FlagSábado, 22 Septiembre 2018

Información de valor para integradores de Seguridad Electrónica y Ciberseguridad

 

 

cisco vicente

 

Cisco dio a conocer los resultados de su 11vo informe anual de ciberseguridad, de donde destacó que 39% de las organizaciones dependen de la automatización, un 34% del Machine Learning, y 32% de otras técnicas relacionadas con Inteligencia Artificial.

El reporte es producto de la alianza hecha entre el fabricante y la participación de Lumeta, Radware, Trapx Security, Qualys, y Anomali; esto con el objetivo de ampliar sus alcances. Ghassan Dreibi, BDM Manager para Cisco Latinoamérica y Juan Marino, Security Account Manager, destacaron de dicho reporte que los atacantes emplean las tecnologías más recientes para evadir los métodos de detección por el mayor tiempo posible.

Entre ellas el uso de encriptación para sus actividades de comando y control, con un crecimiento del 268%. De hecho, agregaron que el tráfico general de Internet cifrado aumentó hasta llegar a un 50%, mayormente en tecnología SSL.

Por su parte la Inteligencia Artificial y técnicas como Machine Learning le ha permitido a los atacantes automatizar acciones y crear código que pase defensas tradicionales de ciberseguridad. Mientras tanto, las organizaciones lo emplean como una forma de reducir la cantidad de falsos positivos ya que es posible ver el tráfico mientras el análisis depura y aumenta el grado de certeza.

Por otro lado, la percepción de los encuestados consideró que las Tecnologías Operativas (OT) usadas en las organizaciones será un vector de ataque en este año (69% de los encuestados), por la integración con IT y con ello se incrementa la superficie de ataque. Dicha percepción abre las conversaciones de negocio hacia adoptar ciberseguridad.

En ese mismo sentido, se ve la necesidad de realizar cambios en la orquestación tecnológica, ya que más de 55% de la muestra conforma su infraestructura de protección con más de 50 vendors distintos. Estrategia que ha sido visto recientemente en la industria como “silos” porque actúan de forma aislada y ello aumenta el tiempo de detección.

El dato tiene correlación con el número de alertas, que en el caso del informe, expresa un 93% de eventos legítimos. De este porcentaje un 44% no fueron investigadas; sin embargo, resulta más interesante el análisis del 56% investigado; de esa porción tan sólo poco más de la mitad fueron remediadas.

Con respecto a la sonada presencia de WannaCry, el reporte expresó que la capitalización monetaria fue mínima, comparada con otros malware que tienen este fin específico. Sin embargo, se presume que el ataque tuvo por objetivo la destrucción de datos y operaciones, reducir el tiempo de respuesta, así como automatizar ataques a la red.

Por otro lado, los ataques en promedio equivalen a $500 mil dólares y en algunos casos se elevó a los $2.5 millones de dólares en pérdidas. En México, el problema principal fue una combinación de ransomware y la minería de criptomonedas. Este análisis visto por verticales, indicó que los mercados más atacados continúan siendo el sector financiero, retail y hospitalario.

Recomendaciones mencionadas
La seguridad cloud se ha convertido en una tecnología clave para mantener una media baja respecto al potencial de daño, pese al incremento de muestras que anualmente se observan en la red. Del mismo modo, ayudan en la reducción del tiempo de detección (TTD) así como el TTO (tiempo para operar). De hecho se detalló que el TTD pasó de 37.5 horas promedio en el 2015, a 4.6 horas en 2017.

No obstante, sigue presente la recomendación de que la seguridad informática es una decisión que debería tomarse a nivel corporativo; revisar las prácticas y procedimientos usados en su empresa, entre ellas implementar la educación en materia de ciberseguridad; asimismo, aumentar el nivel de visibilidad y escaneo en todos los servicios, aplicaciones y el resto de su infraestructura. Dichas medidas tienen el objetivo de tomar una decisión informada y ejecutar una política lo antes posible.

Recomendaciones para canales
Gilberto Vicente, Cybersecurity Regional Sales Manager, añadió que las organizaciones tardan un promedio de 200 días en identificar una amenaza y la tendencia va hacia tener el cien por ciento del tráfico encriptado, paulatinamente. Por ello los canales deberían de usar la red TI como un sensor capaz de tener un carácter intuitivo, o dicho de otra forma, la capacidad de contextualizar ataques en etapas iniciales.

Consideró que los asociados deben visualizar la capa de seguridad como como una plataforma, en lugar de fragmentar la estrategia con modelos que paliativamente resuelven un problema a manera de parche. El resultado ha sido lidiar con una administración desconectada y eventos que toman más tiempo en remediarse o no son investigados.

Agregó que un diferencial es contextualizar el ataque hasta mapear el ciclo completo; es decir, antes, durante y después de la presencia de código malicioso. De hecho, la especialización del canal es una oportunidad a considerar ya que 50% de los clientes tienen apertura a que un tercero administre su plataforma de ciberseguridad.