Tanium explica la respuesta a ciberataques

Tanium explica la respuesta a ciberataques

Ciudad de México. 15 de enero de 2025.- Tanium, proveedor líder de la industria de administración convergente de endpoints (XEM), señala que la escasez de talento en ciberseguridad persiste. Una investigación mostró una brecha en el mercado de ciberseguridad de 85 trabajadores por cada 100 puestos vacantes: el 15% de los puestos vacantes no se cubren. No hay suficientes profesionales para cubrir las necesidades básicas de las organizaciones, lo que genera un mayor riesgo para las empresas y más oportunidades para los cibercriminales.

Para la empresa, si bien este problema se está filtrando en todas las áreas de la ciberseguridad, ha sido especialmente problemático en el área de respuesta a incidentes (IR), donde el impacto no es tan claro y la solución es, en cierto modo, esquiva. La IR requiere una amplia capacitación, creatividad y experiencia en el trabajo, pero los equipos de ciberseguridad están tan saturados de amenazas y vulnerabilidades que la mayoría no prioriza el tiempo o los recursos para desarrollar personas que respondan a incidentes. Eso es un problema.

Como resultado, las empresas están empeorando a la hora de responder adecuadamente a los incidentes y el problema ha pasado desapercibido durante demasiado tiempo. Las organizaciones necesitan este tipo de profesionales para proteger sus operaciones, datos y clientes, pero sin la formación y las herramientas adecuadas, no tienen la capacidad de crear equipos de respuesta a incidentes sólidos.

Aunque la respuesta a incidentes consiste en contar con un plan para responder a los ataques, en realidad es una forma crucial para que las organizaciones se defiendan de las amenazas potenciales y que debe priorizarse. En 2023, Mandiant informó que el 15% de las infracciones que investigaron procedían de ataques en los que el vector de acceso inicial era un ataque previo. Estos ataques podrían haberse evitado con el equipo y los procesos adecuados, llevando a cabo una respuesta a incidentes integral para detectar y erradicar adecuadamente al atacante del entorno.

Las soluciones a corto plazo no son soluciones reales

Tanium señala que en la actualidad, demasiadas organizaciones siguen un enfoque de “ataque y preparación” para la recuperación de riesgos, optando simplemente por reinstalar las computadoras porque no tienen el personal para extraer adecuadamente la información de un incidente. A corto plazo, esto es más rápido y más barato, pero tiene un impacto perjudicial en la protección contra amenazas futuras.

Por el contrario, las organizaciones pueden recurrir a la subcontratación. Los expertos en servicios de seguridad gestionados y de recuperación de riesgos se han dado cuenta de que la consultoría les proporciona un alcance y un impacto más amplios sobre el problema, pero ninguna de estas son soluciones a largo plazo.

Las organizaciones necesitan algo a largo plazo para reforzar sus programas de seguridad. La mejor manera de hacerlo es con herramientas modernas y refactorizando la respuesta ante incidentes como una función central de las empresas para ayudarlas a adquirir conocimiento de las malas experiencias. Equipar a las organizaciones y a sus expertos en ciberseguridad con la capacitación y las soluciones adecuadas es la única forma infalible de introducir mejores programas de respuesta ante incidentes.

La capacitación y las herramientas crean una mejor respuesta ante incidentes

El intercambio de conocimientos es la mejor manera de abordar este problema. Compartir los aprendizajes clave de ataques anteriores es la manera en que estos equipos pueden crecer y prevenir desastres futuros. El problema es que, si bien muchos ingenieros coinciden en que aprenden más cuando algo «falla» y que los incidentes son un tesoro de conocimientos para los equipos de seguridad, estas conversaciones a menudo se limitan a los canales de información necesaria. La franqueza sobre los incidentes es la única manera de enseñar realmente a los equipos cómo abordarlos.

Los equipos también necesitan las herramientas adecuadas para hacer el trabajo. Las organizaciones tienen acceso a una variedad de ellas; por ejemplo, las herramientas de detección y respuesta de endpoints pueden monitorear y recopilar datos de actividad para identificar amenazas y permitir una respuesta rápida. La gestión de eventos e información de seguridad puede realizar un análisis integral del tiempo de las alertas de seguridad, mientras que el análisis del tráfico de red puede encontrar anomalías que apunten hacia amenazas. De manera similar, el análisis del comportamiento de usuarios y entidades puede encontrar amenazas internas.

Soluciones como estas dan a los equipos de IR un respiro en caso de un ataque, ya que hacen que las respuestas sean más rápidas y sencillas. Alivian parte de la presión y reducen la necesidad de gastar dinero en subcontratar IR o rehacer imágenes de dispositivos. Lo más importante es que permiten aprender y comprender mejor lo que ayuda con la prevención futura.

Las herramientas y la capacitación serán cada vez más importantes a medida que cambie el panorama de amenazas y la evolución de la tecnología haga que sea más difícil mantenerse al día con los atacantes. Además de la escasez de talento, las organizaciones deben invertir en el desarrollo de sus equipos existentes para protegerse contra nuevas amenazas. De lo contrario, corren el riesgo de exponerse a infracciones y ataques aún mayores. 

Si las organizaciones no priorizan la respuesta a incidentes para protegerse contra un panorama de amenazas en aumento, dejan abiertas las oportunidades para que los ciberatacantes aprovechen sus mismas debilidades en sus defensas. Cada infracción debe ser una oportunidad de aprendizaje para que los equipos puedan extraer información que refuerce los programas de seguridad contra amenazas futuras”, señaló Stephanie Aceves, directora senior de Gestión de Productos de Tanium.

ciberataques
Ataques de ransomware afectan a la industria

Ataques de ransomware afectan a la industria

Hablar de ciberseguridad debe llevarnos a reflexionar sobre las vulnerabilidades que nos afectan en los diferentes ambientes en los que nos movilizamos e interactuamos, ya sea en el doméstico, el del transporte, oficina, fábrica, o en cualquier otro, porque prácticamente todo el día estamos conectados a un dispositivo enlazado a Internet, tanto en redes caseras, privadas o públicas. 

Y desde luego, los entornos industriales no son la excepción. Como usuarios finales, quizá no escuchamos frecuentemente sobre las amenazas y los ataques que sufren las fábricas y las plantas de producción de distintos artículos, pero lo cierto es que los cibercriminales están aprovechando las nuevas vulnerabilidades de la industria un 43% más rápido que en el primer semestre de 2023, de acuerdo con un informe especializado[1]

De hecho, el mismo reporte señala que el 44% de todas las muestras de ransomware y wiper se dirigieron a los sectores industriales, aunque se denota cierta desaceleración en los ataques de secuestros de datos en el último año, probablemente porque los ciberdelincuentes dejaron la estrategia tradicional de “distribución y oración” para diseñar estrategias dirigidas a las industrias de energía, atención médica, manufactura, transporte, logística, y automotriz. 

Vale la pena considerar que con el transcurso del tiempo, los negocios y el entorno industrial han dependido de recursos como la Tecnología Operativa (OT – hardware y software para controlar y monitorizar dispositivos, procesos físicos e infraestructuras); o como los Sistemas de Control Industriales (ICS – hardware y software que automatizan los procesos de producción, monitorizan y soportan la infraestructura industrial), o los Sistemas de Control de Supervisión y Adquisición de Datos (SCADA – para el control de los equipos, y para recopilar y registrar datos operativos). 

Y es que el uso de tales elementos, en conjunto, incluso rebasan el propio entorno industrial para utilizarse como elementos de apoyo y contribuir al abasto de agua, electricidad y gas a las viviendas, transportar la gasolina necesaria para los vehículos, apoyar el funcionamiento del transporte público, y desde luego, fabricar productos de consumo como alimentos, medicamentos y bebidas[2]

Cabe destacar que la tecnología operativa (OT), no se diseñó originalmente para el mundo digital, del que hemos visto su desarrollo acelerado en etapas recientes, y por ello, gran parte de la infraestructura crítica, que incluye a las instalaciones, sistemas físicos o servicios esenciales y de utilidad pública vitales para el funcionamiento de la sociedad y la economía, se ejecuta en sistemas heredados (obsoletos, pero que siguen en uso) que son más susceptibles a los ciberataques. 

Por ello, muchos de estos sistemas no tienen las características y capacidades de protección que incluyen los equipos modernos (como software antivirus, parches de seguridad, contraseñas, y otros elementos), pero la necesidad de generar y recibir información en tiempo real para tomar decisiones y optimizar el rendimiento ha requerido que estén conectados a las redes comerciales e Internet. 

Ante tal panorama, los ciberataques a estos sistemas pueden afectar la seguridad de los trabajadores y del público, así que la infraestructura crítica no solo debe proteger estos sistemas contra ataques, sino que también debe incorporar resiliencia operativa para que las operaciones sigan funcionando en caso de que un ciberataque tenga éxito. 

Son varios los daños que pueden causar los ciberataques a los sistemas OT/ICS/SCADA, como afectaciones al abasto de agua, energía, combustible y gas; pérdida de servicios de comunicaciones, en celulares y en líneas fijas; interrupciones en servicio de transporte público o privado, de cualquier modalidad; escasez de productos de consumo de limpieza, medicinas y otros; y como consecuencia, movimientos sociales de protesta ante la falta de estos servicios. 

Pero ante ese posible escenario, existen alternativas tecnológicas para prevenir ciberataques y para corregir los daños, y es parte de la razón de ser de Infosecurity Mexico, evento en el que los profesionales de la ciberseguridad conocerán soluciones comprobadas y nuevas, para tales fines, además de que se enterarán de las mejores prácticas en esa materia los próximos 22 y 23 de octubre, en el Centro Citibanamex de la CDMX. Aquí la información:

https://www.infosecuritymexico.com/es/visitantes/pases.html

Facebook: https://www.facebook.com/infosecmexico

LinkedIn: https://www.linkedin.com/company/infosecurity-mexico/

Instagram: https://www.instagram.com/infosecuritymexico?igsh=MWxkeDhzM2Q0N2J3Yw==

Mail de contacto: info@infosecuritymexico.com

[1] https://n9.cl/fqzcz

[2] https://n9.cl/cx2d5

Señalan que casi el 50 % de ataques de ransomware afectan a la industria</p>
<p>