La ciberseguridad como servicio, en el corazón del Sophos Day 2023

Como ya viene siendo tradición, Sophos ha reunido en Madrid a Partners y clientes, además de otros expertos en ciberseguridad del sector, para analizar el panorama de ciberseguridad y concienciar sobre las nuevas tendencias y ataques que están promoviendo los cibercriminales. En la novena edición de su encuentro, la compañía ha reunido a más de 400 profesionales y aprovechado la ocasión para hacer público el informe Active Adversary Report for Security Practitioners, en el que se revela cómo los atacantes ya no sólo buscan tener éxito en sus ataques sino que, además, eliminan su rastro para evitar ser descubiertos. Los expertos de Sophos han llegado a esta conclusión tras ver cómo en el 42% de los ataques estudiados no existían registros de telemetría (todos los datos y registros de los movimientos llevados a cabo dentro de la red).

Las brechas en la telemetría disminuyen la visibilidad tan necesaria en las redes y sistemas de las empresas, especialmente porque el tiempo de permanencia del atacante (el que transcurre desde el acceso inicial hasta la detección) continúa disminuyendo, acortando el tiempo que los responsables de seguridad tienen para responder eficazmente a un incidente.

¿Cómo están actuando los ciberatacantes?

El informe Sophos Active Adversary Report, basado en 232 casos reales realizados por el equipo de Respuesta a Incidentes (IR) de Sophos en 25 sectores desde el 1 de enero de 2022 hasta el 30 de junio de 2023, revela las tendencias en el comportamiento de los ciberdelincuentes exponiendo un nuevo problema ligado al ransomware. Por primera vez, los cibercriminales están realizando “Ataques rápidos” con un tiempo de permanencia de los atacantes en la red de la víctima inferior o igual a cinco días. Este tipo de ransomware ya representa el 38% de los ataques estudiados mientras que los “Ataques lentos”, con un tiempo de permanencia superior a 5 días, siguen siendo el 62% de los casos analizados.

En cuanto a las herramientas, técnicas y binarios "living-off-the-land" (LOLBins) que desplegaron los atacantes, no hay mucha variación entre ataques rápidos y lentos. Esto sugiere que no es necesario reinventar las estrategias defensivas para frenar esos ataques, aunque los ataques rápidos y la falta de telemetría puede obstaculizar enormemente los tiempos de respuesta, y, en consecuencia, conllevar más destrucción.

El tiempo de permanencia, desde el inicio de un ataque hasta que se detecta, continúa reduciéndose, situándose en 8 días en la primera mitad de 2023. En 2022, el tiempo medio de permanencia disminuyó de 15 a 10 días.

Los atacantes tardan menos de un día, aproximadamente 16 horas, en llegar a Active Directory (AD), el activo más importante de las empresas. AD normalmente gestiona la identidad y el acceso a los recursos en toda una organización, lo que significa que los atacantes pueden utilizar AD para escalar fácilmente sus privilegios en un sistema y llevar a cabo una amplia gama de actividades maliciosas.

La gran mayoría de los ataques de ransomware se producen fuera del horario laboral. Casi la mitad (43%) de los ataques de ransomware se detectaron el viernes o el sábado.

"El tiempo es crítico cuando se responde a una amenaza activa. El tiempo entre la detección del acceso inicial y la mitigación completa de la amenaza debe ser lo más corto posible. Cuanto más avance el atacante y menos telemetría haya disponible, más dificultad y tiempo necesitarán los equipos de seguridad para mitigar el ataque. Estamos viendo que los atacantes van cada vez más rápidos, aunque no están cambiando sus técnicas porque les siguen funcionando. Esto es una buena noticia y está permitiendo que el tiempo de detección también se reduzca.  La clave es aumentar la fricción siempre que sea posible: si se dificulta el trabajo de los atacantes, se puede añadir un tiempo valioso para responder”, comentaba durante su presentación en el evento John Shier, CTO Field de Sophos.

La ciberseguridad como servicio, punta de lanza de la apuesta de Sophos

Durante la jornada se analizó la situación actual y se puso sobre la mesa cómo la complejidad de las amenazas y el volumen y evolución constante hacen que cada vez sea más difícil para las empresas hacer frente a los ataques con herramientas útiles.

Por ello, durante el evento, Sophos dejó clara su apuesta por la ciberseguridad como servicio y su completo porfolio de Managed Detection and Response (MDR), que ofrece una supervisión y capacidad de reacción 24/7, para que empresas de todos los tamaños y sectores puedan aplicar una seguridad real. Tras una presentación sobre la ciberseguridad como servicio de la mano de Ricardo Maté, Vicepresidente para el Sur de Europa de Sophos, fue el turno del CTO Field de Sophos, John Shier, que desgranó los resultados del último Active Adversary Report para los asistentes y presentó las claves del comportamiento de los atacantes.

Durante la jornada, los participantes también pudieron conocer las novedades y tecnologías en MDR, XDR, Firewall y ZTNA que Sophos está desarrollando para impulsar su portfolio y dar respuesta real a las nuevas amenazas. Si quieres conocer todas las claves del evento, no te pierdas la entrevista que realizamos in situ junto a Ricardo Maté, Vicepresidente para el Sur de Europa de Sophos.