Sophos Day cumple su novena edición en Madrid reuniendo a su ecosistema de partners

La IX Sophos Day reúne en el Museo Reina Sofía a más de 400 profesionales del sector de la ciberseguridad para conocer el panorama de ciberamenazas y las tendencias de seguridad para las empresas, que pudieron conocer de manera pormenorizada el informe Active Adversary Report for Security Practitioners.

El estudio revela cómo los atacantes están desactivando o borrando los registros de telemetría (todos los datos y registros de los movimientos llevados a cabo dentro de la red) para ocultar su rastro, ya que estos registros de telemetría faltaban en casi el 42% de los ataques estudiados, mientras que en el 82%, los atacantes los había eliminado a propósito para dificultar su captura.

Las brechas en la telemetría disminuyen la visibilidad tan necesaria en las redes y sistemas de las empresas, especialmente porque el tiempo de permanencia del atacante (el que transcurre desde el acceso inicial hasta la detección) continúa disminuyendo, acortando el tiempo que los responsables de seguridad tienen para responder eficazmente a un incidente.

¿Cómo están actuando los ciberatacantes?

El informe de Sophos, basado en 232 casos reales realizados por su equipo de Respuesta a Incidentes (IR) en 25 sectores con empresas de 34 países (83% de menos de mil empleados) desde el 1 de enero de 2022 hasta el 30 de junio de 2023, revela las tendencias en el comportamiento de los ciberdelincuentes, clasificando los ataques de ransomware en el informe entre “Ataques rápidos”, –con un tiempo de permanencia de los atacantes en la red de la víctima inferior o igual a cinco días, que representan el 38% de los ataques estudiados– y “Ataques lentos” –con un tiempo de permanencia superior a cinco días, lo que ocurre en la mayoría (62%) de los casos analizados–.

En cuanto a las herramientas, técnicas y binarios “living-off-the-land” (LOLBins) que desplegaron los atacantes, no hay mucha variación entre ataques rápidos y lentos. Esto sugiere que no es necesario reinventar las estrategias defensivas para frenar esos ataques, aunque los ataques rápidos y la falta de telemetría puede obstaculizar enormemente los tiempos de respuesta, y, en consecuencia, conllevar más destrucción.

El tiempo de permanencia, desde el inicio de un ataque hasta que se detecta, continúa reduciéndose, situándose en ocho días en la primera mitad de 2023. En 2022, el tiempo medio de permanencia disminuyó de quince a diez días.

Los atacantes tardan menos de un día, aproximadamente 16 horas, en llegar a Active Directory (AD), el activo más importante de las empresas. AD normalmente gestiona la identidad y el acceso a los recursos en toda una organización, lo que significa que los atacantes pueden utilizar el directorio para escalar fácilmente sus privilegios en un sistema y llevar a cabo una amplia gama de actividades maliciosas.

La gran mayoría de los ataques de ransomware se producen fuera del horario laboral. Casi la mitad (43%) de los ataques de ransomware se detectaron el viernes o el sábado.

Un año más se contó con la asistencia del especialista de la casa, John Shier, CTO Field de Sophos, que manifestó: “El tiempo es crítico cuando se responde a una amenaza activa. El tiempo entre la detección del acceso inicial y la mitigación completa de la amenaza debe ser lo más corto posible. Cuanto más avance el atacante y menos telemetría haya disponible, más dificultad y tiempo necesitarán los equipos de seguridad para mitigar el ataque. Estamos viendo que los atacantes van cada vez más rápidos, aunque no están cambiando sus técnicas porque les siguen funcionando. Esto es una buena noticia y está permitiendo que el tiempo de detección también se reduzca.  La clave es aumentar la fricción siempre que sea posible: si se dificulta el trabajo de los atacantes, se puede añadir un tiempo valioso para responder”.

Cberseguridad como servicio

Durante la jornada, en la que se dieron cita clientes, partners, medios y expertos de ciberseguridad de todo el mundo, se fueron desgranado las piezas que conforman el actual panorama de la ciberseguridad. Ricardo Maté, vicepresidente para el Sur de Europa de Sophos, fue el encargado de abrir la sesión, y centró su presentación en la estrategia de la compañía basada en el concepto de la ciberseguridad como servicio.

La complejidad de las amenazas y el volumen y evolución constante hacen que cada vez sea más difícil para las empresas hacer frente a los ataques con herramientas útiles. Ante ello, el directivo español mostró en el corazón del Sophos Day 2023 su apuesta basada en una nueva experiencia de ciberseguridad, entregada como servicio.

Para ello toda su estrategia en los roadmaps de producto de los últimos años pasa por la adecuación de su completo porfolio a la ciberseguridad como servicio, empezando por sus soluciones de Managed Detection and Response (MDR), que ofrece una supervisión y capacidad de reacción 24/7, para que empresas de todos los tamaños y sectores puedan aplicar una seguridad real frente al comportamiento cada vez más industrializado de los atacantes.

Con respecto a cómo poder estar mejor preparados ante las amenazas, Maté comentó que “la única solución es avanzar hacia la ciberseguridad como servicio. Todas las organizaciones están evolucionando hacia servicios de ciberseguridad gestionada y creemos que ese es el camino. Poder incorporar telemetría garantiza que las soluciones de ciberseguridad sean extensibles y completas, ya que supone un valor diferencial a la hora de detectar, mitigar y responder”.

Durante la jornada, los participantes también pudieron conocer las novedades y tecnologías en MDR, XDR, Firewall y ZTNA que Sophos está desarrollando para impulsar su catálogo de extremo a extremo y dar respuesta real a las nuevas amenazas. Además, también tuvo lugar una mesa redonda sobre ciberseguridad, en la que Carlos Rodríguez, CISO de Adolfo Domínguez, Alberto Corredera, director TI de Room Mate Hoteles y Alejandro Donoso director TI de Prinex Real State Software, se sentaron a debatir sobre cuáles son las amenazas y necesidades en sus negocios y cómo afrontarlas en el día a día.

Se habilitó un espacio de exposición también donde estuvieron los socios preferentes de canal, como Ajoomal, Also y Ingram Micro, así como otros partners como Intec, Cyse, Sia, Verne, Einzelnet, Tekpyme, VicMartin, A0Tech, Asseco, Base 10 o Evolutio. También tuvo un papel destacado Veritas, cuyo director general Ignacio de Pedro expuso sus soluciones basadas en la gestión del dato y en última instancia cuando nada más tiene remedio la recuperación del mismo para garantizar la ciberresilencia de las empresas. Por su parte Eduardo Sánchez Toril, de Hack&Beers, expuso funciona en la red oculta los marketplaces del crimen y cómo se ponen en venta verdaderas armas de destrucción masiva.