¿Por qué son necesarios los indicadores de incidencias?
- Actualidad
Solo un 1,26% de las alertas que los indicadores de ataques en dispositivos endpoint fue identificado como incidente de seguridad, según un nuevo informe de Kaspersky. Sin embargo, la mayoría de ellos resultaron ser ataques sofisticados.
Durante los primeros seis meses de 2019, sólo un pequeño número (1,26%) de las alertas de los los indicadores de ataques (IoA en sus siglas inglesas) en dispositivos endpoint fue identificado como incidentes de ciberseguridad, según el Informe de Análisis de Detección y Respuesta de Kaspersky. En total, de las 40.806 alertas generadas a través de IoAs, solamente 515 resultaron ser incidentes detectados. Sin embargo, la mayoría de estos incidentes estaban relacionados con sofisticados ataques dirigidos que utilizan la técnica denominada ‘‘living off the land’’, desplegada por los ciberdelincuentes para ocultar actividades maliciosas dentro del comportamiento legítimo de los usuarios y administradores.
Ésta es una de las conclusiones del estudio, basado en los resultados del análisis de múltiples niveles del servicio Kaspersky Managed Protection Service, proporcionado a diversas organizaciones de distintos sectores como el financiero, industrial, transporte, tecnológico, telecomunicaciones o la administración pública.
A diferencia de los métodos de detección basados en Indicadores de Compromiso (IoC), los IoAs permiten la identificación de un ataque en función de las tácticas, técnicas y procedimientos de los actores de amenaza, en vez de en archivos maliciosos conocidos u objetos. Para Kaspersky, los ataques que utilizan el método ‘living off the land’ son cada vez más populares y los métodos de detección basados en IoA resultan ser los más efectivos.
En el análisis de la firma, el mayor número de ataques se encontró en las etapas consideradas más ‘ruidosas’(donde el parecido de los falsos positivos es relativamente mayor): ejecución (37%), evasión de defensa (31%), movimiento lateral (16%) e impacto (16%). Al combatir estas tácticas, la investigación descubrió que los productos de protección de endpoints (EPP) son una herramienta eficaz de respuesta a amenazas para el 97% de los incidentes identificados, de los cuales el 47% se clasificó de gravedad media, incluyendo malware como troyanos y cryptors, y el 50% de baja gravedad, incluyendo programas no deseados como adware o riskware.
Sin embargo, cuando se trata de amenazas avanzadas y desconocidas, o de aquellas clasificadas como de alta gravedad (3%), las soluciones tradicionales de EPP son, por sí solas, menos eficaces. Este tipo de amenazas, incluyendo ataques dirigidos o malware complejo lanzado a través de tácticas de "living off the land", requieren un nivel adicional de detección basada en TPP, un análisis y búsqueda manual de amenazas.
