Los retos de seguridad aumentaron durante la pandemia de la Covid-19 y esta circunstancia ofreció a los equipos de TI una oportunidad única para mejorar su experiencia en ciberseguridad. Así lo muestra la encuesta mundial El Equipo de Seguridad TI: 2021 y más allá, elaborada por la compañía de ciberseguridad Sophos y realizada con 5.400 responsables de la toma de decisiones de TI en empresas medianas en 30 países de Europa, las Américas, Asia-Pacífico y Asia-Central, Oriente Medio y África.
Entre estos países se encuentra España, donde la gran mayoría de los equipos de TI que se enfrentaron a un incremento de los ciberataques (80%) y a una mayor carga de trabajo en seguridad (81%) a lo largo de 2021, reforzaron sus habilidades y conocimiento en seguridad. A pesar de los retos provocados por la pandemia, el 52% de los equipos de TI encuestados afirman que la moral del equipo aumentó durante 2020.
"En todo el mundo, 2020 ha sido un año sin precedentes para los equipos de TI", ha afirmado Chester Wisniewski, investigador principal de Sophos.
"Los profesionales de TI jugaron un papel vital ayudando a las empresas a seguir en pie a pesar de las restricciones y limitaciones provocadas por el COVID-19. Sin embargo, la encuesta realizada por Sophos revela que, en muchos casos, estos retos han creado no solo equipos de TI más cualificados, sino también más motivados y preparados para abrazar un futuro ambicioso. Tenemos una excelente oportunidad para implementar nuevas políticas de TI y seguridad, adoptar herramientas modernas más seguras para gestionar las operaciones y a los empleados más allá del perímetro de TI, conformar equipos expertos que combinen el talento interno con el externo, e introducir plataformas de seguridad que combinen la automatización inteligente con la experiencia humana en la caza de amenazas. No hay vuelta atrás. El futuro puede ser tan inaudito como el pasado", ha agregado Wisniewski.
Principales resultados de la encuesta "El Equipo de Seguridad TI: 2021 y más allá"
En un comunicado, Sophos ha destacado los siguientes resultados de su encuesta internacional El Equipo de Seguridad TI: 2021 y más allá:
- La carga de trabajo de los equipos de TI se incrementó en un 63%, mientras que los equipos de ciberseguridad experimentaron un aumento del 69% a medida que la tecnología se posicionó como el principal facilitador para las empresas dispersas y digitales.
- Los atacantes aprovecharon rápidamente las oportunidades que presentó la pandemia: el 61% de los equipos de TI informaron de un aumento en el número de ciberataques registrados por sus empresas en el transcurso del 2020.
- El aumento de la carga de trabajo de seguridad y en el número de ciberataques permitió a los equipos de TI desarrollar sus habilidades y conocimiento en ciberseguridad. Gran parte de este desarrollo profesional ha sido adquirido de forma informal, aprendiendo en el trabajo a medida que los equipos se enfrentaban a las nuevas demandas de seguridad y tecnología, a menudo bajo una intensa presión y lejos de su lugar de trabajo habitual.
- Enfrentarse a los retos juntos, aumentó la moral del equipo. Más de la mitad (52%) de los equipos de TI encuestados afirmó que la moral del equipo creció durante el 2020. En muchos casos, la moral pareció aumentar en consonancia con una mayor carga de trabajo y ataques más intensos. Por ejemplo, las víctimas de ransomware son considerablemente más propensas a haber experimentado un aumento en la moral del equipo que aquellos que no fueron atacados (60% versus 47%). Los resultados sugieren que un propósito compartido, un sentido de valor y enfrentar la adversidad juntos ayudaron a unir y levantar sus ánimos.
- Las experiencias del 2020 han alimentado la ambición por equipos de TI más grandes y por utilizar herramientas avanzadas como Inteligencia Artificial (IA) en las futuras estrategias tecnológicas. Muchas empresas han entrado en 2021 con planes para aumentar el tamaño tanto en los equipos de TI internos como externalizados, y para aprovechar el potencial de las tecnologías y herramientas avanzadas. La encuesta revela que el 68% de los equipos de TI anticipan un incremento del staff de seguridad de TI interno para el 2023, y el 56% esperan que el número de personal de seguridad externo aumente en el mismo periodo. Una abrumadora mayoría (92%) espera que la IA ayude a hacer frente al creciente número y/o la complejidad de las amenazas. Esto podría deberse en parte al hecho de que el 54% de los equipos de TI cree que los ciberataques son ahora demasiado avanzados para que el equipo interno los enfrente en solitario.
Los ciberdelincuentes pasan 11 días de media en la red de la víctima antes de ser detectados
Así lo refleja el Playbook de Adversarios Activos 2021, también elaborado por Sophos y que detalla el comportamiento de los ciberdelincuentes y las herramientas, técnicas y procedimientos (TTPs) que los cazadores de amenazas y equipos de respuesta ante incidentes de primera línea de Sophos han detectado durante el 2020. Está basado en la telemetría de Sophos, así como en información sobre incidentes procedente de los equipos Sophos Managed Threat Response (MTR) y Sophos Rapid Response, y tiene un objetivo claro: ayudar a los equipos de seguridad a entender qué hacen los adversarios durante los ataques y cómo detectar y defenderse contra la actividad maliciosa en su red.
Sus resultados muestran que el tiempo medio de permanencia de los ciberatacantes en la red de la víctima antes de ser detectados fue de 11 días (o 264 horas), un margen de tiempo elevado teniendo en cuenta que, actividades maliciosas como los movimientos laterales, la descarga de credenciales o la exfiltración de datos se realizan en cuestión de minutos o, como mucho, algunas horas. La irrupción más larga no detectada duró 15 meses.
En el 69% de los ataques se utilizó el Protocolo de Escritorio Remoto (RDP) para realizar movimientos laterales dentro de la red. Las medidas de seguridad de RDP, como las VPNs y la autenticación multifactor, tienden a enfocarse en la protección de los accesos externos. Sin embargo, no funcionan si el atacante ya está dentro de la red. Sophos ha observado cómo el uso de RDP para movimientos laterales internos es cada vez más común en los ataques activos con teclado. Esto ocurre en el caso de los ataques ransomware, los cuales estuvieron implicados en el 81% de los ciberataques investigados por los equipos de Sophos.
El Playbook de Adversarios Activos 2021 también revela interesantes correlaciones entre las principales herramientas que se han detectado más a menudo en las redes de las víctimas. La detección de estas herramientas utilizadas por los ciberatacantes puede servir como una alerta temprana de un ataque inminente o confirmar la presencia de un ataque activo. Por ejemplo, cuando se usa PowerShell en un ataque, también se observa el uso de Cobalt Strike en el 58% de los casos, de PsExec en el 49%, Mimikatz en el 33% y GMER en el 19%. Por su parte Cobalt Strike y PsExec son usados conjuntamente en el 27% de los ataques investigados.
"Durante el último año, nuestro equipo de respuesta frente a incidentes ayudó a neutralizar ataques lanzados por más de 37 grupos de atacantes, que utilizaron más de 400 herramientas diferentes entre todos ellos. Muchas de esas herramientas son utilizadas también por los profesionales de seguridad y administradores de TI en sus tareas diarias, por lo que detectar la diferencia entre actividades benignas o maliciosas no siempre es fácil", ha señalado John Shier, asesor principal de seguridad de Sophos.
"Es fundamental que los responsables de la seguridad entiendan las señales de advertencia dentro de la red. Una de las principales banderas rojas, por ejemplo, es detectar una herramienta legítima en un lugar inesperado. La tecnología puede hacer grandes cosas, pero, en el panorama de amenazas actual, puede no ser suficiente por sí misma. La experiencia y conocimiento de profesionales y la capacidad para responder son una parte esencial de cualquier solución de seguridad", ha añadido Shier.