Tiempo crucial para identificar ataques dirigidos: McAfee

Los constantes ataques observado en 2014 han generado que la mayoría de las empresas no confíen en su capacidad para identificar a tiempo los ataques dirigidos, incluso en aquellas mejor preparadas para lidiar con ellos, por lo que el desafío para 2015 es la detección temprana y una mitigación más eficaz.

Ante este contexto, McAfee dio a conocer el informe “Cuando los minutos cuentan”, el cual detalla algunos indicadores clave que han implementadolas organizaciones más eficientes para detectar los ataques dirigidos.

Uno de ellos es la observación de patrones de alerta inusuales que permiten detectar el malware de reconocimiento y con carga maliciosa, los activos comprometidos y las actividades de control remoto. El tráfico saliente sospechoso por su parte permite muestra los hosts atacados, los centros de mando y control, y las filtraciones.

Otro indicador es el tráfico interno inesperado el cual revela el robo de privilegios, movimientos laterales y propagaciones.

Por otra parte, el estudio reveló que el 78% de las empresas que consiguieron detectar ataques selectivos en minutos emplean una solución de administración de información y eventos de seguridad (SIEM) en tiempo real.

Ryan Allphin, vicepresidente ejecutivo y gerente general de gestión de seguridad de Intel Security, explicó que “las tecnologías SIEM, conscientes de inteligencia y en tiempo real, minimizan el tiempo necesario para la detección y evitan de manera proactiva infiltraciones basándose en la contextualización de los indicadores durante el análisis y las respuestas automatizadas basadas en políticas”, lo que brinda la posibilidad de acelerar la capacidad de detectar, responder y aprender de los eventos, cambiando por completo su postura de seguridad.

Estas soluciones facilitan una manipulación rápida y compleja para convertir meros datos en una detección precoz de un ataque y en medidas instantáneas frente a los incidentes de seguridad, ya que permiten:

• La correlación basada en comportamientos(sin reglas) que permite activar alertas de prioridad y respuestas automatizadas basadas en calificaciones de riesgos asociadas a servicios y combinaciones de eventos específicas, o a umbrales de cambios en dichos indicadores.
• La detección de anomalías basada en la comparación con una línea de base se activa cuando se encuentran acciones atípicas; una vez definidos los eventos “normales” los eventos “anómalos” adquieren una mayor visibilidad.
• Mediantela inclusión de información externa sobre amenazas se mejoran los métodos de detección basados en comportamientos o comparación con una línea de base, que emplean información interna.
• La priorización de las amenazas permite a los sistemas clasificarlas e iniciar respuestas en función de las actividades sospechosas y la relevancia de las amenazas para determinados activos debido a su valor, vulnerabilidad, niveles de parches y medidas puestas en práctica.

Otros datos arrogados por la encuesta señalaron que:

• 57 % de las empresas que detectan los ataques selectivos en cuestión de minutos sufrieron 10 o menos ataques selectivos el año pasado.
• 12 % de las organizaciones consideradas “ágiles” investigaron más de 50 incidentes el año pasado, lo que revela un mayor esfuerzo tanto por parte de agresores como de sistemas de defensa.
• 52 % de los que se muestran menos preocupados por los ataques disponen de una solución SIEM en tiempo real.