El tiempo de permanencia, también conocido como “dwell time”, es un término crucial en el ámbito de la ciberseguridad. Se refiere al período durante el cual un atacante permanece sin ser detectado en una red empresarial, observando y estudiando el comportamiento de su objetivo para identificar los activos más valiosos. Este artículo proporciona una visión referente a la importancia de la reducción del dwell time, así como también busca mostrar su incidencia e importancia para las empresas.
Estadísticas Actuales del Tiempo de Permanencia
Según el informe M-Trends 2024 de Mandiant, la mediana global del tiempo de permanencia en 2023 (el tiempo desde el compromiso hasta su descubrimiento) es de 10 días, lo que representa una disminución de 6 días en comparación con el período del informe anterior. Adicionalmente, Sophos X-Ops descubrió que los atacantes tardan en promedio menos de un día (aproximadamente 16 horas) en llegar a un Active Directory (AD), uno de los activos más críticos para una organización.
Es importante tener en cuenta que el tiempo de permanencia puede variar según el tipo de ataque y la industria. Por ejemplo, los ataques de ransomware pueden tener un tiempo de permanencia más corto que otros tipos de ataque, como indica Sophos X-Ops. Sin embargo, este tiempo es difícil de medir, ya que debemos rastrear la amenaza desde su origen; determinar cuándo y dónde se originó la amenaza, además de seguir el rastro de los movimientos laterales, lo cual no es una tarea fácil en todo momento.
El Papel de la IA en la Reducción del Tiempo de Permanencia
Otro punto a tener en cuenta es que la Inteligencia Artificial (IA) está emergiendo como una herramienta esencial para mejorar la eficiencia y efectividad de las defensas cibernéticas, especialmente en 2024. Numerosos fabricantes de tecnología han adoptado la IA para mejorar sus servicios, una tendencia que continuará creciendo en los próximos años. Los ciber defensores están utilizando la IA y las tecnologías relacionadas para reforzar la detección, respuesta y atribución de adversarios a escala. Además, la IA puede acelerar el análisis y otras tareas que requieren mucho tiempo, permitiendo a las organizaciones sintetizar grandes cantidades de datos y contextualizarlos en inteligencia de amenazas, mejorando la respuesta ante incidentes y acelerando procesos lo cual lleva a la reducción del dwell time.
El uso significativo de la IA no solo ayuda a generar detecciones y análisis procesables, sino que también puede ayudar a las organizaciones a manejar la sobrecarga de amenazas y cerrar la creciente brecha de talento en ciberseguridad. Esta transformación será una de las más importantes para las organizaciones que aprovechen la IA para fines de ciberseguridad en los próximos años.
Prácticas para Reducir el Dwell Time
Sin embargo, aunque la inteligencia artificial por sí sola no brindará mucha ayuda en la reducción del Dwell time no debemos olvidar que la prevención y un plan de ciberseguridad es esencial en todas las organizaciones. Forcepoint nos indica que a medida que las empresas avanzan para reducir el tiempo de permanencia de un ataque cibernético, se deben considerar conceptos fundamentales de la ciberseguridad, por lo tanto, nos detalla cinco prácticas para ayudar a las organizaciones a reducir el dwell time mediante la detección, la contención y el control de las amenazas cibernéticas.
1. Controles de seguridad fundamentales:
Asegurar que se estén implementando los controles básicos de seguridad, como hardening de los dispositivos, entre otros.
2. Visibilidad granular e inteligencia correlacionada:
Las empresas deben implementar funcionalidades de control de redes como Netflow y recolectar registros de cualquier dispositivo que capte el uso de identidad.
3. Monitorización continua de dispositivos finales:
Esto permite a los equipos de seguridad juntar las piezas del marco de un incidente y correlacionar eventos aparentemente no relacionados
4. Predicción demostrable del comportamiento humano:
La predicción de perfiles de ataque sobre la base del plan probable de un adversario, una ciencia dentro del campo más amplio de la respuesta a incidentes, permitirá a las organizaciones anticipar los movimientos que podría hacer un atacante para tener acceso a blancos de alto valor.
5. Reconocimiento del usuario:
Es imperativo que las organizaciones eduquen a sus empleados no solo sobre las políticas corporativas y los mandatos gubernamentales, sino también sobre el creciente riesgo que presentan las amenazas avanzadas para la organización.
En conclusión, el tiempo de permanencia es un indicador importante de la eficacia de la seguridad cibernética de una organización. Aunque la mediana global del tiempo de permanencia ha venido disminuyendo en los últimos años, sigue siendo crucial que las organizaciones implementen medidas de seguridad adecuadas para detectar y responder a los ataques de manera oportuna.
Además de las estadísticas mencionadas, es esencial entender que el tiempo de permanencia es solo una parte de la ecuación de la seguridad cibernética. Las organizaciones también deben centrarse en la prevención de ataques, la formación de los empleados en prácticas seguras de ciberseguridad y la implementación de tecnologías avanzadas de detección y respuesta a amenazas.
Finalmente, aunque las estadísticas muestran una tendencia a la disminución del tiempo de permanencia, esto no significa que las amenazas cibernéticas están disminuyendo. Al contrario, los ciberdelincuentes están constantemente desarrollando nuevas técnicas y tácticas para infiltrarse en las redes y evitar la detección. Por lo tanto, es esencial que las organizaciones sigan siendo vigilantes y proactivas en sus esfuerzos de seguridad cibernética, buscando otros enfoques para la protección, acompañadas de servicios con IA, la cual hoy en día está preparada para desempeñar un papel crucial en la mejora del “dwell time” y en la evolución general de la ciberseguridad en el futuro cercano.
Desde el Centro de Seguridad y Vigilancia Digital (CSVD®) de A3Sec estamos comprometidos con la reducción del Dwell Time de las organizaciones. A través de servicios como nuestra Operación Unificada de Seguridad, que además de ser una solución tecnológica, es un equipo de dedicados guerreros digitales, con herramientas avanzadas para blindar los activos digitales por medio de la prevención, detección y reacción ante incidentes, apoyados en tecnología de punta nativa Cloud, soportada en Big Data y Machine Learning.
Referencias:
