Los ciberdelincuentes perfeccionan continuamente sus tácticas para aprovechar los puntos débiles de las defensas de las organizaciones, con métodos son cada vez más sofisticados. Según el reciente informe de Semperis sobre ataques de ransomware en vacaciones, el 75% de las organizaciones que sufrieron ransomware en España fueron atacadas durante las vacaciones o los fines de semana. Del mismo modo, el 39% de los encuestados fueron atacados durante grandes eventos corporativos, como fusiones, adquisiciones o salidas a bolsa.
Estos resultados ponen de manifiesto que los grupos de ransomware suelen atacar fuera del horario laboral, cuando las defensas son más débiles. Si bien es cierto que el 95% de las organizaciones encuestadas declararon que mantienen un Centro de Operaciones de Seguridad (SOC) las 24 horas del día los 365 días del año, el 84% admitió que reducen el personal del SOC hasta en un 50% durante las vacaciones y los fines de semana. Teniendo en cuenta los riesgos, ¿por qué la mayoría de las empresas no adaptan su personal a los patrones de ataque conocidos? El 65% de las organizaciones afirma que la razón principal es proteger el equilibrio entre la vida laboral y familiar de sus empleados.
El problema con el que se encuentran muchas organizaciones es que la contratación de personal para gestionar el SOC las 24 horas del día aumenta los costes y/o exige contratar personal adicional. Para ahorrar dinero, muchas empresas reducen la cobertura fuera del horario laboral, cuando creen que las amenazas son menos probables. Pero ¿qué ahorran realmente las empresas a largo plazo si se tiene en cuenta que los costes de reparación y recuperación tras una violación de seguridad pueden superar los cientos de miles de euros por cada incidente?
Las organizaciones deben adoptar una mentalidad de "violación de seguridad asumida", porque los actores de amenazas acabarán por atacar todas las organizaciones. Es esencial identificar los puntos clave y los servicios más críticos, como el sistema de identidad, en la mayoría de los casos Windows Active Directory (AD) de Microsoft, que se ve comprometido en el 90% de los ataques de ransomware. No nos equivocamos al afirmar que el sistema de identidad es el nuevo perímetro de seguridad. El AD es una tecnología que tiene 25 años. Para mantener la resistencia operativa las empresas necesitan limitar las configuraciones obsoletas, los privilegios excesivos de los usuarios y la supervisión insuficiente. Estos problemas dificultan la detección de actividades maliciosas. Conseguir acceso a AD es el objetivo de la mayoría de los actores de amenazas y acceder al AD abre las puertas a los sistemas críticos y datos sensibles de su víctima.
A pesar de este riesgo, muchas empresas subestiman la importancia de la seguridad de la identidad. Un plan de recuperación de la identidad debería incluir la realización de copias de seguridad del sistema de identidad, de modo que, en caso de peligro, la organización pueda recuperar la eficiencia operativa de la red mucho más rápidamente. Por favor, no forme parte del porcentaje de empresas que no abordan los ciberataques en su plan de respuesta a incidentes o de aquellas que no comprueban regularmente las vulnerabilidades del sistema de identidad.
Construyendo una defensa resiliente
Para aumentar la resistencia operativa, las organizaciones deben dar prioridad a la seguridad como componente esencial de su resistencia empresarial. Entre las medidas eficaces, es necesario establecer planes exhaustivos, preparándose de forma proactiva para posibles incidentes y probando periódicamente los protocolos de respuesta. También es necesario optimizar los recursos, asignando eficazmente las herramientas y el personal disponible a cubrir las áreas más vulnerables. Además, implantar soluciones ITDR, herramientas de detección y respuesta a amenazas capaces de automatizar tareas clave como la auditoría, las alertas, la detección de patrones de ataque y la mitigación de cambios sospechosos en AD. Por último, aprovechar la automatización, liberando al personal de seguridad cualificado de tareas rutinarias para que se centre en responsabilidades de mayor valor.
Si adoptan estas medidas, las empresas podrán hacer frente a los riesgos con eficacia, mejorar la seguridad de su identidad y solventar las lagunas de personal. Con defensas optimizadas y una mentalidad de "violación de seguridad asumida", las organizaciones estarán mejor preparadas para responder a todos los ataques, incluidos los que se producen en festivos y fines de semana.
