El tiempo de permanencia disminuye

El tiempo de permanencia disminuye

XDR Endpoint Security

Con el reciente descubrimiento realizado por Google Mandiant el tiempo de permanencia promedio de los ciberataques ha ido disminuyendo.

¿Qué es el tiempo de permanencia?

Puede ser descrito como el periodo de tiempo que un Ciberintruso conserva el acceso a una red en la que ha penetrado.

El tiempo de permanencia llega a su fin por una de las siguientes razones:

  • La víctima detecta la intrusión y responde para desalojarla y bloquearla
  • El atacante logra su objetivo, el extraer la información (datos robados), retirándose así de la red. En este caso conservan la posibilidad de regresar en cualquier momento siendo muy probable que lo realicen de nueva cuenta.
  • El atacante detona una carga ruidosa, normalmente un ataque de Ransomware, anunciado así su presencia.

Los diferentes tipos de ataques, con diferentes objetivos, tienen a tener tiempos de permanencia muy diferentes.

Un ataque de Ransomware suele tener un tiempo de permanencia medido en días o semanas como máximo, una vez que han encontrado y comprometido los datos que quieren retener para pedir un rescate, ya no tienen ningún motivo para extender su tiempo de permanencia, especialmente porque eso solo los expondría a un mayor riesgo de ser descubiertos.

En el extremo opuesto, se ha descubierto que las intrusiones recientemente descubiertas en sistemas de infraestructura critica por parte del grupo de “Hackers” Volt Typhoon habían estado vigentes durante hasta por cinco años. Una de las razones por las que pasaron tanto tiempo sin ser detectados es que no tenían ningún objetivo inmediato de espionaje o robo de datos, por lo que su movimiento u otra actividad dentro de la red era extremadamente limitada.

¿Por qué los tiempos de permanencia son cada vez más cortos?

Los avances en la tecnología y la estrategia de seguridad han facilitado que las organizaciones que las implementen detecten amenazas que residen en sus redes. La detección y respuesta extendida (XDR) y especialmente soluciones XDR administradas hacen que sea mucho mas probable que se detecte y responda a comportamiento anómalos en la red. Y esto se debe simplemente a que toda la actividad monitoreada activamente las 24 horas del día y los 7 días de la semana, algo que es imposible para los equipos de TI con recursos limitados.

Los atacantes han respondido a esta mayor capacidad de detección acelerando sus procesos. Cuando se presentaba un ataque contaban con el tiempo suficiente para explorar completamente una red objetivo (asegurándose de adquirir los niveles de acceso mas altos y descubrir todos los datos que podrían ser de valor) ahora deben apresurar mucho mas su accionar y su ejecutar. Es más probable que obtengan lo que puedan lo más rápido posible y se contenten con haber obtenido algo en lugar de nada antes de ser detectados y desalojados.

Los atacantes que implementan el uso de un Ransomware buscan acelerar su ataque, volviéndose tan ruidosos tan pronto como tienen una cantidad decente de datos bajo su control. Es por eso que las amenazas de Ransomware han experimentado la mayor disminución en el tiempo de permanencia promedio de 10 días a 5.

Para muchos tipos de amenazas, obtener acceso a los sistemas Active Directory es un primer paso fundamental. El tiempo que les toma a los atacantes sofisticados hacer esto (y obtener la capacidad de escalar sus privilegios de acceso) ahora se ha reducido a 16 horas.

La implementación de estrategias modernas de seguridad (detección y respuesta) que aprovechan la inteligencia artificial, la automatización y el personal dedicado para brindar monitoreo las 24 horas del día, los 7 días de la semana: el contar con XDR que cuenta con un SOC con buenos recursos y administrado.

SERVICIOS XDR

XDR es un servicio de monitoreo que recolecta eventos de ciberseguridad de diferentes vectores de comunicación empresarial, las amenazas se correlacionan utilizando una plataforma de análisis inteligente y nuestro Centro de Operaciones 24x7 incluye personal calificado para reaccionar ante cualquier actividad sospechosa.

XDR Endpoint Security

  • Agente de seguridad de nueva generación para computadoras y servidores, no importando ubicación y conectividad.
  • Recolección y relación de eventos para prevención y detección de amenazas proactivamente.
  • Servicio administrado, para brindar soporte a todos los equipos empresariales.
  • Centro de Operaciones de Seguridad 7x24 los 365 días del año.
  • El agente de nueva generación está disponible para Windows, Linux y MAC.
  • Evaluación de eventos de seguridad apegados con Mitre Att&ck.

 

Acércate a nosotros para brindarte más información de nuestro programa de canales:

 

 

JR

Regresar al blog