Seguridad

¿Qué claves se desprenden del Sophos Day 2023?

La novena edición del Sophos Day, organizado por el líder mundial en innovación y ciberseguridad como servicio, Sophos, reunió en Madrid a más de 400 profesionales del sector de la ciberseguridad para, juntos, analizar cómo se están comportando los atacantes y hacia dónde avanzará el cibercrimen de cara a 2024. En el transcurso del evento de la pasada semana, los participantes tuvieron la oportunidad de conocer las últimas novedades y tecnologías en MDR, XDR, Firewall y ZTNA que Sophos está desarrollando para fortalecer su portafolio y abordar de manera efectiva las nuevas amenazas.

Todas las reacciones al Sophos Day 2023

Sophos aprovechó el encuentro para hacer público el informe Active Adversary Report for Security Practitioners, y las reacciones no han tardado en llegar. El estudio revelaba cómo los atacantes están actualmente desactivando o borrando los registros de telemetría (concretamente, todos los datos y registros de los movimientos acontecidos dentro de la red) para lograr ocultar su rastro, porque se ha podido comprobar que estos registros de telemetría faltaban en casi el 42% de los ataques que se estudiaron. Además, en el 82% de los casos, los atacantes los había eliminado queriendo, para dificultar su captura.

El papel de las brechas en la telemetría

Las brechas en la telemetría son capaces de disminuir la visibilidad, tan importante en las redes y sistemas de las empresas, sobre todo porque el tiempo de permanencia de cada atacante, es decir, el que transcurre desde el acceso inicial hasta completar la detección, sigue disminuyendo. Por ello, se acorta el tiempo que los responsables de seguridad asumen para conseguir responder de forma eficaz ante un incidente.

La forma de actuar de los ciberatacantes, según más de 200 casos reales

El informe de Sophos presentado, y que se basa en 232 casos reales realizados por el equipo de Respuesta a Incidentes (IR) de esta compañía, tuvo en cuenta 25 sectores durante varios meses, revelando las tendencias en el comportamiento de los ciberdelincuentes.

Los ataques de ransomware, clasificados

- Ataques rápidos.

Estos son los que el tiempo de permanencia de los atacantes en la red de la víctima queda estimado como inferior o igual a 5 días, representando hasta el 38% de los ataques estudiados.

- Ataques lentos.

Son los que el tiempo de permanencia se ha comprobado como superior a 5 días, ocurriendo en la gran mayoría de los casos analizados, hasta en el 62% de todos ellos.

- Herramientas y técnicas.

En lo referente a las herramientas, técnicas y también binarios "living-off-the-land" (LOLBins) desplegados por los atacantes, no existe mucha variación entre ataques rápidos o lentos. Por lo tanto, no es necesario reinventar las estrategias defensivas capaces de frenar esos ataques, aunque los ataques rápidos y también la falta de telemetría puede obstaculizar de forma notoria los tiempos de respuesta, conllevando a más destrucción.

- Reducción del tiempo de ataque.

El tiempo de permanencia desde que empieza un ataque hasta que resulta detectado continúa reduciéndose, quedándose en ocho días en la primera mitad de 2023. En 2022, el tiempo medio de permanencia disminuyó de quince a diez días.

- Tiempo que tardan en llegar al activo más importante de las compañías.

Los atacantes son capaces de tardar menos de un día, unas 16 horas, en llegar a Active Directory (AD), el activo más importante de todas las empresas. AD normalmente gestiona la identidad y también el acceso a los recursos en toda una compañía, lo que supone que los atacantes pueden utilizar AD para lograr escalar de forma sencilla sus privilegios en un sistema, llevando a cabo una enorme gama de actividades maliciosas.

- ¿Cuándo se producen los ataques, dentro o fuera del horario de oficina?

Casi todos los ataques de ransomware se producen fuera del horario laboral. Además, casi la mitad de ellos (el 43%) se detectaron en viernes o sábado.

Sophos en primera persona

“La celeridad en la respuesta a amenazas activas es crucial. Reducir el intervalo entre la detección del acceso inicial y la completa mitigación de la amenaza es esencial. A medida que los atacantes avanzan rápidamente y la telemetría disponible disminuye, los equipos de seguridad enfrentan mayores desafíos. La estrategia clave radica en aumentar la fricción: complicar el trabajo de los atacantes agrega un tiempo valioso para reaccionar”, resume John Shier, CTO Field de Sophos.

Ricardo Maté, Vicepresidente Regional del Sur de EMEA en Sophos, agrega "La única solución es avanzar hacia la ciberseguridad como servicio. Todas las organizaciones están migrando hacia servicios de ciberseguridad gestionada, y creemos que ese es el camino." Además, enfatiza que "la incorporación de telemetría garantiza que las soluciones de ciberseguridad sean completas y extensibles, ofreciendo un diferencial clave en la detección, mitigación y respuesta a amenazas".