La mayoría de solicitudes de respuesta a incidentes se realizan demasiado tarde
- Endpoint
El 26% de los incidentes investigados fueron causados por una infección con malware de cifrado, mientras que el 19% de los casos fueron el resultado de la detección de spam en una cuenta de correo electrónico corporativo, la falta de disponibilidad del servicio o una brecha exitosa.
A menudo se supone que la respuesta a incidentes solo es necesaria en los casos en que el daño de un ciberataque ya ha ocurrido y existe la necesidad de una mayor investigación. Sin embargo, el análisis de múltiples casos de respuesta a incidentes en los que los especialistas de seguridad de Kaspersky participaron durante el 2018 muestra que esta oferta no solo puede servir como investigación, sino también como una herramienta para detectar un ataque durante una etapa temprana para evitar daños. Pero lo cierto es que sólo el 44% de las solicitudes de respuesta a incidentes se procesaron después de la detección de un ataque durante una etapa temprana, salvando al cliente de consecuencias potencialmente graves.
Según el último Informe de análisis de respuesta a incidentes de Kaspersky, en 2018, el 22% de los casos de respuesta a incidentes se iniciaron después de la detección de posible actividad maliciosa en la red, y un 22% adicional se inició después de que se encontró un archivo malicioso en la red. Sin ningún otro signo de incumplimiento, ambos casos pueden sugerir que hay un ataque en curso.
Sin embargo, no todos los equipos de seguridad corporativos pueden saber si las herramientas de seguridad automatizadas ya han detectado y detenido la actividad maliciosa, o si esto fue solo el comienzo de una operación maliciosa invisible, más grande en la red y se necesitan especialistas externos. Como resultado de una evaluación incorrecta, la actividad maliciosa se convierte en un ciberataque grave con consecuencias reales. En 2018, el 26% de los casos "tardíos" investigados fueron causados por infección con malware de cifrado, mientras que el 11% de los ataques resultaron en un robo monetario. El 19% de los casos "tardíos" fueron el resultado de la detección de spam de una cuenta de correo electrónico corporativo, detección de indisponibilidad del servicio o detección una brecha exitosa.
“Esta situación indica que en muchas compañías ciertamente hay margen para mejorar los métodos de detección y los procedimientos de respuesta a incidentes. Cuanto antes detecte un ataque una organización, menores serán las consecuencias. Pero según nuestra experiencia, las empresas a menudo no prestan la debida atención, y a menudo se llama a nuestro equipo de respuesta a incidentes cuando ya es demasiado tarde para evitar daños. Por otro lado, vemos que muchas empresas han aprendido cómo evaluar los signos de un ciberataque grave en su red y pudimos evitar lo que podrían haber sido incidentes más graves", explica Ayman Shaaban, experto en seguridad de Kaspersky.
