultante para ayudar a encontrar la misma infección en un estado. Una vez que los ciberdelincuentes saben que ciertos tipos de ataques funcionan, normalmente los replican dentro de las organizaciones.El destape y el bloqueo de los patrones de ataque ayuda a reducir el número de días que los gerentes de TI gastan investigando posibles incidentes “.

El 57 por ciento de los encuestados dijo que planeaban implementar una solución de EDR en los próximos 12 meses. Tener EDR también ayuda a abordar una brecha de habilidades. El 80 por ciento de los gerentes de TI desearía que tuvieran un equipo más fuerte en su lugar, según la encuesta. Más información está disponible en las 7 Verdades Incómodas de Seguridad en Endpointy en Sophos News.

El estudio 7 Verdades Incómodas de Seguridad en Endpoint fue realizado por Vanson Bourne, agencia especialista independiente en investigación de mercados, en diciembre 2018 y enero 2019. Se entrevistó a 3,100 encargados de la toma de decisiones de TI en 12 países y en seis continentes, en Estados Unidos, Canadá, México, Colombia, Brasil, Reino Unido, Francia, Alemania, Australia, Japón, India y Sudáfrica. Todos los encuestados eran de organizaciones con entre cien y cinco mil empleados. 

Sophos está en SPiN durante la Conferencia RSA 2019 el 5 y 6 de marzo. Para más información, por favor visite Sophoscom/spin. La información adicional para los medios que cubren RSA está disponible en la página de prensa de Sophos.

Autor

Sophos

Sophos es líder en seguridad de redes y puntos finales de próxima generación, y como pionero de la seguridad sincronizada desarrolla su cartera innovadora de soluciones de seguridad de punto final, red, cifrado, web, correo electrónico y móvil para trabajar mejor en conjunto. Más de 100 millones de usuarios en 150 países confían en las soluciones de Sophos como la mejor protección contra amenazas sofisticadas y pérdida de datos.