Por revistaeyn.com
Los actores de amenazas demoran en pasar del acceso inicial al movimiento lateral ya no días ni horas, la respuesta para muchas organizaciones es "minutos". De hecho, según un informe, el tiempo medio de penetración en 2024 fue 48 minutos, un 22 % más corto que el año anterior.
ESET cuenta cómo contar con tecnología de gestión de detección y respuesta (MDR-Managed Detection and Response) permite mayor velocidad en detección y respuesta ante incidentes.
“Se trata de una carrera contrarreloj que muchas organizaciones están perdiendo. Afortunadamente, los adversarios no tienen todas las cartas, y los defensores de la red pueden contraatacar”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.
Se espera que el mercado de MDR crezca 20 % durante los próximos siete años para superar los US$8.300 millones en 2032. Se trata de una respuesta directa a la evolución del ciberpaisaje.
“La externalización en este contexto tiene todo el sentido. Es una forma más barata (especialmente en gastos de capital) de ofrecer supervisión y detección de amenazas 24 horas al día, 7 días a la semana, incluida la búsqueda proactiva de amenazas, por parte de un equipo de expertos especializados. Esto no sólo ayuda a superar la escasez de personal cualificado, sino que también garantiza una protección rápida y permanente. Esto puede aportar tranquilidad, especialmente en un momento en el que el 86 % de las víctimas de ransomware admiten haber sido atacadas durante el fin de semana o en un día festivo”, agrega el investigador de ESET.
La velocidad que ofrece la tecnología MDR es importante porque puede ayudar a minimizar el tiempo de permanencia del atacante, que actualmente es de 11 días, según Mandiant. Cuanto más tiempo se permita a los adversarios permanecer en la red, más tiempo tendrán para encontrar y extraer datos confidenciales y desplegar ransomware. Además, contener rápidamente el "radio de explosión" de un ataque, garantiza el aislamiento de los sistemas o segmentos de red comprometidos y evita así la propagación de la brecha.
REQUISITOS MÍNIMOS
Una vez que se desde una organización se decide mejorar las operaciones de seguridad (SecOps) con una solución MDR, la atención debe centrarse en los criterios de compra. Con tantas soluciones en el mercado, es importante encontrar la adecuada, que según ESET, como mínimo debería contar con:
· Detección y respuesta a amenazas basadas en IA: Análisis inteligentes para detectar automáticamente comportamientos sospechosos, utilizar datos contextuales para mejorar la fidelidad de las alertas y corregirlas automáticamente cuando sea necesario. Esta es la forma de acelerar las investigaciones y solucionar los problemas antes de que los adversarios tengan la oportunidad de causar daños duraderos.
· Un equipo de expertos de confianza: Tan importante como la tecnología es el personal que respalda la solución MDR. Se necesita experiencia en SOC de nivel empresarial que trabajen como una extensión del equipo interno de seguridad de IT para gestionar la supervisión diaria, la búsqueda proactiva de amenazas y la respuesta a incidentes.
· Capacidades de investigación de punta: Los proveedores que cuentan con laboratorios de investigación de malware de renombre estarán mejor situados para detener las amenazas emergentes, incluidas las de zero-day. Esto se debe a que los equipos experimentados investigan cada día nuevos ataques y cómo mitigarlos. Esta inteligencia tiene un valor incalculable en un contexto de MDR.
· Despliegue personalizado: Una evaluación del cliente antes de cada nueva contratación garantiza que el proveedor de MDR comprenda el entorno de IT y su cultura de seguridad únicos.
· Cobertura completa: Buscar capacidades similares a las de XDR en endpoint, correo electrónico, red, nube y otras capas, sin dejar a los adversarios espacio para esconderse.
· Búsqueda proactiva de amenazas: Investigaciones periódicas para encontrar amenazas que pueden haber eludido el análisis automatizado, incluidas amenazas APT sofisticadas y explotaciones de día cero.
· Rápida incorporación: Una vez que haya elegido un proveedor, lo último que necesita es esperar semanas hasta que pueda beneficiarse de la protección. Las reglas de detección, las exclusiones y los parámetros deben estar correctamente configurados antes de empezar.
· Compatibilidad con otras herramientas: Las herramientas de detección y respuesta deben funcionar a la perfección con sus herramientas de gestión de eventos e información de seguridad (SIEM) y de orquestación y respuesta de seguridad (SOAR). Estas deben ser ofrecidas por el proveedor de MDR o a través de API a soluciones de terceros.
“El MDR adecuado añadirá una capa de valor incalculable al entorno de ciberseguridad, con un enfoque basado en la prevención, y centrado principalmente en impedir que códigos o actores maliciosos dañen los sistemas informáticos”, concluye Gutiérrez Amaya de ESET Latinoamérica.
