www.virtualtech.com.mx - Blog #ciberamenazas

Fantasma en la máquina: cuando los ciberataques pasan desapercibidos

Thu, 31 Oct 2024 13:41:27 -0600

Imagínese que alguien estuviera hurgando en sus archivos ahora mismo, robando sus datos o los de sus clientes, preparándose para retenerlos a cambio de un rescate o tal vez simplemente venderlos en la red oscura. Ahora piense en esto: podría estar sucediendo ahora mismo y usted no lo sabría.

Los ciberataques no son como los antiguos robos a bancos. No hay entradas dramáticas, enfrentamientos tensos ni conflictos ruidosos como en las películas. Hoy en día, los ladrones hacen su trabajo desde algún lugar remoto y, lo que es más importante, lo hacen en silencio. Tan en silencio, de hecho, que los ciberataques suelen durar semanas o meses antes de que las organizaciones los detecten.

Cosas que ocurren en tus servidores

IBM informa que el ataque de phishing promedio dura 261 días , y eso es solo el promedio. ¿Cuánto daño podría causar un ciberatacante con nueve meses para invadir su sistema y robar sus datos? Mucho, según los resultados: IBM descubrió que la filtración de datos promedio le ha costado a la víctima $4,88 millones en 2024, un aumento del 10% con respecto a 2023.

La perspectiva de cualquier filtración de datos es aterradora, pero la idea de que un atacante pueda apoderarse de los datos de una organización durante semanas o meses es absolutamente aterradora. Consideremos que los ciberatacantes tardaron solo una semana en paralizar Change Healthcare en una de las mayores filtraciones de datos de la historia de Estados Unidos. Si se les dan meses o años, los atacantes podrían devastar por completo una empresa.

La llamada viene desde dentro de casa: historias reales de ciberataques

La lista de violaciones masivas de datos es casi tan larga como legendaria. La mayor de todas, una infame violación de Yahoo en 2013 que comprometió las tres mil millones de cuentas de la empresa, duró tres años. No meses, sino años. Es cierto que esa violación es un caso atípico y ya tiene más de una década.

Pero incluso en 2024, las infracciones de una duración sorprendentemente larga han causado algunas víctimas muy reconocibles. Consideremos estas aterradoras historias de este año solamente:

Correos electrónicos de alto nivel de Microsoft expuestos durante semanas

En enero de 2024, Microsoft reveló que un grupo de ciberatacantes tuvo acceso a los correos electrónicos de altos ejecutivos durante al menos seis semanas. Seis semanas parece un período corto cuando el ciberataque promedio dura casi nueve meses, y lo es. Pero imagine que un ciberatacante tenga acceso a parte de su información más confidencial o la de sus clientes durante semanas.

Y si tenemos en cuenta que Microsoft es una corporación global enorme que desarrolla sus propias aplicaciones de seguridad, en teoría debería ser una de las empresas más seguras del mundo. Sin embargo, un grupo de atacantes logró leer correos electrónicos ejecutivos y legales extremadamente confidenciales durante más de un mes. Una de las empresas más seguras del mundo tardó más de un mes en detectar una infracción. ¿Cuánto tiempo necesitarían la mayoría de las pequeñas empresas?

Los sistemas Dell estuvieron comprometidos durante casi tres semanas

En la misma línea que Microsoft, Dell es una empresa tecnológica que debería estar entre las organizaciones más seguras que existen. Pero en mayo de 2024, los ciberatacantes penetraron las defensas de Dell y tuvieron acceso a los sistemas de la empresa durante casi tres semanas. Una vez más, una empresa llena de expertos técnicos no pudo detectar una brecha durante casi un mes.

Esta vez, el daño fue mucho más allá de los correos electrónicos de los ejecutivos. Los atacantes robaron y supuestamente vendieron información de 49 millones de registros relacionados con sistemas que los clientes compraron a Dell entre 2017 y 2024. El punto aquí no es que Dell o Microsoft sean malos o negligentes en la protección de datos . Ambas son empresas extremadamente reputadas con ejércitos de profesionales de seguridad de alto nivel. El punto es que si un atacante puede robar registros de Dell durante semanas, vulnerar una pequeña empresa durante meses será relativamente fácil.

Los atacantes roban datos de MITRE durante meses

Este podría ser el ejemplo más impactante de todos. MITRE, una empresa sin fines de lucro que realiza investigación y desarrollo e incluso tiene una base de conocimientos de ciberseguridad de gran reputación, dijo en abril de 2024 que los atacantes habían violado una de sus redes de investigación y creación de prototipos .

¿Y cuánto tiempo pudieron los atacantes acceder a la red de MITRE antes de ser detectados? Aproximadamente tres meses. El ataque comenzó en enero y MITRE no lo reveló hasta abril. La empresa reconoció que el ciberataque perduró a pesar de que MITRE empleó las mejores prácticas. Una empresa que trabaja habitualmente con una autorización de seguridad de alto nivel aún logró ser víctima de un ataque que duró meses.

La detección y la respuesta proporcionan seguridad frente al peligro.

Para las pequeñas empresas, el peligro de que un atacante acceda a los datos durante días, semanas o meses es muy real. Podría estar sucediendo ahora mismo. Sí, da miedo, pero usted y sus clientes no están indefensos. La detección y respuesta de endpoints (EDR) y la detección y respuesta extendidas (XDR) pueden mantener a los monstruos fuera de sus datos críticos.

Acronis Cyber Protect Cloud con Advanced Security + XDR permite a los MSP y a sus clientes supervisar sus sistemas para que los ciberatacantes no puedan acecharlos sin que nadie se dé cuenta. Con XDR, los MSP pueden ofrecer a los clientes prevención, detección, análisis, respuesta y recuperación rápidas ante ciberataques. XDR puede prevenir intrusiones y también detectarlas y mitigarlas antes de que los atacantes tengan la oportunidad de causar un daño real.

Para las empresas, Acronis Cyber Protect con EDR supervisa, detecta y permite responder de forma continua a actividades que no reconoce como normales. También recopila información de seguridad de los endpoints y los registros del sistema para detectar anomalías e impulsar respuestas informadas en los endpoints afectados.

Get Started Now

Inteligencia y monitoreo de amenazas cibernéticas

Tue, 26 Jul 2022 14:25:57 -0500

La inteligencia y el monitoreo de amenazas cibernéticas son fundamentales cuando se trata de detener las amenazas modernas, pero muchas organizaciones no cuentan con el personal, la experiencia o el presupuesto para recopilar, procesar y analizar la información necesaria para detener los ataques. Sin acceso a la inteligencia de ciberamenazas más actualizada, su organización tiene más posibilidades de sufrir un ataque.

Este artículo analiza qué es la inteligencia de amenazas cibernéticas, cómo se desarrolla la inteligencia, los tipos de inteligencia disponibles para diferentes audiencias y las alternativas disponibles para cualquier organización que no pueda asumir un programa interno de inteligencia de amenazas cibernéticas.

¿Qué es la inteligencia y el monitoreo de amenazas cibernéticas?

"La inteligencia de amenazas es conocimiento basado en evidencia, que incluye contexto, mecanismos, indicadores, implicaciones y consejos procesables, sobre una amenaza o peligro existente o emergente para los activos que se puede utilizar para informar decisiones con respecto a la respuesta del sujeto a esa amenaza o peligro. " - Gartner

La inteligencia de amenazas cibernéticas (CTI) son datos procesables que los sistemas de seguridad cibernética y/o los expertos en seguridad de una organización recopilan y utilizan para ayudarlos a comprender mejor las amenazas, tomar las medidas adecuadas para detener un ataque y proteger la red y los puntos finales de la empresa de futuros ataques. . Los datos incluyen información como quién es el atacante y cuáles son sus capacidades, motivaciones y planes de ataque.

El monitoreo de amenazas cibernéticas es una solución que utiliza inteligencia de amenazas para analizar, evaluar y monitorear continuamente las redes y puntos finales de una organización en busca de evidencia de amenazas de seguridad, como intrusión en la red, ransomware y otros ataques de malware. Una vez que se identifica una amenaza, el software de monitoreo de amenazas emite una alerta y detiene la amenaza.

¿Por qué es importante la inteligencia de amenazas cibernéticas?

No puede detener de manera confiable ninguna amenaza, ya sea un ataque cibernético o de otro tipo, sin información detallada al respecto. En la era del trabajo remoto, donde los empleados usan dispositivos BYOD y redes desprotegidas, CTI es más importante que nunca. Con inteligencia de amenazas y monitoreo de amenazas, una organización tiene la protección de datos más sólida y la información necesaria para detener o mitigar los ataques cibernéticos. CTI proporciona:

Conocimiento de los datos, incluido el contexto, para ayudar a prevenir y detectar ataques

Alertas priorizadas, que lo ayudan a responder más rápido a los incidentes

Mejora de la comunicación, la planificación y la inversión mediante la identificación de los riesgos reales para el negocio.

¿Quién puede beneficiarse de la inteligencia de amenazas cibernéticas?

Todas las organizaciones, grandes y pequeñas, pueden beneficiarse de CTI, aunque pocas organizaciones cuentan con analistas en el personal para trabajar con el volumen de información y tomar decisiones sobre qué datos son válidos y qué amenazas son reales. Los expertos han estimado que se necesitarían 8774 analistas trabajando a tiempo completo durante un año para procesar la misma cantidad de datos de eventos de seguridad que el aprendizaje automático (ML) puede procesar en el mismo período de tiempo.

Esta es la razón por la que muchas organizaciones recurren a la inteligencia artificial (AI) y el ML para analizar la inteligencia de amenazas táctica y operativa necesaria para la detección y respuesta oportunas a las amenazas.

Proceso y ciclo de vida de inteligencia de amenazas cibernéticas

Los expertos de la industria afirman que hay cinco o seis pasos de proceso iterativos en el ciclo de vida de la inteligencia de amenazas cibernéticas, que convierte los datos sin procesar en inteligencia. La CIA primero desarrolló un proceso de ciclo de vida de seis pasos, mientras que otros expertos en seguridad combinaron y condensaron el proceso de ciclo de vida en cinco pasos de la siguiente manera:

Planificación y dirección . En esta fase, el CISO o CSO establece las metas y objetivos del programa de inteligencia de amenazas cibernéticas. Esto incluye identificar los datos críticos y los procesos comerciales que necesitan protección, la inteligencia requerida para proteger los datos y los procesos comerciales, y priorizar qué proteger.

colección _ Luego, los datos se recopilan de múltiples fuentes, como fuentes de código abierto, inteligencia de amenazas interna, comunidades verticales, servicios comerciales e inteligencia de la web oscura.

procesamiento _ Los datos recopilados luego se procesan en un formato que es adecuado para un análisis posterior.

Análisis _ En este paso, los datos se combinan de diferentes fuentes y se transforman en inteligencia procesable para que los analistas puedan identificar patrones y tomar decisiones informadas.

Difusión . A continuación, el análisis se publica en un formato apropiado y se difunde a las partes interesadas o clientes de la empresa.

La inteligencia de amenazas cibernéticas se denomina ciclo porque abordar los ataques cibernéticos no es un proceso único, sino un proceso circular que toma cada experiencia cibernética y la aplica a la próxima amenaza.

Tipos de inteligencia y monitoreo de amenazas

Hay tres categorías o tipos de inteligencia de amenazas cibernéticas, según los requisitos y la audiencia.

Inteligencia de amenazas estratégicas

La inteligencia de amenazas estratégicas se desarrolla para la revisión a nivel ejecutivo y/o de la junta. Es un informe de inteligencia no técnica que habla de las tendencias, los riesgos y las consecuencias de un ataque cibernético para que el lector comprenda el impacto en las decisiones comerciales. La inteligencia de amenazas estratégicas generalmente se genera bajo demanda y la información puede tomar la forma de un informe, resumen, documento técnico, documento de política o publicación de la industria.

Inteligencia de amenazas tácticas

Los defensores de la seguridad y los responsables de la toma de decisiones utilizan la inteligencia de amenazas tácticas para ayudarlos a comprender los últimos vectores y técnicas de ataque. Al comprender continuamente el enfoque y los métodos de ataque más recientes, una organización puede desarrollar mejores estrategias de defensa y asignar recursos de seguridad.

Inteligencia de amenazas operativas

La inteligencia operativa proporciona información específica sobre amenazas para ayudar a los equipos de respuesta técnica a detener un ataque al comprender mejor la naturaleza del ataque, el método de ataque y el momento. Una solución de ciberseguridad moderna que utiliza ML es el mejor método para desarrollar inteligencia operativa contra amenazas.

Acronis proporciona a sus clientes inteligencia continua sobre ciberamenazas

Acronis Cyber Protect Cloud , que forma parte de la plataforma Acronis Cyber Cloud para proveedores de servicios, y Acronis Cyber Protect para sistemas locales son soluciones pioneras en la industria que integran capacidades de copia de seguridad y ciberseguridad en una solución para proteger todos los datos, aplicaciones y sistemas. . La protección cibernética requiere investigar y monitorear las amenazas, así como cumplir con los Cinco Vectores de Protección Cibernética: seguridad, accesibilidad, privacidad, autenticidad y seguridad (SAPAS).

Para respaldar su enfoque, Acronis estableció una red global de Centros de Operaciones de Protección Cibernética (CPOC) para monitorear e investigar las amenazas cibernéticas las 24 horas del día, los 7 días de la semana. Esta red global monitorea constantemente a los socios, clientes y una batería de fuentes externas de Acronis para detectar y analizar el amplio universo de ciberamenazas. Esta supervisión permite a los ingenieros de Acronis investigar amenazas modernas para ayudar a crear soluciones de protección cibernética fáciles, eficientes y seguras. Además, la investigación de CPOC también se utiliza para crear alertas de amenazas y planes de protección inteligente para mantener a los usuarios de Acronis Cyber Protect protegidos contra las amenazas más recientes.

Los socios y clientes de Acronis pueden acceder a estas alertas de amenazas en tiempo real para obtener lo último sobre malware, vulnerabilidades, desastres naturales y otros eventos globales que pueden afectar la protección de sus datos. Como usuario, esto le permite a su organización obtener actualizaciones continuas del panorama de la ciberseguridad, sin la necesidad de monitorear constantemente múltiples fuentes diferentes. Además, puede ajustar automáticamente los planes de protección en función de estas alertas de seguridad para garantizar una protección proactiva contra las amenazas emergentes.

Si su organización es una pequeña o mediana empresa, es posible que no tenga los expertos en seguridad y el presupuesto para desarrollar y monitorear la inteligencia de ciberamenazas y detener las amenazas modernas. Esta es la razón por la que Acronis desarrolló Acronis Cyber Protect Cloud para proveedores de servicios. Permite que el proveedor de servicios administrados (MSP) con el que trabaja proteja de manera proactiva todas sus cargas de trabajo contra ataques cibernéticos avanzados. Con Acronis Cyber Protect, su organización tiene protección en tiempo real con tecnologías antivirus, antimalware, antiransomware y anticriptojacking basadas en IA estáticas y heurísticas de comportamiento.