Doing business in Spain? Interempresas Media is the key
Emagazines
Informática y Comunicaciones

Intel Security detalla la capacidad de las organizaciones para detener ataques dirigidos

Comunicaciones Hoy19/11/2014

McAfee, ahora parte de Intel Security, ha presentado un nuevo informe llamado "Cuando los Minutos Cuentan", que valora la capacidad de las organizaciones para detectar y detener ataques dirigidos. Este informe revela los 8 indicadores más críticos de ataques, y examina las mejores prácticas para una respuesta proactiva ante cualquier incidente. Asimismo, el informe demuestra cómo las empresas pueden ser mucho más efectivas cuando realizan análisis de múltiples variables en tiempo real de cualquier tipo de ataque, y cómo la inteligencia de amenazas y el factor tiempo son una prioridad a la hora de valorar los riesgos y responder a los ataques de forma eficaz. 

El estudio realizado por Evalueserve para Intel Security, sugiere que la mayoría de las compañías no confían en sus capacidades para detectar ataques dirigidos a tiempo. Incluso las compañías mejor preparadas para manejar ataques dirigidos están dedicando tiempo y recursos a investigar un gran volumen de incidentes, lo que contribuye a crear un sentimiento de urgencia y buscar enfoques creativos que permitan una detección temprana y una migración más efectiva. 

Algunas de las principales conclusiones son: 

El 74% de los participantes indicaron que los ataques dirigidos son una de las principales preocupaciones para sus organizaciones. 

El 58% de las organizaciones investigaron al menos 10 ataques o más durante el pasado año. 

Sólo el 24% de las compañías confían en su capacidad para detectar un ataque en cuestión de minutos, y algo menos de la mitad reconoció que podrían pasar días, semanas o incluso meses antes de detectar un comportamiento malicioso. 

El 78% de los participantes que son capaces de detectar ataques en cuestión de minutos cuentan con un sistema SIEM (Información de Seguridad y Administración de Eventos) de detección proactiva y en tiempo real. 

La mitad de las compañías encuestadas indicaron que contaban con las herramientas y la tecnología adecuada para ofrecer una respuesta más rápida a incidentes, pero a menudo los indicadores críticos no están aislados del resto de alertas generadas, por lo que los equipos de TI se encuentra con una carga adicional de trabajo para examinar y filtrar la información a través de los datos de amenazas. 

Según Javier Perea, Regional Director Enterprise McAfee España,  “la única manera de ganarle la partida a los cibercriminales se encuentra en darle solución al gran desafío 

que supone la detección en tiempo real y los tiempos de respuesta. Los sistemas inteligentes en tiempo real y el análisis permiten simplificar la frenética tarea de filtrar multitud de alertas e indicadores, y de esta forma es posible tener un conocimiento más profundo de los incidentes más relevantes y tomar medidas para contener y desviar los ataques de forma más rápida y efectiva.” 

Dada la importancia de identificar los indicadores críticos, el informe de Intel Security revela los ocho ataques más comunes que las organizaciones son capaces de detectar y detener satisfactoriamente. Se reflejó que cinco de ellos se repetían a lo largo del tiempo, mostrando la importancia de la correlación contextual. 

1. Equipos internos que se comunican con destinos mal conocidos o con países extranjeros donde las organizaciones no llevan a cabo negocios.

2. Comunicaciones entre equipos internos y externos utilizando puertos no estándares con desajustes en protocolo/puerto, tales como el envío de comandos SSH en lugar de tráfico HTTP a través del puerto 80, el puerto web por defecto.

3. Zona (DMZ) o red perimetral de acceso público que se comunica con los equipos internos. Esto permite entrar y salir de la red, provocando la exfiltración de datos y el acceso remoto a los activos, y neutraliza el valor de la DMZ.

4. Detección de malware fuera de horas laborales. Las alertas que se producen fuera del horario laboral de las empresas, durante las noches o fines de semana, pueden ser señal de un equipo comprometido.

5. Escaneos de red por equipos internos contra múltiples equipos en un corto período de tiempo, que podría revelar a un atacante moviéndose lateralmente dentro de la red. Los sistemas de defensa de red perimetral, como los firewall y los IPS, raramente están configurados para monitorizar el tráfico en la red interna, pero podrían estarlo.

6. Múltiples eventos de alarma desde un equipo o eventos duplicados en múltiples máquinas en la misma subred durante un tiempo de 24 horas, tales como repetidos fallos de autenticación.

7. Después de ser limpiado, un sistema se vuelve a infectar de malware en los siguientes 5 minutos, reinfecciones repetidas señalan la presencia de un rootkit o un compromiso persistente.

8. Una cuenta de usuario intentando conectarse a múltiples recursos en pocos minutos desde o hacia diferentes regiones - esto indica que las credenciales del usuario han sido robadas o que un usuario está haciendo algo indebido. 

“Descubrimos un equipo realizando extrañas peticiones de autenticación al controlador de dominio a las dos en punto de la madrugada. Esto considerarse una actividad normal, pero también podría indicar algo malicioso,” afirmó Lance Wright, Senior Manager Information Security and Compliance en Volusion. “Después de este incidente configuramos una alerta para que nos avisara en caso de que una estación de trabajo hubiera realizado más de cinco peticiones de autenticación fuera de horas, y de este modo ayudarnos a identificar los ataques antes de que cualquier dato esté comprometido.” 

“Nuestro SIEM potente y de alto rendimiento, reúne los datos de los eventos, de las amenazas y de los riesgos para proporcionar la mayor información de seguridad, lograr respuestas rápidas a los incidentes, gestionar los riesgos de forma sencilla y generar informes de cumplimiento ampliables”, añade Javier Perea. “Con esta solución, las organizaciones pueden cambiar su posición en términos de seguridad y convertirse en cazador en lugar de ser el cazado”. 

Para leer el informe completo Cuando los Minutos Cuentan de Intel Security visitar  www.mcafee.com/SIEM 

Empresas o entidades relacionadas

Intel Corporation

TOP PRODUCTS

ÚLTIMAS NOTICIAS

OPINIÓN

SERVICIOS