Según un informe de Semperis , más de la mitad de las organizaciones que sufrieron un ataque de ransomware el año pasado fueron atacadas durante un fin de semana o un día festivo. Estos períodos suelen conllevar escasez de personal, investigaciones más lentas y menos vigilancia en los sistemas de identidad. Los intrusos saben que una menor atención les permite avanzar más antes de que salten las alarmas.
El 60 % de los incidentes ocurrieron tras una fusión, adquisición, reestructuración o un cambio similar dentro de la empresa. El desencadenante más común fue una operación de fusión y adquisición . Al consolidar entornos de identidad, aparecen inconsistencias. Los atacantes buscan estos puntos débiles y actúan con rapidez cuando los encuentran.
Los resultados globales varían según la región y el sector, pero el patrón es el mismo. Los grupos de amenazas prefieren los momentos en que los equipos internos están ocupados, distraídos o reorganizando sistemas críticos.
Las decisiones sobre la dotación de personal del SOC crean brechas
Tres cuartas partes de los encuestados operan un SOC interno. La dotación de personal disminuye drásticamente durante los fines de semana y festivos. El 78 % reduce la cobertura del SOC al menos a la mitad durante esos períodos, y el 6 % lo deja vacío.
La razón más común para la reducción de la cobertura es el deseo de promover la conciliación de la vida laboral y personal . Otra razón frecuente es que la organización cierra fuera de la semana laboral. Un grupo más pequeño cree que es improbable que se produzca un ataque durante ese horario. Esta suposición sigue disminuyendo, lo que indica cierta tendencia hacia una mentalidad de asumir una brecha de seguridad.
Los actores de amenazas siguen aprovechando la reducción de personal de ciberseguridad durante días festivos y fines de semana para lanzar ataques de ransomware. La vigilancia en estos momentos es más crucial que nunca, ya que la persistencia y la paciencia de los atacantes pueden provocar interrupciones comerciales duraderas, afirmó Chris Inglis, primer Director Nacional de Ciberseguridad de EE. UU. y Asesor Estratégico de Semperis.
Estos patrones de personal crean oportunidades que los adversarios comprenden. Las alertas automatizadas son útiles, al igual que los sistemas de monitoreo externalizados y los procesos de triaje. Lo que no ayuda es un periodo prolongado sin que nadie vigile los sistemas de identidad mientras los atacantes están activos fuera del horario laboral.
La detección es fuerte, la recuperación se retrasa
La seguridad de la identidad se ha convertido en un componente estándar de la defensa contra el ransomware. El 90 % de los encuestados cuenta con una estrategia de detección y respuesta a amenazas de identidad. La mayoría realiza análisis de vulnerabilidades en sus plataformas de identidad, lo que reduce la exposición al uso indebido de credenciales .
La brecha se manifiesta en el seguimiento. Solo el 45 % cuenta con procedimientos para corregir las debilidades que descubre. Sin remediación, la visibilidad por sí sola no puede detener a los atacantes. Los intrusos solo necesitan una ruta expuesta. Si las correcciones no se atienden, esa ruta permanece abierta.
La planificación de la recuperación sigue una tendencia similar. Dos tercios incluyen la recuperación de Active Directory en los planes ante desastres. Un número menor incluye procesos de recuperación para sistemas de identidad en la nube. El 63 % automatiza la recuperación de identidades. Las reconstrucciones manuales son lentas y suelen prolongar el tiempo de inactividad. Incidentes anteriores han demostrado que la velocidad de la restauración de la identidad determina la rapidez con la que la empresa puede volver a funcionar.
La complejidad de la identidad durante las fusiones aumenta el riesgo
Cuando dos organizaciones se fusionan , los líderes suelen centrarse en las condiciones del negocio y la alineación de costos, mientras que el diseño de la identidad se centra posteriormente. Durante la consolidación de dominios y los cambios de confianza, surgen inconsistencias, como cuentas obsoletas, controles deficientes y rutas de acceso poco claras.
La planificación temprana de la identidad durante las transacciones reduciría estos problemas. Tratar la identidad como parte de la diligencia debida, en lugar de como un paso posterior a la integración, permitiría detectar problemas antes de que se arraiguen en el entorno fusionado.
Los equipos están explorando herramientas basadas en IA para reducir la presión sobre los analistas del SOC. Estas herramientas pueden ayudar con las tareas de triaje y correlación. No reemplazan al personal durante periodos de alto riesgo. Los responsables de seguridad deben comprender dónde la automatización es útil y dónde no puede cubrir las brechas de cobertura. Los agentes de IA también introducen nuevas identidades de máquina que deben protegerse.
Fuente y redacción: helpnetsecurity.com / Anamarija Pogorelec
