Tiempo de respuesta a ciberincidentes graves disminuye en un 17%
Un informe de Kaspersky destaca el aumento en el tiempo de respuesta a incidentes de gravedad media y recomienda medidas preventivas para las organizaciones
19 de septiembre de 2024
El equipo del Centro de Operaciones de Seguridad (SOC por sus siglas en inglés) de Kaspersky necesitó un promedio de 36 minutos para comunicar incidentes de alta gravedad, como amenazas en los sistemas de TI, un 17% menos de tiempo que en años anteriores, lo que resalta la eficiencia mejorada de la empresa en mitigar amenazas críticas.
El informe de Kaspersky presenta los resultados del análisis de incidentes MDR, problemas de ciberseguridad detectados y respondidos rápidamente por especialistas usando herramientas avanzadas, en 2023. A continuación, más detalles del análisis:
Cada año, Kaspersky elabora un informe sobre los incidentes que enfrenta su equipo del SOC. Este informe divide los incidentes en tres categorías: alta, media y baja gravedad:
- Incidentes de alta gravedad: ataques de origen humano o amenazas de malware que tienen un impacto significativo en los sistemas de TI del cliente.
- Incidentes de gravedad media: no presentan evidencias de participación humana directa en el ataque, pero pueden afectar la infraestructura del cliente sin consecuencias graves.
- Incidentes de baja gravedad: no afectan los sistemas informáticos del cliente, pero requieren la adopción de medidas de precaución.
Aunque los casos de alta gravedad han registrado una reducción en el tiempo de respuesta, los de gravedad media han registrado un aumento en el tiempo de respuesta de 30 a casi 33 minutos. Estos incidentes se refieren a ataques de malware y son los más comunes, lo que provocó un aumento general en el tiempo de respuesta.
En cuanto a la eficiencia de la respuesta, alrededor del 74% de ellos se resolvieron tras una sola alerta, lo que indica escenarios de respuesta claros y eficientes. Sin embargo, el 24% de los casos requirió de 2 a 10 alertas, necesitando la intervención de un especialista humano para resolver ataques en curso, como intentos de explotación de redes comprometidas o campañas de phishing.
Los resultados del informe muestran que solo el 2% de los incidentes involucraron más de 10 alertas. Normalmente, implican amenazas complejas que requieren una investigación exhaustiva antes de tomar medidas, o situaciones en las que el cliente optó únicamente por la monitorización.
"En América Latina, 20% de los incidentes cibernéticos se produjeron debido a violaciones de los protocolos de seguridad por parte de los empleados, y ese tipo de incidentes, en donde participa el factor humano, deben ser tratados de manera rápida y decisiva para contener los daños y evitar pérdidas financieras y de reputación para la empresa”, comenta Claudio Martinelli, director General para Américas en Kaspersky. “Por ello para la empresa es prioritario reducir el tiempo de respuesta a estos incidentes críticos. Con la protección multinivel que ofrece nuestro MDR, podemos seguir combatiendo eficazmente a los ciberdelincuentes en este escenario de amenazas en constante cambio".
En respuesta a los resultados de este informe, Kaspersky recomienda a las organizaciones:
- Realizar un inventario regular de la participación de grupos privilegiados para garantizar una gestión eficaz de privilegios y acceso.
- Implementar prácticas de caza de amenazas en combinación con la monitorización clásica basada en alertas.
- Realizar ejercicios cibernéticos para probar la eficiencia de los mecanismos de seguridad utilizados en la empresa.
- Adoptar un enfoque de seguridad en varios niveles para protegerse contra incidentes. Esto incluye una protección robusta de los endpoints, seguridad de la red e información sobre amenazas en colaboración con especialistas en ciberseguridad.
- Optar por servicios de seguridad gestionados si la empresa no cuenta con personal dedicado a la ciberseguridad. Utilice estas soluciones para obtener conocimientos especializados adicionales y cubrir todo el ciclo de gestión de incidentes, desde la identificación de amenazas hasta la protección y corrección continuas.
Para obtener más información, consulte el informe.