Cibercriminales al acecho de las organizaciones tome acciones inmediatas para reducir los riesgos

Acaba de detectar un ataque y alertó al equipo de respuestas a incidentes. Seguramente uno de los 38 casos que arrojaron las investigaciones realizadas este año referente a los diferentes tipos de ataque. La mitad de estos son, probablemente, ataques genéricos de malware, pero el resto son ataques de riesgo más alto, dirigidos o violaciones de datos. Ahora usted trabaja contra el tiempo y contra la tasa potencialmente exponencial de otras infecciones, intentando colocar sus sistemas de vuelta a la normalidad.

¿Qué pasa si no puede detener el ataque lo suficientemente rápido?, ¿Qué sucederá después? Ha aislado la máquina que cree que está infectada y dio comienzo el proceso laborioso de limpieza. O compra nuevas máquinas y opera redes de trabajo completamente separadas mientras limpia a fondo y transfiere cuidadosamente datos de las viejas a las nuevas. O tal vez se enfrasca tan rápido que no puede encontrar la salida, y simplemente trabaja alrededor de máquinas infectadas.

Estos y otros escenarios de seguridad están evolucionando en organizaciones en todo el mundo. Los atacantes están cambiando de ataques enfocados, de diseño dirigidos a empresas e individuos específicos. Han estado probando comportamientos de tecnologías preventivas y están aprendiendo cómo traspasar defensas de seguridad y minimizar la detección. Una capacidad de respuesta a incidentes rápida y activa ahora es una parte importante de su plan de seguridad general.

Nuestra investigación resalta la importancia de responder de manera efectiva al ataque durante la primera hora. Hay tantos datos ingresando desde sus herramientas existentes que lleva un tiempo analizarlos, lo que podría ocasionar que esté dejando pasar indicadores de ataques importantes.

Reducción de riesgo

Acelerar la detección de incidentes y obtener un entendimiento del impacto potencial y alcance, son las tareas más importantes al reducir riesgos. Lo que necesita es la capacidad de realizar monitoreo en tiempo real, usando datos históricos como base, Los colectores automatizados de terminales pueden memorizar el estado y contexto del sistema, observando cambios en el flujo de red, registros, o procesos que puedan indicar un ataque. Esto también incluye archivos borrados que son generalmente usados para evadir la detección.

Una vez detectado el ataque y su alcance potencial, las próximas tareas importantes son llevar la acción para minimizar el impacto, identificando los recursos que permanecerán vulnerables y actualizando los controles de seguridad. Cuando los colectores de terminales detectan un evento de ataque, envían alertas a la central de seguridad. Pero también puede configurarlos para activar otras acciones, dependiendo de la naturaleza de la alerta. ¿Quiere que las colecciones de datos extras, los cambios temporales a privilegios de usuarios, u otras acciones personalizadas ayuden al equipo a dar una respuesta efectiva?

También puede activar un monitoreo a través de todos los sistemas en la organización, expandiendo en mayor escala el escenario de respuesta. Ya no necesita hacer suposiciones sobre el progreso del ataque, que puede resultar en una vista limitada artificialmente de los sistemas afectados. Si no puede dimensionar la respuesta de forma rápida y con suficiente alcance, permite a los criminales trabajar libremente en un área mientras intenta contener solo una porción de la infección.

El tiempo y la dimensión son los limitadores principales de respuesta a incidentes. Una mayor automatización de los colectores de datos, activadores de seguridad, y reacciones predefinidas le ayudan a detectar más pronto, a responder más rápido, y a encontrar mucho más de lo que podía antes.

Existe una nueva ayuda, a partir de la versión 9.5, los clientes de McAfee Enterprise Security Manager (ESM) pueden simplificar las operaciones con paquetes de contenido «listos para funcionar».  Ahora los usuarios de SIEM pueden responder a las amenazas sin perder tiempo en comprender el origen del evento ni crear contenido desde cero. Además, los administradores de SIEM están habilitados para crear, ajustar y mantener contenido específico en caso de uso.

FOLLOW US ON:
Lenovo y Google se a
SafetyPay lanza apli

juanmesia@gmail.com

Comunicador, periodista dedicado al periodismo tecnológico, nomofóbico total. De niño desarmaba mis juguetes para saber cómo funcionaban... Sigo jugando a lo mismo... para saber más googlea: Juan Martín Mesía Castro

Rate This Article:
NO COMMENTS

LEAVE A COMMENT