Un estudio encargado por McAfee refleja cómo el 74 % de los encuestados están muy preocupados sobre su capacidad para gestionar los ataques selectivos y las amenazas persistentes avanzadas (APT). Más de la mitad de los encuestados habían investigado 11 o más ataques selectivos durante el pasado año. Ante esta situación, la compañía realizó una evaluación de las capacidades de las organizaciones para gestionar los ataques avanzados y selectivos. De él se desprende que el tiempo es es un factor clave para el éxito:
- El 78 % de los que consiguieron detectar ataques selectivos en minutos emplean una solución de administración de información y eventos de seguridad (SIEM) en tiempo real.
- El 57 % de las empresas que detectan los ataques selectivos en cuestión de minutos sufrieron 10 o menos ataques selectivos el año pasado.
El 12 % de las organizaciones consideradas "ágiles" (las que detectan los ataques en minutos) investigaron más de 50 incidentes el año pasado, lo que revela un mayor esfuerzo tanto por parte de agresores como de sistemas de defensa. - El 52 % de los que se muestran menos preocupados por los ataques disponen de una solución SIEM en tiempo real.
- 5 de los 8 indicadores más útiles de ataque (según las investigaciones de Foundstone) consideran que el tiempo es un factor decisivo de un evento.
Las organizaciones más eficientes se centraban en varios indicadores clave para detectar los ataques:
- La observación de patrones de alerta inusuales puede ayudar a las organizaciones a detectar el malware de reconocimiento y con carga maliciosa, los activos
comprometidos y las actividades de control remoto. - El tráfico saliente sospechoso muestra los hosts atacados, los centros de mando y control, y las filtraciones.
- El tráfico interno inesperado revela el robo de privilegios, movimientos laterales y propagaciones.
Como conclusión, el estudio indica que las empresas con capacidad para detectar ataques de forma anticipada se defienden mejor contra los ataques selectivos. Con las tecnologías existentes, y a menudo con los despliegues actuales, es posible proporcionar una mejor protección y una respuesta a incidentes más rápida de la que obtienen las empresas en la actualidad. Muchas generan alertas e información que serviría para prevenir fugas de datos o interrupciones de servicio si se pudiera aislar la señal del
resto de datos. El problema es que la mayoría de las organizaciones sencillamente no aprovechan al máximo la información y las herramientas de las que disponen, ni emplean los indicios de ataque para obtener una imagen convincente de manera puntual.