Análisis y respuesta rápida ante un ciberataque

Bloquear la amenaza no es suficiente: tienes que entender y reconstruir toda la cadena de infección.

La mayoría de las soluciones de seguridad para pequeñas y medianas empresas solo evitan que el malware se extienda en un equipo de trabajo o servidor. Durante años esto era suficiente. Siempre y cuando una empresa pudiera detectar ciberamenazas en dispositivos finales, podría detener la expansión de la infección en la red y así proteger la infraestructura corporativa.

Pero los tiempos cambian. Un típico ciberataque moderno no supone un incidente aislado en el ordenador de un empleado, sino una operación compleja que afecta a una parte considerable de la infraestructura. Por lo tanto, para reducir al mínimo los daños derivados de un ciberataque moderno es necesario no solo bloquear el malware, sino también entender rápidamente qué y cómo sucedió y dónde podría ocurrir otra vez.

Qué ha cambiado

El cibercrimen moderno ha evolucionado de manera que incluso una empresa pequeña puede ser presa de un completo ataque dirigido. Hasta cierto punto, esto viene como consecuencia del aumento de la disponibilidad de las herramientas necesarias para orquestar un ataque complejo de varias etapas. Sin embargo, los cibercriminales también tratan de sacar el mayor partido a su esfuerzo, por lo que destacan los operadores del ransomware. Actualmente se observa una gran investigación y preparación en las operaciones de ransomware. En ocasiones, los operadores acechan a una red objetivo durante semanas explorando la infraestructura y roban sus datos vitales antes de dar el golpe cifrándolos y pidiendo un rescate.

Una empresa pequeña podría servir como un objetivo intermedio en un ataque a la cadena de suministro. Se sabe que a veces los atacantes utilizan la infraestructura de un contratista, un proveedor de servicios online, o un socio pequeño para atacar a una organización más grande. En estos casos, podrían explotar vulnerabilidades de día cero, una opción que suele conllevar un gran coste.

Entendamos lo que pasó

Para terminar con un ataque complejo de varios niveles es necesario tener una idea global y clara de cómo el atacante penetró en la infraestructura, cuánto tiempo estuvo dentro, a qué datos pudo acceder, etc. Si solo eliminamos el malware, estaríamos tratando los síntomas de una enfermedad sin abordar su causa.

En el ámbito empresarial, el Centro de operaciones de seguridad (SOC), el departamento de TI o un tercero realizan estas investigaciones. Las grandes empresas utilizan para esto soluciones EDR. La limitación de presupuesto y personal hace que estas opciones estén fuera del alcance de las pequeñas empresas.  Sin embargo, estas necesitan herramientas especializadas que les ayuden a responder eficazmente a las amenazas complejas.

Kaspersky Endpoint Security Cloud con EDR

Nuestra solución para pequeñas y medianas empresas con funcionalidad EDR no necesita estar configurada por un experto en seguridad; la actualización de Kaspersky Endpoint Security Cloud Plus ofrece visibilidad mejorada de la infraestructura. El administrador puede identificar rápidamente las trayectorias que utilice una amenaza para expandirse, ver información detallada de los equipos afectados, ver rápidamente los datos de los archivos maliciosos y ver dónde más se están usando los archivos. Con esto, los administradores rápidamente pueden detectar todos los focos de la amenaza, bloquear la ejecución de archivos peligrosos y aislar los equipos afectados para reducir al mínimo los daños potenciales.

Al monitorizar el uso de la herramienta para determinar su relevancia en este campo, pusimos a disposición de los usuarios la funcionalidad EDR de Kaspersky Endpoint Security Cloud Plus en su versión de prueba durante el 2021. Puedes conocer más información y pedir la versión de prueba aquí.

Consejos