Los ocho indicadores más críticos de los ciberataques

La respuesta en tiempo real, los sistemas inteligentes, y 8 indicadores de ataques, elementos clave para la prevención proactiva de amenazas.

Publicado el 20 Nov 2014

Redacción Computing

25644_32

McAfee, ahora parte de Intel Security, ha presentado el informe Cuando los Minutos Cuentan, que valora la capacidad de las organizaciones para detectar y detener ataques dirigidos. Este informe revela los ocho indicadores más críticos de ataques, y examina las mejores prácticas para una respuesta proactiva ante cualquier incidente. Asimismo, el informe demuestra cómo las empresas pueden ser mucho más efectivas cuando realizan análisis de múltiples variables en tiempo real de cualquier tipo de ataque, y cómo la inteligencia de amenazas y el factor tiempo son una prioridad a la hora de valorar los riesgos y responder a los ataques de forma eficaz.

El estudio realizado por Evalueserve para Intel Security, sugiere que la mayoría de las compañías no confían en sus capacidades para detectar ataques dirigidos a tiempo. Incluso las compañías mejor preparadas para manejar ataques dirigidos están dedicando tiempo y recursos a investigar un gran volumen de incidentes, lo que contribuye a crear un sentimiento de urgencia y buscar enfoques creativos que permitan una detección temprana y una migración más efectiva.

Algunas de las principales conclusiones son:

  • El 74% de los participantes indicaron que los ataques dirigidos son una de las principales preocupaciones para sus organizaciones.
  • El 58% de las organizaciones investigaron al menos 10 ataques o más durante el pasado año.
  • Sólo el 24% de las compañías confían en su capacidad para detectar un ataque en cuestión de minutos, y algo menos de la mitad reconoció que podrían pasar días, semanas o incluso meses antes de detectar un comportamiento malicioso.
  • El 78% de los participantes que son capaces de detectar ataques en cuestión de minutos cuentan con un sistema SIEM (Información de Seguridad y Administración de Eventos) de detección proactiva y en tiempo real.
  • La mitad de las compañías encuestadas indicaron que contaban con las herramientas y la tecnología adecuada para ofrecer una respuesta más rápida a incidentes, pero a menudo los indicadores críticos no están aislados del resto de alertas generadas, por lo que los equipos de TI se encuentra con una carga adicional de trabajo para examinar y filtrar la información a través de los datos de amenazas.

Según Javier Perea, Regional Director Enterprise McAfee España,la única manera de ganarle la partida a los cibercriminales se encuentra en darle solución al gran desafío que supone la detección en tiempo real y los tiempos de respuesta. Los sistemas inteligentes en tiempo real y el análisis permiten simplificar la frenética tarea de filtrar multitud de alertas e indicadores, y de esta forma es posible tener un conocimiento más profundo de los incidentes más relevantes y tomar medidas para contener y desviar los ataques de forma más rápida y efectiva.”

Dada la importancia de identificar los indicadores críticos, el informe de Intel Security revela los ocho ataques más comunes que las organizaciones son capaces de detectar y detener satisfactoriamente. Se reflejó que cinco de ellos se repetían a lo largo del tiempo, mostrando la importancia de la correlación contextual.

  1. Equipos internos que se comunican con destinos mal conocidos o con países extranjeros donde las organizaciones no llevan a cabo negocios.
  2. Comunicaciones entre equipos internos y externos utilizando puertos no estándares con desajustes en protocolo/puerto, tales como el envío de comandos SSH en lugar de tráfico HTTP a través del puerto 80, el puerto web por defecto.
  3. Zona (DMZ) o red perimetral de acceso público que se comunica con los equipos internos. Esto permite entrar y salir de la red, provocando la exfiltración de datos y el acceso remoto a los activos, y neutraliza el valor de la DMZ.
  4. Detección de malware fuera de horas laborales. Las alertas que se producen fuera del horario laboral de las empresas, durante las noches o fines de semana, pueden ser señal de un equipo comprometido.
  5. Escaneos de red por equipos internos contra múltiples equipos en un corto período de tiempo, que podría revelar a un atacante moviéndose lateralmente dentro de la red. Los sistemas de defensa de red perimetral, como los firewall y los IPS, raramente están configurados para monitorizar el tráfico en la red interna, pero podrían estarlo.
  6. Múltiples eventos de alarma desde un equipo o eventos duplicados en múltiples máquinas en la misma subred durante un tiempo de 24 horas, tales como repetidos fallos de autenticación.
  7. Después de ser limpiado, un sistema se vuelve a infectar de malware en los siguientes 5 minutos, reinfecciones repetidas señalan la presencia de un rootkit o un compromiso persistente.
  8. Una cuenta de usuario intentando conectarse a múltiples recursos en pocos minutos desde o hacia diferentes regiones – esto indica que las credenciales del usuario han sido robadas o que un usuario está haciendo algo indebido.

Para leer el informe completo Cuando los Minutos Cuentan de Intel Security, por favor visite: www.mcafee.com/SIEM

¿Qué te ha parecido este artículo?

La tua opinione è importante per noi!

C
Redacción Computing

Temas

Canales

Artículos relacionados

  • Solo 10 de 69 antivirus pueden detectar un código malicioso elaborado por una IA

    12 May 2023

    por Redacción Computing

    Compartir

Siguiente

Solo 10 de 69 antivirus pueden detectar un código malicioso elaborado por una IA

Artículo 1 de 2