Los actores de amenazas necesitan cada vez menos tiempo para las adquisiciones de redes
La empresa de seguridad CrowdStrike publicó recientemente un nuevo e interesante informe de "caza de amenazas" que arroja luz sobre una tendencia preocupante entre los actores de amenazas. El informe muestra que los piratas informáticos necesitan cada vez menos tiempo para pasar de la violación inicial y descifrar un sistema en una red abierta a obtener acceso completo y moverse lateralmente a través de toda la red.
CrowdStrike utilizó datos recopilados de casi 250 mil puntos finales utilizados por los clientes de la empresa y los utilizó en su informe. Los datos muestran que, en promedio, los actores de amenazas necesitaron aproximadamente una hora y media para pasar de la infiltración inicial al movimiento lateral en la red de una víctima.
El movimiento lateral, por definición, es el punto en el que el actor de la amenaza ha logrado implementar contramedidas para detener la detección y puede moverse entre diferentes máquinas host en una red, tener acceso a sus sistemas de archivos y poder implementar malware adicional en ellos. , así como extraer datos de ellos.
Solo esta definición simplificada deja muy claro que el equipo de seguridad de TI de una víctima tendrá muchos más problemas para lidiar con un actor de amenazas que ha logrado asegurar el movimiento lateral a través de la red.
Los piratas informáticos que han pasado de la infracción inicial al movimiento lateral pueden implementar ransomware en la red de la víctima, así como utilizar herramientas maliciosas adicionales para frustrar la detección. Todo esto muestra cuán vital es poder contener la brecha inicial y actuar lo más rápido posible para evitar que los piratas informáticos se apoderen de una mayor parte de la red.
El informe de CrowdStrike también muestra que más de un tercio de los ataques que rastreó vieron a los piratas informáticos pasar de la infracción inicial al movimiento lateral en menos de media hora. Esto significa una inmensa presión sobre los equipos de seguridad para contener las brechas y evitar que los atacantes obtengan más acceso.
Si bien es cierto que los actores de amenazas generalmente necesitarán realizar un reconocimiento temprano en una red y husmear en busca de puntos débiles adicionales, el simple hecho de que un grupo de piratas informáticos puede pasar del acceso inicial a la red al acceso completo y la implementación de prácticamente cualquier malware adicional que tengan. querer es más que un poco preocupante.