SEGURIDAD Luis Verenzuela moebius6357@gmail.

com 07/07/2019 = 8 08:30

Los hackers aún superan la detección de

infracciones, los esfuerzos de contención
La investigación muestra que el tiempo para descubrir y contener las brechas se está
reduciendo lentamente, pero los atacantes no necesitan una ventana muy grande para
causar mucho daño.
Es una temporada de informes de incumplimiento y una de las tendencias predominantes
descubiertas por los investigadores de seguridad es que las organizaciones están mejorando
la ventana entre el momento en que se produce un compromiso y el momento en que se
detecta. A pesar de esta leve ganancia, el hecho de que la típica línea de tiempo de
incumplimiento sigue siendo completamente favorable a los atacantes es un hecho sólido.
Dos informes diferentes de esta primavera mostraron que las organizaciones están
acortando el tiempo para descubrir violaciones de datos. Más recientemente, el Informe de
seguridad global de Trustwave 2019 publicado a fines del mes pasado encontró que el
tiempo entre una intrusión y la detección de ese incidente se redujo casi a la mitad.Ese
estudio mostró que el tiempo medio entre la intrusión y la detección se redujo de 26 días en
2017 a 14 días en 2018.
Esto corrobora la tendencia a la baja en esta estadística identificada en marzo por el informe
MandE M-Trends de FireEye 2019 , aunque ese estudio mostró una reducción más modesta
y un tiempo mucho mayor entre estos hitos de incumplimiento importantes. Mandiant
descubrió que el tiempo entre la intrusión y la detección se redujo de 101 días en 2017 a 78
días en 2018. Eso es una mejora notable desde 2011, cuando Mandiant colocó ese número
en 426 días.
Mandiant usa un lenguaje común de "tiempo de permanencia" para esta estadística, aunque
otros expertos tienen sus propios términos coloridos. Pero todos están de acuerdo en que la
reducción debe ser una gran prioridad para los equipos de ciberseguridad.
"Nos referimos al tiempo entre compromiso y descubrimiento como el 'déficit de detección', y
un objetivo primordial debería ser que el delta entre los dos sea lo más pequeño posible",
explicó Bob Rudis, científico jefe de datos de Rapid7, en un blog. Publicar esta
semana . "Tenga en cuenta que no es el único objetivo, ni debería ser el enfoque completo
de sus planes de respuesta, sino que debe estar 'arriba' en cualquier lista 'x' superior que
tenga".
Rudis, uno de los muchos contribuyentes de la industria al Informe de investigación
de infracciones de datos de Verizon (DBIR) de 2019 publicado ayer, señaló que el informe de
este año muestra que este déficit de detección a menudo ni siquiera se mide con precisión
en muchas organizaciones, lo que significa que "ya están cediendo el Resultado del juego "a
los adversarios.
Sin embargo, de manera más reveladora, este último DBIR muestra que incluso con
reducciones como las que se describen en los informes de Trustwave y Mandiant, los malos
están en otra liga cuando se trata de velocidad.
SEGURIDAD Luis Verenzuela moebius6357@gmail.com 07/07/2019 = 8 08:30

"El tiempo desde la primera acción del atacante en una cadena de eventos hasta el
compromiso inicial de un activo se mide típicamente en minutos", dijo el informe DBIR de
2019 . "Por el contrario, el tiempo para el descubrimiento es más probable que sean meses".
Campo de batalla asimétrico
Un informe diferente del mes pasado de Ponemon Institute e IBM sobre la resistencia
cibernética indica que la automatización de la seguridad es la forma más probable de que el
mundo de la seguridad pueda ganar efectivamente esta batalla asimétrica en el tiempo de
permanencia.
Ese estudio mostró que muchas de las mejoras que se están logrando al acortar la ventana
entre la intrusión y la detección se deben a la automatización: la automatización mejoró los
tiempos de detección y contención en un 25%. Sin embargo, la mayoría de las
organizaciones estudiadas admitieron que solo usan la automatización de manera moderada,
insignificante o que no utilizan en absoluto. Según el estudio, solo el 23% de los encuestados
son usuarios importantes de herramientas automatizadas que pueden reducir la detección de
incidentes y los tiempos de respuesta.
Mientras tanto, después de que las organizaciones hayan detectado y contenido un evento,
también están lidiando con los tiempos de divulgación. Este es un gran problema para los
reguladores y legisladores en estos días, con el lanzamiento de GDPR este año y los
rumores de posibles nuevas leyes en los EE. UU. Para imponer tiempos de divulgación más
cortos.
Un informe publicado esta semana por Risk Based Security mostró que si bien la ventana de
tiempo entre el descubrimiento y la generación de informes ha disminuido bastante desde
2014, ese número puede estar en alza. El año pasado, el intervalo de tiempo aumentó
ligeramente, exactamente un día, hasta un promedio de 49,6 días. Eso fue después de una
caída de más de 12 días el año anterior.
Sponsored Content
SANS Review: Investigate Attacks on Critical Assets with Network
Traffic Analysis
This SANS Institute review tests out a workflow for investigating attacks using Reveal(x)
Network Traffic Analysis for the enterprise.
Brought to you by ExtraHop Networks, Inc.

El informe mostró que la actividad en el primer trimestre de 2019 dice que podríamos estar
viendo un gran salto en el promedio para fines de 2019. En el primer trimestre de 2019, ese
número aumentó a 54 días.
Contenido relacionado:
Las organizaciones son más rápidas a la hora de revelar las infracciones informadas a
través de fuentes externas
El gran pivote del crimen electrónico
8 Ofertas de 'SOC como servicio'
6 cosas que debes saber sobre el ransomware que golpeó a Norsk Hydro
SEGURIDAD Luis Verenzuela moebius6357@gmail.com 07/07/2019 = 8 08:30

Únase a Dark Reading LIVE para dos cumbres de

ciberseguridad en Interop 2019. Aprenda de los
expertos en seguridad de TI con más conocimientos del sector. Echa un vistazo a la agenda de Interopaquí.
Ericka Chickowski se especializa en la cobertura de tecnología de la información e
innovación empresarial. Se ha centrado en la seguridad de la información durante la mayor
parte de una década y escribe regularmente sobre la industria de la seguridad como
colaboradora de Dark Reading. Ver biografía completa